11 Prinsip Privasi Berdasarkan ISO 29100
ISO 29100

Date

ISO 29100
Fingerprint scanning provides security access biometrics identification with Business Technology Safety ISO 29100

(ISO 29100)

Dalam dunia yang semakin berkembang oleh transformasi digital, privasi data bukan lagi pilihan tetapi adalah  sebuah keharusan. melindungi informasi pribadi adalah komponen kunci dalam membangun kepercayaan dan memastikan kepatuhan. Di sinilah peran ISO/IEC 29100 menjadi sangat penting.  

Standar ISO 29100 merangkum prinsip-prinsip privasi utama yang menjadi pedoman dalam membangun kebijakan dan kontrol privasi di dalam sistem teknologi informasi. Prinsip-prinsip ini menjadi dasar penting dalam menjaga kepercayaan pengguna dan memastikan kepatuhan terhadap regulasi perlindungan data. 

Ada 11 prinsip privacy berdasarkan ISO/IEC 29100: 2024 Dalam klausul 6.1  

  • Consent and choice  
  • Purpose legitimacy and specification  
  • Collection and limitation  
  • Data minimization  
  • Use, retention and disclosure limitation  
  • Accuracy and quality  
  • Openness, transparency and notice  
  • Individual participation and access  
  • Accountability  
  • Information security  
  • Privacy compliance 

Consent and Choice  

Didalam ISO 29100 ini consent and choice mencakup  

  • Memberikan kesempatan kepada pemilik data pribadi untuk memilih apakah mereka setuju atau tidak agar data diproses, kecuali jika mereka tidak bisa dengan bebas menolak atau jika ada hukum yang memperbolehkan data diproses tanpa persetujuan. Pilihan ini harus diberikan secara sukarela, jelas, dan berdasarkan informasi yang cukup. 
  • Meminta persetujuan secara aktif (opt-in) dari pemilik data sebelum mengumpulkan atau menggunakan data pribadi yang bersifat sensitif, kecuali jika hukum memperbolehkan tanpa persetujuan. 
  • Menjelaskan kepada pemilik data tentang hak-hak mereka sebelum meminta persetujuan, terutama hak untuk mengakses dan mengoreksi data mereka. 
  • Menyampaikan informasi yang jelas dan terbuka kepada pemilik data sebelum meminta persetujuan, termasuk tujuan dan bagaimana data mereka akan digunakan. 
  • Menjelaskan dengan baik apa dampaknya jika mereka memberikan atau tidak memberikan persetujuan. 

Purpose legitimacy and specification 

Mematuhi prinsip purpose legitimacy and specification berdasarkan standar ISO 29100 meliputi: 

  • Memastikan bahwa tujuan penggunaan data pribadi sesuai dengan hukum yang berlaku dan memiliki dasar hukum yang sah. 
  • Menyampaikan tujuan penggunaan data kepada pemilik data pribadi (PII principal) sebelum data dikumpulkan atau digunakan untuk tujuan baru. 
  • Menyampaikan tujuan tersebut dengan bahasa yang jelas dan mudah dipahami, serta disesuaikan dengan situasi dan konteksnya. 
  • Jika berkaitan dengan data pribadi yang bersifat sensitif, memberikan penjelasan yang cukup mengenai alasan mengapa data tersebut perlu diproses. 

Collection Limitation 

Mematuhi prinsip collection limitation pada standar ISO/IEC 29100 meliputi: 

  • Membatasi pengumpulan data pribadi (PII) hanya pada data yang sesuai dengan hukum yang berlaku dan benar-benar diperlukan untuk tujuan tertentu yang telah ditentukan. 
  • Organisasi perlu mempertimbangkan dengan hati-hati data apa saja yang dibutuhkan untuk mencapai tujuan tertentu sebelum mulai mengumpulkan data pribadi. Organisasi juga harus mendokumentasikan jenis data pribadi yang dikumpulkan beserta alasan atau dasar pengumpulannya, sebagai bagian dari kebijakan dan pengelolaan informasi 

Data minimization 

Mematuhi prinsip Data minimization berarti merancang dan menerapkan prosedur pemrosesan data serta sistem ICT (Information and communication technology) 

