Records of Processing Activities (RoPA) atau perekaman terhadap kegiatan pemrosesan Data Pribadi diwajibkan oleh UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi. Pasal 31 mengkonstatasikan bahwa ‘Pengendali Data Pribadi wajib melakukan perekaman seluruh kegiatan pemrosesan Data Pribadi.’

Meski di Singapura, RoPA tidak diwajibkan. Karena kita terinspirasi dari GDPR Eropa, kewajiban bagi organisasi yang mempunyai karyawan lebih dari 250 orang, wajib menyusun RoPA menjadi komponen vital.

Dalam sebuah regulasi AI terbaru mereka (Baca: Regulation EU 2024/ 1689), RoPA ini juga disyaratkan sebagai alasan kenapa pemrosesan data, utamanya yang sensitif secara ketat dijaga dari potensi bias dan diskriminatif.

Sementara itu. Tidak ada format baku untuk implementasi RoPA ini. Sebagian besar praktisi Pelindungan Data Pribadi (PDP) juga kebingungan menyepakati format tunggal ini. Meskipun ada beberapa konsultan yang cukup percaya diri dengan kajian dan formulir buatannya sendiri.

Namun format baku RoPA, prosedur, tahapan, dan mekanisme penetapannya masih belum ‘duduk.’

Masalah Penamaan

Saat membayangkan istilah perekaman, kita terenyak sebentar. Memikirkan tentang bagaimana ruang lingkup, batasan, cara, dan implementasinya. Yang terbayang pertama kali mendengar istilah ‘perekaman,’ adalah metode pelacakan (tracking), penyadapan, pengintaian, spionase, dan seterusnya.

Sehingga awal mula membayangkan apa itu bentuk perekaman, malah justru berbanding terbalik dengan prinsip PDP itu sendiri.

Sejenak, membayangkan diksi tersebut, terkesan kabur. Meskipun dalam genealoginya, RoPA memang berasal dari istilah ‘records.’ Kenapa istilahnya tidak digunakan dokumentasi, pengarsipan, pemberkasan, laporan dan seterusnya?

Catalin Mironeanu dan Cristian Aflori, menulis sebuah jurnal bertajuk ‘GDPR Records of Processing Activities for Data Controllers, (2021)’ menyakini bahwa RoPA adalah sebentuk laporan yang diprasyaratkan bagi pengendali Data Pribadi untuk menjaga kemutakhiran dan daftar detail aktivitas pemrosesan dan mempersiapkannya sewaktu-waktu otoritas menanyakannya.

RoPA adalah laporan-laporan tentang daftar informasi berkenaan dengan tujuan pemrosesan, target data, pihak-pihak yang terlibat dalam pemrosesan, dan siklus pemrosesan (Mironeanu&Aflori, 2021).

Bahkan Ferreiro dan Newhouse percaya bahwa RoPA itu adalah tulang punggung dari sebuah pemrosesan data pribadi dan sebuah situs yang memberikan status hukum pada sebuah pemrosesan tersebut (Ferreiro & Newhouse, 2022).

Masalah pemaknaan dalam sebuah diksi perekaman, khusus untuk studi hukum pelindungan data pribadi punya keunikannya sendiri. Perekaman yang dimaksud adalah seberkas laporan, catatan, berkas, dan naskah yang berisikan detail informasi pemrosesan.

Dalam perkembangannya, RoPA disusun dengan teknologi, terhubung dengan penilaian dampak PDP, pemetaan data, permohonan hak Subjek Data Pribadi, manajemen persetujuan, System Development Life Cycle (SDLC), keamanan siber, manajemen risiko, dan seterusnya. RoPA ke depan akan berkembang lebih mudah dan bisa juga semakin kompleks.

Pokok-pokok RoPA

RoPA ialah langkal awal dari sebuah kewajiban pemrosesan. Asesmen awal yang mengidentifikasi sebuah pemrosesan berisiko tinggi atau biasa. Pemrosesan data pribadi yang berisiko tinggi, dilanjutkan dengan analisis dampak PDP (Marco, et al, 2020).

Rancangan Peraturan Pemerintah (RPP) tentang Pelindungan Data Pribadi menyuguhkan kerangka kerja yang lebih detail, ketimbang UU-nya. Bahkan, ia juga lebih detail dari GDPR.

