Kedua, perusahaan juga harus menilai seberapa besar peran pemrosesan data pribadi dalam kegiatan perusahaan. Apabila pemrosesan data pribadi merupakan bagian inti atau penting dalam kegiatan perusahaan, maka besar kemungkinan kewajiban untuk menunjuk DPO akan berlaku bagi perusahaan tersebut. Contoh di mana pemrosesan data pribadi merupakan kegiatan inti: pemrosesan data keuangan yang dilakukan bank atau pemrosesan data pemesanan tiket atau perjalanan oleh perusahaan transportasi atau biro perjalanan.
Tugas seorang DPO
Tugas utama seorang DPO adalah untuk memastikan kepatuhan perusahaan terhadap UU Pelindungan Data Pribadi yang berlaku. Segala sesuatu yang terkait dengan pemrosesan data pribadi di dalam suatu perusahaan harus melibatkan DPO. Dan perusahaan wajib berkonsultasi dengan DPO sebelum memberikan keputusan terhadap pemrosesan data pribadi dalam perusahaan tersebut.
Dalam praktiknya, keterlibatan DPO dapat dilakukan dalam beberapa bentuk. Seorang DPO dapat membantu perusahaan dalam merancang dan mengimplementasikan sistem perlindungan data pribadi yang baik di dalam perusahaan. Seorang DPO dapat bekerja sama dengan manajemen perusahaan atau divisi-divisi terkait di dalam perusahaan untuk memastikan pemrosesan sudah sesuai dengan aturan yang berlaku. Misalnya, DPO dapat membantu divisi Human Resources (HR) dalam menyusun kebijakan atau prosedur pengelolaan data pribadi karyawan atau membantu divisi Sales/Marketing dalam memperoleh data pribadi konsumen secara sah.
Di samping itu, DPO juga dapat membantu perusahaan dalam melakukan analisa dampak perlindungan data pribadi atas kebijakan atau produk baru yang akan dikeluarkan oleh perusahaan tersebut. Dengan berkonsultasi terlebih dahulu dengan DPO, maka perusahaan dapat mengetahui aspek perlindungan data pribadi dari kebijakan atau produk yang akan dikeluarkan tersebut. Tujuannya adalah untuk memastikan bahwa kebijakan atau produk yang keluar tersebut tidak bertentangan dengan UU Pelindungan Data Pribadi yang berlaku.
Selain itu, tugas penting lainnya dari seorang DPO adalah berperan sebagai narahubung dari perusahaan dengan pihak ketiga seperti regulator dan pemilik data pribadi (karyawan atau konsumen). Tugas ini penting karena terkait dengan jaminan pelaksanaan hak-hak pemilik data pribadi seperti misalnya, ketika pemilik data pribadi ingin melaksanakan hak akses atas data pribadi, melakukan pembaruan data pribadi, atau meminta penghapusan data pribadi kepada perusahaan. Permintaan-permintaan seperti ini akan ditangani oleh DPO dengan berkoordinasi dengan divisi-divisi terkait seperti divisi IT atau HR dalam suatu perusahaan.
Satu hal yang perlu dicatat adalah DPO berperan secara independen, terlepas dari status DPO yang bisa saja merupakan karyawan pada perusahaan tersebut. Artinya, seorang DPO tidak boleh diatur oleh perusahaan dalam menjalankan tugasnya. DPO wajib memberikan saran sesuai dengan keahliannya. Apabila, suatu kebijakan atau produk dalam suatu perusahaan tidak sesuai dengan aturan pelindungan data pribadi yang berlaku, maka perusahaan tidak bisa memaksa DPO untuk menyetujui kebijakan atau produk baru tersebut.
Siapa saja yang bisa menjadi DPO?
Pada dasarnya, DPO bisa saja bekerja sebagai karyawan pada perusahaan tersebut maupun pihak lain di luar perusahaan yang ditunjuk oleh perusahaan tersebut misalnya konsultan yang bergerak di bidang pelindungan data pribadi. Baik karyawan maupun pihak lain ini harus memenuhi kriteria-kriteria yang ditetapkan oleh RUU Pelindungan Data Pribadi.