Assesment oleh Tim Ahli UU PDP
Cek Skor Kepatuhan UU PDP Bisnis Anda
Quick Assesment
Gratis 30 Menit
UU PDP Sudah berlaku penuh, sudahkan bisnis anda sudah siap dan aman denda?
Skor Kepatuhan
0-100
Top 3 Risiko Prioritas
Roadmap Implementasi
Dalam era digital, hampir setiap organisasi mengelola data pribadi. Pemerintah mengelola data masyarakat. BUMN/BUMD mengelola data pelanggan dan pegawai. Perbankan mengelola data nasabah, transaksi, hingga informasi keuangan pribadi.
Namun, tidak semua data pribadi memiliki tingkat risiko yang sama. Dalam UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi atau UU PDP, data pribadi dibagi menjadi dua jenis, yaitu data pribadi umum dan data pribadi spesifik.
Memahami perbedaan keduanya penting agar organisasi dapat menentukan cara pengelolaan, pengamanan, dan pemrosesan data secara tepat.
Apa Itu Data Pribadi Menurut UU PDP?
Data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi, baik secara langsung maupun tidak langsung, melalui sistem elektronik atau nonelektronik.
Artinya, data tersebut dapat digunakan untuk mengenali seseorang. Data ini bisa berdiri sendiri atau dikombinasikan dengan data lain.
Contohnya, nama lengkap mungkin terlihat sederhana. Namun, jika digabungkan dengan nomor identitas, alamat, nomor telepon, atau informasi pekerjaan, data tersebut dapat mengarah langsung pada identitas seseorang.
Bagi organisasi, data pribadi biasanya muncul dalam banyak proses, seperti:
- pendaftaran layanan;
- administrasi pegawai;
- pengajuan dokumen;
- pembukaan rekening;
- pelayanan publik;
- pengelolaan pelanggan;
- pengelolaan vendor dan mitra.
Karena itu, organisasi perlu mengetahui jenis data apa saja yang mereka kumpulkan, simpan, gunakan, bagikan, dan hapus.
Apa Itu Data Pribadi Umum?
Data pribadi umum adalah data yang berkaitan dengan identitas dasar seseorang. Data ini sering digunakan dalam proses administrasi sehari-hari.
Contoh Data Pribadi Umum
Berdasarkan UU PDP, data pribadi umum meliputi:
- nama lengkap;
- jenis kelamin;
- kewarganegaraan;
- agama;
- status perkawinan;
- data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
Dalam konteks organisasi, data pribadi umum dapat ditemukan pada formulir pegawai, data pelanggan, data mahasiswa, data nasabah, data peserta kegiatan, hingga data pengguna aplikasi.
Misalnya, sebuah instansi pemerintah memiliki data nama, alamat, dan status perkawinan masyarakat untuk kebutuhan layanan publik. Perusahaan memiliki data nama, jabatan, dan kontak pegawai. Bank memiliki data identitas nasabah untuk proses administrasi layanan.
Walaupun disebut sebagai data pribadi umum, bukan berarti data ini boleh diproses secara bebas. Data pribadi umum tetap wajib dilindungi dan diproses sesuai prinsip UU PDP.
Apa Itu Data Pribadi Spesifik?
Data pribadi spesifik adalah data pribadi yang memiliki tingkat sensitivitas lebih tinggi. Jika data ini bocor, disalahgunakan, atau diproses tanpa dasar yang tepat, dampaknya bisa lebih besar bagi pemilik data.
Contoh Data Pribadi Spesifik
Data pribadi spesifik meliputi:
- data dan informasi kesehatan;
- data biometrik;
- data genetika;
- catatan kejahatan;
- data anak;
- data keuangan pribadi;
- data lainnya sesuai ketentuan peraturan perundang-undangan.
Contoh data pribadi spesifik dalam organisasi antara lain data gaji pegawai, rekening bank, hasil pemeriksaan kesehatan, sidik jari untuk absensi, data anak dalam layanan pendidikan, serta histori transaksi nasabah.
