Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) mengamanatkan pengaturan lebih lanjut tentang Data Protection Officer (DPO) dalam bentuk Peraturan Pemerintah (PP) yang saat ini masih terus bergulir di pemerintah.
DPO dibentuk dalam rangka membangun ekosistem PDP di Indonesia yang sudah diperkenalkan dalam Peraturan Menteri Kominfo No.20 Tahun 2016. Peraturan tersebut berisi untuk mewajibkan penyelenggara sistem elektronik untuk menyediakan narahubung yang mudah dihubungi oleh pemilik data pribadi terkait pengelolaan data pribadinya, dalam hal tersebut DPO bertindak sebagai perantara antara organisasi (perusahaan) dengan subjek data.
Co Founder dan Pengurus Asosiasi Praktisi Pelindungan Data Indonesia (APPDI), Ardhanti Nurwidya mengatakan, setidaknya terdapat tiga jenis perusahaan atau institusi yang harus memiliki DPO di dalam perusahaan atau instansinya. Ketiganya yaitu para pelayan publik, pengelola data berskala besar, dan pengelola data spesifik.
Baca juga:
- Persetujuan Pemrosesan Data Pribadi Dilakukan Melalui Persetujuan Tertulis atau Terekam
- Kolaborasi Hukumonline dan APPDI Kembangkan Ekosistem Perlindungan Data Pribadi di Indonesia
- Ketika Advokat Ingatkan Perusahaan untuk Patuhi Kewajiban-Kewajiban di UU PDP
“Pelayan publik harus duluan yang wajib punya DPO, baru setelah itu pengelola data skala besar karena semakin banyak user yang dimiliki otomatis skalanya jadi besar. Lalu bagi instansi atau organisasi yang memiliki data spesifik yang sifatnya kalau bocor bisa membahayakan si subjek data, maka harus diproteksi secara berlapis sehingga pengelola data spesifik wajib memiliki DPO,’’ jelas Dhanti kepada Hukumonline dalam Talkshow Privacy Day bertema Structuring your Privacy Office in Theory and Practice, Jum’at (26/1/2024).
Peran DPO dalam sebuah perusahaan atau instansi adalah sebagai ‘wasit’ yang selama kegiatan perusahaan dan instansi dilibatkan dari awal hingga akhir. Setiap layanan baru, seorang DPO wajib mengetahuinya sehingga dapat menentukan layanan tersebut berisiko atau tidak.
“Dari risiko ini yang akan dinasihati nantinya adalah owner bisnis. Pemilik bisnis akan menentukan apakah risiko harus segera dimitigasi atau tidak, itu mereka yang menentukan. Seorang DPO wajib untuk merekam apapun advice yang diberikan selama bekerja sama, setidaknya lewat email supaya ketika nanti ada data breach atau risiko lainnya, kita pernah memberikan advice sebelumnya yang dibuktikan dengan email itu,’’ ujarnya.
Lebih lanjut seorang DPO memiliki tugas untuk mengawasi lembaga yang bekerja agar lembaga tersebut mematuhi ketentuan peraturan perundang-undangan pelindungan data pribadi yang berlaku. Selain itu, fungsi lainnya adalah untuk menjadi point of contact yang bertugas menjadi narahubung atau contact person antara organisasi dengan regulator ataupun antara organisasi dengan pemilik data pribadi.
“Terlebih perusahaan masif yang pastinya menjalankan usaha berbasis business to consumer yang mata uangnya adalah trust, jadi kalau sedikit saja kehilangan trust maka reputasinya bisa berantakan dan DPO adalah investasi untuk trust tersebut,’’ kata dia.
Mengenai kualifikasi yang harus dimiliki oleh seorang DPO, merupakan kewenangan dari masing-masing perusahaan. Meskipun di dalam UU PDP dikatakan bahwa seorang DPO harus memiliki wawasan ilmu hukum, tetapi seorang DPO tidak harus berprofesi sebagai lawyer atau corporate legal sehingga siapa saja bisa menjadi DPO.
“DPO itu memang menjalankan aspek hukum, bahkan yang melakukan legaldrafting memang anak hukum. Tapi meski begitu DPO itu tidak harus lawyer,’’ ujar Eryk Budi Pratama selaku Co-Chair International Association of Privacy Professionals (IAPP), KnowledgeNet Chapter Indonesia dalam kesempatan yang sama.
Eryk mengatakan, seorang DPO haruslah ditunjuk sebagai seseorang yang secara politis posisinya kuat, sehingga memang yang dicari adalah orang-orang yang berpengalaman seperti posisi C-level yang pengalamannya bisa 15 tahun di bidang tersebut.