Perkembangan teknologi informasi dan komunikasi yang kian pesat di masa kini mendorong berbagai negara di dunia untuk merumuskan pengaturan mengenai perlindungan data pribadi untuk melindungi hak-hak warga negaranya, termasuk pula mengatur mengenai kewajiban pengendali data pribadi untuk memberikan notifikasi kepada subjek data pribadi apabila terjadi pelanggaran data pribadi. Penelitian ini dibuat dengan tujuan untuk mengulas mengenai kewajiban notifikasi pelanggaran data pribadi dalam hubungan hukum antara pengendali data pribadi dan subjek data pribadi ditinjau dari konsep hukum perdata serta membandingan pengaturan mengenai kewajiban notifikasi tersebut di Indonesia dan Inggris dan menggali pelajaran-pelajaran yang dapat dipetik dari hasil perbandingan tersebut.  

Penelitian ini dibuat dengan metode penelitian yuridis-normatif, yakni dengan menelaah berbagai bahan hukum dengan didasarkan kepada peraturan perundang-undangan yang berlaku.  Lalu, penelitian ini dilakukan dengan dua metode pendekatan, yakni pendekatan peraturan perundang-undangan yang dilakukan dengan menelaah peraturan, regulasi, serta hierarkinya  dan pendekatan perbandingan/komparatif yang dilakukan dengan membandingkan peraturan dari dua negara tersebut di atas. 

Berdasarkan penelitian ini, Penulis menyimpulkan bahwa kewajiban notifikasi pelanggaran data pribadi dalam hubungan hukum antara pengendali dan subjek data pribadi tersebut dapat dikaji dalam berbagai konsep hukum perdata serta perbedaan konteks dapat mempengaruhi bagaimana hubungan tersebut dapat dikaji. Kemudian, Penulis juga menemukan adanya perbedaan yang cukup signifikan dalam pengaturan kewajiban tersebut di kedua belah negara, terlepas dari fakta bahwa keduanya sama-sama mengacu kepada GDPR. Dari perbedaan tersebut, dapat ditarik beberapa pelajaran terpetik yang dapat digunakan sebagai media refleksi dalam rangka membenahi peraturan dan kebijakan perlindungan data pribadi di Indonesia yang meliputi beberapa aspek, yaitu kepastian hukum; posisi tawar Subjek; kemudahan/fasilitas bagi pengendali data pribadi dalam melakukan kewajibannya; serta mengenai lembaga otoritas yang berwenang.

The rapid development of information and communication technology today has encouraged various countries in the world to formulate arrangements regarding the protection of personal data to protect the rights of their citizens, including regulating the obligation of personal data controllers to provide notifications to personal data subjects in the event of a personal data breach. This research was made to review the obligation of controller to notify the data subjects in their legal relationship in terms of the concept of civil law as well as to compare arrangements regarding the obligation of notification in Indonesia and the UK and explore lessons that can be drawn from the results of this comparison.

This research was made using the juridical-normative research method, namely by examining various legal materials based on the applicable laws and regulations. Then, this research was conducted using two approaches, namely the statutory regulation approach which was carried out by examining the rules, regulations, and their hierarchy, and the comparative approach which was carried out by comparing the regulations from the two countries mentioned above.

Based on this research, the Author concludes that the obligation of controller to notify the data subjects in their legal relationship with the data controllers can be studied in various civil law concepts and differences in the context could affect on the assession of their legal relationship. Moreover, the Author also finds that there are significant differences in the arrangement of these obligations in the two countries, despite the fact that both of them refer to the GDPR. From these differences, some of the best lessons can be found that can be used as media for reflection to improve personal data protection regulations and policies in Indonesia which cover several aspects, namely legal certainty; bargaining position of the Subject; convenience/facilities for the data controller in carrying out their obligations; as well as regarding the competent authority.

Kata Kunci : Pengendali Data Pribadi, notifikasi, hubungan hukum, perbandingan