Panduan Menggunakan SNI ISO PDP dalam Pelaksanaan Program PDP

 Kepada rekan-rekan aktivis, pegiat, & praktisi PDP dari seluruh unit yang berhubungan dengan fungsi pengawasan dan pelaksanaan PDP di organisasi.

Selamat Hari Raya Idul Adha 1445H - Mohon maaf lahir dan batin 🙏

Panduan Menggunakan SNI ISO PDP dalam Pelaksanaan Program PDP

Bagi yang telah membaca Rekap SNI ISO PDP di https://lnkd.in/gM46HgUZ dan kemudian membeli serta membaca standar, mungkin merasa kaget karena tidak familiar dengan istilah standar yang berbeda dibandingkan bahasa hukum UU PDP. Panduan ini disiapkan untuk menjembatani perbedaan tersebut dengan memperhatikan hal-hal berikut:

1️⃣ Tidak semua SNI PDP bisa disertifikasi kecuali ISO 27701. Standar lain berisikan kerangka kerja, panduan, pedoman, petunjuk praktis, kontrol, model, dsb bersifat voluntary. ISO 27701 akan bersifat mandatory jika sudah ditetapkan dalam Peraturan Lembaga atau peraturan sektor.

2️⃣ Berkaca dari materi CIPP/E dan CIPP/US, ternyata ISO/IEC tsb menggabungkan konsep Data Protection (Eropa) dan Data Privacy (Amerika). US Privacy Law tidak mengenal konsep Pengendali Prosesor. GDPR sebagai acuan UU PDP, tidak menggunakan istilah Privasi, PII, Deletion, dsb.

3️⃣ Pemetaan terminologi standar PDP ke UU PDP harus dilakukan terlebih dahulu agar dapat menggunakannya sebagai tools pemenuhan kepatuhan PDP. Pemetaan dilakukan dengan membandingkan definisi.

4️⃣ Terminologi utama:
✅ PII ▶ Data Pribadi
✅ PII Principals ▶ Subjek Data Pribadi
✅ PII Controller ▶ Pengendali Data Pribadi
✅ PII Processor ▶ Prosesor Data Pribadi
✅ Joint PII Controller ▶ Pengendali Data Pribadi bersama
✅ Privacy (dlm bbrp kasus) ▶ PDP
✅ Privacy Impact Assessment ▶ Penilaian Dampak PDP

5️⃣ Istilah "Deletion" dalam ISO 27555 lebih dekat definisinya ke Pemusnahan (Destruction) dibandingkan Penghapusan (Erasure).
Deletion is process by which personally identifiable information (PII) is changed so that it is no longer present or recognizable and usable and can only be reconstructed with excessive effort.
Yang dimaksud dengan "memusnahkan" adalah tindakan untuk menghilangkan, melenyapkan, atau menghancurkan Data Pribadi sehingga tidak lagi dapat digunakan untuk mengidentifikasi Subjek Data Pribadi (Penjelasan Ps 44 ayat (1)).
Penghapusan Data Pribadi dilakukan dengan cara menghapus Data Pribadi sehingga Data Pribadi tersebut tidak lagi dapat diakses oleh selain Pengendali Data Pribadi (Ps 95 ayat (3) RPP PDP).

6️⃣ Beberapa konsep seperti "ICT System of PII Principal" di ISO 29101 harus disesuaikan konteksnya dgn praktek di lapangan.

7️⃣ Privacy Principles di ISO 29100 bisa dipetakan kepada Prinsip PDP di Ps 16 ayat (2). Prinsip "Consent and Choice" yang dipengaruhi model Amerika harus disesuaikan konteksnya dengan Dasar Pemrosesan di Ps 20 ayat (2).

8️⃣ Penggunaan dalam dokumen perusahaan tetap mengacu pada UU PDP, yang masih memakai istilah PII dan lainnya wajib menyesuaikan.


Satriyo Wibowo
Ketua GK5 Manajemen Identitas dan Teknologi Privasi
Komtek 35-04 BSN

Comments