KARTU ROLE PDP

PRINSIP DATA PRIBADI

Pemrosesan Data Pribadi dilakukan dengan Prinsip Pelindungan Data Pribadi yang meliputi:

  • pengumpulan Data Pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan;
  • pemrosesan Data Pribadi dilakukan sesuai dengan tujuannya;
  • pemrosesan Data Pribadi dilakukan dengan menjamin hak Subjek Data Pribadi;
  • pemrosesan Data Pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan;
  • pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/atau penghilangan Data Pribadi;
  • pemrosesan Data Pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan Pelindungan Data Pribadi;
  • Data Pribadi dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan Subjek Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan
  • pemrosesan Data Pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas.

AKTOR

Aktor merepresentasikan peran utama dalam penanganan kasus PDP: Subjek Data, Pengendali Data, Prosesor Data dan Pengendali Data Gabungan.

SUBJEK DATA

Subjek Data adalah setiap orang yang data pribadinya diproses oleh Pengendali Data. Definisi ini mengendung beberapa poin penting:

  • Setiap orang” menunjukkan bahwa UU PDP melindungi data pribadi semua individu, baik warga negara Indonesia maupun warga negara asing yang datanya diproses di Indonesia.
  • “Data pribadi merujuk pada segala informasi yang berkaitan dengan individu yang teridentifikasi atau dapat diidentifikasi, baik secara langsung maupun tidak langsung. Ini mencakup berbagai jenis data, mulai dari nama, alamat, nomor telepon, hingga data yang lebih sensitif seperti data kesehatan, genetika, dan biometrik.
  • Diproses mencakup setiap tindakan yang dilakukan terhadap data pribadi, termasuk pengumpulan, perekaman, penyimpanan, pengubahan, pengungkapan, dan pemusnahan.
  • Pengendali Data” adalah pihak yang menentukan tujuan dan cara pemrosesan data pribadi.

Dengan kata lain, Subjek Data adalah individu yang menjadi pemilik data pribadi yang sedang diproses. UU PDP memberikan hak-hak kepada Subjek Data untuk mengontrol data pribadinya

Contoh Subjek Data:

  • Nasabah bank
  • Pasien rumah sakit
  • Pengguna media sosial
  • Pelanggan toko online
  • Siswa sekolah

PENGENDALI DATA

Tanggung jawab pengendali data:

  • Kepatuhan terhadap prinsip perlindungan data: pengendali data harus mematuhi prinsip perlindungan data yang tercantum UU PDP.
  • Hak subyek data: pengendali data harus memastikan bahwa individu dapat menggunakan hak mereka terkait data pribadi mereka, termasuk hak akses, perbaikan, penghapusan, pembatasan, portabilitas data, keberatan, dan hal-hal yang terkait dengan pengambilan keputusan otomatis.
  • Keamanan: pengendali data harus menerapkan langkah-langkah keamanan teknis dan organisasi yang sesuai untuk memastikan keamanan data pribadi.
  • Memilih prosesor yang sesuai: pengendali hanya dapat menggunakan prosesor yang memberikan jaminan yang memadai bahwa mereka akan menerapkan tindakan teknis dan organisasi yang sesuai untuk memastikan pemrosesan mereka memenuhi persyaratan UU PDP. Ini berarti pengendali data bertanggung jawab untuk menilai bahwa prosesor data kompeten untuk memproses data pribadi sesuai dengan persyaratan UU PDP. Penilaian ini harus mempertimbangkan sifat pemrosesan dan risiko terhadap subjek data.
  • Kontrak dengan prosesor: pengendali data harus menandatangani kontrak yang mengikat atau tindakan hukum lainnya dengan prosesor Anda, yang harus berisi sejumlah ketentuan wajib sebagaimana ditentukan dalam UU PDP.
  • Pemberitahuan pelanggaran data pribadi: pengendali data bertanggung jawab untuk memberi tahu pelanggaran data pribadi kepada regulator/otoritas terkait, kecuali pelanggaran tersebut tidak mungkin mengakibatkan risiko terhadap hak dan kebebasan individu. Pengendali data juga bertanggung jawab untuk memberi tahu individu yang terkena dampak (jika pelanggaran tersebut kemungkinan akan mengakibatkan risiko tinggi terhadap hak dan kebebasan mereka).
  • Kewajiban akuntabilitas: pengendali data harus mematuhi kewajiban akuntabilitas UU PDP, seperti menyimpan catatan, melakukan penilaian dampak perlindungan data, dan menunjuk petugas perlindungan data.
  • Transfer internasional: pengendali data harus mematuhi pembatasan PDP tentang transfer data pribadi di luar Indonesia.

