Kewajiban Processor Pasal 43 hingga Pasal 44. Bentuk kewajibannya seperti Processor Data Pribadi wajib melakukan pemrosesan Data Pribadi berdasarkan instruksi atau perintah Data Controller kecuali ditentukan lain berdasarkan ketentuan peraturan perundang-undangan.
Ketentuan Sanksi
Sanksi memiliki dua jenis, yakni sanksi administratif yang diatur dalam Pasal 50 dan Sanksi Pidana yang tecantum dalam Ketentuan Pidana dalam Pasal 61 hingga 69.
Lebih lanjut, berikut beberapa poin yang juga penting, yakni:
- Pasal 70 menyebut bahwa, pihak-pihak terkait yang menjadi cakupan dari RUU PDP ini harus dapat menyesuaikan kebutuhan-kebutuhan yang diatur dalam RUU ini setidaknya dua tahun sejak RUU ini disahkan;
- Data Controller harus secara eksplisit mendapatkan persetujuan dari Data Owner untuk melakukan pemrosesan data, baik secara umum maupun spesifik tergantung informasi apa yang ingin dikumpulkan. Jika tidak, sesuai Pasal 20 maka perjanjian dinyatakan batal demi hukum
- Pasal 40 mengatur tentang kewajiban Data Controller untuk memberikan notifikasi kepada Data Owner dan Kementerian terkait ketika terjadi breach dalam kurun waktu maksimal 72 jam.
Meski sekilas RUU ini terlihat komprehensif, ternyata menurut beberapa tokoh justru sebaliknya. Dilansir dari Katadata, terkait unsur-unsur yang ada, pihak Menkominfo meminta: Pertama, kedaulatan data. Pemerintah ingin data yang ada di dalam negeri tak diolah dan dikuasai pihak asing; Kedua, terkait kepemilikan data baik pribadi maupun yang spesifik lainnya; Ketiga, pengaturan lalu lintas data.
Dalam RUU ini terdapat prinsip Ekstra-Teritorial yang berarti keberlakuan RUU tersebut tidak hanya dalam Indonesia, namun juga teritorial mana pun yang mengelola, mendapatkan, memroses data warga negara Indonesia. Dengan kata lain, Selama sistem elektronik mengolah data warga Indonesia, RUU ini tetap berlaku. Namun, meskipun demikian, menurut Yohanes Sirait dalam sebuah Law Review (2019), regulasi dengan prinsip Ekstra-Teritorial tidak boleh melanggar kedaulatan negara lain.
Becermin dari Pengalaman Internasional
Sudah ada 136 negara lebih yang memiliki Undang-Undang tentang perlindungan data pribadi seperti General Data Protection Regulation (GDPR) yang dimiliki negara-negara Uni Eropa, hingga negara-negara tetangga Indonesia yang menyebabkan Indonesia menjadi negara ke-5 ASEAN jika mengesahkan RUU PDP. Mereka adalah:
- Malaysia, memiliki Personal Data Protection Act, tahun 2010.
- Filipina, memiliki Data Privacy Act, tahun 2012.
- Singapore, memiliki Personal Data Protection Act, tahun 2012.
- Thailand, memiliki Personal Data Protection Act, tahun 2019.
Menurut riset ELSAM (Lembaga Studi dan Advokasi Masyarakat) bahwa jika Uni Eropa membuat kodifikasi yang rigid dan detil dalam GDPR dan menempatkan perlindungan data pribadi sebagai pemenuhan privasi sebagai hak asasi, maka Amerika Serikat menggunakan banyak undang-undang sektoral yang komprehensif dan menempatkan PDP sebagai hak milik kebendaan. Melihat hal tersebut, dilansir dari Hukumonline, Wahyudi Djafar, Deputi Direktur Riset ELSAM menyebutkan bahwa RUU PDP adalah perpaduan antara GDPR Uni Eropa dan Konsep Amerika.
Contohnya, dalam hal Ekstra-Teritorial. Hal ini sama dengan apa yang tercantum dalam Pasal 3 GDPR tentang Territorial Scope bahwa GDPR tidak hanya berlaku untuk perusahaan di EU, tetapi juga untuk perusahaan di luar EU yang melayani (atau melacak, memroses, mengontrol data) penduduk EU. Kembali merujuk pada pendapat Yohanes Sirait dalam sebuah Law Review (2019) bahwa prinsip ini memiliki hubungan dengan konsep kedaulatan dalam Hukum Internasional.
Sesuai yang disebutkan dalam regulasi European Union terkait perlindungan data pribadi, bahwa perlindungan data pribadi adalah hak yang fundamental. Indonesia adalah negara terbesar ASEAN, memiliki jumlah penduduk yang besar maka sudah sepatutnya Indonesia memiliki UU Perlindungan Data Pribadi ini.