Sebagai pengendali data pribadi atau prosesor data pribadi, lembaga negara dan BUMN harus melaksanakan kewajiban sebagaimana diatur secara detail dalam Bab VI UU PDP pada pasal 20 sampai dengan pasal 50.
Kewajiban-kewajiban itu secara singkat antara lain dapat dirangkum sebagai berikut:
Pertama, kewajiban bagi pengendali data untuk memiliki alas hak berupa persetujuan yang sah dan eksplisit dari subjek data pribadi disertai tujuan pemrosesan data dimaksud.
UU PDP mewajibkan pengendali data pribadi untuk melakukan pemrosesan data secara terbatas dan spesifik, sah secara hukum, dan transparan sesuai dengan tujuan pemrosesan data pribadi tersebut.
Kedua, lembaga negara dan BUMN sebagai pengendali data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya, dengan melakukan: penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan yang bertentangan dengan ketentuan peraturan perundang-undangan, dan penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi dalam pemrosesan.
Dalam melakukan pemrosesan, pengendali data pribadi wajib menjaga kerahasiaan data pribadi.
Ketiga, lembaga negara dan BUMN sebagai pengendali data pribadi wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi di bawah kendalinya dan melindungi data pribadi dari pemrosesan yang tidak sah.
Pengendali data pribadi juga wajib mencegah data pribadi diakses secara tidak sah.
Pencegahan dilakukan dengan menggunakan sistem keamanan terhadap data pribadi yang diproses menggunakan sistem elektronik, wajib dilakukan secara andal, aman, dan bertanggung jawab.
Keempat, UU PDP mengatur tentang prosesor data pribadi pada pasal 51 dan 52. Intinya mengatakan bahwa dalam hal pengendali data pribadi menunjuk prosesor data pribadi, prosesor data pribadi wajib melakukan pemrosesan berdasarkan perintah pengendali data pribadi.
Pemrosesan itu termasuk dalam tanggung jawab pengendali data pribadi. Prosesor data pribadi dapat melibatkan prosesor data pribadi lain dalam melakukan pemrosesan atas persetujuan tertulis dari pengendali data pribadi.
Sebagai pengendali data pribadi atau prosesor data pribadi, lembaga negara dan BUMN wajib menyesuaikan dengan ketentuan Undang-Undang PDP, paling lama dua tahun sejak diundangkan.
Penulis menyarankan agar tidak perlu menunggu deadline dua tahun dan harus segera menyesuaikan.
Keuntungan penyesuaian secara lebih cepat akan memberikan kepastian hukum, dan sekaligus melindungi lembaga negara dan BUMN dari persoalan hukum dan nonhukum.
Hal lain yang harus dilaksanakan oleh lembaga negara dan BUMN ialah memenuhi kewajiban memiliki pejabat atau petugas yang melaksanakan fungsi pelindungan data pribadi yang
andal, profesional, memenuhi aspek cyber security, dan akuntabel, serta dapat melaksanakan tugas-tugasnya secara amanah.