PROSESOR DATA

Prosesor data pribadi biasanya entitas yang berbeda; biasanya dipakai oleh Pengendali Data untuk memproses data.

Ciri Prosesor

  • Entitas lain memberikan instruksi terkait apa yang bisa atau tidak bisa dilakukan di dataset
  • Keberadaan dokumen persetujuan untuk memproses data
  • Tapi, keberadaan dokumen persetujuan proses data tidak cukup untuk menentukan apakah dia prosesor atau bukan. Apabila dia punya kemampuan mempengaruhi dalam pemrosesan, dia bisa
    menjadi Pengendali Bersama (co-controller)

PENGENDALI DATA GABUNGAN

Pengendali Data Bersama (Joint-controller)

Pengendali data bersama membuat keputusan bersama atas tujuan proses data serta cara prosesnya Syaratnya:

  • Perjanjian kerja yang memuat peran, tanggung jawab dan hubungan antar pengendali data
  • tujuan yang saling berkaitan dan cara pemrosesan yang ditujukan secara bersama
  • narahubung ditunjuk secara bersama

Batasan Tujuan

Dikumpulkan untuk tujuan yang ditentukan, eksplisit, dan sah dan tidak diproses lebih lanjut dengan cara yang tidak sesuai dengan tujuan tersebut.

Hanya boleh memproses data pribadi untuk tujuan awal yang diinginkan, dengan kata lain, tidak boleh menggunakan kembali data pribadi untuk tujuan lain

Data harus dikumpulkan untuk tujuan yang ditentukan, eksplisit, dan sah dan tidak diproses lebih lanjut dengan cara yang tidak sesuai dengan tujuan tersebut. Ini berarti bahwa organisasi perlu menyatakan dengan jelas mengapa mereka mengumpulkan data pribadi dan berpegang pada alasan tersebut.

Prinsip ini menjelaskan bahwa Anda hanya boleh memproses data pribadi untuk tujuan awal yang Anda inginkan. Dengan kata lain, Anda tidak boleh menggunakan kembali data pribadi untuk tujuan lain.

Contoh aplikasi prinsip ini:

#1

Penyedia layanan kesehatan mengumpulkan informasi kesehatan pasien untuk perawatan medis tetapi tidak menggunakan data yang sama untuk tujuan pemasaran tanpa persetujuan eksplisit tambahan (konsen).

#2

Jika dalam persetujuan bulletin (newsletter) Anda, Anda menyatakan bahwa Anda menyimpan alamat IP pelanggan Anda untuk mendokumentasikan kapan dan bagaimana persetujuan diperoleh (karena ini adalah persyaratan UU PDP), Anda tidak dapat menggunakan alamat IP pelanggan Anda untuk mengirimi mereka konten yang disesuaikan, misalnya, saran produk, yang ditargetkan ke wilayah geografis mereka. Itu akan menggunakan data pribadi mereka untuk tujuan lain.

Namun, jika Anda, misalnya, telah menyatakan bahwa Anda mengumpulkan alamat IP mereka untuk mengirimkan buletin dan konten yang relevan, Anda mungkin dapat menggunakan data pribadi mereka untuk mengirim email yang ditargetkan. Padahal, harap diingat kata ‘mungkin’, karena ada persyaratan yang sangat ketat untuk ini.

Dalam hal menangani data pribadi, tim Anda bertindak seperti pekerja garis depan. Anda harus memastikan bahwa mereka tidak secara tidak sengaja menggunakan kembali data dengan cara yang tidak sesuai. Cara terbaik untuk mengomunikasikan hal ini adalah dengan melatih tim Anda dan membuat mereka sadar akan masalah privasi.

Minimalisasi Data

Cukup, relevan dan terbatas pada hal yang diperlukan dan berkaitan dengan tujuan.

