Definisi
Pemrosesan Data Pribadi adalah setiap tindakan yang dilakukan terhadap data pribadi, meliputi pemerolehan dan pengumpulan, pengolahan dan penganalisisan, penyimpanan, perbaikan dan pembaruan, penampilan, pengumuman, transfer, penyebarluasan atau pengungkapan, serta penghapusan atau pemusnahan. Definisi ini sangat luas dan mencakup hampir seluruh siklus hidup data.
Berdasarkan UU PDP, pemrosesan data pribadi hanya sah jika memiliki salah satu dasar hukum berikut: persetujuan eksplisit dari subjek data, pemenuhan kewajiban perjanjian, pemenuhan kewajiban hukum, perlindungan kepentingan vital, pelaksanaan tugas kepentingan umum, atau pemenuhan kepentingan yang sah dari pengendali data.
Pengendali data wajib memenuhi prinsip-prinsip pemrosesan yang meliputi pembatasan tujuan (purpose limitation), minimalisasi data (data minimization), akurasi, pembatasan penyimpanan, integritas dan kerahasiaan, serta akuntabilitas. Pemrosesan data pribadi yang bersifat spesifik (kesehatan, biometrik, genetika, anak) memerlukan perlindungan tambahan.
Contoh Kasus
Sebuah perusahaan e-commerce memproses data pribadi pelanggan meliputi nama, alamat, nomor telepon, dan riwayat transaksi. Perusahaan wajib memperoleh consent eksplisit dari pelanggan sebelum menggunakan data tersebut untuk keperluan pemasaran. Consent harus diberikan secara spesifik dan pelanggan berhak menarik kembali persetujuannya kapan saja.
Sebuah startup yang mengumpulkan data lokasi pengguna untuk layanan navigasi melakukan pemrosesan data tanpa memberitahu pengguna bahwa data lokasi juga digunakan untuk profiling dan penargetan iklan. Setelah berlakunya UU PDP, penggunaan data untuk tujuan yang tidak diinformasikan merupakan pelanggaran prinsip pembatasan tujuan dan dapat dikenai sanksi administratif.