Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) mengamanatkan pengaturan lebih lanjut tentang Data Protection Officer (DPO) dalam bentuk Peraturan Pemerintah (PP) yang saat ini masih terus bergulir di pemerintah.
DPO dibentuk dalam rangka membangun ekosistem PDP di Indonesia yang sudah diperkenalkan dalam Peraturan Menteri Kominfo No.20 Tahun 2016. Peraturan tersebut berisi untuk mewajibkan penyelenggara sistem elektronik untuk menyediakan narahubung yang mudah dihubungi oleh pemilik data pribadi terkait pengelolaan data pribadinya, dalam hal tersebut DPO bertindak sebagai perantara antara organisasi (perusahaan) dengan subjek data.
Co Founder dan Pengurus Asosiasi Praktisi Pelindungan Data Indonesia (APPDI), Ardhanti Nurwidya mengatakan, setidaknya terdapat tiga jenis perusahaan atau institusi yang harus memiliki DPO di dalam perusahaan atau instansinya. Ketiganya yaitu para pelayan publik, pengelola data berskala besar, dan pengelola data spesifik.
Baca juga:
- Persetujuan Pemrosesan Data Pribadi Dilakukan Melalui Persetujuan Tertulis atau Terekam
- Kolaborasi Hukumonline dan APPDI Kembangkan Ekosistem Perlindungan Data Pribadi di Indonesia
- Ketika Advokat Ingatkan Perusahaan untuk Patuhi Kewajiban-Kewajiban di UU PDP
“Pelayan publik harus duluan yang wajib punya DPO, baru setelah itu pengelola data skala besar karena semakin banyak user yang dimiliki otomatis skalanya jadi besar. Lalu bagi instansi atau organisasi yang memiliki data spesifik yang sifatnya kalau bocor bisa membahayakan si subjek data, maka harus diproteksi secara berlapis sehingga pengelola data spesifik wajib memiliki DPO,’’ jelas Dhanti kepada Hukumonline dalam Talkshow Privacy Day bertema Structuring your Privacy Office in Theory and Practice, Jum’at (26/1/2024).
Peran DPO dalam sebuah perusahaan atau instansi adalah sebagai ‘wasit’ yang selama kegiatan perusahaan dan instansi dilibatkan dari awal hingga akhir. Setiap layanan baru, seorang DPO wajib mengetahuinya sehingga dapat menentukan layanan tersebut berisiko atau tidak.
“Dari risiko ini yang akan dinasihati nantinya adalah owner bisnis. Pemilik bisnis akan menentukan apakah risiko harus segera dimitigasi atau tidak, itu mereka yang menentukan. Seorang DPO wajib untuk merekam apapun advice yang diberikan selama bekerja sama, setidaknya lewat email supaya ketika nanti ada data breach atau risiko lainnya, kita pernah memberikan advice sebelumnya yang dibuktikan dengan email itu,’’ ujarnya.