“Bu Lita, hotel kami dan Perusahaan Taksi XYZ berencana bekerja sama untuk pengembangan Loyalty Program. Program ini memungkinkan pelanggan hotel dan pelanggan Perusahaan Taksi XYZ untuk mendapatkan voucher diskon untuk kamar hotel dan layanan taksi. Kami berencana mengembangkan aplikasi untuk memudahkan implementasi ini. Kalau kerjasama seperti ini, siapa yang akan menjadi Pengendali Data Pribadi dan Prosesor Data Pribadi, Bu?”

UU Pelindugan Data Pribadi mengatur dua peran yang berfungsi dalam pengolahan data pribadi, yaitu Pengendali Data Pribadi (Controller) dan Prosesor Data Pribadi (Processor).

1) Controller merupakan pihak yang menentukan tujuan dan cara pengolahan data pribadi. Controller wajib memberitahukan subjek data mengenai pengolahan data pribadi mereka.

2) Processor merupakan pihak yang memproses data pribadi atas instruksi dari Controller. Processor tidak memiliki kendali atas tujuan atau cara pengolahan data dan hanya bertindak sesuai dengan arahan pengendali.

Meskipun UU PDP hanya mengatur dua peran, namun dalam proses bisnis yang melibatkan pertukaran atau pengolahan data, nantinya setidaknya akan tercipta tiga rangkaian peran antara Controller dan Processor, yaitu:

1) Controller to Processor
Hubungan Controller to Processor tercipta ketika hanya salah satu pihak yang memiliki kewenangan untuk menentukan tujuan dan cara pemrosesan data pribadi, sementara pihak lainnya hanya memproses data sesuai instruksi pengendali. Pihak yang menentukan batasan dan memberikan arahan adalah Controller, sedangkan pihak yang memproses data adalah Prosesor. Hubungan Controller to Processor wajib diatur dalam Data Processing Agreement.

Contoh:

• Hotel bertindak sebagai pengendali data pribadi, mengumpulkan data pelanggan (seperti nama, alamat email, atau nomor telepon) untuk memberikan manfaat dalam bentuk diskon kamar hotel atau program loyalitas.
  –
• Perusahaan Taksi bertindak sebagai prosesor data pribadi, yang hanya menerima data pelanggan dari hotel untuk memberikan diskon taksi atau layanan transportasi, sesuai dengan instruksi dari hotel.

2) Joint Controller
Joint Controller tercipta apabila terdapat dua atau lebih pihak yang bersama-sama menentukan tujuan dan cara pengolahan data pribadi yang mereka miliki. Para Controller ini memiliki hak dan kewenangan yang sama atas data pribadi, dan mereka bekerja sama untuk mencapai tujuan pengolahan data yang telah disepakati bersama. Hak dan kewajiban Joint Controller diatur dalam Joint Controller Agreement.

Contoh:
Jika Hotel dan Perusahaan Taksi bekerja sama dalam program loyalitas, dan keduanya menentukan bersama bagaimana data pelanggan akan digunakan untuk memberikan manfaat kepada pelanggan (seperti menggabungkan diskon untuk hotel dan taksi), maka keduanya akan menjadi pengendali bersama atas data tersebut.

3) Controller to Controller

Controller to Controller tercipta ketika dua pengendali data pribadi berbagi data tetapi memiliki tujuan yang berbeda dalam pengolahan data tersebut. Masing-masing pengendali tetap bertanggung jawab atas data pribadi yang mereka kumpulkan dan kelola, namun mereka saling bertukar data untuk memenuhi tujuan mereka masing-masing yang terpisah. Hak dan kewajiban Controller to Controller wajib dimuat dalam Data Sharing Agreement.

Contoh:

Hotel A dan Perusahaan Taksi B dapat saling bertukar data pelanggan (misalnya data nama dan email) tetapi dengan tujuan yang berbeda. Hotel A menggunakan data tersebut untuk program loyalitas, sementara Perusahaan Taksi B menggunakan data untuk tujuan diskon taksi. Masing-masing pengendali data memiliki kendali penuh atas data yang mereka kumpulkan dan kelola, meskipun mereka berbagi informasi.

Kembali ke kasus yang Anda sebutkan, untuk menentukan siapa yang menjadi Pengendali Data Pribadi dan Prosesor Data Pribadi, penting untuk mengetahui apakah tujuan, ruang lingkup, dan cara pengolahan data dilakukan bersama-sama oleh hotel dan perusahaan taksi, atau hanya salah satu pihak yang memutuskan hal tersebut.

Jika Hotel dan Perusahaan Taksi Menentukan Tujuan dan Cara Pengolahan Data Bersama (misalnya, mereka bersama-sama merancang Loyalty Program dan mengelola data pelanggan untuk tujuan pemberian diskon untuk hotel dan taksi), maka kedua pihak menjadi Pengendali Bersama (Joint Controllers).

Jika Hanya Hotel yang Menentukan Tujuan dan Cara Pengolahan Data (misalnya, hotel mengumpulkan data untuk program loyalitas, dan perusahaan taksi hanya memproses data untuk memberikan diskon taksi sesuai instruksi hotel), maka Hotel bertindak sebagai Pengendali dan Perusahaan Taksi sebagai Prosesor.

Dasar Hukum: UU No.27  Tahun 2022 tentang Pelindungan Data Pribadi

Demikian, semoga bermanfaat!