Kominfo Buat Aturan Kewajiban Perusahaan yang Ambil Data Pengguna

Kominfo atau Kementerian Komunikasi dan Informatika menyiapkan aturan terkait kewajiban perusahaan yang mengambil data pribadi pengguna. Regulasi berupa Peraturan Pemerintah ini merupakan turunan dari Undang-undang Pelindungan Data Pribadi alias UU PDP.

Berdasarkan draf rancangan Peraturan Pemerintah atau RPP Pelindungan Data Pribadi tertanggal 31 Agustus, aturan ini memuat kewajiban perusahaan ataupun lembaga yang mengelola data pengguna.

Pasal 10 berbunyi, pengendali data pribadi atau perusahaan dalam rangka pemerolehan dan pengumpulan data pribadi harus:

1. Menentukan dasar pemrosesan sebelum melakukan pemerolehan dan pengumpulan data pribadi
2. Menentukan secara jelas tujuan dari pemerolehan dan pengumpulan data pribadi, dengan mempertimbangkan kepentingan subjek data pribadi
3. Membatasi besaran data pribadi yang dikumpulkan berdasarkan tujuan yang telah ditentukan
4. Menentukan mekanisme yang aman dalam pemerolehan dan pengumpulan data pribadi
5. Memberikan informasi terkait tujuan pemrosesan sebelum dilakukan pemerolehan dan pengumpulan data pribadi
6. Menerapkan prinsip-prinsip pemrosesan data pribadi dalam hal pemerolehan dan pengumpulan data pribadi sesuai ketentuan peraturan perundang-undangan

Dalam rangka pengolahan dan penganalisisan data pribadi, perusahaan harus:

1. Menentukan mekanisme dan/atau standar penerapan kualitas data untuk memastikan bahwa data pribadi yang diolah dan dianalisis telah akurat dan lengkap
2. Memberikan informasi kepada subjek data pribadi, jika terdapat pengolahan dan penganalisisan data pribadi di luar atau sebagai tambahan tujuan dari tujuan awal pengolahan dan penganalisisan
3. Melakukan penilaian dampak pelindungan data pribadi untuk pengolahan dan penganalisisan data pribadi yang memiliki potensi risiko tinggi terhadap subjek data pribadi
4. Memfasilitasi hak subjek data pribadi untuk mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis
5. Menerapkan prinsip-prinsip pemrosesan data pribadi dalam hal pengolahan dan penganalisisan data pribadi sesuai dengan ketentuan peraturan perundang- undangan

Adapun, ketentuan bagi perusahaan dalam rangka penyimpanan data pribadi, yakni harus:

• Menentukan dan menerapkan pengendalian keamanan data pribadi yang disimpan baik secara fisik maupun elektronik
• Menetapkan dan menerapkan mekanisme retensi data pribadi
• Menentukan masa retensi data pribadi sesuai dengan ketentuan peraturan perundang-undangan
• Menerapkan pencegahan kegagalan pelindungan data pribadi dalam hal penyimpanan dengan:

1. Menerapkan enkripsi dan/atau penyamaran data
2. Membuat salinan cadangan terhadap data pribadi
3. Melakukan enkripsi dan/atau penyamaran data terhadap salinan cadangan data pribadi
4. Membatasi pihak-pihak yang dapat mengakses data pribadi
5. Mengetahui, mencatat dan/atau mendokumentasikan lokasi penyimpanan, dan media penyimpanan data pribadi
6. Menerapkan prinsip-prinsip pemrosesan data pribadi dalam hal penyimpanan sesuai dengan ketentuan peraturan perundang-undangan

Data pribadi terbagi menjadi dua jenis, yakni:

1. Bersifat spesifik, meliputi: