Pentingnya Manajemen Data Pribadi di Perguruan Tinggi Pasca-Berlakunya UU PDP

PERGURUAN tinggi adalah badan hukum di bidang pendidikan yang menyimpan dan memproses data pribadi.

Dengan berlakunya Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), maka wajib menyesuaikan manajemen pemrosesan dan pelindungan dara pribadi sivitas akademikanya.

UU PDP sesungguhnya berlaku tidak hanya bagi perguruan tinggi dan korporasi pada umumnya, tetapi keberlakuannya menjangkau semua Pengendali Data Pribadi, termasuk badan hukum publik negara berupa kementerian dan lembaga.

Dengan demikian, Kementerian Pendidikan Kebudayaan, Riset, dan Teknologi sebagai kementerian yang membawahkan perguruan tinggi, juga berstatus sebagai Pengendali Data Pribadi yang tunduk pada UU PDP.

Sesuai dengan masa transisi UU PDP, perguruan tinggi wajib menyesuaikan pemrosesan dan pengendalian data pribadinya paling lambat tanggal 17 Oktober 2024, atau dua tahun setelah UU PDP diundangkan.

Baca juga: Kedaulatan Negara di Ruang Digital

Kepatuhan perguruan tinggi terhadap UU PDP menjadi penting untuk dipenuhi. Karena akan berdampak, di mana perguruan tinggi dapat memproses, sekaligus memanfaatkan data pribadi yang berada di bawah kendalinya untuk kepentingan institusi, dan sivitas akademikanya secara optimal.

Selain itu, kepatuhan juga akan menghindarkan perguruan tinggi dari kemungkinan sanksi UU PDP yang dapat sangat mengganggu operasional institusi itu, dan kemungkinan risiko lainnya berupa gugatan ganti rugi perdata pihak ketiga.

Sanksi UU PDP atas pelanggaran yang dilakukan badan hukum bervariasi.

Bab VIII tentang Sanksi Administratif dalam Pasal 57 UU PDP, mengatur tentang sanksi administratif berupa, peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, dan/atau denda administratif.

Selain itu sanksi berupa denda administratif, adalah hal yang sangat signifikan bagi Pengendali Data. Berupa denda administratif paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan, terhadap variabel pelanggaran. Jumlahnya tentu bisa sangat tinggi.

Sanksi administratif, nantinya akan dijatuhkan oleh Lembaga Pelaksana Pelindungan Data Pribadi, Lembaga yang akan dibentuk sebagai amanat UU PDP yang berada langsung di bawah Presiden. Lembaga itu sampai saat ini belum terbentuk.

Selain itu, UU PDP juga mengenal adanya sanksi pidana yang sifatnya ultimum remidium.

Manajemen data dan pengawasan

Sebagai pengendali data, UU PDP memberikan kemungkinan untuk pemrosesan data, prosesor data pribadinya ditangani sendiri oleh perguruan tinggi dimaksud, atau menunjuk pihak lain sesuai pasal 51 UU PDP.

Perguruan tinggi saat ini tentu telah memiliki pelaksana pengelola data sebagai unit eksisting yang termasuk menangani data pribadi.

Pascaberlakunya UU PDP, perguruan tinggi sebagai pengendali data tidak cukup hanya memiliki unit eksekutif manajemen data pribadi atau yang lazim disebut Chief Privacy Officer (CPO).

Bagi perguruan tinggi yang memenuhi kriteria pasal 53, yaitu yang melaksanakan pemrosesan Data Pribadi untuk kepentingan pelayanan publik, kemudian kegiatan intinya memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar, maka memiliki CPO saja tidaklah cukup.

UU PDP mewajibkan untuk memiliki unit lain yang sifatnya sebagai pengawas Pelindungan Data Pribadi, yang disebut disebut pejabat atau petugas yang melaksanakan fungsi pelindungan Data Pribadi yang dalam praktik global unit ini dikenal dengan sebutan Data Protection Officer (DPO).

Seperti halnya UU PDP, DPO juga diwajibkan keberadaannya oleh General Data Protection Regulation (GDPR) bagi negara-negara Uni Eropa.

Bahkan dalam praktik, badan hukum dan korporasi di negara yang tak tunduk terhadap GDPR juga banyak yang mengikuti pola manajemen DPO ini dalam organisasinya.

DPO dan CPO

Keberadaan fungsi yang sama dengan DPO diatur pada Bagian Keempat UU PDP. UU PDP memberi nama fungsi itu sebagai "Pejabat atau Petugas yang Melaksanakan Fungsi Pelindungan Data Pribadi" yang diatur pada pasal 53 jo. 54 UU PDP.

