Korporasi Perlu Segera Tunjuk "Data Protection Officer" Sesuai Ketentuan UU PDP

BADAN Usaha Milik Negara (BUMN), korporasi pada umumnya, dan badan publik perlu segera menetapkan petugas pelaksana perlindungan data pribadi (data protection officer) atau yang secara internasional biasa disingkat DPO. Hal ini wajib dipenuhi sebagai konsekuensi telah diberlakukannya Undang-Undang Nomor 27 Tahun 2022 Tentang Perlindungan Data Pribadi (UU PDP).

Dalam praktik di berbagai negara, DPO memiliki peran penting. Keberadaan dan model DPO dalam praktik Uni Eropa (UE) dijelaskan oleh Data Protection Supervisor EU, yang membagikan informasi dengan judul: Data Protection Officer (DPO). Dari uraian itu dapat dikemukakan hal-hal sebagai berikut:

Baca juga: Hak-hak Setiap Subyek Data Pribadi yang Perlu Dipahami

Pertama, peran utama DPO adalah untuk memastikan bahwa organisasi telah memproses data pribadi staf, pelanggan, penyedia atau subyek data pribadi sesuai dengan regulasi. Karena itu, penunjukan DPO harus didasarkan pada kualitas pribadi dan profesionalitas, dan secara spesifik memiliki keahlian di bidang perlindungan data. Di samping itu, punya pemahaman yang baik tentang operasi organisasi juga dianjurkan.

Kedua, Uni Eropa menekankan bahwa DPO adalah bagian integral dari organisasi. Hal ini ideal untuk memastikan kepatuhan. DPO juga harus mampu menjalankan tugasnya secara independen.

Uni Eropa sendiri menjamin independensi melalui berbagai regulasi yang berlaku untuk lembaga dan badan Uni Eropa, yang secara tegas menetapkan bahwa DPO tidak akan menerima instruksi apapun terkait pelaksanaan tugasnya. Di samping itu, tidak boleh ada konflik kepentingan antara tugas individu sebagai DPO dengan tugas lainnya jika ada.

Ketiga, untuk menghindari konflik kepentingan, disarankan agar DPO juga tidak boleh menjadi pengontrol kegiatan pemrosesan data. DPO tidak boleh menjadi karyawan dengan kontrak jangka pendek, artinya harus pegawai tetap.

DPO juga tidak boleh melapor kepada atasan langsung yang bukan manajemen puncak. Dalam kondisi ini, tampaknya mereka lebih menginginkan agar DPO bertanggung jawab langsung kepada pimpinan tertinggi korporasi.

Keempat, DPO harus memiliki tanggung jawab untuk mengelola anggarannya sendiri. Organisasi harus memfasilitasi staf dan sumber daya untuk mendukung DPO dalam menjalankan tugasnya.

DPO juga harus memiliki kewenangan untuk melakukan penyelidikan di semua lembaga dan unit. Di samping itu DPO memiliki akses langsung ke semua data pribadi dan operasi pemrosesan data.

Kelima, jangka waktu minimum pengangkatan dan persyaratan untuk pemberhentian harus ditetapkan secara ketat oleh organisasi untuk jabatan DPO. Di lembaga dan badan Uni Eropa, DPO diangkat untuk jangka waktu antara tiga sampai lima tahun, dan dapat diangkat kembali.