Hanya mengumpulkan dan menyimpan jumlah data yang tepat yang dibutuhkan, tidak boleh mengumpulkan lebih banyak data pribadi daripada yang kita butuhkan untuk memberikan layanan

Ketika berbicara tentang data, kita semua bersalah karena menimbunnya. Kami menyimpan barang-barang karena bagus untuk dimiliki, tetapi kami tidak pernah menggunakannya. Mengenai prinsip PDP ini, kita tidak boleh menyimpan data jika kita tidak membutuhkannya.
Prinsip ini memberi tahu kita bahwa kita tidak boleh mengumpulkan lebih banyak data pribadi daripada yang kita butuhkan untuk memberikan layanan. Dengan kata lain, hanya mengumpulkan dan memproses jumlah data yang tepat yang dibutuhkan.

Organisasi hanya boleh memproses data pribadi yang diperlukan untuk mencapai tujuan pemrosesan. Prinsip ini bertujuan untuk membatasi jumlah data pribadi yang dikumpulkan untuk apa yang relevan dan diperlukan secara langsung.

Contoh aplikasi prinsip ini:

Contoh #1

Toko online hanya meminta informasi yang diperlukan saat checkout (misalnya, nama, alamat, detail pembayaran) dan tidak memerlukan data tambahan yang tidak relevan seperti nomor jaminan sosial atau tanggal lahir.

Contoh #2

Misalnya, Anda mungkin memerlukan nama dan alamat email pelanggan, tetapi Anda tidak perlu mengetahui jabatan mereka. Informasi ini mungkin ‘bagus untuk dimiliki’, tetapi tidak perlu dan Anda bahkan mungkin tidak menggunakannya.

Mengetahui cara menerapkan minimalisasi data bermanfaat bagi Anda dalam beberapa cara, tidak hanya akan membawa Anda selangkah lebih dekat ke kepatuhan UU PDP, tetapi Anda juga akan tidak terlalu terpengaruh oleh kemungkinan pelanggaran data.

Batasan Penyimpanan

Disimpan selama masih diperlukan untuk mencapai tujuan.

Memiliki kebijakan retensi data yang jelas dan mekanisme penghapusan data yang aman . Tidak menyimpan data pribadi yang tidak lagi digunakan untuk tujuan yang dimaksudkan.

Prinsip ini adalah tentang menghapus data pribadi ketika Anda tidak membutuhkannya lagi. Pada dasarnya, Anda tidak boleh menyimpan data pribadi yang tidak lagi digunakan untuk tujuan yang dimaksudkan. Prinsip ini sangat mirip dengan prinsip minimalisasi data, dan banyak organisasi menganggap menghapus data lama sebagai bagian dari minimalisasi data. Menerapkan proses untuk menghapuskan data dengan cara yang aman dapat membantu Anda memastikan bahwa data yang tidak lagi diperlukan benar-benar dihapus dan tidak masih disimpan di perangkat atau di cloud, di mana hal itu bisa menjadi potensi risiko keamanan.

Data pribadi harus disimpan dalam bentuk yang memungkinkan identifikasi subjek data tidak lebih lama dari yang diperlukan untuk tujuan pemrosesan data pribadi. Ketentuan khusus berlaku jika data pribadi disimpan untuk jangka waktu yang lebih lama untuk tujuan pengarsipan untuk kepentingan umum, penelitian ilmiah atau sejarah, atau tujuan statistik.

Contoh aplikasi dari prinsip ini:

Contoh #1

Sebuah universitas mengarsipkan informasi mahasiswa setelah lulus tetapi men.etapkan kebijakan untuk secara otomatis menghapus atau menganonimkan catatan ini setelah jangka waktu tertentu, kecuali data tersebut diperlukan untuk tujuan pengarsipan yang sah.

Contoh #2

Batasan penyimpanan mungkin terlihat seperti Anda menghapus informasi orang yang berhenti berlangganan buletin Anda. Demikian pula, jika organisasi Anda memutuskan untuk tidak mengirim buletin lagi, Anda harus menghapus data pribadi pelanggan Anda. Itu karena tujuan mengumpulkan data pribadi pelanggan Anda adalah untuk mengirimi mereka buletin, dan jika tujuan itu tidak ada lagi, data yang dikumpulkan untuk tujuan itu juga tidak seharusnya.

Dalam beberapa kasus, mungkin relevan untuk menyimpan data pribadi selama beberapa waktu setelah tujuan berakhir atau untuk menganonimkan data dan menggunakannya untuk tujuan statistik atau historis. Namun perlu diingat, bahwa situasi ini adalah pengecualian daripada aturan dan harus dipertimbangkan dengan cermat.

Akurasi

Akurat dan, ketika diperlukan, tetap up-to-date.

