Kominfo atau Kementerian Komunikasi dan Informatika menyiapkan aturan terkait kewajiban perusahaan yang mengambil data pribadi pengguna. Regulasi berupa Peraturan Pemerintah ini merupakan turunan dari Undang-undang Pelindungan Data Pribadi alias UU PDP.
Berdasarkan draf rancangan Peraturan Pemerintah atau RPP Pelindungan Data Pribadi tertanggal 31 Agustus, aturan ini memuat kewajiban perusahaan ataupun lembaga yang mengelola data pengguna.
Pasal 10 berbunyi, pengendali data pribadi atau perusahaan dalam rangka pemerolehan dan pengumpulan data pribadi harus:
- Menentukan dasar pemrosesan sebelum melakukan pemerolehan dan pengumpulan data pribadi
- Menentukan secara jelas tujuan dari pemerolehan dan pengumpulan data pribadi, dengan mempertimbangkan kepentingan subjek data pribadi
- Membatasi besaran data pribadi yang dikumpulkan berdasarkan tujuan yang telah ditentukan
- Menentukan mekanisme yang aman dalam pemerolehan dan pengumpulan data pribadi
- Memberikan informasi terkait tujuan pemrosesan sebelum dilakukan pemerolehan dan pengumpulan data pribadi
- Menerapkan prinsip-prinsip pemrosesan data pribadi dalam hal pemerolehan dan pengumpulan data pribadi sesuai ketentuan peraturan perundang-undangan
Dalam rangka pengolahan dan penganalisisan data pribadi, perusahaan harus:
- Menentukan mekanisme dan/atau standar penerapan kualitas data untuk memastikan bahwa data pribadi yang diolah dan dianalisis telah akurat dan lengkap
- Memberikan informasi kepada subjek data pribadi, jika terdapat pengolahan dan penganalisisan data pribadi di luar atau sebagai tambahan tujuan dari tujuan awal pengolahan dan penganalisisan
- Melakukan penilaian dampak pelindungan data pribadi untuk pengolahan dan penganalisisan data pribadi yang memiliki potensi risiko tinggi terhadap subjek data pribadi
- Memfasilitasi hak subjek data pribadi untuk mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis
- Menerapkan prinsip-prinsip pemrosesan data pribadi dalam hal pengolahan dan penganalisisan data pribadi sesuai dengan ketentuan peraturan perundang- undangan
Adapun, ketentuan bagi perusahaan dalam rangka penyimpanan data pribadi, yakni harus:
- Menentukan dan menerapkan pengendalian keamanan data pribadi yang disimpan baik secara fisik maupun elektronik
- Menetapkan dan menerapkan mekanisme retensi data pribadi
- Menentukan masa retensi data pribadi sesuai dengan ketentuan peraturan perundang-undangan
- Menerapkan pencegahan kegagalan pelindungan data pribadi dalam hal penyimpanan dengan:
- Menerapkan enkripsi dan/atau penyamaran data
- Membuat salinan cadangan terhadap data pribadi
- Melakukan enkripsi dan/atau penyamaran data terhadap salinan cadangan data pribadi
- Membatasi pihak-pihak yang dapat mengakses data pribadi
- Mengetahui, mencatat dan/atau mendokumentasikan lokasi penyimpanan, dan media penyimpanan data pribadi
- Menerapkan prinsip-prinsip pemrosesan data pribadi dalam hal penyimpanan sesuai dengan ketentuan peraturan perundang-undangan
Data pribadi terbagi menjadi dua jenis, yakni:
1. Bersifat spesifik, meliputi:
- Data dan informasi kesehatan
- Data biometrik
- Data genetika
- Catatan kejahatan
- Data anak
- Data keuangan pribadi
- Data lainnya sesuai dengan ketentuan peraturan perundang-undangan, seperti:
- Tindakan diskriminatif kepada subjek data pribadi
- Kerugian materiil dan/atau imateriil subjek data pribadi
- Dampak lainnya yang bertentangan dengan peraturan perundang-undangan
2. Bersifat umum, meliputi:
- Nama lengkap
- Jenis kelamin
- Kewarganegaraan
- Agama
- Status perkawinan
- Data pribadi yang dikombinasikan untuk mengidentifikasi seseorang, yang dapat dilakukan melalui:
- Referensi langsung
- Referensi pemetaan
- Triangularisasi
- Kombinasi lainnya
Perusahaan sebagai pengendali data pribadi wajib menyampaikan informasi mengenai:
- Legalitas dari pemrosesan
- Tujuan pemrosesan
- Jenis dan relevansi data pribadi yang akan diproses
- Jangka waktu retensi dokumen yang memuat data pribadi
- Rincian mengenai informasi yang dikumpulkan
- Jangka waktu pemrosesan data pribadi
- Hak subjek data pribadi
Selain itu, informasi yang wajib disampaikan paling sedikit memuat:
- Identitas pengendali dan/atau prosesor data pribadi yang meliputi:
- Nama
- Deskripsi singkat
- Kontak
- Representatif sesuai dengan ketentuan peraturan perundang-undangan
- Kontak pejabat petugas pelindung data pribadi sesuai dengan ketentuan peraturan perundang-undangan
- Sumber pengumpulan dan tujuan pengiriman data pribadi
- Dasar pemrosesan
- Tujuan pemrosesan
- Jenis
- Dasar hukum penggunaan data pribadi
- Jangka waktu data pribadi akan digunakan
- Jangka waktu data pribadi akan disimpan
- Jangka waktu data pribadi akan dimusnahkan
- Bagaimana penyimpanan dan pengelolaan dilakukan
- Informasi pihak yang akan menggunakan data dalam hal pengendali data pribadi melibatkan prosesor data pribadi
- Mekanisme persetujuan dan penarikan persetujuan dalam hal pemrosesan
- Mekanisme memperoleh akses dan/atau salinan
- Mekanisme menyampaikan keberatan
- Mekanisme akses, salinan, verifikasi, dan perbaikan data pribadi
- Langkah keamanan untuk melindungi data pribadi
“Jika terdapat perubahan informasi, perusahaan wajib memberitahukan kepada subjek data pribadi sebelum terjadi perubahan,” demikian dikutip.
Berdasarkan draf, Peraturan Pemerintah Pelindungan Data Pribadi tersebut terdiri dari 10 Bab dan 245 pasal. Bab yang dimaksud yakni:
- Ketentuan umum
- Data pribadi
- Pemrosesan data pribadi
- Hak dan kewajiban
- Transfer data pribadi di luar wilayah hukum negara Republik Indonesia
- Kerja sama internasional
- Kewenangan lembaga pelindungan data pribadi
- Sanksi administratif
- Penyelesaian sengketa dan hukum acara
- Ketentuan penutup