Definisi
Prosesor Data Pribadi (Data Processor) adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi. Prosesor data bertindak berdasarkan perintah dan instruksi dari pengendali data, sebagaimana diatur dalam UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).
Berbeda dengan pengendali data yang menentukan tujuan pemrosesan, prosesor data hanya melaksanakan pemrosesan sesuai instruksi yang diberikan oleh pengendali data. Hubungan antara pengendali data dan prosesor data dituangkan dalam perjanjian pemrosesan data yang memuat tujuan, jenis data, jangka waktu, serta kewajiban dan tanggung jawab masing-masing pihak.
Prosesor data wajib memastikan keamanan data yang diproses, tidak menggunakan data untuk tujuan di luar instruksi pengendali data, serta melakukan penghapusan atau pengembalian data setelah pemrosesan selesai. Prosesor data juga bertanggung jawab atas kerugian yang timbul akibat kegagalan dalam menjalankan kewajibannya.
Contoh Kasus
Sebuah perusahaan asuransi (pengendali data) menggunakan jasa perusahaan IT pihak ketiga (prosesor data) untuk mengelola database nasabah dan memproses klaim asuransi secara digital. Kedua pihak menandatangani perjanjian pemrosesan data yang mengatur bahwa perusahaan IT hanya boleh menggunakan data nasabah untuk keperluan pemrosesan klaim dan tidak boleh menggunakannya untuk tujuan lain.
Dalam kasus lain, sebuah prosesor data yang menyediakan layanan cloud storage untuk beberapa perusahaan mengalami kebocoran data akibat kerentanan keamanan. Prosesor data wajib segera memberitahukan insiden kepada seluruh pengendali data yang terdampak, dan pengendali data selanjutnya wajib memberitahukan kepada subjek data. Prosesor data bertanggung jawab atas kerugian yang timbul sesuai ketentuan perjanjian pemrosesan data dan UU PDP.