Definisi Privacy Policy
Sebelum kita menjawab pertanyaan di atas, sebaiknya kita membahas terlebih dahulu mengenai apa yang dimaksud dengan Privacy Policy. Pengertian mengenai Privacy Policy dapat dengan mudah kita lihat pada Ensiklopedia PDP.
Di dalam UU PDP sendiri, Privacy Policy disebut sebagai Informasi. Kata Informasi digunakan oleh karena Privacy Policy merupakan kumpulan beberapa informasi yang diberikan kepada calon Subjek Data atau dalam hal ini calon pelanggan mengenai bagaimana dan apa saja pemrosesan Data Pribadi dilakukan oleh Pengendali atau dalam hal ini perusahaan.
Isi dari Privacy Policy
Informasi atau Privacy Policy menjadi sangat penting di dalam membangun mekanisme pengimplementasian UU PDP karena didalamnya terkandung informasi-informasi mengenai pemrosesan Data Pribadi apa saja yang dilakukan pada suatu perusahaan. Menurut UU PDP, yang dimaksud dengan pemrosesan Data Pribadi tercantum di Pasal 16, yang terdiri atas:
- Perolehan dan Pengumpulan
- Pengolahan dan Penganalisisan
- Penyimpanan
- Perbaikan dan Pembaharuan
- Penampilan, Pengumuman, Transfer, Penyebarluasan atau Pengungkapan
- Penghapusan dan Pemusnahan
Perolehan dan Pengumpulan
Di dalam Informasi atau Privacy Policy calon pelanggan atau calon konsumen dapat mengetahui bagaimana pihak perusahaan melakukan perolehan Data Pribadi, untuk tujuan apa saja Data Data Pribadi tersebut dikumpulkan oleh pihak perusahaan. Di dalam proses perolehan dan pengumpulan ini juga harus dijelaskan melalui mekanisme apa saja perusahaan akan meminta persetujuan atau consent kepada calon pelanggan atau calon konsumen mereka.
Pengolahan dan Penganalisisan
Di dalam Pengolahan dan penganalisisan calon pelanggan atau calon konsumen dapat mengetahui bagaimana pihak perusahaan melakukan tujuan pengolahan dan penganalisisan Data Pribadi yang mereka lakukan, apa saja metode yang mereka lakukan di dalam melakukan pengolahan dan penganalisisan Data Pribadi. Apakah mereka menggunakan metode Pseudonim, atau metode agregat data atau melakukan pengolahan Data Pribadi secara langsung. Apakah mereka memiliki sebuah metode di dalam menganalisa dampak pemrosesan Data Pribadi yang memiliki resiko tinggi ataukah tidak, apakah akan melakukan pemrosesan dan penganalisisan Data Pribadi yang bersifat spesifik atau hanya yang bersifat umum.
Penyimpanan
Pada bagian penyimpanan di dalam Privacy Policy akan dijelaskan mengenai bagaimana Perusahaan melaksanakan penyimpanan Data Pribadi, bagaimana pengamanan secara umum baik dari sisi Teknis dan Organisasional yang dilakukan di dalam melindungi Data Pribadi yang disimpan. Apakah mereka sudah memiliki PPDP atau tidak, apakah mereka memiliki vendor IT atau tidak, dan yang terakhir adalah sampai kapan batas waktu penyimpanan Data Pribadi yang ditentukan oleh perusahaan.
Perbaikan dan Pembaharuan
Di dalam bagian perbaikan dan pembaharuan calon pelanggan atau calon konsumen dapat melihat bagaimana perusahaan melaksanakan pemenuhan atas salah satu dari hak-hak pelanggan atau konsumennya atau dalam hal ini sebagai Subjek Data Pribadi yang diatur oleh UU PDP untuk melakukan perbaikan dan pembaharuan atas Data Pribadinya. Di dalam bagian ini calon pelanggan atau calon konsumen dapat membaca metode atau prosedur apa saja yang harus dilakukan oleh pelanggan atau konsumen perusahaan di dalam mengajukan perbaikan terhadap Data Pribadinya, dan bagaimana metode atau cara yang digunakan oleh perusahan bilamana mereka ingin mendapatkan pembaharuan atas Data Pribadi pelanggan atau konsumennya.
