CDO, CPO, DPO, dan Masa Transisi Perlindungan Data Pribadi Korporasi

Korporasi sebagai pengendali data pribadi memiliki waktu dua tahun untuk menyesuaikan kebijakan dan pemrosesan data pribadinya sampai pada 17 Oktober 2024. Penyesuaian regulasi, kebijakan internal, dan keberadaan unit pemrosesan dan pengawas data pribadi dalam organisasi, akan menolong korporasi dari masalah kebocoran data dan tanggung jawab hukum yang lebih serius.

Indonesia telah memiliki UU PDP. Namun seperti halnya regulasi data di berbagai negara, peraturan itu merupakan realitas baru. Seperti dikemukakan Steven Cavey dalam artikelnya, “How Global Data Privacy Laws Are Changing the CDO Role” (2020), realitas baru ini membutuhkan kedalaman pengetahuan terkait kepatuhan, hukum, keamanan, dan privasi.

Cavey mengatakan, kegagalan mematuhi berbagai regulasi yang berkembang oleh suatu organisasi, tidak hanya memiliki implikasi keuangan seperti denda, kehilangan pangsa pasar, bahkan nilai saham, tetapi juga bisa merusak kepercayaan yang dibangun perusahaan.

Masa Transisi

Apa yang harus dilakukan korporasi di Indonesia dalam masa transisi UU PDP? Pertama, Pasal 74 UU PDP menyatakan, pada saat UU ini mulai berlaku, pengendali data pribadi, prosesor data pribadi, dan pihak lain yang terkait dengan pemrosesan data pribadi wajib menyesuaikan dengan ketentuan pemrosesan data pribadi berdasarkan UU ini paling lama dua tahun sejak UU diundangkan.

Kedua, karena UU PDP diundangkan pada 17 Oktober 2O22, maka batas waktu penyesuaian korporasi akan jatuh pada tanggal 17 Oktober 2024. Semua korporasi, wajib mere-evaluasi semua regulasi, kebijakan internal, dan tata kelola unit-unit organisasi eksisting terkait pelindungan data pribadi, dan menyesuaikannya dengan UU PDP.

Hal itu perlu dilakukan agar korporasi tidak hanya dapat menjalankan pemrosesan yang memenuhi tujuan bisnis yang aman, prinsip akuntabilitas, corporate governance, tetapi juga menjalankannya sesuai UU PDP.

Ketiga, langkah penyesuaian korporasi sesuai Pasal 74 UU PDP akan menghindarkan risiko korporasi dari sanksi baik administrasi, perdata, maupun pidana. Termasuk di dalamnya ancaman denda dua persen dari pendapatan tahunan sesuai UU PDP.

Langkah memenuhi kepatuhan dan pagar-pagar berupa regulasi dan kebijakan internal korporasi, pada gilirannya akan menyelamatkan korporasi dari risiko hukum akibat kemungkinan dampak kejahatan hacker. Hal ini juga akan menjadi landasan kokoh dan kepastian dalam menghadapi kemungkinan berbagai gugatan pihak ketiga.

CDO dan CPO

Jika korporasi selama ini telah nemiliki chief data officer (CDO) dan belum fokus pada perlindungan privasi, maka perlu melengkapinya dengan chief privacy officer (CPO). Kedua unsur ini memiliki keterkaitan dalam perlindungan informasi secara umum.

Sebagaimana dikemukakan James Howard, dalam tulisan berjudul Aligning The Chiefs: The merging of CDOs and CPOs (2019), CDO berada dalam posisi yang unik karena mereka menyatukan katalog informasi yang tersedia dan peluang yang terus berkembang untuk memberikan nilai bagi organisasi mereka. Mereka bekerja secara obyektif untuk mengelola dan mengatur keseluruhan data perusahaan.

Sementara CPO, adalah bagian yang juga terikat dengan manajemen informasi, khususnya informasi yang dapat diidentifikasi sebagai data pribadi, CPO ditugaskan untuk menerapkan kebijakan, prosedur, dan kontrol untuk penggunaan data oleh organisasi dan menyeimbangkan upaya kepatuhan berdasarkan kewajiban peraturan, etika, dan kontrak.

Menurut Howard, tanggung jawab CPO adalah bagian dari tanggung jawab CDO. Tugas bersama dengan kumpulan data ini memungkinkan organisasi untuk menggabungkan dua posisi menjadi satu.

