Sesuai bunyi Pasal 1 angka 4 UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) menyebutkan pengendali data pribadi sebagai setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.
Sehubungan dengan pengendali data pribadi ini ada sejumlah kewajiban yang disebutkan dalam UU PDP ialah kewajiban untuk melakukan perekaman terhadap seluruh kegiatan pemrosesan data pribadi yang selengkapnya tertuang dalam Pasal 31 UU PDP.
“Record of Processing Activities (ROPA) ini lumayan sering disebut, tapi dalam UU PDP tidak keluar menjadi salah satu 'kalian harus punya ROPA'. Tapi ini jadi salah satu kewajiban dari pengendali data melakukan perekaman terhadap seluruh kegiatan pemrosesan data,” ujar Co-Founder Asosiasi Praktisi Pelindungan Data Indonesia (APPDI) Raditya Kosasih dalam Pelatihan Hukumonline bertajuk “Masterclass Pelindungan Data Pribadi: Menguasai Teori, Regulasi dan Implementasi” Batch III, Rabu (5/10/2023) di Hotel Ashley Wahid Hasyim, Jakarta.
Baca Juga:
- Poin Penting Pengembangan Kerangka Program Pelindungan Data Pribadi Perusahaan
- Yuk! Kenali Prinsip dan Dasar Pemrosesan Data Pribadi
- Teknologi Baru, Salah Satu Potensi Risiko Tinggi Pemrosesan Data Pribadi
Ia melanjutkan bila hendak memenuhi kewajiban yang termaktub dalam Pasal 31 UU PDP itu, outcome yang dihasilkan melalui ROPA. “Supaya ada keseragaman bagaimana cara merekamnya, ada suatu produk yang disebut ROPA. Kenapa ini penting? Karena ketika mau memastikan visibility,” kata dia.
Aturan mengenai ROPA dapat dijumpai dalam Pasal 30 General Data Protection Regulation (GDPR). Disebutkan bahwa setiap pengontrol data dan perwakilan pengontrol jika ada, harus menyimpan catatan aktivitas pemrosesan yang berada di bawah tanggung jawabnya. Catatan tersebut harus memuat sejumlah informasi penting.
Sebut saja seperti nama dan kontak detail dari pengontrol data; tujuan pemrosesan data; deskripsi dari kategori subjek data dan kategori data pribadi; kategori penerima yang data pribadinya telah atau akan diungkapkan.
Bila memungkinkan, transfer data pribadi ke negara ketiga atau organisasi internasional; time limit untuk penghapusan (retention period); serta gambaran umum mengenai langkah-langkah keamanan teknis dan organisasi.
“Memang gak ada bentuk bakunya. (ROPA ini) mau table atau panjang silahkan saja disesuaikan masing-masing, tapi yang penting adalah apa yang harus di-capture dalam ROPA. Di GDPR ini ROPA dipersyaratkan juga,” terang Data Protection Officer (DPO) itu.
Pasal 30 GDPR juga menyinggung pemrosesan memerlukan inventaris data yang harus mencakup sejumlah komponen. Bagi data controller memuat nama, detail kontak pengontrol; nama detail kontak perwakilan dan DPO jika ada.
Lalu tujuan pemrosesan; proses harus ditetapkan, atau sistem harus diterapkan untuk memastikan aktivitas pemrosesan data pribadi memiliki dasar hukum yang sesuai dan catatan disimpan dengan benar.
Kategori pribadi data, subjek data, dan penerima; transfer ke negara-negara non-EEA, termasuk tindakan pengamanan yang dilakukan jika ada; batas waktu penghapusan (per kategori data), jika memungkinkan; serta deskripsi langkah-langkah keamanan bila memungkinkan.
Sedangkan untuk data processor, diharuskan meliputi nama, pemroses detail kontak; nama, detail kontak masing-masing pengontrol; nama detail kontak perwakilan dan DPO bila ada; kategori pemrosesan; transfer ke negara non-EEA, termasuk tindakan pengamanan yang dilakukan bila ada; serta deskripsi tindakan pengamanan.
"ROPA ini akan membantu kalau nanti ada insiden, semua pihak panik, DPO sudah punya ROPA tinggal dicek. Jadi tahu arahnya kemana dan kita trace-nya kemana. Yang wajib punya ROPA siapa saja? Controller itu wajib punya, tapi processor juga bisa wajib juga melalui beberapa peraturan kalau di Eropa ini memang diwajibkan. Apakah ini strict list? Tidak juga, bisa ditambah, tapi biasanya hal-hal ini yang masuk dalam ROPA."