Pendekatan hukum memiliki makna kepastian bagi semua pengendali data, Prosesor Data, dan subjek data pribadi.
Pendekatan lainnya, tentu adalah pendekatan ekosistem dan SDM. Eksekutor lapangan pada pemrosesan data pribadi adalah unsur penting.
Sehebat apapun teknologinya, jika tidak didukung komitmen dan keandalan pelaksana di lapangan akan tetap berpotensi terjadi persoalan PDP.
Oleh karena itu, Pengendali Data Pribadi dan Prosesor Data Pribadi, sudah seharusnya memiliki peraturan internal (Internal regulation) tentang PDP ini. Peraturan ini sebagai petunjuk teknis bagi semua organ dan pelaksana internal mereka.
Hubungan antara Pengendali Data Pribadi dengan Subjek Data Pribadi, harus dituangkan secara eksplisit dalam sebuah kontrak.
UU PDP khususnya pada pasal 20 dan seterusnya, mensyaratkan kewajiban adanya perikatan yang sah secara hukum sebagai dasar pemrosesan dan penggunaan data pribadi.
Sebagai pihak yang selama ini banyak bergerak di bidang digital policy dan regulation, saya memahami benar, bahwa saat ini masih banyak kontrak baku yang sulit dimengerti, terlalu panjang, atau tidak mudah dipahami awam, sehingga menyulitkan subjek data pribadi untuk paham.
Dengan diundangkannya UU No. 27 Tahun 2022, maka semua pihak harus segera memperbaiki hal seperti ini, sesuai ketentuan UU PDP.
Untuk memudahkan pemahaman, berikut dikemukakan beberapa strategi, yang menjadi alas hukum agar kontrak baku yang dibuat sah secara hukum.
Pertama, kontrak baku harus diawali dengan terminologi yang jelas. Hal ini penting agar tidak ada salah tafsir atas sebuah definisi dan ruang lingkup.
Jika data pribadi akan digunakan lebih luas atau ditransfer ke Pengendali Data lain, misalnya untuk grup perusahaan, dan mitra, maka kontrak juga harus menyatakan, bahwa kebijakan data pribadi ini berlaku untuk semua Data Pribadi di seluruh layanan pengendali data, grup usaha, dan mitra bisnisnya, sehingga menjadi dasar pertimbangan subjek data pribadi untuk tetap menyetujui atau tidak.
Pengendali data pribadi harus memastikan, bahwa grup usaha, dan pihak mitra ditetapkan secara selektif, hati-hati dan berkewajiban untuk menjaga Data Pribadi secara aman dan terpercaya.
Dengan kata lain Pengendali data harus menjamin melalui sistem yang aman dan terpercaya (trustworthy).
Kedua, kontrak baku juga harus menegaskan, data itu akan digunakan di mana, apakah nasional atau global (lintas negara).
Jika Data Pribadi akan ditransfer ke luar negeri, harus dinyatakan secara eksplisit dalam kontrak, agar pada saatnya tidak perlu meminta persetujuan ulang, termasuk kondisi khusus seperti yang diatur dalam UU PDP terkait transfer data ke luar negeri.