Apa bedanya pihak pengendali data pribadi dan prosesor data pribadi? Kemudian jika terjadi kegagalan/kebocoran data pribadi, sejauh mana tanggung jawab dari kedua pihak tersebut?
Daftar Isi
INTISARI JAWABAN
Pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.
Sedangkan prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi.
Lalu, apa beda antara pengendali data pribadi dengan prosesor data pribadi?
Penjelasan lebih lanjut dapat Anda baca ulasan di bawah ini.
ULASAN LENGKAP
Terima kasih atas pertanyaan Anda.
Pengendali dan Prosesor Data Pribadi
Indonesia kini telah memiliki UU PDP sebagai aturan khusus yang mengatur mengenai pelindungan data pribadi yang mulai berlaku sejak tanggal diundangkannya yaitu 17 Oktober 2022.
Menjawab pertanyaan Anda, pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.[1] Sedangkan prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi.[2]
Dari definisi tersebut di atas, nampak perbedaan keduanya yaitu pengendali data pribadi melakukan kendali pemrosesan data pribadi untuk dirinya sendiri. Sementara prosesor data pribadi melakukan pemrosesan data pribadi atas nama pengendali data pribadi.
Belajar Hukum Secara Online dari Pengajar Berkompeten Dengan Biaya TerjangkauMulai DariRp. 149.000
Lebih lanjut, diatur pula beberapa kewajiban pengendali data pribadi dan prosesor data pribadi antara lain sebagai berikut.
Kewajiban Pengendali Data Pribadi
Pengendali data pribadi wajib memiliki dasar pemrosesan data pribadi, yang meliputi:[3]
persetujuan yang sah secara eksplisit dari subjek data pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh pengendali data pribadi kepada subjek data pribadi;
pemenuhan kewajiban perjanjian dalam hal subjek data pribadi merupakan salah satu pihak atau untuk memenuhi permintaan subjek data pribadi pada saat akan melakukan perjanjian;
pemenuhan kewajiban hukum dari pengendali data pribadi sesuai dengan ketentuan perundang-undangan;
pemenuhan pelindungan kepentingan vital subjek data pribadi;
pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan pengendali data pribadi berdasarkan peraturan perundang-undangan; dan/atau
pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan pengendali data pribadi dan hak subjek data pribadi.
Pengendali data pribadi wajib mendapatkan persetujuan dari orang tua anak dan/atau wali anak sesuai ketentuan perundang-undangan dalam pemrosesan data pribadi anak dan diselenggarakan secara khusus.[4]
Pengendali data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya, dengan melakukan penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan data pribadi yang bertentangan dan penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi.[5]
Pengendali data pribadi wajib menjaga kerahasiaan data pribadi dalam melakukan pemrosesan data pribadi.[6]
Pengendali data pribadi wajib mencegah data pribadi diakses secara tidak sah dengan menggunakan sistem keamanan terhadap data pribadi yang diproses dan/atau memproses data pribadi menggunakan sistem elektronik secara andal, aman, bertanggung jawab.[7]
Kewajiban Prosesor Data Pribadi
Prosesor data pribadi wajib melakukan pemrosesan data pribadi berdasarkan perintah pengendali data pribadi.[8]
Prosesor data pribadi wajib mendapatkan persetujuan tertulis dari pengendali data pribadi sebelum melibatkan prosesor data pribadi lain dalam melakukan pemrosesan data pribadi.[9]
Ketentuan kewajiban pengendali data pribadi yang diatur dalam Pasal 29, 31, 35, 36, 37, 38, dan 39 berlaku juga terhadap prosesor data pribadi.
Tanggung Jawab Jika Data Pribadi Bocor
Terkait pertanyaan Anda mengenai tanggung jawab jika terjadi kebocoran data pribadi, pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 jam dalam hal terjadi kegagalan pelindungan data pribadi kepada subjek data pribadi dan lembaga.[10]
Pemberitahuan itu minimal memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pengendali data pribadi.[11]
Adapun yang dimaksud dengan kegagalan perlindungan data pribadi dalam Penjelasan Pasal 46 ayat (1) UU PDP didefinisikan sebagai kegagalan melindungi data pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan data pribadi, termasuk pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap data pribadi yang dikirim, disimpan, atau diproses.
Sementara untuk prosesor data pribadi tidak diatur secara khusus bentuk tanggung jawab jika terjadi kebocoran data pribadi. Namun demikian, baik pengendali data pribadi dan prosesor data pribadi yang melanggar kewajiban yang telah disebutkan sebelumnya dikenakan sanksi administratif berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi dan/atau denda administratif yang paling tinggi 2 persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.[12]