VII. PDP-7.6
Referensi:
- UU 27/2022, Pasal 34.
- RPP Peraturan Pelaksanaan UU 27/2022, Pasal 128
- SNI ISO/IEC 27001:2022, Lampiran A - 5.34
- SNI ISO/IEC 27002:2022
Pertanyaan​
Apakah instansi/perusahaan sudah menganalisa dampak terkait terungkapnya data pribadi yang disimpan, diolah dan dipertukarkan secara ilegal atau karena insiden lain?
Penjelasan​
Pasal 34 ayat (1)​
Pengendali Data Pribadi wajib melakukan penilaian dampak Pelindungan Data Pribadi dalam hal pemrosesan Data Pribadi memiliki potensi risiko tinggi terhadap Subjek Data Pribadi.
Pasal 128 ayat (1)​
Pengendali Data Pribadi wajib melakukan penilaian dampak Pelindungan Data Pribadi sebelum melakukan pemrosesan Data Pribadi dengan risiko tinggi.
Lampiran A - 5.34 Privasi dan proteksi personal identifiable information (PII)​
Organisasi harus mengidentifikasi dan memenuhi persyaratan mengenai preservasi privasi dan proteksi PII sesuai dengan hukum dan regulasi yang berlaku dan persyaratan kontraktual.
5.34 Privasi dan proteksi personal identifiable information (PII)​
Informasi Lain
ISO/IEC 29134 menyediakan pedoman untuk privacy impact assessment (PIA) dan memberikan contoh struktur dan konten laporan PIA. Dibanding dengan ISO/IEC 27005, seri ini fokus pada pemrosesan PII dan relevan dengan organisasi yang memproses PII. Seri ini dapat membantu mengidentifikasi risiko privasi dan kemungkinan mitigasi untuk mengurangi risiko ini ke level yang akseptabel.
Data Privacy Impact Assessment (DPIA) | Lita Paromita Siregar, S.H., LL.M., M.Kn​
DPIA merupakan dokumen yang berisi penilaian dampak potensial dari suatu pengolahan data pribadi terhadap data pribadi yang berisiko tinggi, dokumen ini dibutuhkan selaras dengan amanat UU PDP Pasal 34.
DPIA dibuat apabila hasil dari PTA (Privacy Threshold Analysis) menyatakan bahwa diperlukan adanya DPIA sebelum organisasi atau perusahaan meluncurkan sistem, program atau rencana bisnis baru atau melakukan penyesuaian tertentu yang didalamnya mencakup pemrosesan pribadi yang sifatnya sensitif dan/atau massif, seperti misalnya:
- pengambilan keputusan secara otomatis yang memiliki akibat hukum atau dampak yang signifikan terhadap Subjek Data,
- pemrosesan atas Data Pribadi yang bersifat spesifik,
- pemrosesan Data Pribadi dalam skala besar;
- pemrosesan Data Pribadi untuk kegiatan evaluasi, penskoran, atau pemantauan yang sistematis terhadap Subjek Data;
- pemrosesan Data Pribadi untuk kegiatan pencocokan atau penggabungan sekelompok data,
- penggunaan teknologi baru dalam pemrosesan Data Pribadi; dan/ atau
- pemrosesan Data Pribadi yang membatasi pelaksanaan hak Subjek Data.
Contoh Laporan DPIA | AMSI​
Contoh Template DPIA | Satriyo Wibowo - Xynexis​
Contoh Risk Register | Disdukcapil Kab.Badung​
Status​
Tidak Dilakukan
Organisasi belum menganalisa dampak terkait terungkapnya data pribadi yang disimpan, diolah dan dipertukarkan secara ilegal atau karena insiden lain.
Dalam Perencanaan
Organisasi dalam proses menganalisa dampak terkait terungkapnya data pribadi yang disimpan, diolah dan/ dipertukarkan secara ilegal atau karena insiden lain.
Dalam Penerapan atau Diterapkan Sebagian
Organisasi sudah menganalisa sebagian dampak terkait terungkapnya data pribadi yang disimpan, diolah dan/ dipertukarkan secara ilegal atau karena insiden lain.
Diterapkan Secara Menyeluruh
Organisasi sudah menganalisa dampak terkait terungkapnya data pribadi yang disimpan, diolah dan dipertukarkan secara ilegal atau karena insiden lain.
Bukti Dukung​
tidak terbatas pada:
- Laporan Penilaian Dampak Perlindungan Data (DPIA)
- Risk Register yang memuat aset Data Pribadi
- DIPA Template - Xynexis
Pertanyaan terkait​
