VII. PDP-7.2

Referensi:

• UU 27/2022, Pasal 31.
• RPP Peraturan Pelaksanaan UU 27/2022, Pasal 87
• SNI ISO/IEC 27001:2022, Lampiran A - 5.34
• SNI ISO/IEC 27002:2022

Pertanyaan

7.2

Apakah instansi/perusahaan sudah memetakan alur pemrosesan data di internal dan pertukaran data dengan pihak eksternal, termasuk kapan dan dimana data pribadi tersebut diperoleh?

Penjelasan

UU 27/2022

Pasal 31

Pengendali Data Pribadi wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan Data Pribadi.

RPP UU 27/2022

Pasal 87

(1) Pengendali Data Pribadi wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan Data Pribadi.

(2) Perekaman kegiatan pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) paling sedikit memuat:

Details

• nama dan detail kontak Pengendali Data Pribadi, Pengendali Data Pribadi Bersama, dan/atau Prosesor Data Pribadi;
• kontak Pejabat Pelindung Data Pribadi;
• sumber pengumpulan dan tujuan pengiriman Data Pribadi;
• dasar pemrosesan Data Pribadi;
• tujuan pemrosesan Data Pribadi;
• jenis Data Pribadi;
• kategori Subjek Data Pribadi;
• pihak selain Pengendali Data Pribadi yang dapat mengakses Data Pribadi;
• pemenuhan hak Subjek Data Pribadi;
• pemetaan aliran Data Pribadi;
• masa retensi; dan
• langkah teknis dan organisasi dalam rangka pengamanan Data Pribadi.

(5) Hasil perekaman kegiatan pemrosesan Data Pribadi wajib disimpan dalam bentuk tertulis secara elektronik dan/atau non elektronik.

SNI ISO/IEC 27001:2022

Lampiran A - 5.34 Privasi dan proteksi personal identifiable information (PII)

Organisasi harus mengidentifikasi dan memenuhi persyaratan mengenai preservasi privasi dan proteksi PII sesuai dengan hukum dan regulasi yang berlaku dan persyaratan kontraktual.

SNI ISO/IEC 27002:2022

5.34 Privasi dan proteksi personal identifiable information (PII)

Tujuan

Untuk memastikan kepatuhan terhadap persyaratan legal, statutori, regulatori, dan kontraktual yang terkait dengan aspek keamanan informasi proteksi PII.

Alur pemrosesan dapat digambarkan pada form ROPA pada BAGIAN III-Pemrosesan Data Pribadi (kolom 23).

Jika dalam pengelolaan data pribadi menggunakan sistem elektronik, maka dapat ditunjukkan flow diagram dari aliran data pribadi yang diproses pada dokumentasi pengembangan.

Contoh Data Flow Diagram Pemrosesan Data Pribadi

Details

Status

Tidak Dilakukan

Organisasi belum memetakan alur pemrosesan data di internal dan pertukaran data dengan pihak eksternal, termasuk kapan dan dimana data pribadi tersebut diperoleh.

Dalam Perencanaan

Organisasi dalam proses penysunan untuk memetakan alur pemrosesan data di internal dan pertukaran data dengan pihak eksternal, termasuk kapan dan/ dimana data pribadi tersebut diperoleh.

Dalam Penerapan atau Diterapkan Sebagian

Organisasi sudah memetakan sebagian alur pemrosesan data di internal dan pertukaran data dengan pihak eksternal, termasuk kapan dan/ dimana data pribadi tersebut diperoleh.

Diterapkan Secara Menyeluruh

Organisasi sudah memetakan alur pemrosesan data di internal dan pertukaran data dengan pihak eksternal, termasuk kapan dan dimana data pribadi tersebut diperoleh.

Bukti Dukung

tidak terbatas pada:

• ROPA (Record of Processing Activities)
• Dokumentasi pengembangan Sistem Elektronik/ Aplikasi (data flow diagram)

Pertanyaan terkait

• 7.1

---

Jika informasi ini bermanfaat bagi Anda saya sangat mengapresiasi jika ditraktir kopi ☕ 🔻