Prinsip ini adalah tentang memiliki data yang paling akurat, artinya data pribadi yang diproses harus benar, lengkap dan up-to-date.

Mekanisme pembaruan dan validasi data menjadi sangat penting.

Prinsip ini mungkin sedikit membingungkan. Sementara semua prinsip lain yang telah kita lihat sejauh ini adalah tentang mengetahui sesedikit mungkin tentang orang-orang yang datanya kita proses, yang satu ini adalah kebalikannya. Prinsip ini adalah tentang memiliki data yang paling akurat.
Ini berarti bahwa data pribadi yang kami proses harus benar dan terbaru, dan bahwa Anda sebagai pengontrol dan/atau pemroses data harus mengambil “tindakan yang wajar” untuk memastikannya.
Namun, ini hanya relevan jika keakuratan data pribadi sangat penting bagi orang yang menjadi dasar data tersebut.

Data pribadi harus akurat dan, jika perlu, selalu diperbarui. Setiap langkah yang wajar harus diambil untuk memastikan bahwa data pribadi yang tidak akurat, dengan mempertimbangkan tujuan pemrosesannya, dihapus atau diperbaiki tanpa penundaan.

Contoh aplikasi prinsip ini:

Contoh #1

Bank secara teratur meminta pelanggan untuk meninjau dan memperbarui informasi pribadi mereka untuk memastikan bahwa detail kontak benar dan terkini, membantu dalam keakuratan data pelanggan.

Contoh #2

Katakanlah salah satu pelanggan Anda mendaftar untuk buletin Anda dengan alamat email perusahaan mereka saat bekerja di perusahaan X. Jika orang ini berganti pekerjaan dan sekarang bekerja di perusahaan Y, alamat email untuk perusahaan X tidak akan berfungsi lagi. Dengan demikian, data yang Anda miliki tentang pengguna ini tidak lagi akurat.

‘Ukuran yang masuk akal’ dalam skenario ini adalah dengan menyertakan tautan di buletin Anda di mana pelanggan Anda dapat mengubah alamat email mereka. Jadi, ketika orang tersebut tahu bahwa mereka akan berganti pekerjaan, mereka dapat dengan mudah memperbarui informasi pribadi yang Anda miliki tentang mereka.

Anda juga dapat memiliki sistem CRM atau sistem pemasaran email yang melacak alamat email yang membalas secara otomatis saat Anda mengirim buletin Anda. Jika seseorang telah meninggalkan perusahaan, perusahaan biasanya akan mengatur balasan otomatis yang menyatakan bahwa orang tersebut tidak bekerja di sana lagi. Namun, orang mungkin juga mengatur balasan otomatis untuk alasan lain, misalnya saat mereka sedang berlibur. Itulah mengapa Anda harus secara teratur melalui balasan otomatis ini untuk melihat apakah Anda memiliki pelanggan dengan alamat email yang tidak valid.

Jika data yang Anda miliki tidak akurat atau salah, maka tidak ada alasan bagi Anda untuk menangani data tersebut dan harus diperbarui atau dihapus.

Legalitas, Berkeadilan dan Transparansi

Pemrosesan Data Pribadi dilakukan secara sah, adil dan transparan

Memiliki dasar hukum, transparan dan bertindak demi kepentingan terbaik orang tersebut

Legalitas: mengumpulkan data dan memprosesnya dengan dasar hukum yang sah

Berkeadilan: pemrosesan data pribadi Anda adalah untuk kepentingan terbaik orang yang menjadi data tersebut dan bahwa ruang lingkup pemrosesan dapat diharapkan secara wajar oleh orang tersebut

Transparansi: mengomunikasikan dengan jelas apa, bagaimana, dan mengapa Anda memproses data kepada mereka yang datanya Anda proses

Keabsahan

Legal berarti Anda mengumpulkan data dan memprosesnya dengan dasar hukum yang sah. Misalnya, mendapatkan persetujuan dari pengguna bahwa Anda dapat memproses data mereka adalah cara yang sangat umum untuk mendapatkan dasar hukum untuk memproses data pribadi. Ada banyak dasar hukum untuk memproses data pribadi dalam UU PDP.

Data harus diproses secara legal, yang berarti harus ada dasar hukum khusus untuk pemrosesan data (misalnya, persetujuan, kebutuhan kontraktual, kewajiban hukum, kepentingan vital, tugas publik, atau kepentingan yang sah).

