Undang-undang Nomor 17 Tahun 2022 tentang Perlindungan Data Pribadi (“UU PDP”) mengatur pemrosesan data pribadi yang dilakukan oleh pengendali data di dalam suatu perusahaan. Oleh karenanya perusahaan harus dapat menyesuaikan diri dengan ketentuan-ketentuan yang ada dalam UU PDP. Penyesuaian dengan aturan yang ada dalam UU PDP tentunya wajib untuk dilakukan oleh suatu Perusahaan sebagai pengendali.

UU PDP merupakan aturan yang memberikan pedoman kepada pengendali data pribadi untuk dapat memproses data pribadi sesuai dengan prinsip-prinsip perlindungan data pribadi. Dalam UU PDP memang tidak disebutkan secara eksplisit mengenai pengaturan perlindungan data pribadi dalam sektor perusahaan, akan tetapi secara umum perlu dilihat ketentuan dalam pasal 19 UU PDP yang menyebutkan bahwa

“Pengendali Data Pribadi dan Prosessor Data Pribadi meliputi:

1. 1. Setiap orang;
   2. Badan Publik; dan
   3. Organisasi Internasional.”

Kemudian jika melihat ketentuan Pasal 1 angka 4 UU PDP juga dijelaskan bahwa, “Pengendali Data Pribadi adalah adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi.” Berdasarkan ketentuan tersebut, perusahaan memang tidak disebutkan secara eksplisit akan tetapi perlu juga untuk melihat ketentuan pasal 1 angka 7 UU PDP yang menyatakan “Setiap Orang adalah orang perseorangan atau korporasi”. Dengan demikian melihat pada ketentuan Pasal 1 angka 4 dan Pasal 19 UU PDP kemudian ditafsirkan dengan Pasal 1 angka 7 UU PDP makan UU PDP juga mengatur sektor perusahaan yakni ketika suatu perusahaan yang menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi. Oleh karenanya tiap perusahaan yang hendak melakukan pemrosesan data pribadi maka perusahaan tersebut wajib untuk mengikuti ketentuan-ketentuan dalam UU PDP.

Lebih lanjut UU PDP mengatur kewajiban-kewajiban yang harus dilakukan oleh perusahaan yang hendak melakukan pemrosesan data pribadi yang secara spesifik diatur dalam Bab IV Pasal 19 samapai Pasal 50 UU PDP. Salah satu kewajiban Pengendali Data Pribadi adalah wajib untuk memiliki dasar pemrosesan data pribadi. Dasar pemrosesan Data Pribadi meliputi:

a. Persetujuan yang sah secara eksplisit dari Subjek Data Pribadi;

b. Pemenuhan kewajiban perjanjian;

c. Pemenuhan kewajiban hukum dari Pengendali Data Pribadi;

d. Pemenuhan pelindungan kepentingan vital Subjek Data Pribadi;

e. Pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali Data Pribadi;

f. Pemenuhan kepentingan yang sah lainnya

Secara umum, Perusahaan yang hendak melakukan pemrosesan Data Pribadi berdasarkan Persetujuan, wajib menyampaikan informasi sebagaimana diatur dalam pasal 21 UU PDP bahwa, “Dalam hal pemrosesan Data Pribadi berdasarkan Persetujuan sebagaimana dimaksud dalam Pasal 20 ayat (2) huruf a Pengendali Data Pribadi wajib menyampaikan informasi mengenai:

a. Legalitas dari pemrosesan Data Pribadi;

b. Tujuan pemrosesan Data Pribadi;

c. Jenis dan relevansi Data Pribadi yang akan diproses;

d. Jangka waktu retensi dokumen yang memuat Data Pribadi;

e. Rincian mengenai informasi yang dikumpulkan;

f. Jangka waktu pemrosesan Data Pribadi; dan

g. Hak Subjek Data Pribadi.”

Persetujuan dalam pemrosesan Data Pribadi tersebut dilakukan melalui persetujuan tertulis atau terekam. Persetujuan tersebut dapat disampaikan secara elektronik atau nonelektronik. Dalam hal persetujuan tersebut memuat tujuan lain, permintaan persetujuan harus memenuhi ketentuan sebagai berikut:

a. Data dibedakan secara jelas dengan hal lainnya;

b dibuat dengan format yang dapat dipahami dan mudah diakses; dan

c. menggunakan bahasa yang sederhana dan jelas.

Selain itu terdapat pula beberapa kewajiban-kewajiban yang harus dilakukan oleh perusahaan yang hendak melakukan pemrosesan data pribadi sebagaimana yang diatur dalam Bab IV Pasal 19 sampai Pasal 50 UU PDP, dua diantaranya adalah sebagaimana yang diatur dalam Pasal 35 UU PDP yaitu:

a. Penyusunan dan penerapan langkah teknis operasional untuk melindungi Data Pribadi dari gangguan pemrosesan Data Pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan; dan

b. Penentuan tingkat keamanan Data Pribadi dengan memperhatikan sifat dan risiko dari Data Pribadi yang harus dilindungi dalam pemrosesan Data Pribadi.

Melihat daripada Pasal 35 UU PDP tersebut, perusahaan yang melakukan pemrosesan data pribadi harus terlebih dahulu menyusun langkah-langkah yang akan mereka lakukan untuk melindungi data pribadi yang akan diproses tersebut. Dengan adanya langkah-langkah pemrosesan data pribadi akan memberikan jaminan keamanan bagi Subjek Data Pribadi ketika data pribadinya diproses oleh perusahaan. Bagi perusahaan penyusunan langkah teknis operasional pemrosesan data pribadi tersebut juga akan memberikan langkah preventif agar perusahaan tidak melanggar ketentuan dalam UU PDP yang bisa berujung pada pengenaan sanksi.

Selain menyusun langkah teknis operasional pemrosesan data pribadi, perusahaan juga harus mengkualifikasi data pribadi yang akan dikelola olehnya berdasarkan tingkat risiko, apakah termasuk data pribadi dengan tingkat risiko tinggi atau rendah. Identifikasi tingkat risiko ini akan mempengaruhi pemrosesan data pribadi karena data-data pribadi yang memiliki resiko tinggi tentunya akan dikelola dengan lebih berhati-hati dibandingkan dengan data pribadi dengan risiko rendah (tanpa mengabaikan perlindungan data pribadi dengan risiko rendah).

Dengan demikian, bagi perusahaan yang hendak melakukan pemrosesan data pribadi maka perusahaan tersebut diharuskan untuk menyusun langkah teknis operasional pemrosesan data pribadi dan juga mengidentifikasi risiko pemrosesan data pribadi yang dilakukan oleh Perusahaan.