4 Hal yang Harus Diperhatikan Perusahaan dalam Data Protection Impact Assessment

Data Protection Impact Assessment (DPIA) atau Penilaian Dampak Pelindungan Data Pribadi merupakan salah satu instrumen dalam UU No.27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).

Pasal 34 ayat (1) dalam undang-undang tersebut menyatakan, Penilaian Dampak Pelindungan Data Pribadi dilakukan untuk mengevaluasi potensi risiko yang timbul dari suatu pemrosesan data pribadi serta upaya atau langkah yang harus dilakukan untuk memitigasi risiko, termasuk terhadap hak subjek data pribadi dan mematuhi UU PDP.

Baca juga:

• 8 Prinsip Hak Privasi dalam Aturan Pelindungan Data Pribadi
• Membandingkan Isi UU Pelindungan Data Pribadi di Indonesia dengan Negara Lain

Dalam Masterclass Perlindungan Data Pribadi dengan mengangkat tema Menguasai Teori, Regulasi dan Implementasi - Batch IV yang dilaksanakan Fraser Place Setiabudi, Jakarta. Selasa (28/11), Danny Kobrata pendiri dan pengurus Asosiasi Praktisi Pelindungan Data Indonesia (APPDI) menjelaskan perusahaan harus melakukan DPIA atau Penilaian Dampak Pelindungan Data Pribadi, di antaranya:

1. Setiap kegiatan baru terkait pemrosesan harus mempertimbangkan kebutuhan Penilaian Dampak Pelindungan Data Pribadi 
2. Memberi pelatihan kepada karyawan terkait kewajiban Penilaian Dampak Pelindungan Data Pribadi
3. Kebijakan internal perusahaan harus mencantumkan referensi ke persyaratan Penilaian Dampak Pelindungan Data Pribadi
4. Membuat format standar dokumen dan proses Penilaian Dampak Pelindungan Data Pribadi.

“Kewajiban DPIA ini tidak hanya diketahui oleh tim legal atau tim Data Protection Officer perusahaan saja yang tahu, karena seluruh departemen di perusahaan juga harus mengetahui ini. Pastikan setiap kegiatan baru terkait pemrosesan harus mempertimbangkan kebutuhan DPIA,” ujar Danny.

Berdasarkan konsepsi dan pengalaman DPIA di sejumlah negara berikut manfaat dari DPIA:

1. Sebagai early warning system atas potensi risiko dan dampak dalam pemrosesan data yang harus segera dimitigasi oleh pengendali data.
2. Jika potensi kegagalan pelindungan data dimitigasi sejak awal, maka akan dapat meminimalisir beban anggaran untuk pemulihan dampak kegagalan pelindungan data pribadi.
3. Penilaian Dampak Pelindungan Data Pribadi yang dilakukan secara serius akan dapat menjadi pertimbangan penghapusan pidana perusahaan dalam penyelesaian sengketa informasi pribadi di pengadilan.
4. Memperluas mitra bisnis di dalam dan luar negeri karena perusahaan yang mengutamakan Pelindungan Data Pribadi saat ini menjadi standar global dalam dunia bisnis.
5. Membangun citra positif perusahaan yang berdampak pada kepercayaan konsumen atau publik.

“Meski UU PDP ini masih masa transisi bukan berarti perusahaan belum mempersiapkan dokumen terkait DPIA. diharapkan perusahaan segera mulai dan siap-siap untuk patuh dengan UU PDP,” kata dia.