  • Meminimalkan jumlah data pribadi (PII) yang diproses, serta jumlah pihak yang terlibat dalam pemrosesan atau yang diberi akses terhadap data tersebut 
  • Menerapkan prinsip “perlu tahu” (need-to-know), artinya seseorang hanya boleh memproses data pribadi yang benar-benar diperlukan untuk menjalankan tugasnya secara resmi dan sah, sesuai dengan tujuan pemrosesan yang sah 
  • Menggunakan atau menyediakan opsi default yang, sebisa mungkin, tidak memerlukan identifikasi pemilik data (PII principal), membatasi pemantauan perilaku mereka, dan mengurangi kemungkinan data dapat dihubungkan satu sama lain (linkability); 
  • Menghapus atau membuang data pribadi dengan aman bila memungkinkan, khususnya ketika tujuan pemrosesan data tersebut telah selesai dan tidak ada kewajiban hukum untuk menyimpannya lebih lama. 

Use, retention and disclosure limitation 

Mematuhi prinsip berdasarkan ISO 29100 pembatasan penggunaan, penyimpanan, dan pengungkapan (use, retention, and disclosure limitation)  meliputi 

  • Membatasi penggunaan, penyimpanan, dan pengungkapan (termasuk transfer) data pribadi (PII) hanya untuk hal-hal yang diperlukan guna memenuhi tujuan tertentu yang jelas, sah, dan spesifik; 
  • Menggunakan data pribadi hanya untuk tujuan yang telah ditentukan sebelumnya oleh pengendali data (PII controller) sebelum data dikumpulkan; 

Accuracy and quality 

Mematuhi prinsip accuracy and quality  dalam standar ISO 29100 meliputi 

  • Memastikan bahwa data pribadi (PII) yang diproses adalah akurat, lengkap, terbaru (kecuali ada alasan sah untuk menyimpan data yang sudah usang), serta cukup dan relevan dengan tujuan penggunaannya 
  • Memastikan bahwa data pribadi yang diperoleh dari sumber data yang dapat dipercaya, sebelum data tersebut diproses 
  • Memverifikasi keabsahan dan kebenaran informasi yang diberikan oleh pemilik data, sebelum melakukan perubahan terhadap data pribadi mereka — jika memang diperlukan — untuk memastikan perubahan tersebut benar-benar sah 
  • Menetapkan prosedur pengumpulan data pribadi yang dapat membantu memastikan akurasi dan kualitas data 
  • Membangun mekanisme pengendalian untuk secara berkala memeriksa ketepatan dan kualitas data pribadi yang dikumpulkan dan disimpan. 

Openness, transparency and notice 

Mematuhi prinsip Openness, transparency and notice pada standar ISO 29100 meliputi: 

  • Memberikan informasi yang jelas dan mudah diakses kepada pemilik data pribadi (PII principal) mengenai kebijakan, prosedur, dan praktik pengendali data (PII controller) terkait pemrosesan data pribadi mereka; 
  • Menyampaikan dalam pemberitahuan bahwa data pribadi sedang diproses, tujuan pemrosesan, siapa saja pihak yang mungkin menerima data tersebut, dan identitas pengendali data, termasuk cara menghubunginya; 
  • Menginformasikan kepada pemilik data mengenai opsi dan cara yang disediakan oleh pengendali data untuk membatasi pemrosesan, serta untuk mengakses, mengoreksi, atau menghapus data pribadi mereka; 
  • Memberikan pemberitahuan kepada pemilik data jika terjadi perubahan besar dalam cara data pribadi mereka diproses. 

Individual participation and access 

Mematuhi prinsip Individual Participation and access meliputi  

  • Memberikan hak kepada pemilik data pribadi (PII principal) untuk mengakses dan meninjau data pribadi mereka, dengan syarat bahwa identitas mereka telah diverifikasi dengan tingkat kepastian yang sesuai dan akses tersebut tidak dilarang oleh hukum yang berlaku 
  • Memungkinkan pemilik data untuk mengajukan keberatan atas ketidakakuratan atau ketidaklengkapan data, serta meminta perubahan, koreksi, atau penghapusan data tersebut sesuai dengan konteks yang relevan dan memungkinkan 
  • Menyampaikan perubahan, koreksi, atau penghapusan data tersebut kepada pemroses data dan pihak ketiga yang sebelumnya menerima data, jika mereka diketahui 
  • Menyediakan prosedur yang sederhana, cepat, dan efisien agar pemilik data dapat menggunakan hak-haknya tersebut, tanpa penundaan atau biaya yang berlebihan. 

