(1) Pengendali Data Pribadi wajib melakukan penundaan dan pembatasan pemrosesan Data Pribadi baik sebagian maupun seluruhnya paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan penundaan dan pembatasan pemrosesan Data Pribadi.
(2) Penundaan dan pembatasan pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) dikecualikan dalam hal:
a. peraturan perundang-undangan mengharuskan penundaan dan pemrosesan Data Pribadi;
b. dapat membahayakan keselamatan pihak lain; dan/atau
c. Subjek Data Pribadi terikat perjanjian tertulis dengan Pengendali Data Pribadi yang tidak memperbolehkan penundaan dan pembatasan pemrosesan Data Pribadi.
(3) Pengendali Data Pribadi wajib memberitahukan telah dilaksanakan penundaan dan pembatasan pemrosesan Data Pribadi kepada Subjek Data Pribadi.
(1) Pengendali Data Pribadi wajib mengakhiri pemrosesan Data Pribadi dalam hal:
a. telah mencapai masa retensi;
b. tujuan pemrosesan Data Pribadi telah tercapai; atau
c. terdapat permintaan dari Subjek Data Pribadi.
(2) Pengakhiran pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
(1) Pengendali Data Pribadi wajib menghapus Data Pribadi dalam hal:
a. Data Pribadi tidak lagi diperlukan untuk pencapaian tujuan pemrosesan Data Pribadi;
b. Subjek Data Pribadi telah melakukan penarikan kembali persetujuan pemrosesan Data Pribadi;
c. terdapat permintaan dari Subjek Data Pribadi; atau
d. Data Pribadi diperoleh dan/ atau diproses dengan cara melawan hukum.
(2) Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
(1) Pengendali Data Pribadi wajib memusnahkan Data Pribadi dalam hal:
a. telah habis masa retensinya dan berketerangan dimusnahkan berdasarkan jadwal retensi arsip;
b. terdapat permintaan dari Subjek Data Pribadi;
c. tidak berkaitan dengan penyelesaian proses hukum suatu perkara; dan/atau
d. Data Pribadi diperoleh dan/ atau diproses dengan cara melawan hukum.
(2) Pemusnahan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
Pengendali Data Pribadi wajib memberitahukan penghapusan dan/atau pemusnahan Data Pribadi kepada Subjek Data Pribadi.
(1) Dalam hal terjadi kegagalan Pelindungan Data Pribadi, Pengendali Data Pribadi wajib pemberitahuan secara tertulis paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada:
a. Subjek Data Pribadi; dan
b. lembaga.
(2) Pemberitahuan tertulis sebagaimana dimaksud pada ayat (1) minimal memuat:
a. Data Pribadi yang terungkap;
b. kapan dan bagaimana Data Pribadi terungkap; dan
c. upaya penanganan dan pemulihan atas terungkapnya Data Pribadi oleh Pengendali Data Pribadi.
(3) Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan Pelindungan Data Pribadi.
Pengendali Data Pribadi wajib bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggungjawaban dalam kewajiban pelaksanaan prinsip Pelindungan Data Pribadi.
(1) Pengendali Data Pribadi berbentuk badan hukum yang melakukan penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran badan hukum wajib pemberitahuan pengalihan Data Pribadi kepada Subjek Data Pribadi.
(2) Pemberitahuan pengalihan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sebelum dan sesudah penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran badan hukum.
(3) Dalam hal Pengendali Data Pribadi berbentuk badan hukum melakukan pembubaran atau dibubarkan, penyimpanan, pentransferan, pemusnahan Data Pribadi dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan.
(4) Penyimpanan, pentransferan, penghapusan, atau pemusnahan Data Pribadi sebagaimana dimaksud pada ayat (3) diberitahukan kepada Subjek Data Pribadi.
(5) Ketentuan lebih lanjut mengenai tata cara pemberitahuan sebagaimana dimaksud pada ayat (1), ayat (2), dan ayat (4) diatur dalam Peraturan Pemerintah.
Pengendali Data Pribadi dan/ atau Prosesor Data Pribadi wajib melaksanakan perintah lembaga dalam rangka penyelenggaraan Pelindungan Data Pribadi sesuai dengan Undang-Undang ini.
(1) Kewajiban Pengendali Data Pribadi sebagaimana dimaksud dalam Pasal 30, Pasal 32, Pasal 36, Pasal 42, Pasal 43 ayat (1) huruf a sampai dengan huruf c, Pasal 44 ayat (1) huruf b, Pasal 45, dan Pasal 46 ayat (1) huruf a, dikecualikan untuk:
a. kepentingan pertahanan dan keamanan nasional;
b. kepentingan proses penegakan hukum;
c. kepentingan umum dalam rangka negara; atau
d. kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara.
(2) Pengecualian sebagaimana dimaksud pada ayat (1) dilaksanakan hanya dalam rangka pelaksanaan ketentuan Undang-Undang.
