Hak dan Kewajiban Pengendali Data Pribadi dalam UU No. 27 Tahun 2022

Di era digital saat ini, aset yang paling vital dan esensial adalah informasi. Keamanan informasi digital menjadi hal krusial, terutama jika berkaitan dengan data pribadi. Terlebih, mayoritas kegiatan administrasi dilakukan secara daring dengan jumlah yang masif. Oleh karena itu, pemerintah sebagai pembuat regulasi mengatur hak dan kewajiban pengendali data pribadi dalam UU No. 27 Tahun 2022 tentang perlindungan data pribadi.

Hak Pengendali Data Pribadi dalam UU No. 27 Tahun 2022

Menurut UU No. 27 Tahun 2022, pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi. Pihak ini bertanggung jawab dalam melindungi data, memastikan penggunanya aman dan sesuai hukum, serta bertanggung jawab penuh atas setiap aktivitas pemrosesan data pribadi. Terdapat juga berbagai jenis-jenis data pribadi dalam UU No. 27 Tahun 2022 tersebut.

UU No. 27 Tahun 2022 telah mengatur hak-hak pengendali data pribadi dalam mengolah dan memproses data pribadi subjek data pribadi. Berikut hak pengendali data pribadi dalam UU No.27 Tahun 2022:

• Menentukan tujuan dan kendali pemrosesan data pribadi berdasarkan Pasal 1 angka 4.
• Menetapkan dasar hukum pemrosesan data pribadi sesuai Pasal 20 seperti persetujuan sah dari subjek data pribadi, pemenuhan kewajiban perjanjian atau hukum, perlindungan kepentingan vital subjek data, kepentingan umum atau pelayanan publik, serta kepentingan sah lainnya dengan keseimbangan terhadap hak subjek data.
• Menolak permintaan akses atau perubahan data jika membahayakan keamanan, melanggar hukum, atau bertentangan dengan kepentingan nasional yang tertuang pada Pasal 33.
• Menetapkan kebijakan internal dan sistem keamanan untuk melindungi data pribadi yang sesuai Pasal 35-39.
• Mengalihkan data pribadi antar-pengendali di dalam maupun luar negeri sepanjang memenuhi ketentuan perlindungan data yang tertuang pada Pasal 55-56.

Kewajiban Pengendali Data Pribadi dalam UU No. 27 Tahun 2022

Kewajiban pengendalian UU Perlindungan Data Pribadi (PDP) memuat kewajiban yang terperinci yang tertulis dari 20 pasal yaitu Pasal 20-49. Berikut kewajiban pengendali data pribadi berdasarkan UU No. 27 Tahun 2022:

1. Dasar dan Prinsip Pemrosesan

• Pasal 20, pengendali data pribadi wajib memiliki dasar pemrosesan data pribadi.
• Pasal 27, pengendali data pribadi wajib melakukan pemrosesan data pribadi secara terbatas dan spesifik, sah secara hukum, dan transparan.
• Pasal 28, pengendali data pribadi wajib melakukan pemrosesan data pribadi sesuai dengan tujuan pemrosesan data pribadi.
• Pasal 29, pengendali data pribadi wajib melakukan pemrosesan data pribadi sesuai dengan tujuan pemrosesan data pribadi.

2. Pemenuhan Hak Subjek Data

• Pasal 30, pengendali data pribadi wajib memperbarui dan/ atau memperbaiki kesalahan dan / atau ketidakakuratan data pribadi paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak pengendali data pribadi menerima permintaan pembaruan dan /atau perbaikan data pribadi.
• Pasal 32, pengendali data pribadi wajib memberikan akses kepada subjek data pribadi terhadap data pribadi yang diproses beserta rekam jejak pemrosesan data pribadi sesuai dengan jangka waktu penyimpanan data pribadi.
• Pasal 34, pengendali data pribadi wajib melakukan penilaian dampak perlindungan data pribadi dalam hal pemrosesan data pribadi memiliki potensi risiko tinggi terhadap subjek data pribadi.

3. Perlindungan dan Keamanan Data

• Pasal 35, pengendali data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya dengan menyusun langkah teknis dan operasional perlindungan data.
• Pasal 36-39, pengendali data pribadi wajib menjaga kerahasiaan, mencegah akses atau pemrosesan yang tidak sah.
• Pasal 40, pengendali data pribadi wajib menghentikan pemrosesan data pribadi dalam hal subjek data pribadi menarik kembali persetujuan pemrosesan data pribadi.
• Pasal 41, pengendali data pribadi wajib melakukan penundaan dan pembatasan pemrosesan data pribadi baik sebagian maupun seluruhnya paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak pengendali data pribadi menerima permintaan penundaan dan pembatasan pemrosesan data pribadi.

4. Penghapusan dan Kegagalan Pelindungan

• Pasal 44-45, pengendali data pribadi wajib menghapus/memusnahkan data setelah masa retensi berakhir atau atas permintaan subjek data pribadi.
• Pasal 46, dalam hal terjadi kegagalan pelindungan data pribadi, pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada subjek data pribadi dan lembaga.

5. Akuntabilitas dan Tanggung Jawab

• Pasal 47, pengendali data pribadi wajib bertanggung jawab atas pemrosesan data pribadi dan menunjukkan pertanggungjawaban dalam pemenuhan kewajiban pelaksanaan prinsip pelindungan data pribadi
• Pasal 48, pengendali data pribadi berbentuk badan hukum yang melakukan penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran badan hukum wajib menyampaikan pemberitahuan pengalihan data pribadi kepada subjek data pribadi.
• Pasal 49, pengendali data pribadi dan / atau prosesor data pribadi wajib melaksanakan perintah lembaga dalam rangka penyelenggaraan pelindungan data pribadi sesuai dengan undang-undang ini.
• Pasal 53-54, pengendali data pribadi wajib menunjuk pejabat / petugas pelindungan data pribadi (data protection officer) bila memenuhi kriteria tertentu.

Setelah mengetahui hak dan kewajiban pengendali data pribadi, diharapkan Anda memahami hak dan kewajiban pengendali data pribadi dalam UU No. 27 Tahun 2022. Anda dapat berkonsultasi dengan kami terkait perlindungan data pribadi melalui website Madhava.id. Sebagai konsultan IT, kami memiliki pengalaman di bidang teknologi seperti business, cyber security, manage service, consulting & advisory, hingga ISO 27001 consultant.