DPO: Penyelamat Korporasi dari Sanksi Berat UU PDP

DPO, selama ini dikenal luas secara global. Sebagaimana dilansir laman resmi European Commission, DPO memiliki tugas dan fungsi penting dan strategis berdasarkan General Data Protection Regulation (GDPR), untuk memastikan secara independen penerapan Regulasi data pribadi (EU) 2018/1725.

Uni Eropa menekankan kedudukan “independen” DPO. Penekanan ini bertujuan pelindungan optimal korporasi itu sendiri.

Karena kewenangan dan sifat independen, dapat membuat DPO bekerja komprehensif, menjamin kepatuhan di satu sisi, dan mendorong bisnis dan pemanfaatan big data di sisi lain.

Maka jangan heran, jika DPO harus ditempatkan langsung di bawah pimpinan puncak atau di bawah langsung CEO korporasi.

Dalam praktik di AS, pelindungan data pribadi juga menjadi perhatian utama. Dilansir dari Twilio Segment, Data Protection Officer (DPO): A Critical Role for User Privacy (2023), menyatakan pada intinya bahwa ketidaktahuan tentang California Consumer Privacy Act (CCPA), tidak akan menghilangkan sanksi denda.

Hal ini menunjukan bahwa tidak ada alasan pemaaf, atas pelanggaran data pribadi, dengan alasan tidak mengetahui UU.

Korporasi harus mengetahui undang-undang dan peraturan, untuk dapat memastikan kepatuhan dan pengembangan bisnisnya. Asas hukum memang menyatakan bahwa, “setiap orang dianggap tahu hukum”.

Untuk membantu menghindari kasus dan pelanggaran, korporasi perlu menugaskan DPO untuk mengawasi data pribadi dan melakukan tindakan lainnya sesuai UU.

Twilio Segment mengingatkan semua korporasi global, meskipun mungkin tidak tunduk pada GDPR, tetapi harus memiliki petugas perlindungan data, sebagai praktik terbaik pelindungan data.

DPO adalah unit korporasi yang juga bertugas mendiseminasikan pemahaman regulasi pelindungan data pribadi. DPO juga harus memastikan korporasi mematuhi peraturan, dan bertindak sebagai narahubung dengan Lembaga Pelindungan Data Pribadi.

Di Uni Eropa, DPO berperan besar saat pandemi COVID-19. Dilansir dari european.eu, DPO Uni Eropa membuat "joint statement of DPO" yang prinsipnya bahwa pengelolaan pandemi, terkait dengan pemrosesan kategori data khusus, mengenai kesehatan.

DPO di Uni Eropa, memainkan peran utama dalam menilai kepatuhan pemrosesan dengan prinsip-prinsip perlindungan data secara proporsional dan sesuai kebutuhan.

Negara-negara di dunia di saat pandemi, memang harus menomorsatukan keselamatan jiwa, dan kehidupan sosial masyarakat.

Kondisi darurat dan keadaan kahar, telah memberikan kewenangan kepada Pemerintah, termasuk soal data pribadi, untuk penyelamatan warganya dalam keadaan pandemi.

Dengan demikian penggunaan data pribadi secara khusus, menjadi relevan sepanjang diperuntukan untuk menjamin keselamatan publik, kepentingan umum, kesehatan, dan kehidupan sosial masyarakat.

Tanggung jawab dan wewenang DPO

Sebagaimana dirilis gdpr-info.eu, GDPR dalam Art 39 tentang Tasks of the data protection officer mengatur tentang tugas dan wewenang petugas pelindungan data yang meliputi:

Pertama, untuk memberi tahu pengendali atau prosesor data, dan karyawan yang melakukan pemrosesan terkait kewajiban mereka, sesuai dengan ketentuan GDPR, dan ketentuan perlindungan data lainnya.

DPO juga harus terus memantau kepatuhan terhadap regulasi, dan mengetahui regulasi terbaru, agar korporasi mematuhinya.

Kedua, DPO berwenang memantau kepatuhan terhadap GDPR dan kebijakan pengendali atau prosesor data pribadi.

Di dalamnya termasuk peningkatan kesadaran dan pelatihan staf yang terlibat dalam pemrosesan operasi dan audit. Masalah peningkatan kesadaran di kalangan karyawan dan program pelatihan adalah hal penting.

Ketiga, untuk memberikan nasihat jika diminta, sehubungan dengan penilaian dampak perlindungan data, dan memantau kinerjanya, dan bekerja sama dengan otoritas pengawas pelindungan data.