Pada sektor perbankan, data keuangan pribadi termasuk data yang sangat penting karena berkaitan langsung dengan kondisi finansial seseorang. Pada instansi pemerintah, data bantuan sosial, data kesehatan masyarakat, atau data anak juga memerlukan pengamanan yang lebih ketat.
Perbedaan Data Pribadi Umum dan Data Pribadi Spesifik
Perbedaan utama antara data pribadi umum dan data pribadi spesifik terletak pada sifat data, tingkat risiko, dan perlakuan pengamanannya.
| Aspek | Data Pribadi Umum | Data Pribadi Spesifik |
|---|---|---|
| Sifat data | Identitas dasar seseorang | Data yang lebih sensitif |
| Contoh | Nama, jenis kelamin, kewarganegaraan, agama, status perkawinan | Data kesehatan, biometrik, data anak, data keuangan pribadi |
| Tingkat risiko | Tetap berisiko jika disalahgunakan | Umumnya memiliki risiko lebih tinggi |
| Dampak kebocoran | Penyalahgunaan identitas, spam, penipuan | Kerugian finansial, diskriminasi, pelanggaran privasi serius |
| Perlakuan keamanan | Perlu kontrol akses dan pengamanan standar | Perlu pengamanan lebih ketat dan berbasis risiko |
Dengan memahami perbedaan ini, organisasi dapat menentukan prioritas pengamanan. Data pribadi spesifik sebaiknya tidak diperlakukan sama seperti data administrasi biasa.
Mengapa Organisasi Perlu Mengklasifikasikan Data Pribadi?
Klasifikasi data pribadi membantu organisasi mengetahui tingkat risiko dari setiap aktivitas pemrosesan data.
Tanpa klasifikasi yang jelas, organisasi bisa mengalami beberapa masalah, seperti:
- tidak mengetahui data sensitif yang dimiliki;
- memberikan akses terlalu luas kepada pihak internal;
- menyimpan data lebih lama dari kebutuhan;
- tidak memiliki dasar pemrosesan yang tepat;
- kesulitan saat audit atau pemeriksaan kepatuhan;
- tidak siap ketika terjadi insiden kebocoran data.
Bagi pemerintahan, BUMN/BUMD, dan perbankan, klasifikasi data menjadi semakin penting karena volume data yang dikelola biasanya besar dan melibatkan banyak unit kerja.
Dampak Perbedaan Data terhadap Kewajiban Organisasi
Perbedaan jenis data pribadi berpengaruh pada cara organisasi memenuhi kewajiban UU PDP.
1. Menentukan Dasar Pemrosesan Data
Setiap pemrosesan data pribadi harus memiliki dasar yang sah. Misalnya, persetujuan, pelaksanaan kontrak, kewajiban hukum, kepentingan vital, tugas kepentingan umum, atau kepentingan yang sah sesuai konteks pemrosesan.
Organisasi perlu memastikan bahwa setiap data yang dikumpulkan memiliki tujuan dan dasar pemrosesan yang jelas.
2. Menerapkan Kontrol Keamanan yang Sesuai
Data pribadi spesifik membutuhkan pengamanan lebih kuat. Misalnya, pembatasan akses, enkripsi, audit log, pengaturan retensi, dan prosedur penghapusan data.
Untuk data seperti informasi kesehatan, data keuangan pribadi, dan biometrik, organisasi perlu memastikan hanya pihak berwenang yang dapat mengaksesnya.
3. Melakukan Penilaian Risiko
Pemrosesan data pribadi spesifik dapat termasuk aktivitas pemrosesan berisiko tinggi. Karena itu, organisasi perlu melakukan penilaian risiko atau penilaian dampak pelindungan data pribadi apabila diperlukan.
Langkah ini membantu organisasi mengetahui potensi dampak terhadap subjek data dan menentukan kontrol yang sesuai.