Contoh #1

Perusahaan memproses data pelanggan karena telah menerima persetujuan eksplisit untuk mengirim email pemasaran.

Contoh #2

Buletin seringkali membutuhkan nama dan alamat email orang yang mendaftar, minimal. Anda perlu mendapatkan dasar hukum untuk ini, misalnya, membiarkan pengguna memberikan persetujuan atas pemrosesan Anda dengan mencentang kotak. Namun, penting juga bagi Anda untuk memberi pengguna opsi untuk membatasi pengumpulan data mereka hanya pada apa yang penting untuk mengirimkan buletin. Misalnya, apakah Anda benar-benar membutuhkan jabatan orang tersebut untuk buletin Anda? Jika Anda membutuhkannya, Anda harus siap untuk menyajikan beberapa argumen yang baik. Selain itu, Anda perlu mendokumentasikan kapan dan bagaimana persetujuan itu diberikan, jika Anda diminta.

Berkeadilan

Adil berarti bahwa pemrosesan data pribadi Anda adalah untuk kepentingan terbaik orang yang menjadi data tersebut dan bahwa ruang lingkup pemrosesan dapat diharapkan secara wajar oleh orang tersebut.

Pemrosesan harus adil, artinya tidak boleh berdampak buruk pada hak subjek data dan harus mempertimbangkan harapan mereka yang wajar.

Contoh #1

Memastikan tidak ada pengumpulan data yang berlebihan selama kampanye promosi yang dapat menyesatkan konsumen tentang penggunaan data mereka.

Contoh #2

Data yang Anda proses untuk buletin juga harus adil. Misalnya, jika Anda adalah perusahaan yang menjual produk kecantikan, pelanggan Anda berharap untuk menerima informasi tentang produk kecantikan baru atau posting blog tentang kecantikan. Anda harus, misalnya, tidak menggunakan database pelanggan ini untuk mengirim email yang tidak relevan (yaitu, tidak diharapkan) dengan niat pelanggan Anda saat mendaftar untuk buletin Anda.


Transparansi:

Transparan berarti Anda mengomunikasikan dengan jelas apa, bagaimana, dan mengapa Anda memproses data kepada mereka yang datanya Anda proses. Ini harus dengan cara yang memungkinkan orang-orang yang datanya Anda proses untuk dengan mudah memahami ruang lingkup dan metode pemrosesan Anda.

Organisasi harus jelas dan terbuka dengan individu tentang bagaimana data mereka digunakan. Ini termasuk memberikan informasi terperinci melalui pemberitahuan privasi atau pernyataan perlindungan data.

Contoh #1
Situs web menyediakan pemberitahuan privasi yang jelas dan dapat diakses yang menjelaskan data pengguna apa yang akan dikumpulkan, mengapa, dan bagaimana data tersebut akan digunakan.

Contoh #2

Anda harus transparan dan mengomunikasikan ‘apa’, ‘bagaimana’, dan ‘mengapa’ dari pemrosesan Anda. Ingat, mereka yang datanya Anda proses (disebut “subjek data” dalam UU PDP), memiliki hak untuk mengetahui dengan tepat data apa yang Anda kumpulkan tentang mereka, dan bagaimana dan mengapa data ini diproses. Anda dapat mencapai transparansi dalam buletin Anda dengan, misalnya, memiliki kebijakan privasi yang jelas di situs web Anda dan memungkinkan pelanggan Anda dengan mudah menghubungi Petugas Perlindungan Data (DPO) organisasi Anda.

Integritas dan Kerahasiaan

Diproses secara aman

Melindungi data dari pemrosesan yang tidak sah atau melawan hukum, serta dari kehilangan, kerusakan, atau penghancuran yang tidak disengaja

Integritas: memastikan bahwa data pribadi benar dan tidak dapat dimanipulasi oleh orang lain

Kerahasiaan: memastikan bahwa hanya orang-orang yang seharusnya memiliki akses ke data pribadi yang memprosesnya

Jika Anda familiar dengan keamanan siber atau keamanan informasi, Anda mungkin pernah mendengar tentang ‘CIA – confidentiality, integrity, availability’ atau kerahasiaan, integritas, dan ketersediaan.
Prinsip ini berkaitan dengan dua sisi dari CIA. Integritas adalah tentang memastikan bahwa data pribadi benar dan tidak dapat dimanipulasi oleh orang lain (yaitu, Anda harus memilih untuk melindungi sistem Anda dari peretas). Kerahasiaan adalah tentang memastikan bahwa hanya orang-orang yang seharusnya memiliki akses ke data pribadi yang memprosesnya.