Dalam RPP disebutkan bahwa pokok-pokok RoPA sedikitnya memuat tentang: nama dan detail Pengendali, kontak DPO, sumber pengumpulan dan tujuan pengiriman, dasar pemrosesan, tujuan pemrosesan, jenis Data Pribadi, kategori Subjek Data Pribadi, pihak yang dapat mengakses Data Pribadi, pemenuhan hak Subjek Data Pribadi, pemetaan aliran Data Pribadi, masa retensi dan langkah keamanan data.

Sementara GDPR mempunyai beberapa pokok-pokok RoPA yang musti ada diantaranya adalah nama dan kontak pengendali, tujuan pemrosesan, deskripsi kategori data, penerima data termasuk negara ketiga maupun organisasi internasional, identifikasi pengiriman keluar negeri, batasan penghapusan, dan deskripsi teknis pengamanan data.

UU 27 dan GDPR mempunyai kesamaan nafas dalam konteks ini. Bahkan beberapa diantaranya UU No. 27 merinci sebagian detail komponen.

GDPR	UU 27
Nama dan kontak pengendali Tujuan pemrosesan Deskripsi kategori data Penerima data termasuk negara ketiga maupun organisasi internasional Identifikasi pengiriman keluar negeri Batasan penghapusan Deskripsi teknis pengamanan data	Nama dan detail Pengendali Kontak DPO Sumber pengumpulan dan tujuan pengiriman Dasar pemrosesan Tujuan pemrosesan Jenis Data Pribadi Kategori Subjek Data Pribadi Pihak yang dapat mengakses Data Pribadi Pemenuhan hak Subjek Data Pribadi Pemetaan aliran Data Pribadi Masa retensi Langkah keamanan data

Baik GDPR maupun UU No. 27 sama-sama mensyaratkan adanya nama, deskripsi detail dan kontak pengendali, pengendali bersama maupun prosesor dalam pemrosesan data bersama. Keduanya mengharuskan menyebutkan tujuan pemrosesan dan kategori jenis data apa saja yang diproses. Keduanya juga mensyaratkan adanya informasi berkenaan dengan informasi transfer data, retensi dan keamanan siber.

Perbedaannya, UU No. 27 dan/ atau RPP tidak menyertakan komponen transfer data ke luar negeri dan negara yang mempunyai tingkat kesamaan perlindungan (data protection adequacy for non-EU contries) sebagai salah satu poin utama. Transfer data pribadi lintas negara (Cross Border Data Transfer/ CBDT) menjadi salah satu komponen yang paling diperhatikan pada skema RoPA GDPR.

Harusnya ini bisa menjadi salah satu bahan masukan untuk RPP bisa ditambahkan dengan komponen CBDT ini.

Peluang Indonesia mendapatkan status negara yang disamakan status PDPnya (data protection adequacy for non-EU contries) cukup tinggi. Banyak konsep-konsep inti dari GDPR diadopsi dengan baik oleh UU No. 27. Bahkan, UU No. 27 memberikan ‘tambahan bonus’ pada pengaturan PDP-nya.

Seperti RoPA. Jika RPP disahkan, maka status RoPA juga akan ditambahkan informasi tentang nama dan kontak DPO, dasar pemrosesan, sumber perolehan data pribadi, dan pemetaan aliran data pribadi.

Kita mengharapkan RPP segera disahkan dengan penuh kehati-hatian dan ketelitian. Untuk saat ini, banyak sekali organisasi yang belum menyusun RoPAnya. Padahal ini bagian dari elemen wajib dalam UU No. 27.

Dalam Pre-Check Privacy Assessment yang disusun oleh PRIVASIMU, dari 373 perusahaan yang mengisi survei, hanya 53 % yang telah menyusun laporan RoPAnya. Artinya terdapat 47 % lainnya yang belum mengerjakan RoPA.

Ke depan kita berharap, RoPA menjadi bagian dari budaya organisasi dan pilar penting dalam setiap kegiatan semua entitas.

Writer:

Assoc. Professor Awaludin Marwan, SH, MH, MA, PhD

Founder PRIVASIMU dan Dosen Fakultas Hukum Universitas Bhayangkara Jakarta Raya