Seluruh kegiatan pemrosesan data pribadi diwajibkan untuk dilakukan perekaman oleh pengendali data pribadi. Hal tersebut tertuang dalam Pasal 31 UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Jika dikaitkan Pasal 30 General Data Protection Regulation (GDPR), setiap pengontrol data dan perwakilan pengontrol jika ada, harus menyimpan catatan aktivitas pemrosesan yang berada di bawah tanggung jawabnya. Umumnya, catatan yang memuat informasi penting itu dikenal sebagai Record of Processing Activities (ROPA).
“Ini salah satu kewajiban dari controller dan processor untuk direkam kegiatan pemrosesan data pribadi. Di draf RPP disebutkan kembali controller dan processor perlu melakukan perekaman terhadap data pribadi,” ungkap Co-Founder Asosiasi Praktisi Pelindungan Data Indonesia (APPDI) Raditya Kosasih dalam Bootcamp Hukumonline 2023 Masterclass Pelindungan Data Pribadi, hari kedua, di Fraser Place Setiabudi, Jakarta, Rabu (29/11/2023).
Baca Juga:
- 4 Hal yang Harus Diperhatikan Perusahaan dalam Data Protection Impact Assesment
- Persetujuan Pemrosesan Data Pribadi Dilakukan Melalui Persetujuan Tertulis atau Terekam
Pada dasarnya, keberadaan ROPA mempunyai tujuan yang terbilang mirip-mirip dengan KYC (Know Your Customer). “Sebab kita harus melindungi, kita harus tahu yang kita lindungi apa. Kalau gak tau bagaimana kita melindunginya? Ini kita cari tahu. Kalau ngeluarin policy, bagaimana kita bisa ngatur (kalau tidak tahu data apa saja yang dikumpulkan, red),” kata dia.
Bila melihat Pasal 30 GDPR, terdapat perbedaan antara data yang dikumpulkan bagi pengontrol data dengan prosesor data. Secara garis besar, untuk perusahaan-perusahaan yang melakukan pengontrolan data, maka berhadapan dengan komponen inti yang lebih mendetail dibandingkan dengan perusahaan pemroses data.
“Ini masih refer ke GDPR karena di Indonesia ada dalam RPP, tapi belum disahkan ya. Controller datanya lebih besar, dia harus tahu lebih banyak mengenai datanya. Diambil ini dari mana, transfer ke mana itu semua dia harus capture. Kalau processor sendiri dia hanya meng-capture namanya, kontak, dapat dari controllernya siapa, lalu prosesnya seperti apa? Hanya terkait skup yang dia diberikan instruksi jadi ROPA-nya tidak terlalu panjang,” terang Raditya.
Suasana Bootcamp Hukumonline 2023 Masterclass Pelindungan Data Pribadi hari kedua.
Selengkapnya, untuk pengontrol data diminta untuk melakukan inventarisasi data terkait nama dan detail kontak pengontrol, nama perwakilan dan detail kontak DPO, tujuan pemrosesan, proses harus didefinisikan, atau sistem harus ditetapkan untuk memastikan pemrosesan data pribadi, kegiatan mempunyai dasar hukum yang sesuai dan catatannya disimpan, dan seterusnya.