Pada September tahun 2022 lalu, pemerintah bersama DPR secara resmi mengesahkan UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Dalam UU PDP tersebut disebutkan bahwa data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.
UU PDP membagi data spesifik dan data umum. Di mana data spesifik adalah data yang dapat berdampak signifikan terhadap Subjek Data Pribadi (Subjek) terkait dalam pemrosesannya, yang dapat menimbulkan diskriminasi dan kerugian besar seperti data keuangan pribadi, data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan dan data anak. Sementara itu data umum adalah data yang kemungkinan besar tidak memiliki dampak yang signifikan terhadap subjek, namun tetap dapat digunakan untuk mengidentifikasi subjek yang bersangkutan. Seperti nama lengkap, jenis kelamin, kewarganegaraan, status perkawinan, kombinasi data dan agama. Kedua jenis data ini dilindungi oleh UU PDP.
Salah satu bidang pekerjaan yang berhubungan erat dengan data pribadi adalah Human Resources (HR). Setiap perusahaan dipastikan akan memiliki HR yang berwenang untuk merekrut dan mengelola karyawan. Dengan kewenangan ini, tentunya HR akan mengumpulkan data pribadi karyawan untuk kepentingan perusahaan.
Baca juga:
- Ahli Pidana University of Hongkong: Tindak Pidana Kerap Terjadi di Ruang Digital
- Ketika Advokat Ingatkan Perusahaan untuk Patuhi Kewajiban-Kewajiban di UU PDP
- Mengenal ROPA, Catatan Aktivitas Pengolahan Data Pribadi
Untuk itu, HR harus memahami aturan yang tercantum di dalam UU PDP. Salah satunya adalah menunjuk Data Protection Officer (DPO) atau Petugas Pelindungan Data Pribadi (PPDP). DPO/PPDP adalah pihak yang melaksanakan fungsi Pelindungan Data Pribadi. Dalam kegiatan Pemrosesan, Pengendali dan Prosesor wajib menunjuk DPO/PPDP dalam keadaan berikut: pemrosesan dilakukan untuk kepentingan pelayanan publik; kegiatan inti Pengendali memiliki sifat, ruang lingkup, dan/ atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar; dan kegiatan inti Pengendali terdiri dari pemrosesan Data Pribadi dalam skala besar untuk Data Pribadi yang bersifat spesifik dan/ atau Data Pribadi yang berkaitan dengan tindak pidana.
Adapun tugas DPO/PPDP adalah menginformasikan dan memberikan saran kepada Pengendali atau Prosesor agar mematuhi ketentuan UU PDP, memantau dan memastikan kepatuhan terhadap UU PDP dan kebijakan Pengendali atau Prosesor, memberikan saran mengenai penilaian dampak PDP dan memantau kinerja Pengendali atau Prosesor, dan berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan Data Pribadi.
“Perusahaan perlu menunjuk DPO/PPDP. Kalau memang tidak wajib, harus membuat sesuatu lembaga permanen yang bertanggung jawab melakukan tugas PDP/PPDP,” kata Legal Editor Hukumonline Fajrin Kautsar Singadipura dalam Exclusive Networking Event IPSM X Hukumonline bertema “Peran Pimpinan HR dalam Mematuhi UU Perlindungan Data Pribadi: Mitigasi Risiko dan Sanksi” di Batam, Kamis (16/11).