Berikut beberapa substansi perbandingan terhadap GDPR yang hukumonline catat berdasarkan seminar internasional Peradi di Bali tersebut:
- Definisi data pribadi
GDPR memberi definisi data pribadi sebagai “any information relating to an identified or identifiable natural person”. Maksud dari identifiable adalah apabila informasi tertentu dapat menjadi penanda rasional untuk mengenali individu tertentu. Misalnya alamat IP, nomor ponsel, atau data lokasi. GDPR juga membedakan data pribadi yang berkaitan dengan bukti kejahatan.
Sementara itu, data pribadi disebut dalam PP PSTE sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya. Tidak ada penjelasan soal apa yang dimaksud data perseorangan. Namun, tercatat bahwa pasal 58 UU No.23 Tahun 2006 jo. UU No.24 Tahun 2013 tentang Administrasi Kependudukan (UU Kependudukan) sering menjadi rujukan definisi data perseorangan.
(Baca: Corporate Counsel Harus Awasi Standar Pengolahan Data di Perusahaan)
Disebutkan dalam Pasal 58 UU Kependudukan bahwa data perseorangan meliputi 31 hal yaitu nomor KK; NIK; nama lengkap; jenis kelamin; tempat lahir; tanggal/bulan/tahun lahir; golongan darah; agama/kepercayaan; status perkawinan; status hubungan dalam keluarga; cacat fisik dan/atau mental; pendidikan terakhir; jenis pekerjaan; NIK ibu kandung; nama ibu kandung; NIK ayah; nama ayah; alamat sebelumnya; alamat sekarang; kepemilikan akta kelahiran/surat kenal lahir; nomor akta kelahiran/nomor surat kenal lahir; kepemilikan akta perkawinan/buku nikah; nomor akta perkawinan/buku nikah; tanggal perkawinan; kepemilikan akta perceraian; nomor akta perceraian/surat cerai; tanggal perceraian; sidik jari; iris mata; tanda tangan; dan elemen data lainnya yang merupakan aib seseorang.
- Pihak yang betanggung jawab
GDPR menyebut istilah ‘controllers’ (pengendali) dan ‘processors’ (pengelola) data sebagai pihak yang bertanggung jawab menjamin perlindungan data pribadi. Pengendali adalah pihak yang menentukan maksud dan tujuan dari pengelolaan data pribadi. Sedangkan pihak pengelola memberikan instruksi soal mengapa dan bagaimana data tersebut akan digunaka untuk keperluan organisasi.
Pengelola data bertanggung jawab melaksanakan perannya atas nama pengendali. Beban tanggung jawab yang diberikan GDPR kepada pengelola juga tidak sebanyak untuk pengendali data.
Sementara itu, PP PSTE menggunakan istilah penyelenggara sistem elektronik. Termasuk di dalamnya adalah setiap orang, penyelenggara negara, badan usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan sistem elektronik secara sendiri-sendiri maupun bersama-sama kepada pengguna sistem elektronik untuk keperluan dirinya dan/atau keperluan pihak lain. Tidak ada pembedaan pihak seperti pada GDPR.