View Categories

Assessment UU PDP

2 min read

FASE 1: TATA KELOLA & DOKUMENTASI (Governance)

1.1 Kebijakan Privasi (Privacy Policy)

  • Apa itu? Dokumen publik yang menjelaskan kepada pelanggan/pengguna bagaimana data mereka dikumpulkan, digunakan, dan dilindungi.

  • Mengapa Penting? Wajib hukumnya di bawah UU PDP untuk transparansi. Tanpa ini, pengumpulan data dianggap ilegal.

  • Isi Wajib: Jenis data yang diambil, tujuan pemrosesan, lama penyimpanan, dan kontak DPO.

  • Referensi Hukum: Pasal 20 UU PDP (Kewajiban Pengendali Data).

1.2 Kebijakan Keamanan Informasi (Internal Security Policy)

  • Apa itu? Aturan main internal untuk karyawan. Berisi do’s and don’ts (misal: aturan password, larangan colok flashdisk sembarangan).

  • Mengapa Penting? Menjadi landasan hukum perusahaan untuk menindak karyawan yang lalai menjaga data.

  • Tips: Buat kebijakan yang ringkas dan mudah dipahami, jangan terlalu teknis.

1.3 Prosedur Operasional Standar (SOP) Data

  • Apa itu? Instruksi kerja langkah-demi-langkah bagi tim operasional dalam menangani data pribadi.

  • Contoh: SOP Perekrutan Karyawan (HR), SOP Penanganan Keluhan Pelanggan (CS).

  • Mengapa Penting? Memastikan konsistensi penanganan data agar tidak terjadi human error.

1.4 Penunjukan Pejabat Pelindungan Data (DPO)

  • Apa itu? Orang atau tim yang ditunjuk khusus untuk mengawasi kepatuhan privasi data di perusahaan.

  • Siapa yang bisa jadi DPO? Bisa staf internal (asal tidak konflik kepentingan) atau pihak ketiga profesional (DPO-as-a-Service).

  • Referensi Hukum: Pasal 53 UU PDP.

1.5 Kontrak Pihak Ketiga (Data Processing Agreement)

  • Apa itu? Perjanjian hukum antara Perusahaan Anda dengan Vendor (misal: penyedia Cloud, vendor Payroll, Agency Marketing).

  • Mengapa Penting? Jika vendor membocorkan data Anda, kontrak ini melindungi perusahaan Anda dari tanggung jawab penuh. Vendor harus menjamin keamanan data yang Anda titipkan.

FASE 2: PEMETAAN & KONTROL TEKNIS

2.1 Peta Alur Data (Record of Processing Activity / ROPA)

  • Apa itu? Diagram atau dokumen yang melacak perjalanan data: Dari mana masuknya? Disimpan di mana? Siapa yang akses? Kapan dihapus?

  • Mengapa Penting? Anda tidak bisa melindungi apa yang Anda tidak tahu keberadaannya. Ini adalah peta harta karun bagi auditor.

  • Referensi Hukum: Pasal 31 UU PDP (Kewajiban Merekam Kegiatan).

2.2 Dasar Hukum Pemrosesan (Lawful Basis)

  • Apa itu? Alasan sah mengapa Anda boleh memproses data itu.

  • Jenisnya: Persetujuan (Consent), Pemenuhan Kontrak, Kewajiban Hukum, atau Kepentingan Vital.

  • Tips: Jangan asal kumpulkan data tanpa consent yang jelas dan spesifik.

2.3 Kontrol Akses (Access Control)

  • Konsep: Least Privilege (Hak Akses Minimum). Karyawan hanya boleh melihat data yang relevan dengan pekerjaannya.

  • Implementasi: Marketing tidak boleh lihat data Gaji (HR). HR tidak boleh lihat database IT. Gunakan password kuat dan MFA.

2.4 & 2.5 Enkripsi (At-Rest & In-Transit)

  • At-Rest: Data dienkripsi saat diam di hardisk/database. Jika server dicuri fisik, datanya tidak bisa dibaca.

  • In-Transit: Data dienkripsi saat dikirim lewat internet (misal: HTTPS/SSL). Mencegah penyadapan di tengah jalan.

2.6 Jejak Audit (System Logs)

  • Apa itu? Rekaman digital “CCTV” di dalam sistem. Mencatat siapa login, siapa akses data A, siapa hapus data B, dan jam berapa.

  • Fungsi: Bukti forensik utama jika terjadi kebocoran data atau sabotase internal.

FASE 3: RISIKO & INSIDEN

3.1 Penilaian Dampak (DPIA – Data Protection Impact Assessment)

  • Apa itu? Analisis risiko mendalam SEBELUM memulai proyek baru yang menggunakan data sensitif (misal: Aplikasi baru pakai Face Recognition).

  • Tujuan: Mengenali potensi bahaya bagi privasi pengguna dan mencari cara meminimalisirnya.

  • Referensi Hukum: Pasal 34 UU PDP.

3.2 Prosedur Tanggap Insiden (Incident Response Plan)

  • Apa itu? “Buku Panduan Darurat”. Apa yang harus dilakukan langkah-demi-langkah saat terjadi hack atau kebocoran.

  • Isinya: Siapa yang dihubungi? Bagaimana cara mematikan server? Bagaimana cara komunikasi ke publik?

3.3 Pelaporan Insiden (Notification Breach)

  • Aturan: Di Indonesia, kebocoran data wajib dilaporkan ke Otoritas (Lembaga PDP) dan Subjek Data dalam waktu 3×24 Jam (72 Jam).

  • Risiko: Gagal lapor tepat waktu bisa kena sanksi berat.

FASE 4: HAK SUBJEK & BUDAYA

4.1 Pemenuhan Hak Subjek Data

  • Hak-hak: Hak untuk tahu, hak memperbaiki data salah, hak menghapus data (Right to be Forgotten), hak menarik persetujuan.

  • Implementasi: Perusahaan harus punya mekanisme teknis (misal tombol di aplikasi atau email khusus) untuk melayani permintaan ini.

4.2 Pelatihan Kesadaran (Security Awareness Training)

  • Masalah: 90% kebocoran data disebabkan Human Error (klik link phishing, password lemah).

  • Solusi: Pelatihan rutin untuk semua karyawan, bukan cuma orang IT. Keamanan adalah tanggung jawab bersama.

What are your Feelings

Powered by BetterDocs

Leave a Reply

Your email address will not be published. Required fields are marked *