Data pribadi harus diproses dengan cara yang memastikan keamanan yang sesuai, termasuk perlindungan terhadap pemrosesan yang tidak sah atau melanggar hukum dan terhadap kehilangan, kehancuran, atau kerusakan yang tidak disengaja, menggunakan langkah-langkah teknis atau organisasi yang sesuai.

Contoh aplikasi dari prinsip ini:

Contoh #1

UKM menerapkan langkah-langkah keamanan siber yang kuat, seperti enkripsi dan kontrol akses yang aman, untuk melindungi data pelanggan dari akses tidak sah dan pelanggaran data.

Contoh #2

Data yang Anda kumpulkan melalui buletin Anda tidak boleh diakses oleh orang yang tidak berwenang. Ini juga mencakup orang-orang di organisasi Anda sendiri. Dengan kata lain, hanya orang yang perlu memiliki akses ke informasi tentang pelanggan Anda untuk mengirimkan buletin yang harus memiliki akses ke sana. Selain itu, Anda harus memiliki sistem dan tindakan agar data tidak dapat dimanipulasi.

Misalnya, data pribadi pelanggan Anda tidak boleh disimpan di drive bersama yang dapat diakses semua orang di organisasi Anda, dan Anda harus mengambil tindakan yang diperlukan untuk memastikan bahwa tempat Anda menyimpan informasi ini terlindungi dari serangan siber dan pelanggaran.

Integritas juga memainkan peran penting dalam hal memposting gambar dan video secara online dengan aman, begitu pula banyak prinsip PDP lainnya.

Akuntabilitas

Mengimplementasikan dan mengelola kebijakan dan praktik pelindungan data yang jelas

Bertanggung jawab untuk mematuhi prinsip-prinsip perlindungan data pribadi dan harus dapat mendemonstrasikan kepatuhan pada UU PDP.

Harus didukung sistem dan dokumentasi yang baik untuk membuktikan kepatuhan

Prinsip ini berkaitan dengan bertanggung jawab atas pemrosesan data Anda. Ini berarti bahwa Anda, sebagai pengendali dan/atau pemroses data, harus bertanggung jawab atas pemrosesan data pribadi yang tepat dan kepatuhan terhadap aturan UU PDP.
Ketika kita berbicara tentang mengambil tanggung jawab, ini bukan hanya tentang memenuhi berbagai persyaratan UU PDP, tetapi juga dapat mendokumentasikan bahwa Anda melakukannya.

Pengendali data bertanggung jawab atas, dan harus dapat menunjukkan, kepatuhan terhadap prinsip-prinsip perlindungan data lainnya. Ini melibatkan mendokumentasikan aktivitas pemrosesan data, menerapkan kebijakan perlindungan data yang efektif, dan mengadopsi langkah-langkah yang memenuhi prinsip-prinsip perlindungan data berdasarkan desain (Data protection by design) dan perlindungan data secara default (Data protection by default).

Contoh aplikasi dari prinsip ini:

Contoh #1

Sebuah perusahaan pemasaran melakukan audit rutin terhadap aktivitas pemrosesan datanya, menyimpan catatan komprehensif tentang praktik datanya, dan telah menunjuk DPO untuk mengawasi kepatuhan terhadap UU PDP.

Contoh #2

Misalnya, jika Anda menggunakan persetujuan sebagai dasar hukum untuk memproses data pribadi pelanggan buletin Anda, dan dengan demikian memastikan prinsip keabsahan, Anda harus mendokumentasikan bagaimana dan kapan persetujuan ini diberikan. Untuk melakukannya, Anda harus memiliki sistem yang mencatat persetujuan.

Contoh lain adalah bahwa banyak prinsip PDP mengharuskan Anda untuk mengambil tindakan organisasi, selain tindakan teknis. Ini bisa misalnya Anda harus melatih karyawan Anda untuk tidak menggunakan kembali data pribadi untuk tujuan selain maksud aslinya. Dengan memberikan pelatihan kepada tim Anda dan mendokumentasikan inisiatif, Anda berdua memenuhi dan menunjukkan persyaratan UU PDP.