Penyusunan dokumen terkait dengan implementasi pelindungan data pribadi sangat penting untuk memastikan bahwa perusahaan atau organisasi mematuhi peraturan perlindungan data yang berlaku dan melindungi hak-hak privasi individu.
Dokumen tersebut dapat disusun dengan merujuk pada kewajiban yang melekat pada Pengendali/Prosesor yang diatur dalam UU PDP dan/atau standar keamanan dan pengelolaan keamanan data lainnya, seperti misalnya dokumen ISO 27701 dsb.
Lebih lanjut, keberadaan dokumen tersebut juga dapat meningkatkan kepercayaan pelanggan atau subjek data terhadap organisasi/perusahaan karena mereka merasa data pribadi mereka dikelola dengan aman dan transparan.
Berikut ini Tujuh Dokumen Terkait Pelindungan Data Pribadi yang semoga dapat bermanfaat bagi rekan-rekan sekalian. Sebagai catatan, perusahaan/organisasi dapat pula membuat dokumen lain yang mungkin relevan sesuai dengan fungsi mereka dalam menjalankan tugas sebagai pengendali atau prosesor.
| TUJUH DOKUMEN PENTING PELINDUNGAN DATA PRIBADI |
| No | Nama Dokumen | Definisi | Komponen Isi Dokumen dan Cuplikan Kalimat |
| 1 | Privacy Threshold Analysis (PTA) | PTA adalah dokumen yang berisi penilaian awal terhadap potensi pelanggaran terhadap pemrosesan data pribadi untuk menentukan apakah untuk selanjutnya dibutuhkan penyusunan Data Privacy Impact Assessment (DPIA).
PTA dibuat dibuat sebelum Pengendali Data akan melaksanakan proyek atau menerapkan kebijakan baru yang melibatkan pengolahan Data Pribadi dari Subjek Data. |
Komponen Dokumen:
· Deskripsi dari proyek atau kebijakan baru atau modifikasi · Tujuan pengolahan data · Jenis Data Pribadi yang dikumpulkan · Risiko terhadap privasi · Tindakan mitigasi risiko · Pihak yang terlibat dalam pengolahan · Evaluasi dampak Contoh Kalimat: “PTA ini mengidentifikasi risiko terhadap privasi yang terkait penambahan fitur baru pada aplikasi Sehat Bersama dan menetapkan langkah-langkah mitigasi, termasuk enkripsi data dan pembatasan akses.” |
| 2 | Data Privacy Impact Assessment (DPIA)
(Pasal 34 UU PDP) |
DPIA merupakan dokumen yang berisi penilaian dampak potensial dari suatu pengolahan data pribadi terhadap data pribadi yang berisiko tinggi.
DPIA dibuat apabila hasil dari PTA menyatakan bahwa diperlukan adanya DPIA sebelum organisasi atau perusahaan meluncurkan sistem, program atau rencana bisnis baru atau melakukan penyesuaian tertentu yang didalamnya mencakup pemrosesan pribadi yang sifatnya sensitif dan/atau massif, seperti misalnya: · pengambilan keputusan secara otomatis yang memiliki akibat hukum atau dampak yang signifikan terhadap Subjek Data, · pemrosesan atas Data Pribadi yang bersifat spesifik, · pemrosesan Data Pribadi dalam skala besar; · pemrosesan Data Pribadi untuk kegiatan evaluasi, penskoran, atau pemantauan yang sistematis terhadap Subjek Data; · pemrosesan Data Pribadi untuk kegiatan pencocokan atau penggabungan sekelompok data, · penggunaan teknologi baru dalam pemrosesan Data Pribadi; dan/ atau · pemrosesan Data Pribadi yang membatasi pelaksanaan hak Subjek Data. |
Contoh Komponen:
· Deskripsi pengolahan data · Tujuan pengolahan data · Jenis data dikumpulkan · Risiko terhadap privasi · Tindakan pengurangan risiko · Evaluasi kepatuhan terhadap Prinsip Pelindungan Data Pribadi dan peraturan perundang-undangan terkait.
Contoh Kalimat: “DPIA ini mengidentifikasi risiko pengolahan data pasien sehubungan dengan penambahana fitur ‘Gabung Uji Klinis’ dalam aplikasi Sehat Bersama yang didalamnya mengharuskan penginputan data rekam medis subjek data dan menyarankan penggunaan kontrol akses ketat serta audit untuk memitigasi risiko kebocoran data” |
| 3 | Privacy Policy | Privacy Policy merupakan dokumen yang menjelaskan kebijakan dan prosedur organisasi terkait pemrosesan dan keamanan data pribadi yang berfungsi sebagai pedoman bagi internal organisasi atau perusahaan dalam pengelolaan Data Pribadi, sehingga tercipta implementasi dan komitmen yang tinggi atas pelindungan data pribadi.
