Instansi XYZ adalah instansi pendidikan yang belum memiliki metode keamanan data pribadi, salah satu metode yang dapat digunakan ada pada General Data Protection Regulation (GDPR) pasal 30 tentang Records of Processing Activities (RoPA) dan Undang-Undang Pelindungan Data Pribadi (UU PDP) pasal 31 tentang perekaman kegiatan pemrosesan data pribadi. Tujuan penelitian yaitu membuat model RoPA yang memiliki pendekatan Enterprise Architecture serta membuat hasil akhir berupa model dan rekomendasi untuk peningkatan teknologi informasi dan keamanan data pribadi instansi. Metode yang digunakan yaitu studi literatur, observasi, wawancara dan identifikasi, dengan pembuatan model RoPA menggunakan The Open Group Framework (TOGAF) dibantu National Institute of Standards and Technology (NIST) Privacy Framework untuk kriteria kepatuhan dan perumusan rekomendasi, serta pengukuran kapabilitas dan maturity level menggunakan Control Objectives for Information and Related Technologies (COBIT) 2019 Framework. Penelitian ini menghasilkan model RoPA dan rekomendasi yang dapat digunakan untuk meningkatkan teknologi informasi instansi, khususnya di bidang data pribadi.