Definisi
Pengendali Data Pribadi (Data Controller) adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali atas pemrosesan data pribadi. Definisi ini diatur dalam Pasal 1 angka 4 UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).
Pengendali data memiliki serangkaian kewajiban, antara lain memiliki dasar pemrosesan data pribadi yang sah, menjaga kerahasiaan data pribadi, melakukan pemrosesan sesuai tujuan yang telah ditentukan, memberitahukan tujuan pemrosesan kepada subjek data, menunjukkan bukti persetujuan yang telah diberikan subjek data, serta melindungi data pribadi dari akses tidak sah, pengungkapan, atau penggunaan yang tidak sesuai.
Apabila terjadi kegagalan perlindungan data pribadi (data breach), pengendali data wajib memberitahukan secara tertulis kepada subjek data dan lembaga pelaksana perlindungan data pribadi paling lambat 3x24 jam. Pelanggaran terhadap kewajiban pengendali data dapat dikenakan sanksi administratif berupa peringatan, penghentian sementara kegiatan pemrosesan, penghapusan data, hingga denda administratif maksimal 2% dari pendapatan tahunan.
Contoh Kasus
Sebuah platform e-commerce bertindak sebagai pengendali data pribadi bagi jutaan penggunanya. Platform tersebut mengumpulkan data nama, alamat, nomor telepon, dan riwayat transaksi pengguna. Sebagai pengendali data, platform wajib memperoleh persetujuan pengguna sebelum memproses data, menyediakan kebijakan privasi yang jelas, dan melindungi data dari kebocoran.
Ketika terjadi kebocoran data pengguna sebuah platform marketplace besar di Indonesia, perusahaan tersebut diwajibkan memberitahukan insiden kepada seluruh pengguna terdampak dan otoritas berwenang. Kegagalan dalam melindungi data pribadi pengguna dapat mengakibatkan sanksi administratif sesuai UU PDP serta gugatan perdata dari subjek data yang dirugikan.