Keempat, bertindak sebagai narahubung dengan otoritas pengawas mengenai masalah yang berkaitan dengan pemrosesan, termasuk konsultasi dan untuk berkonsultasi, jika perlu, sehubungan dengan masalah lainnya.

Kelima, DPO dalam melaksanakan tugasnya harus memperhatikan risiko yang terkait dengan operasi pemrosesan, dengan mempertimbangkan sifat, ruang lingkup, konteks, dan tujuan pemrosesan.

Tugas DPO juga untuk memelihara dan mengevaluasi strategi, tata kelola, dan praktik pengumpulan data untuk korporasi.

Hal ini penting untuk memastikan bahwa korporasi sanggup menghadapi berbagai tantangan dan perubahan, termasuk modus cybercrime dan hacker.

Kompetensi

Siapa yang paling cocok menjadi DPO? Tentu mengingat fungsi data sebagai “new oil”, maka yang paling tepat adalah gabungan tim yang memiliki komitmen memajukan bisnis perusahaan, inovatif, berwawasan monetisasi big data secara legal, dan berpandangan jauh ke depan, dengan tetap memenuhi kepatuhan, governance, dan pemahaman teknologi dan hukum.

Dengan demikian, keberadaan DPO akan membuat korporasi lebih siap menghadapi berbagai regulasi baik eksiting maupun yang akan datang, dengan tetap memegang komitmen kuat pelindungan data internal maupun eksternal untuk kemajuan usaha dan industri yang dibangun.

Twilio Segment, mengibaratkan DPO sebagai pengontrol lalu lintas udara. Pengontrol lalu lintas udara memantau semua pesawat di wilayah udara mereka, dan membantu memastikan bahwa setiap pesawat dengan aman sampai ke tempat yang seharusnya.

Jika bandara tidak memiliki pengatur lalu lintas udara, maka akan terjadi kekacauan. Jika organisasi berkomitmen terhadap privasi data, maka DPO dapat membantu mengarahkan praktik data pribadi untuk mengurangi kekacauan.

Korporasi yang wajib memiliki DPO

Lalu korporasi seperti apa yang memerlukan DPO? Pasal 37 GDPR mengatur, DPO diperlukan jika data yang dikumpulkan membutuhkan pemantauan reguler dan sistematis terhadap subjek data dalam skala besar.

Meskipun banyak korporasi yang tidak tunduk pada yurisdiksi GDPR, tetapi praktik terbaik ini banyak diikuti. Karena DPO akan sangat membantu untuk menjaga kepatuhan korporasi dan terus memacu pertumbuhan bisnisnya dengan pasti.

Bagaimana dengan Indonesia? Pasal 53 ayat (1) UU PDP menegaskan bahwa Pengendali Data Pribadi dan Prosesor Data Pribadi wajib menunjuk pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi.

Kewajiban ini berlaku dalam hal pemrosesan Data Pribadi untuk kepentingan pelayanan publik, memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur, dan sistematis, dengan skala besar.

UU PDP juga mewajibkan keberadaan DPO, jika kegiatan inti Pengendali Data Pribadi, terdiri dari pemrosesan Data Pribadi dalam skala besar, untuk Data Pribadi yang bersifat spesifik, dan/atau Data Pribadi, yang berkaitan dengan tindak pidana

Fungsi DPO akan memberikan jaminan dan ketenangan bagi Perseroan karena mengawasi pelindungan data pribadi secara aktif, sekaligus menjadi penjaga korporasi dari risiko pelanggaran.

Di Indonesia fungsi DPO sebagai penjaga korporasi terdapat pada Pasal 54 ayat (1) ayat (2) dan ayat (3) UU PDP.

Lalu siapa yang dapat ditunjuk sebagai DPO? UU PDP pada pasal 53 ayat (2) dan ayat (3) pasal 53 ayat (1) dan ayat (2) menyatakan, Pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi ditunjuk berdasarkan profesionalitas, pengetahuan mengenai hukum, praktik Pelindungan Data Pribadi, dan kemampuan untuk memenuhi tugas-tugasnya.

DPO sendiri dapat berasal dari dalam dan/atau luar Pengendali Data Pribadi atau Prosesor Data Pribadi.

Sudah saatnya korporasi mempersiapkan diri untuk memasuki berakhirnya masa transisi UU PDP tahun depan.

Korporasi perlu memiliki Peraturan Perusahaan tentang Data Pribadi, Organisasi DPO yang andal, dan Kebijakan Data Pribadi yang sejalan dan memenuhi syarat sesuai UU PDP.