Pendapat Howard menunjukkan bahwa CDO dan CPO adalah unit eksekutif pengelola data. Hal yang membedakannya adalah CDO melakukan pemrosesan seluruh data (termasuk big data) untuk kepentingan bisnis korporasi, sementara CPO adalah unit eksekutif yang berfokus pada pemrosesan data pribadi.

Howard mengintroduksi kemungkinan menyatukan CDO dan CPO tampaknya untuk efektivitas dan efisiensi.

DPO atau PPDP

Hal yang harus dipahami adalah di samping CDO dan CPO, ada satu unit penting lainnya yang disebut data protection officer (DPO). Baik general data protection regulation (GDPR) maupun UU PDP, telah mewajibkan adanya unit baru DPO ini dalam perlindungan data pribadi.

Dalam UU PDP, DPO dikenal dengan terminologi pejabat atau petugas yang melaksanakan fungsi perlindungan data pribadi (PPDP).

Sekali lagi perlu dipahami bahwa tugas, fungsi, dan peran DPO yang bukan unit eksekutif di bidang pemrosesan data pribadi, sama sekali berbeda dengan CDO dan CPO yang merupakan unit eksekutif pemrosesan data dalam korporasi.

Dilansir GDPR Summary, dalam rilisnya "Data Protection Officer (DPO)", DPO adalah petugas perlindungan data yang bertanggung jawab untuk meninjau dan memantau praktik privasi organisasi mereka.

Lebih lanjut dinyatakan bahwa tugas DPO setidaknya terdiri atas, pertama memberi tahu pengendali atau pemroses data dan karyawan tentang kewajiban mereka sesuai dengan undang-undang perlindungan data yang berlaku.

Kedua, memantau kepatuhan terhadap undang-undang perlindungan data yang berlaku, dan kebijakan internal, termasuk penugasan tanggung jawab, peningkatan kesadaran, dan pelatihan staf yang terlibat dalam aktivitas pemrosesan dan audit terkait.

Ketiga, memberi nasihat tentang penilaian dampak perlindungan data dan memantau kinerjanya. Menjadi narahubung dengan otoritas pengawas data terkait isu-isu yang berkaitan dengan kegiatan pemrosesan data, termasuk konsultasi, berbagai masalah lainnya.

Keempat, DPO harus bertindak secara independen dan bebas dari konflik kepentingan. Hal yang terakhir inilah yang menjadi dasar kenapa DPO harus dipisahkan dari unit CDO dan CPO.

UU PDP

Bagaimana keberadaan DPO dalam UU PDP? Dalam tulisan saya sebelumnya berjudul DPO: Penyelamat Korporasi dari Sanksi Berat UU PDP, dijelaskan bahwa dalam UU PDP fungsi DPO terdapat pada Pasal 54 ayat (1) ayat (2) dan ayat (3) UU PDP.

Selanjutnya Pasal 53 ayat (2) dan ayat (3) pasal 53 ayat (1) dan ayat (2) menyatakan, pejabat atau petugas yang melaksanakan fungsi perlindungan data pribadi ditunjuk berdasarkan profesionalitas, pengetahuan mengenai hukum, praktik perlindungan data pribadi, dan kemampuan untuk memenuhi tugas-tugasnya.

Menurut UU PDP, PPDP sendiri dapat berasal dari dalam dan/atau luar pengendali data pribadi atau prosesor data pribadi.

Bercermin pada isu kebocoran data yang terus bergulir, sudah saatnya korporasi membuat langkah penyesuaian, tanpa perlu menunggu batas waktu transisi. Hal ini perlu dilakukan mengingat isu kebocoran data terus terjadi dan berpotensi memengaruhi kinerja korporasi.

UU PDP boleh dikatakan sangat detail, sehingga banyak hal bisa langsung operasional. Berdasarkan hal ini maka korporasi akan lebih mudah melakukan penyesuaiannya saat ini.

Meskipun demikian, UU PDP juga mengamanatkan peraturan pelaksanaan berupa peraturan pemerintah dan peraturan presiden. Pemerintah, dalam hal ini Kementerian Kominfo, saat ini tengah mempersiapkan peraturan pelaksanaan UU PDP.

Peraturan implementasi itu, seyogyanya dapat segera lahir, mengingat peraturan pelaksanaan itu terkait dengan eksistensi Lembaga Pelindungan Data Pribadi (LPPDP) yang merupakan otoritas sentral PDP.