# Berbagi Data dengan Pihak Ketiga
Banyak organisasi mengandalkan vendor, mitra bisnis, atau penyedia layanan eksternal untuk menjalankan operasionalnya. Ketika data pribadi dibagikan kepada pihak ketiga, kewajiban hukum UU PDP tetap melekat pada pengendali data.
## Definisi Pihak Ketiga
Pihak ketiga adalah:
– vendor eksternal,
– penyedia cloud,
– konsultan,
– platform pembayaran,
– perusahaan logistik,
– partner pemasaran,
– sistem analitik atau integrasi API.
—
## Kewajiban Pengendali Sebelum Berbagi Data
### 1. Melakukan *Due Diligence*
Pengendali harus mengevaluasi:
– kepatuhan vendor terhadap UU PDP,
– standar keamanan vendor,
– lokasi penyimpanan data,
– rekam jejak insiden keamanan.
### 2. Menyusun Kontrak Pemrosesan (DPA)
Kontrak harus mencakup:
– ruang lingkup pemrosesan,
– pembatasan penggunaan data,
– larangan menjual data tanpa izin,
– kewajiban keamanan,
– kewajiban notifikasi insiden,
– kewajiban menghapus data setelah kontrak selesai.
### 3. Memastikan Legal Basis untuk Transfer
Misal:
– consent,
– kontrak,
– kewajiban hukum,
– kepentingan sah.
—
## Kewajiban Saat Berbagi Data
Pengendali wajib:
– membatasi akses hanya untuk data yang perlu (*least privilege principle*),
– mengenkripsi data sebelum dikirim,
– mencatat aktivitas pemrosesan,
– mengontrol pemanfaatan data oleh pihak ketiga.
—
## Risiko Jika Tidak Dikelola
– vendor dapat menyalahgunakan data,
– data dijual tanpa izin,
– kebocoran data dari pihak eksternal,
– organisasi tetap bertanggung jawab secara hukum.
Berbagi data hanya boleh dilakukan dalam kendali penuh pengendali.