Accountability 

Mematuhi prinsip accountability dalam standar ISO 29100  

  • Mendokumentasikan dan mengomunikasikan seluruh kebijakan, prosedur, dan praktik terkait privasi secara tepat dan sesuai; 
  • Menunjuk individu tertentu di dalam organisasi untuk bertanggung jawab dalam melaksanakan kebijakan, prosedur, dan praktik privasi (tugas ini juga dapat didelegasikan kepada orang lain di organisasi sesuai kebutuhan); 
  • Saat mentransfer data pribadi (PII) ke pihak ketiga, memastikan bahwa pihak ketiga tersebut terikat untuk memberikan tingkat perlindungan privasi yang setara, baik melalui kontrak atau kebijakan internal yang mengikat (hukum yang berlaku juga bisa mengatur lebih lanjut soal transfer data internasional); 
  • Memberikan pelatihan yang sesuai kepada staf yang memiliki akses terhadap data pribadi; 
  • Membuat prosedur penanganan keluhan internal yang efisien agar pemilik data dapat menyampaikan keluhan dan memperoleh penyelesaian dengan baik. 

Information security  

Mematuhi prinsip keamanan informasi berarti: 

  • Melindungi data pribadi (PII) yang berada di bawah kendalinya dengan kontrol yang sesuai pada tingkat operasional, fungsional, dan strategis, untuk menjamin integritas, kerahasiaan, dan ketersediaan data tersebut. Perlindungan ini mencakup seluruh siklus hidup data, dari awal hingga akhir, termasuk dari risiko seperti akses tidak sah, penghancuran, penyalahgunaan, perubahan, pengungkapan, atau kehilangan data 
  • Memilih pemroses data pribadi (PII processors) yang dapat memberikan jaminan yang cukup terkait pengendalian organisasi, fisik, dan teknis dalam pemrosesan data, serta memastikan bahwa mereka mematuhi kontrol tersebut 

Privacy Compliance  

Mematuhi prinsip kepatuhan privasi berarti: 

  • Memverifikasi dan membuktikan bahwa pemrosesan data telah memenuhi persyaratan perlindungan data dan privasi, dengan cara melakukan audit secara berkala, baik oleh auditor internal maupun auditor pihak ketiga yang terpercaya. 
  • Menerapkan pengendalian internal yang tepat serta mekanisme pengawasan independen untuk memastikan kepatuhan terhadap hukum privasi yang berlaku, serta terhadap kebijakan dan prosedur keamanan, perlindungan data, dan privasi organisasi. 
  • Menyusun dan memelihara penilaian risiko privasi guna mengevaluasi apakah program dan layanan yang melibatkan pemrosesan data pribadi telah sesuai dengan ketentuan perlindungan data dan privasi. 

Di era transformasi digital yang terus berkembang, perlindungan data pribadi bukan lagi sekadar opsi melainkan kewajiban.
CBQA Global, sebagai lembaga sertifikasi yang diakui secara global dalam bidang cyber security dan sustainability, memiliki  layanan dengan pendekatan yang berbasis pada kerangka kerja ISO/IEC 29100. 

Standar ini memberikan struktur prinsip-prinsip privasi yang komprehensif dan dapat diterapkan dalam sistem informasi dan manajemen organisasi Anda. 

Dengan menerapkan ISO/IEC 29100, organisasi Anda tidak hanya memastikan kepatuhan terhadap regulasi perlindungan data, tetapi juga: 

  • Membangun kepercayaan publik dengan transparansi dalam pengelolaan data pribadi, 
  • Mengurangi risiko kebocoran dan penyalahgunaan data, serta 
  • Memperkuat tata kelola informasi dan akuntabilitas organisasi. 

Jika organisasi Anda belum mengadopsi pendekatan ISO 29100, sekarang adalah waktu yang tepat untuk memulainya.

Hubungi tim CBQA Global di +62 8118468777 atau klik untuk registrasi untuk mendapatkan panduan dan solusi yang sesuai.
Dengan langkah yang tepat, organisasi Anda dapat meningkatkan integritas, kepercayaan, dan keamanan informasi secara menyeluruh. 

More
articles