VII. PDP-7.1
Referensi:
- UU 27/2022, Pasal 31.
- RPP Peraturan Pelaksanaan UU 27/2022, Pasal 87
- SNI ISO/IEC 27001:2022, Lampiran A - 5.34
- SNI ISO/IEC 27002:2022
Pertanyaan​
Apakah instansi/perusahaan sudah mendokumentasikan jenis dan bentuk (dokumen kertas/elektronik) data pribadi yang disimpan, diolah dan dipertukarkan dengan pihak eksternal?
Penjelasan​
Pasal 31​
Pengendali Data Pribadi wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan Data Pribadi.
Pasal 87​
(1) Pengendali Data Pribadi wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan Data Pribadi.
(2) Perekaman kegiatan pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) paling sedikit memuat:
Details
- nama dan detail kontak Pengendali Data Pribadi, Pengendali Data Pribadi Bersama, dan/atau Prosesor Data Pribadi;
- kontak Pejabat Pelindung Data Pribadi;
- sumber pengumpulan dan tujuan pengiriman Data Pribadi;
- dasar pemrosesan Data Pribadi;
- tujuan pemrosesan Data Pribadi;
- jenis Data Pribadi;
- kategori Subjek Data Pribadi;
- pihak selain Pengendali Data Pribadi yang dapat mengakses Data Pribadi;
- pemenuhan hak Subjek Data Pribadi;
- pemetaan aliran Data Pribadi;
- masa retensi; dan
- langkah teknis dan organisasi dalam rangka pengamanan Data Pribadi.
(5) Hasil perekaman kegiatan pemrosesan Data Pribadi wajib disimpan dalam bentuk tertulis secara elektronik dan/atau non elektronik.
Lampiran A - 5.34 Privasi dan proteksi personal identifiable information (PII)​
Organisasi harus mengidentifikasi dan memenuhi persyaratan mengenai preservasi privasi dan proteksi PII sesuai dengan hukum dan regulasi yang berlaku dan persyaratan kontraktual.
5.34 Privasi dan proteksi personal identifiable information (PII)​
Tujuan
Untuk memastikan kepatuhan terhadap persyaratan legal, statutori, regulatori, dan kontraktual yang terkait dengan aspek keamanan informasi proteksi PII.
ROPA (Record of Processing Activities)​
ROPA adalah sebuah dokumen atau catatan terstruktur yang berisi inventarisasi dan analisis menyeluruh tentang bagaimana sebuah organisasi memproses data pribadi. Tujuannya adalah untuk memberikan gambaran lengkap dan transparan mengenai aktivitas pemrosesan data pribadi yang dilakukan oleh organisasi. Ini bukan sekadar daftar data, melainkan sebuah "peta" yang menunjukkan perjalanan data pribadi dalam organisasi.
Secara langsung, ISO 27001 tidak secara eksplisit mewajibkan pembuatan ROPA dengan nama tersebut. Namun, kerangka kerja ISO 27001 menyediakan fondasi yang kuat dan proses yang diperlukan untuk mengumpulkan informasi yang esensial dalam pembuatan ROPA. ROPA justru menjadi lebih eksplisit dan wajib di bawah regulasi seperti GDPR atau UU PDP.
Contoh ROPA
BAGIAN I - INFORMASI INTERNAL ORGANISASI
BAGIAN II - DETAIL DATA PRIBADI
BAGIAN III - PEMROSESAN DATA PRIBADI
BAGIAN IV - TATA KELOLA DAN PENGAMANAN
Status​
Tidak Dilakukan
Organisasi belum mendokumentasikan jenis dan bentuk (dokumen kertas/elektronik) data pribadi yang disimpan, diolah dan dipertukarkan dengan pihak eksternal.
Dalam Perencanaan
Organisasi dalam proses penysunan dokumentasi atas jenis dan bentuk (dokumen kertas/elektronik) data pribadi yang disimpan, diolah dan dipertukarkan dengan pihak eksternal.
Dalam Penerapan atau Diterapkan Sebagian
Organisasi sudah mendokumentasikan sebagian jenis dan bentuk (dokumen kertas/elektronik) data pribadi yang disimpan, diolah dan dipertukarkan dengan pihak eksternal.
Diterapkan Secara Menyeluruh
Organisasi sudah mendokumentasikan jenis dan bentuk (dokumen kertas/elektronik) data pribadi yang disimpan, diolah dan dipertukarkan dengan pihak eksternal.
Bukti Dukung​
tidak terbatas pada:
Pertanyaan terkait​
