VII. PDP-7.14
Referensi:
- UU 27/2022, Pasal 16.
- RPP Peraturan Pelaksanaan UU 27/2022, Pasal 12
- SNI ISO/IEC 27001:2022, Lampiran A - 5.34.
- SNI ISO/IEC 27002:2022
Pertanyaan​
Apakah instansi/perusahaan sudah menerapkan proses terkait periode penyimpanan data pribadi dan penghapusan/pemusnahannya sesuai dengan peraturan atau perjanjian dengan pemilik data?
Penjelasan​
Pasal 16 ayat (2)​
Pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (l) dilakukan sesuai dengan prinsip Pelindungan Data Pribadi meliputi:
- g. Data Pribadi dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan Subjek Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan;
Pasal 12​
Dalam rangka penyimpanan Data Pribadi sebagaimana dimaksud dalam Pasal 9 huruf c, Pengendali Data Pribadi harus:
- b. menetapkan dan menerapkan mekanisme retensi Data Pribadi;
Lampiran A - 5.34 Privasi dan proteksi personal identifiable information (PII)​
Organisasi harus mengidentifikasi dan memenuhi persyaratan mengenai preservasi privasi dan proteksi PII sesuai dengan hukum dan regulasi yang berlaku dan persyaratan kontraktual.
5.34 Privasi dan proteksi personal identifiable information (PII)​
Panduan
Organisasi sebaiknya menetapkan dan mengomunikasikan kebijakan topik spesifik tentang privasi dan proteksi PII kepada semua pihak terkait yang relevan.
Organisasi sebaiknya mengembangkan dan mengimplementasikan prosedur untuk preservasi privasi dan proteksi PII. Prosedur ini sebaiknya dikomunikasikan kepada semua pihak terkait yang relevan yang terlibat dalam pemrosesan informasi pengidentifikasi diri.
Contoh 1 | LPDP​
Contoh 2 | STELINA - KKP​
Contoh Prosedur Penghapusan/Pemusnahan Data Pribadi​
Penerapan atas kebijakan yang ada menjadi poin penting dalam pemenuhan pertanyaan ini.
Status​
Tidak Dilakukan
Organisasi belum menerapkan proses terkait periode penyimpanan data pribadi dan penghapusan/pemusnahannya sesuai dengan peraturan atau perjanjian dengan pemilik data.
Dalam Perencanaan
Organisasi dalam penyusunan proses terkait periode penyimpanan data pribadi dan/ penghapusan/pemusnahannya sesuai dengan peraturan atau perjanjian dengan pemilik data.
Dalam Penerapan atau Diterapkan Sebagian
Organisasi dalam penerapan proses terkait periode penyimpanan data pribadi dan/ penghapusan/pemusnahannya sesuai dengan peraturan atau perjanjian dengan pemilik data.
Diterapkan Secara Menyeluruh
Organisasi sudah menerapkan proses terkait periode penyimpanan data pribadi dan penghapusan/pemusnahannya sesuai dengan peraturan atau perjanjian dengan pemilik data.
Bukti Dukung​
tidak terbatas pada:
- Dokumen Kebijakan Retensi Data.
- Kebijakan pelindungan data pribadi yang mencantumkan masa retensi dan penghapusan data.
- SOP Pengelolaan Retensi dan Penghapusan Data.
- Log Pemusnahan Data.
- Berita Acara Pemusnahan Data (baik digital maupun fisik).
- Bukti bahwa pemilik data telah menyetujui periode penyimpanan serta penghapusan data mereka.
Pertanyaan terkait​
tidak ada.