Penampilan, Pengumuman, Transfer, Penyebarluasan atau Pengungkapan
Di dalam bagian penampilan pengumuman, transfer, penyebarluasan atau pengungkapan calon pelanggan atau konsumen dapat melihat dasar dasar perusahaan di dalam melakukan perihal di atas karena sesungguhnya seluruh kegiatan di atas sesungguhnya merupakan kegiatan membuka Data Pribadi milik pelanggan atau konsumen kepada pihak lain yang berhak untuk mendapatkan Data Pribadi tersebut dengan dasar hukum tertentu. Disini Calon pelanggan atau calon konsumen harus cermat di dalam membaca Privacy Policy utamanya di dalam bagian ini agar mendapatkan pengetahuan dan kesadaran mengenai ke pihak mana saja Data Pribadi mereka akan ditransfer, apa saja tujuan transfer tersebut, dan apa dasar hukum yang digunakan untuk melakukan transfer. Begitu juga di bagian penampilan, pengumuman, penyebarluasan dan pengungkapan. Kemana saja Data Pribadi kita akan ditampilkan, diumumkan, disebarluaskan dan diungkap, bilamana Data Pribadi kita akan ditampilkan, diumumkan, disebarluaskan dan diungkap, apa tujuannya dan apa saja dasar hukum yang digunakan.
Penghapusan dan Pemusnahan
Di dalam bagian penghapusan dan pemusnahan calon pelanggan atau konsumen dapat melihat kapan dan bilamana Data Pribadi pelanggan atau konsumen akan dihapus oleh perusahaan. Disini calon konsumen juga dapat mencermati apakah perusahaan memiliki mekanisme di dalam memfasilitasi salah satu hak dari pelanggan atau konsumen yang diatur secara internasional dan di dalam UU PDP yaitu Right to be forgotten atau hak untuk dilupakan.
Selain calon pelanggan atau calon konsumen juga selayaknya memperhatikan beberapa hal berikut di dalam Informasi atau Privacy Policy:
- Apakah perusahaan memiliki prosedur di dalam melaksanakan perekaman seluruh pemrosesan Data Pribadi yang dilakukan. Dalam istilah internasional perekaman ini dinamakan dengan istilah ROPA atau Record of Processing Activities.
- Apakah Perusahaan memiliki semua prosedur untuk mengakomodasi seluruh hak hak yang dimiliki oleh Subjek Data Pribadi. Hal ini sangat penting mengingat perusahaan memiliki kewajiban untuk memfasilitasi hak-hak subjek Data Pribadi seperti yang diatur oleh UU PDP.
- Apakah perusahaan memiliki Prosedur mitigasi apabila mengalami kebocoran Data Pribadi dan kegagalan Pelindungan Data Pribadi. Management perusahaan yang baik dan bertanggung jawab akan selalu memiliki prosedur mitigasi yang baik dan bersedia untuk menerima masukan dari Lembaga Pelindungan Data Pribadi mengenai proses mitigasi tersebut.
- Bagi perusahaan yang melakukan transfer Data Pribadi ke luar negri, apakah Perusahaan tersebut telah mengikuti aturan CBPR atau Cross Border Data Flow yang berlaku di antara negara-negara yang tergabung di dalam kawasan tertentu seperti ASEAN MCCs dan EU SCC atau negara-negara anggota kelompok ekonomi tertentu seperti APEC CBPR, dan aturan transfer Data Pribadi antara negara-negara anggota G20.
Kesimpulan
Informasi atau Privacy Policy sejatinya merupakan bagian dari pelayanan yang diberikan oleh perusahaan kepada calon pelanggan atau konsumennya yang berasaskan keterbukaan dan ketransparanan atas seluruh kegiatan pemrosesan Data Pribadi yang dilakukan oleh Perusahaan terhadap Data Pribadi pelanggan atau konsumennya. Oleh sebab itu, pelanggan atau konsumen berhak mengetahui tujuan dan bagaimana pemrosesan dan Pelindungan Data Pribadi mereka dilakukan. Mereka harus memastikan bahwa hak asasi mereka yang dilindungi oleh Undang-Undang tidak dilanggar oleh perusahaan. Inilah alasan sebenarnya mengapa calon pelanggan atau calon konsumen harus membaca dengan teliti isi dari Privacy Policy sebelum mereka memberikan persetujuan atau consent kepada perusahaan.