“Bu Lita, kalau perusahaan kami sudah punya Privacy Policy yang jadi acuan untuk pelindungan data pribadi, apakah kami masih harus membuat Privacy Notice dan ROPA ya, Bu? Menurut kami, baik Privacy Notice dan ROPA sudah ada di dalam Privacy Policy kami.
Dalam melakukan pemrosesan data pribadi, Pelaku Usaha yang menjadi Pengendali wajib untuk memastikan bahwa organisasinya memiliki kapasitas yang memadai untuk melindungi dan juga memastikan pemrosesan data sesuai dengan tujuan pemrosesan. Tentunya kepastian tersebut hanya dapat dibuktikan apabila didukung dengan dokumen tertulis baik yang tersimpan secara elektronik maupun non-elektronik. Kewajiban tersbeut sebenarnya juga merupakan amanat dari UU PDP, meskipun undang-undang tersebut secara eksplisit menyebutkan nama atau judul dokumen tersebut.
Namun, dalam praktik terdapat tiga jenis dokumen yang harus dibuat oleh Pengendali untuk menjamin pelindungan data pribadi, yaitu Privacy Policy, Privacy Notice dan Record of Processing Activity (ROPA). Perbedaan ketiga dokumen tersebut adalah sebagai berikut:
1. Privacy Policy
Dokumen yang berisi kebijakan dan prosedur pengelolaan data pribadi yang dibuat dan diperuntukkan sebagai dasar pemrosesan data pribadi.
Dokumen ini diperuntukkan untuk internal Perusahaan dan menjadi panduan bagi seluruh lini Perusahaan untuk secara konsisten menerapkan sistem kerja yang peduli pada pelindungan data. Kewajiban memiliki Privacy Policy diatur dalam Pasal 25 ayat (1).
2. Privacy Notice
Privacy Notice adalah dokumen pemberian informasi dari Pengendali kepada Subjek Data Pribadi tentang tujuan, dasar hukum dan pihak yang menerima data pribadi (Pasal 15 ayat (1) UU PDP).
Tidak jarang saya temui pelaku usaha tidak mau repot Privacy Notice, sehingga menampilkan Privacy Policy untuk alasan kepraktisan. Terhadap hal ini, menurut saya hal tersebut bisa saja dilakukan, namun Pelaku Usaha wajib memperhatikan bahwa Pasal 15 ayat (2) UU PDP mengatur bahwa Privacy Notice harus diberikan dengan cara yang mudah dipahami oleh Subjek Data.
Dengan demikian, apabila pelaku usaha ingin menampilkan Privacy Policy sebagai Policy Notice, pelaku usaha perlu mempertimbangkan apakah Privacy Policy tersebut dapat dengan mudah dimengerti oleh Subjek Data Pribadi.
3. Record of Processing Activity (ROPA)
ROPA adalah catatan terperinci yang memuat semua aktivitas pemrosesan data pribadi yang dilakukan oleh organisasi. Kewajiban memiliki catatan aktivitas ini diatur secara spesifik dalam Pasal 22 ayat (2) UU PDP.
ROPA diperlukan oleh Pengendali untuk menunjukkan kepatuhan terhadap undang-undang perlindungan data dan merupakan dokumen yang akan diperiksa oleh lembaga pemerintah yang berwenang mengawasi pelaksanaan pelindungan data pribadi dan yang mengawasi bisnis pelaku usaha, seperti Kominfo, BI, OJK, dsb.
Perbedaan lebih detail ada pada tabel berikut:
| Aspek | Privacy Policy | Privacy Notice | ROPA (Record of Processing Activities) |
| Definisi | Dokumen yang menjelaskan kebijakan dan prosedur organisasi terkait pengelolaan data pribadi. | Dokumen pemberitahuan yang disampaikan oleh Pengendali kepada Subjek Data Pribadi mengenai pengumpulan dan penggunaan data pribadi mereka. | Dokumen yang berisi catatan semua aktivitas pemrosesan data pribadi yang dilakukan oleh Pengendali dan/atau Prosesor. |
| Peruntukan | Internal organisasi/perusahaan | Subjek Data Pribadi | · Internal organisasi/perusahaan,
· Lembaga pemerintahan yang berwenang mengawasi pelaksanaan pelindungan Data Pribadi dan/atau mengawasi bisnis perusahaan.
|
| Fungsi | Memberikan pedoman bagi perusahaan dalam pengelolaan Data Pribadi, sehingga tercipta implementasi dan komitmen yang tinggi atas pelindungan data pribadi. | Memberikan informasi yang jelas kepada Subjek Data Pribadi tentang bagaimana data mereka diproses. | Menyediakan catatan terperinci mengenai semua kegiatan pemrosesan Data Pribadi |
| Penyajian | Disusun secara formal, lengkap dan terperinci agar memastikan seluruh proses dan komitmen pelindungan Data Pribadi berjalan baik di internal perusahaan. | Disajikan dengan bahasa yang mudah dipahami oleh Subjek Data Pribadi dan diletakkan pada media yang mudah diakses Subjek Data. | Dibuat sesuai dengan tahapan alur bisnis atau layanan yang diberikan oleh perusahaan kepada Subjek Data. |
| Frekuensi Pembaruan | Diperbarui sesuai dengan perubahan kebijakan atau prosedur internal perusahaan. | Diperbarui jika ada perubahan dalam cara pengumpulan atau penggunaan data pribadi. | Diperbarui secara berkala untuk mencatat semua aktivitas pemrosesan data baru atau perubahan dalam pemrosesan data. |
| Dasar Hukum | Pasal 25 ayat (1) UU PDP | Pasal 15 ayat (1) dan (2) UU PDP | Pasal 22 ayat (2) dan (3) UU PDP |
Demikian, semoga bermanfaat!
