”Bayangkan DPO tidak tahu data apa yang harus dilindungi sehingga ROPA ini sangat dibutuhkan sejak awal,” ujarnya.
Pengurus APPDI, Raditya Kosasih. Foto: RES
Dia menerangkan, tahap awal pembuatan ROPA dapat dilakukan secara bertahap. Dengan merekam kegiatan pemrosesan data pribadi, pengendali atau prosesor data dapat mengetahui jenis-jenis data yang dikumpulkan, tujuan pengumpulan data, dan pengamanan data. Selain itu, ROPA juga dibutuhkan untuk memvalidasi saat ada informasi kebocoran data.
ROPA menurut Raditya amat membantu saat terjadi kebocoran data pribadi atau insiden. Misalnya, adanya informasi dugaan kebocoran data. Setidaknya dapat mendeteksi sumber kebocoran data. Selain itu memvalidasi data-data yang dimiliki dengan data yang bocor. Jika pengendali dan prosesor data tidak dapat memvalidasi data yang bocor, maka berisiko tidak mematuhi UU 27/2022.
Raditya yang notabene Partner pada Kantor Hukum ALTA Advocates itu mengingatkan, terdapat jangka waktu 72 jam bagi pengendali dan prosesor data menginformasikan kebocoran data tersebut. Selain itu, pengendali dan prosesor data yang tidak dapat menyerahkan ROPA saat terjadi kebocoran, maka dapat menjadi temuan bagi regulator.
”Dan ketika ada investigasi dari regulator atau lembaga PDP kemungkinan besar salah satu hal yang mereka minta adalah ROPA. Jika tidak bisa berikan ROPA saat insiden maka jadi temuan dan dianggap sebagai pelanggaran UU PDP,” ujarnya.
Dalam Rancangan Peraturan Pemerintah (RPP) sebagai aturan turunan UU 27/2022, komponen ROPA tertuang dalam Pasal 87 ayat (2) dan (4). Perekaman ROPA yang dilakukan pengendali antara lain nama dan detail kontak pengendali data pribadi, pengendali data pribadi bersama, dan/atau prosesor data pribadi.
Kemudian kontak pejabat pelindung, sumber pengumpulan dan tujuan pengiriman data pribadi, tujuan pemrosesan, jenis data pribadi, hingga langkah teknis dan organisasi dalam rangka pengamanan data pribadi. Sedangkan, prosesor data pribadi paling sedikit perekaman dalam ROPA. Antara lain, nama dan kontak prosesor data pribadi, lingkup kegiatan pemrosesan data pribadi, rincian transfer, dan deskripsi umum langkah organisasi dan teknis pengamanan data pribadi.