Baca juga: DPO: Penyelamat Korporasi dari Sanksi Berat UU PDP

Perlu diketahui, dalam melaksanakan tugas dan fungsinya, DPO dan CPO memiliki peran sangat berbeda. CPO adalah unit eksekutif yang mengelola manajemen kebijakan, teknis dan operasional.

Andrada C, dalam artikelnya berjudul "DPO vs. CPO: Compliance Roles at Glance, Endpoint Protrector" (30/10/2020), menyatakan bahwa CPO memiliki peran strategis sebagai eksekutif yang memimpin pengendalian dan pemrosesan data pribadi, sesuai dengan tujuan privasi organisasi.

CPO berperan aktif dalam mengelola kebijakan privasi, tata kelola, dan pelaksana yang mematuhi regulasi.

Sedangkan DPO justru bertindak sebagai unit independen untuk menjaga kepatuhan, sebagai penasihat dan pengawas PDP.

DPO juga menjadi narahubung dengan pihak regulator PDP dan terus memonitor perkembangan kebijakan dan regulasi, bahkan memberikan masukan kepada regulator dalam pembentukan regulasi.

DPO tidak memiliki kewenangan pengambilan keputusan eksekutif seperti layaknya CPO. DPO memberi informasi dan petunjuk kepada unit operasional tentang persyaratan kepatuhan, hasil audit, dan area yang memerlukan peningkatan.

Sebagai pengawas kepatuhan yang sifatnya "independen" DPO tidak dapat melaksanakan operasional kebijakan PDP secara langsung karena bukan eksekutif.

Perguruan tinggi

Perguruan tinggi harus mengoptimalkan kedua unit ini, yaitu DPO sebagai pengawas dan penjamin kepatuhan, dan CPO sebagai unit teknis eksekutif untuk melaksanakan fungsi manajemen pelindungan dan dan pemrosesan data pribadi sesuai UU PDP.

DPO di Perguruan Tinggi, seperti halnya di korporasi pada umumnya, tidak memiliki kewenangan pengambilan keputusan eksekutif seperti CPO.

DPO memberi tahu manajer tentang persyaratan kepatuhan, hasil audit, dan area yang memerlukan peningkatan, tetapi mereka tidak dapat menerapkan kebijakan apa pun secara langsung.

Kekuatan eksekusi ada di tangan CPO, untuk penerapan strategi perlindungan data dan menghasilkan kebijakan konkret, dalam memenuhi kebutuhan ekosistem kepatuhan dan perlindungan data pribadi.

DPO dan CPO sangat erat terkait dengan keterampilan teknologi. Para digital talent jika ditempatkan di CPO akan sangat baik dan akan mendapat manfaat dari latar belakang teknologi. SDM CPO dapat dipilih dari berbagai latar belakang.

Individu yang mudah beradaptasi dengan teknologi digital dan mampu menjadi komunikator dan melek digital adalah hal penting. Dalam praktik global, CPO adalah eksekutif tingkat senior.

Berbeda dengan CPO, berkaca dari praktik di Uni Eropa, untuk DPO selain memiliki kapasitas manajerial ditekankan SDM yang memiliki keahlian lain atau latar belakang hukum.

Bidang hukum yang cocok khususnya Cyberlaw, kekayaan intelektual (trade secrets) dan transformasi digital, agar dapat melaksanakan tanggung jawab mereka secara efisien.

DPO dalam praktik bertanggung jawab langsung ke pimpinan tertinggi. Untuk perguruan tinggi, maka DPO harus berada dan bertanggung jawab langsung kepada rektor atau pimpinan tertinggi universitas.

Mengingat peran CPO sangat berbeda secara signifikan dengan DPO, maka kedua tugas, fungsi keduanya tidak boleh dikacaukan atau digabungkan, dalam satu unit organisasi yang sama. Keduanya harus berada pada struktur entitas organisasi yang terpisah satu dengan lainnya.

Praktik di Uni Eropa yang menerapkan GDPR secara ketat, otoritas Data Pribadi, dapat mengenakan sanksi denda jika terjadi penggabungan keduanya oleh korporasi atau pengendali Data.

Sebagai kesimpulan, perguruan tinggi sebagai pengendali data pribadi dan juga Kementerian Pendidikan, Kebudayaan, Riset dan Teknologi, perlu segera mempersiapkan semua infrastruktur, dan mekanisme organisasi dan manajemennya dalam menghadapi masa transisi UU PDP, khususnya pembentukan CPO dan DPO yang kompeten, didukung SDM berkualitas.