4. Mendokumentasikan Aktivitas Pemrosesan
Organisasi perlu memiliki catatan aktivitas pemrosesan data pribadi. Dokumentasi ini penting untuk menunjukkan bahwa organisasi memiliki tata kelola data yang jelas.
Catatan tersebut dapat mencakup jenis data, tujuan pemrosesan, dasar pemrosesan, pihak yang mengakses, lokasi penyimpanan, masa retensi, dan mekanisme penghapusan.
Contoh Penerapan di Pemerintahan, BUMN/BUMD, dan Perbankan
Pada instansi pemerintah, data pribadi dapat muncul dalam layanan kependudukan, perizinan, bantuan sosial, kepegawaian, dan layanan publik lainnya. Beberapa data mungkin termasuk data spesifik, seperti data kesehatan, data anak, atau data kondisi ekonomi masyarakat.
Pada BUMN/BUMD, data pribadi dapat berasal dari pelanggan, pegawai, vendor, dan mitra. Data payroll, rekening, absensi biometrik, serta informasi kesehatan pegawai perlu dikelola dengan hati-hati.
Pada perbankan, data pribadi spesifik sangat dominan karena berkaitan dengan data keuangan pribadi, rekening, transaksi, profil nasabah, dan dokumen pendukung layanan keuangan.
Ketiga sektor ini perlu memiliki kebijakan, prosedur, sistem, dan dokumentasi yang kuat agar pengelolaan data pribadi berjalan sesuai UU PDP.
Cara Mengelola Data Pribadi Umum dan Spesifik
Organisasi dapat memulai dengan langkah berikut:
- Inventarisasi data pribadi
Petakan semua data pribadi yang dikumpulkan dan diproses. - Klasifikasikan jenis data
Bedakan antara data pribadi umum dan data pribadi spesifik. - Tentukan tujuan pemrosesan
Pastikan setiap data dikumpulkan untuk tujuan yang jelas. - Tetapkan dasar pemrosesan
Pastikan pemrosesan data memiliki dasar yang sah. - Terapkan kontrol keamanan
Sesuaikan kontrol dengan tingkat risiko data. - Buat dokumentasi kepatuhan
Catat aktivitas pemrosesan, alur data, akses, retensi, dan penghapusan. - Lakukan evaluasi berkala
Tinjau kembali kebijakan dan prosedur agar tetap relevan.
Kesimpulan
Data pribadi umum dan data pribadi spesifik sama-sama wajib dilindungi. Perbedaannya terletak pada tingkat sensitivitas, risiko, dan perlakuan pengamanannya.
Data pribadi umum biasanya berkaitan dengan identitas dasar seseorang. Sementara itu, data pribadi spesifik mencakup data yang lebih sensitif, seperti data kesehatan, biometrik, data anak, dan data keuangan pribadi.
Bagi pemerintahan, BUMN/BUMD, perbankan, dan organisasi lainnya, memahami perbedaan ini merupakan langkah awal untuk membangun tata kelola pelindungan data pribadi yang lebih baik.
Konsultasikan Kepatuhan UU PDP Organisasi Anda
Apakah organisasi Anda sudah mengetahui jenis data pribadi apa saja yang dikelola?
Jika belum, ini saat yang tepat untuk mulai melakukan pemetaan, klasifikasi, dan evaluasi kepatuhan UU PDP.
Dengan Aplikasi Regula, organisasi dapat lebih mudah mengelola kebutuhan kepatuhan PDP, mulai dari pemetaan data, pencatatan aktivitas pemrosesan, pengelolaan risiko, hingga dokumentasi kepatuhan.
Jika organisasi Anda membutuhkan arahan yang lebih menyeluruh, Anda juga dapat melakukan konsultasi dan pendampingan PDP agar proses penerapan UU PDP berjalan lebih terstruktur, tepat, dan sesuai kebutuhan organisasi.
