Penelitian ini bertujuan untuk menganialisis upaya Indonesia dan Uni Eropa dalam mengatur tanggung jawab badan usaha sebagai pengendali data untuk melindungi data pribadi dalam rangka menemukan perbedaan antara keduanya. Penelitian ini juga bertujuan untuuk mengidentifikasi aspek-aspek positif yang ditemukan dalam pengaturan Uni Eropa mengenai tanggung jawab badan usaha sebagai pengendali data dalam melindungi data pribadi. Penelitian hukum ini merupakan penelitian normatif yang menggunakan pendekatan peraturan dan komparatif pada data sekunder. Data sekunder yang relevan diperoleh dari studi kepustakaan, yang terdiri dari bahan hukum primer, sekunder, dan tersier. Hasil penelitian ini menunjukkan bahwa, pertama, Indonesia dan Uni Eropa telah mencoba mengatur tanggung jawab badan usaha sebagai pengendali data untuk melindungi data pribadi. Di Indonesia, hal ini dimanifestasikan dalam Peraturan Menteri Komunikasi dan Informatika No. 26 tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik dan RUU Perlindungan Data Pribadi sementara di Uni Eropa, hal tersebut dituangkan dalam GDPR. Perbedaan di antara mereka dapat ditemukan dalam pengaturan tentang hak-hak subyek data, pihak yang bertanggung jawab dalam melindungi data pribadi, kewajiban umum pengendali data, klasifikasi data pribadi, tanggung jawab terkait pelanggaran data, langkah peningkatan kepatuhan. Kedua, beberapa aspek positif dalam GDPR dapat diadopsi untuk memajukan peraturan di Indonesia dalam hal tersebut, yaitu diferensiasi peran pengendali dan pemroses data, tanggung jawab pengontrol bersama, demonstrasi kepatuhan terhadap peraturan, penunjukan Petugas Perlindungan Data, notifikasi pelanggaran data, dan tanggung jawab terkait data sensitif.

This study aims to analyze the attempt of Indonesia and EU in regulating the responsibility of business organization as data controller to protect personal data in order to ascertain differences between them. Further, this research is also aimed to identify the positives aspects found under the EU�s regulation on the provisions concerning responsibility of business organization as data controller in protecting personal data. This legal research is a normative research which employs statutory and comparative approach on the secondary data. The relevant secondary data is derived from library research, consisting of primary, secondary, and tertiary legal material. The result of this research has shown that, first, both Indonesian and EU has attempted to regulate responsibilities of business organization as data controller to protect personal data. In Indonesia, it is manifested under the Minister of Communication and Information No. 20 of 2016 on Protection of Personal Data in Electronic System and Draft bill on Personal Data Protection Law while in EU, the GDPR took the manifestation of such attempt. Major differences between them can be found on the matter of data subject�s right, Parties Assuming Responsibilities of personal data protection, general obligations of the data controller, personal data classification, responsibility on data breach, measure to improve compliance. Second, several positive aspects in EU�s GDPR can be adopted to improve the regulation in Indonesia, specifically on the matter of responsibility of business organization as data controller, which encompasses role differentiation on data controller and processor, joint controller�s responsibility, demonstrating compliance responsibility, Data Protection Officer designation, data breach notification and the responsibilities concerning the sensitive data.

Kata Kunci : Data Protection, Personal Data, Business Organization, Data Controller, GDPR