Korporasi Perlu Segera Tunjuk "Data Protection Officer" Sesuai Ketentuan UU PDP

Dalam praktik di berbagai negara, DPO memiliki peran penting. Keberadaan dan model DPO dalam praktik Uni Eropa (UE) dijelaskan oleh Data Protection Supervisor EU, yang membagikan informasi dengan judul: Data Protection Officer (DPO). Dari uraian itu dapat dikemukakan hal-hal sebagai berikut:

Pertama, peran utama DPO adalah untuk memastikan bahwa organisasi telah memproses data pribadi staf, pelanggan, penyedia atau subyek data pribadi sesuai dengan regulasi. Karena itu, penunjukan DPO harus didasarkan pada kualitas pribadi dan profesionalitas, dan secara spesifik memiliki keahlian di bidang perlindungan data. Di samping itu, punya pemahaman yang baik tentang operasi organisasi juga dianjurkan.

Kedua, Uni Eropa menekankan bahwa DPO adalah bagian integral dari organisasi. Hal ini ideal untuk memastikan kepatuhan. DPO juga harus mampu menjalankan tugasnya secara independen.

Uni Eropa sendiri menjamin independensi melalui berbagai regulasi yang berlaku untuk lembaga dan badan Uni Eropa, yang secara tegas menetapkan bahwa DPO tidak akan menerima instruksi apapun terkait pelaksanaan tugasnya. Di samping itu, tidak boleh ada konflik kepentingan antara tugas individu sebagai DPO dengan tugas lainnya jika ada.

Ketiga, untuk menghindari konflik kepentingan, disarankan agar DPO juga tidak boleh menjadi pengontrol kegiatan pemrosesan data. DPO tidak boleh menjadi karyawan dengan kontrak jangka pendek, artinya harus pegawai tetap.

DPO juga tidak boleh melapor kepada atasan langsung yang bukan manajemen puncak. Dalam kondisi ini, tampaknya mereka lebih menginginkan agar DPO bertanggung jawab langsung kepada pimpinan tertinggi korporasi.

Keempat, DPO harus memiliki tanggung jawab untuk mengelola anggarannya sendiri. Organisasi harus memfasilitasi staf dan sumber daya untuk mendukung DPO dalam menjalankan tugasnya.

DPO juga harus memiliki kewenangan untuk melakukan penyelidikan di semua lembaga dan unit. Di samping itu DPO memiliki akses langsung ke semua data pribadi dan operasi pemrosesan data.

Kelima, jangka waktu minimum pengangkatan dan persyaratan untuk pemberhentian harus ditetapkan secara ketat oleh organisasi untuk jabatan DPO. Di lembaga dan badan Uni Eropa, DPO diangkat untuk jangka waktu antara tiga sampai lima tahun, dan dapat diangkat kembali.

DPO harus memastikan bahwa aturan perlindungan data pribadi dihormati, dan bekerja sama dengan otoritas perlindungan data Uni Eropa. Selain itu harus memastikan bahwa pengendali data dan subyek data memahami hak, kewajiban, dan tanggung jawab perlindungan data mereka dan meningkatkan kesadaran terkait pelindungan data.

Terakhir, DPO juga berwenang memberikan saran dan rekomendasi kepada institusi tentang interpretasi atau penerapan aturan perlindungan data. DPO juga menangani pertanyaan atau keluhan orang kepada pengendali data pribadi, lembaga atas inisiatifnya sendiri.

Regulasi Indonesia

BUMN dan korporasi pada umumnya, serta badan publik sebagai pengendali data pribadi perlu segera mempersiapkan DPO, yang dalam UU PDP disebut sebagai pejabat atau petugas yang melaksanakan perlindungan data pribadi. Pasal 53 UU PDP mengatur hal tersebut sebagai berikut:

Pertama, pengendali dan prosesor data pribadi wajib menunjuk pejabat atau petugas yang melaksanakan fungsi perlindungan data pribadi dalam hal: pemrosesan data pribadi untuk kepentingan pelayanan publik; kegiatan inti pengendali data pribadi memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur, dan sistematis, dengan skala besar; termasuk jika kegiatan inti pengendali data pribadi, terdiri dari pemrosesan data pribadi dalam skala besar, untuk data pribadi yang bersifat spesifik, dan/atau data pribadi yang berkaitan dengan tindak pidana.

Kedua, pejabat atau petugas yang melaksanakan fungsi perlindungan data pribadi ditunjuk berdasarkan profesionalitas, memiliki pengetahuan hukum praktik perlindungan data pribadi, dan kemampuan untuk memenuhi tugas-tugasnya. Mereka dapat berasal dari dalam atau luar pengendali atau prosesor data pribadi.

Ketiga, Pasal 54 UU PDP menyatakan pejabat atau petugas yang melaksanakan fungsi perlindungan data pribadi memiliki tugas paling sedikit menginformasikan dan memberikan saran kepada pengendali atau prosesor data pribadi agar mematuhi ketentuan UU PDP.

Mereka juga harus memantau dan memastikan kepatuhan terhadap UU PDP dan kebijakan pengendali atau prosesor data pribadi, termasuk memberikan saran mengenai penilaian dampak perlindungannya dan memantau kinerja pengendali dan prosesor data pribadi, berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesannya.

Dalam melaksanakan tugas tersebut pejabat atau petugas yang melaksanakan fungsi perlindungan data pribadi memperhatikan risiko, terkait pemrosesan data pribadi dengan mempertimbangkan sifat, ruang lingkup, konteks, dan tujuan pemrosesan dimaksud.

Masa Transisi

Meskipun UU PDP memberikan tenggang waktu dua tahun untuk masa transisi penyesuaian, tetapi pembentukan pejabat atau petugas yang melaksanakan fungsi perlindungan data pribadi perlu segera dilakukan dalam masa transisi. Hal ini akan memudahkan BUMN, korporasi pada umumnya, serta badan publik baik ekesekutif, legislatif dan yudikatif dalam melaksanakan manajemen pelindungan data pribadi, dan kepatuhan atas UU PDP.

Apalagi jika BUMN atau korporasi tersebut memiliki jaringan bisnis global dan kegiatan transfer data internasional yang pemrosesan datanya bersentuhan dengan UU PDP negara lain, seperti misalnya GDPR Uni Eropa.