Komparasi Hukum PDP: Kewajiban Organisasi terkait PDP di beberapa negara Asia
Selamat Hari Raya Idul Fitri 1446H, Mohon maaf lahir batin 🙏
Meneruskan postingan terkait:
- komparasi prinsip umum PDP di https://lnkd.in/gwnTs47z
,
- implementasi prinsip PDP di regulasi negara Asia https://lnkd.in/gW9U_Tbb
,
- perbedaan terminologi dalam hukum PDP di https://lnkd.in/ghtk8a4g
, serta
- komparasi hak-hak Subjek Data Pribadi antara UU PDP, GDPR, dan aturan PDP di beberapa negara Asia https://lnkd.in/gQGNhsSJ
,
berikut komparasi kewajiban Organisasi terkait PDP di negara tersebut.
Komparasi ini mengikuti skema IAPP Global Comprehensive Privacy Law Mapping di https://lnkd.in/g38jScS5
(dengan bbrp update), sementara kewajiban Pengendali Prosesor yang diamanatkan oleh UU PDP bisa lebih lengkap dibaca di link https://lnkd.in/g_aTF8Cj
Poin-poin yang bisa kita baca dari tabel di bawah antara lain:
✔️ perbedaan UU PDP dengan GDPR hanya pada ketentuan Privacy by Design yang ditekankan di GDPR lewat Article 25, negara Asia lain juga tidak mengatur secara khusus namun dalam guideline
✔️kewajiban yang secara umum ditemui antara lain: transparansi dan pemberitahuan, pembatasan tujuan pemrosesan, minimalisasi data, keamanan data, pemberitahuan kegagalan (DBN, data breach notification) https://lnkd.in/gaJVWpKJ
, serta aturan terkait transfer Data Pribadi ke luar negeri
✔️kewajiban memiliki dasar pemrosesan https://lnkd.in/giH8nnS9
tergantung model hukumnya, ada yang spesifik mengatur berbagai macam dasar pemrosesan, ada yang berbasis consent dan pengecualiannya
✔️kewajiban RoPA https://lnkd.in/gBTf9yK9
yang spesifik seperti model GDPR ternyata tidak banyak dikenal di negara lain namun dijelaskan secara umum atau spesifik rekaman data breach di Malaysia
✔️kewajiban penilaian dampak https://lnkd.in/g46WuhRv
juga secara umum terkait risiko terutama ketika melakukan pemrosesan Data Pribadi sensitif (umumnya data kesehatan dan biometrik)
✔️kewajiban petugas khusus PDP https://lnkd.in/gPBTHk5e
mulai mengemuka seperti amandemen PDPA Malaysia yang mewajibkannya dalam situasi khusus, ada negara yang mewajibkan registrasi ada pula yang tidak
✔️semua negara tidak mengatur secara ketat terkait sertifikasi petugas PDP, namun secara umum mengakui atau bahkan merekomendasi sertifikasi IAPP CIPP/E, CIPP/A, CIPM terutama untuk organisasi yang melakukan cross border data transfer
✔️desain sertifikasi dari Komdigi menggunakan SKKNI dan BNSP https://lnkd.in/g9iGs-69
Hal yang penting bagi PPDP Indonesia yang organisasinya melakukan transfer Data Pribadi ke negara Asia adalah ketentuan terkait Prosesor Data Pribadi. Harus dicek apakah kewajiban Prosesor di negara tersebut sudah memenuhi aturan pasal 51 dan 52 UU PDP. Jika ada yang belum maka penting sekali untuk ditambahkan di kontrak. Model kontrak tersebut bisa dilihat di https://lnkd.in/gjeM7kxQ
.
komparasi kewajiban PDP
Satriyo Wibowo
Fellow of Information Privacy, CIPP/A/C/E/US, CIPM, CIPT
IAPP Asia Advisory Board member