Privacy Policy wajib dibuat sebelum pengumpulan data pribadi dimulai dan harus diperbarui secara berkala jika ada perubahan dalam cara data diproses atau peraturan yang berlaku.
|
Contoh Komponen:
· Tujuan pengolahan data · Jenis data dikumpulkan · Pihak yang memproses data · Hak Subjek data · Keamanan Data · Pengungkapan kepada Pihak Ketiga · Masa Retensi Contoh Kalimat: “Pengumpulan data kesehatan dari calon pasien harus dilakukan sesuai ketentuan Pengumpulan dan Pemrosesan Data Pribadi sebagaiman diatur dalam Kebijakan Data Privasi ini”
|
| 4 | Privacy Notice
(Pasal 15 UU PDP) |
Privacy Notice merupakan dokumen pemberitahuan yang diterbitkan oleh organisasi kepada Subjek Data Pribadi mengenai bagaimana Data Pribadi dari Subjek Data akan dikumpulkan, digunakan, disimpan, dan dilindungi oleh organisasi.
Privacy Notice harus disampaikan kepada pasien pada saat pertama kali data pribadi mereka dikumpulkan.
|
Contoh komponen: · Informasi pengumpulan data · Tujuan pengolahan data · Jenis data dikumpulkan · Hak-hak Subjek Data · Penyimpanan dan keamanan data · Penyebaran ke Pihak Ketiga · Kontak terkait pernyataan dan keluhan Contoh Kalimat: “Kami mengumpulkan informasi pribadi Anda hanya untuk tujuan pengobatan dan administrasi rumah sakit. Data Anda akan disimpan dalam sistem yang aman dan hanya dapat diakses oleh staf yang berwenang.”
|
| 5 | Consent Forms
(Pasal 22 UU PDP) |
Consent Form, merupakan formulir yang digunakan untuk mendapatkan persetujuan eksplisit dari subjek data mengenai pengolahan data pribadi mereka, sesuai dengan ketentuan yang berlaku. Consent Form dapat disampaikan secara elektronik maupun non-elektronik.
Perusahaan atau organisasi harus memperoleh Consent Forms tersebut sebelum pengolahan data pribadi dilakukan, misalnya, sebelum melakukan pemeriksaan medis atau mengakses data medis pasien. |
Contoh Komponen:
· Pernyataan persetujuan · Jenis data dikumpulkan · Tujuan pengolahan data · Hak untuk menarik persetujuan · Durasi persetujuan · Pernyataan kerahasiaan dan keamanan Contoh Kalimat: “Dengan ini saya memberikan persetujuan kepada rumah sakit untuk mengumpulkan, mengolah, dan menyimpan data medis saya untuk tujuan pengobatan dan perawatan kesehatan yang diperlukan.”
|
| 6 | Record of Processing Activities (ROPA)
(Pasal 31 UU PDP) |
ROPA merupakan dokumen yang mencatat aktivitas pengolahan data pribadi yang dilakukan oleh pengendali data atau pemroses data, termasuk tujuan pengolahan, kategori data, dan penerima data.
Waktu Pembuatan: ROPA harus dibuat segera setelah pengolahan data pribadi dimulai dan harus diperbarui secara berkala, setiap ada perubahan dalam proses pengolahan data. |
Contoh Komponen:
· Tujuan pengolahan data pribadi · Deskripsi jenis data pribadi yang diproses · Pihak yang dapat mengakses data pribadi · Jangka waktu penyimpanan data pribadi · Tindakan keamanan yang diterapkan · Pengungkapan kepada pihak ketiga · Prosedur penanganan pelanggaran data · Penyimpanan data yang aman · Hak Subjek Data · Deskripsi Jenis Data Pribadi · Deskripsi Proses Pengolahan Data · Tujuan Pengolahan Data · Jenis Data yang Diproses · Pihak yang terlibat dalam pengolahan · Periode penyimpanan data · Pengamanan data
Contoh Kalimat: “ROPA ini mencatat pengolahan data medis pasien dalam sistem rekam medis elektronik, yang mencakup tujuan pengobatan dan administrasi rumah sakit, serta siapa yang memiliki akses ke data tersebut.” |
| 7 | Data Subject Access Request Form (DSAR Form)
(Pasal 6 jo. 32 UU PDP) |
DSAR Form merupakan formulir yan disediakan oleh organisasi/perusahaan kepada Subjek Data yang digunakan oleh Subjek Data untuk mengakses data pribadi miliknya yang diproses oleh organisasi/perusahaan.
DSAR dapat diajukan kapan saja oleh Subjek Data, tetapi perusahaan/organisasi harus memiliki prosedur yang sudah siap sejak data pribadi pasien dikumpulkan, agar bisa dengan cepat menangani permintaan akses, koreksi, atau penghapusan data. Kebijakan DSAR harus mengikuti ketentuan dalam Privacy Policy dan sebelumnya telah disampaikan kepada Subjek Data dalam Policy Notice. |
Contoh Komponen:
· Informasi identitas Subjek Data · Deskripsi permintaan · Periode data diminta · Bukti identitas · Pernyataan dan persetujuan · Tanda tangan Subjek Data · Tanggal Permintaan
Contoh Kalimat: “Saya mengajukan permintaan untuk mengakses data pribadi saya yang disimpan dalam sistem rumah sakit, termasuk riwayat medis saya, serta meminta koreksi atas informasi yang tidak akurat.” |
Penafian: Dokumen ini disediakan untuk tujuan informasi umum dan tidak dimaksudkan sebagai saran hukum.
Demikian, semoga bermanfaat!
