Setahun sebelum UU No.27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) disahkan, Edmon Makarim—Dekan Fakultas Hukum Universitas Indonesia saat itu—telah menyampaikan pentingnya sarjana hukum yang mampu memikirkan konsep hukum perlindungan data pribadi. Dua tahun kemudian, Ahmad M Ramli, Guru Besar Kekayaan Intelektual Fakultas Hukum Universitas Padjadjaran, menyatakan hal serupa. Ia menilai keberadaan data protection officer (DPO) akan membuat korporasi lebih siap menghadapi regulasi pelindungan data pribadi.
Perhatian para akademisi dari universitas ternama ini menunjukkan pentingnya peran DPO sebagai suatu profesi baru yang tercipta dari kehadiran pelindungan data pribadi. Hal ini sejalan dengan besarnya amanat UU PDP kepada seorang DPO. Pasal 54 UU PDP menyatakan bahwa tugas DPO paling sedikit memberikan pengendali atau prosesor data pribadi saran mengenai pemenuhan ketentuan undang-undang dan penilaian dampak pelindungan data pribadi. Selain itu, DPO juga harus memastikan kepatuhan perusahaan dan bertindak sebagai narahubung untuk isu berkaitan pemrosesan Data Pribadi.
Baca Juga:
Begini Seluk Beluk Pelindungan Data Pribadi dalam UU PDP
Catat! Ini Sejumlah Langkah dalam Merespons Insiden PDP
Pertanyaannya kemudian tentunya bagaimana perusahaan harus memilih DPO yang tepat? Masalah ini mengemuka mengingat masih belum adanya aturan detail mengenai pelaksanaannya. Meskipun demikian, Pasal 53(2) UU PDP memberikan petunjuk mengenai individu yang dianggap mampu memenuhi fungsi tersebut. Misalnya memiliki pengetahuan mengenai hukum dan praktik pelindungan data pribadi. Mempertimbangkan kriteria pertama mengenai pengetahuan hukum, amat tepat jika lulusan sarjana hukum dianggap cocok untuk memainkan peran ini. Mari kita telaah lebih lanjut.
Pasal 53(1) UU PDP mengharuskan perusahaan yang melakukan pemrosesan data pribadi untuk kepentingan pelayanan publik atau dalam skala besar menunjuk pejabat pelaksana fungsi pelindungan data pribadi atau DPO. Sekalipun fungsi tersebut dilaksanakan oleh DPO, tanggung jawab hukum atas pelaksanaan prinsip pelindungan data pribadi tetap ada pada perusahaan selaku pengendali data pribadi. Bukan pada DPO selaku pejabat yang melaksanakan fungsi tersebut. Pasal 47 UU PDP menegaskannya dengan menyatakan bahwa “Pengendali Data Pribadi wajib bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggungjawaban dalam pemenuhan kewajiban pelaksanaan prinsip Pelindungan Data Pribadi”.
Perusahaan memang tidak dapat melepaskan diri dari tanggung jawab jika ada kesalahan atau kelalaian yang dilakukan oleh pejabat atau karyawannya dalam melaksanakan tugasnya. Pasal 1367 KUHPerdata sendiri menyatakan bahwa “Seseorang tidak hanya bertanggung jawab, atas kerugian yang disebabkan perbuatannya sendiri, melainkan juga atas kerugian yang disebabkan perbuatan-perbuatan orang-orang yang menjadi tanggungannya atau disebabkan barang-barang yang berada di bawah pengawasannya”. Ada berbagai teori dan doktrin yang menjelaskan mengenai hal yang juga dikenal sebagai vicarious liability ini. Amat penting bagi perusahaan untuk memilih DPO dengan kualifikasi yang tepat sesuai dengan bidang industrinya masing-masing.
Belum ada ketentuan teknis yang mengatur bagaimana perusahaan harus mempersiapkan DPO. Di sisi lain, tanggung jawab hukum timbul dari adanya suatu kewajiban hukum atau kegagalan dalam memenuhi kewajiban itu. Bentuknya baik kewajiban untuk melaksanakan maupun tidak melaksanakan sesuatu. Oleh karena itu, mengetahui tanggung jawab hukum suatu perusahaan harus dengan terlebih dahulu mencermati kewajibannya. Hal ini dilihat dari pemanfaatan data dan informasi pribadi.
Dengan pemahaman yang tepat, seorang DPO akan mampu membantu perusahaan menghadapi tantangan dalam pemrosesan data pribadi, sesuai dengan sektor dimana perusahaan menjalankan kegiatan usahanya. Saya akan menggunakan sektor perbankan sebagai contoh dan rujukan dalam tulisan ini.