Data Protection Officer: Prospek Karier Lulusan Hukum Pasca-UU PDP

Namun tak jarang data-data disalahgunakan untuk hal yang tidak diinginkan, di antaranya kebocoran data pribadi.

Terakhir, publik sempat geger dengan kehadiran hacker yang mengatasnamakan dirinya Bjorka dengan menjual data-data pribadi WNI dan membocorkan data pribadi pejabat negara Indonesia.

Ulah Bjorka kemudian menjadi salah satu faktor mendorong pengesahan Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) yang sudah diinisiasi pembentuk undang-undang sejak 2016.

RUU PDP kemudian disahkan DPR bersama pemerintah pada 20 September 2022, dan diundangkan menjadi Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).

Salah satu poin pengaturan dalam UU PDP adalah Kewajiban Pengendali Data. Pengendali data adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali terkait pemrosesan data pribadi.

Sehingga dalam hal ini pengendali data yang meminta dan memproses data pribadi masyarakat, yaitu institusi pemerintahan atau lembaga swasta.

Diatur pada pasal 20 hingga pasal 50, pengendali data memiliki kewajiban untuk menunjukkan bukti persetujuan dari subjek data, melakukan perekaman seluruh kegiatan pemrosesan data pribadi, melindungi dan memastikan keamanan data pribadi, serta menyampaikan legalitas, tujuan, dan relevansi pemrosesan data pribadi.

Pengendali data kemudian wajib menunjuk pejabat pelindungan data pribadi atau yang lebih dikenal sebagai Data Protection Officer (DPO).

DPO merupakan salah satu profesi yang relatif baru dalam dunia digital namun memiliki peran yang sangat penting.

Tentu kita masih ingat bagaimana beberapa kasus kebocoran data pribadi tidak menemukan kejelasan karena lempar tanggung jawab antarinstansi, di sinilah peran penting dari DPO untuk menyelesaikannya.

Sebelumnya profesi DPO telah ada sejak Permenkominfo No 20 Tahun 2016 yang mewajibkan penyelenggara sistem elektronik antara lain untuk menyediakan narahubung yang mudah dihubungi oleh pemilik data pribadi terkait pengelolaan data pribadinya.

Dapat dikatakan DPO merupakan perantara antara instansi dengan subyek data.

Profesi DPO merupakan mandatoris dari lahirnya UU PDP. Perusahaan memiliki kewajiban untuk menunjuk seorang DPO atau yang bertugas sebagai pejabat atau petugas yang melaksanakan fungsi pelindungan data pribadi.

Keberadaan DPO tentu untuk mendorong pelaksanaan UU PDP yang efektif agar perusahaan mengedepankan akuntabilitas dalam mengelola data pribadi.

Setidaknya terdapat empat garis besar tugas dari DPO sebagaimana diatur pada Pasal 54 UU PDP, yakni:

1. Menginformasikan dan memberikan saran untuk pengendali data pribadi atau data prosesor data pribadi agar mematuhi ketentuan yang ada di dalam UU PDP.
2. Memantau dan memastikan kepatuhan terhadap UU ini dan kebijakan pengendali data prosesor data pribadi termasuk penugasan, tanggung jawab, peningkatan kesadaran dan pelatihan pihak yang terlibat dalam pemrosesan data pribadi, dan audit terakit.
3. Memberikan saran mengenai penilaian dampak pelindungan data pribadi dan memantau kinerja pengendali data pribadi dan prosesor data pribadi.
4. Berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan atau pribadi, termasuk melakukan konsultasi mengenai mitigasi risiko dan atau hal lainnya.

Secara lebih lanjut, pemerintah perlu mengeluarkan peraturan pemerintah yang mengatur pejabat pelindungan data pribadi sebagaimana yang ditegaskan dalam Pasal 54 ayat (3) UU PDP.

Kedepan peraturan pemerintah ini juga perlu mengatur mengenai standar kompetensi DPO, syarat-syarat menjadi DPO, organisasi profesinya dan kode etik profesi.

Kewajiban instansi menunjuk DPO hanya berlaku pada lembaga/instansi tertentu yang disyaratkan antara lain instansi pemerintahan.

Kemudian perusahaan yang memantau pemrosesan data secara teratur dan dalam lingkup besar, seperti perusahaan di bidang finansial, perbankan, telekomunikasi.

Perusahaan yang melakukan pemrosesan data spesifik, seperti rumah sakit, dan apabila kegiatan inti lembaga terdiri dari pemrosesan data pribadi dalam skala besar untuk data pribadi yang bersifat spesifik dan/atau terkait dengan tindak pidana.

Meskipun direkrut oleh instansi, DPO bekerja secara independen sehingga DPO dapat mengoreksi apabila kebijakan lembaga atau perusahaan bertentangan dengan peraturan perundang-undangan dan kemudian menolak untuk mengesahkannya.

Profesi DPO menjadi salah satu opsi menarik bagi lulusan Fakultas Hukum, selain profesi konvensional lainnya.

DPO sebagaimana yang diatur dalam UU PDP harus memiliki profesionalitas, pengetahuan mengenai hukum, praktik Pelindungan Data Pribadi, dan kemampuan untuk memenuhi tugas-tugasnya.

Bagi yang berminat untuk menjadi DPO dapat mempersiapkan diri dengan memperkuat keilmuan dan keterampilan praktik di bidang pelindungan data pribadi dengan mengikuti sertifikasi yang diselenggarakan Asosiasi Praktisi Pelindungan Data Indonesia (APPDI) sebagai organisasi membawahi DPO maupun berbagai forum lainnya. Selain itu tak kalah penting untuk menguasai teknologi informasi.

Untuk mendorong minat dan kompetensi mahasiswa siap menjadi DPO, diperlukan pula penyesuaian kurikulum oleh penyelenggara pendidikan tinggi hukum, salah satunya mewajibkan mata kuliah Hukum Telematika atau Cyber Law yang didukung dengan pengajar praktisi.