KEBERADAAN Petugas Pejabat Pelindung Data Pribadi atau dikenal dengan Data Protection Officer (DPO) penting bagi korporasi dan badan-badan publik dalam rangka melaksanakan UU 27/2022 tentang Pelindungan Data Pribadi (UU PDP).
DPO yang kompeten, profesional, independen, dan bebas dari konflik kepentingan adalah kunci keberhasilan.
DPO diproyeksikan tidak hanya melindungi hak-hak subjek data, tetapi juga membantu korporasi memanfaatkan data secara optimal dengan tanpa melanggar hukum.
Pelanggaran terhadap UU PDP adalah hal yang harus dihindari. Apalagi Pasal 57 ayat (3) UU PDP mengancam sanksi berupa denda administratif, paling tinggi 2 persen dari pendapatan atau penerimaan tahunan korporasi terhadap variabel pelanggaran.
DPO yang akan berperan sebagai unit pencipta ekosistem penggunaan data pribadi secara aman dan patuh hukum.
Unit ini berfungsi mencegah terjadinya risiko hukum, sanksi finansial, dan hilangnya reputasi korporasi, akibat kegagalan pelindungan data ribadì.
Semua pengelola korporasi dan badan publik, baik eksekutif, legislatif, dan yudikatif harus memahami bahwa eksistensi DPO sangat esensial bagi entitas bisnis yang mengelola data pribadi.
DPO adalah hal baru yang diwajibkan pascadiberlakukannya UU PDP yang akan berakhir masa transisinya pada Oktober 2024.
DPO berperan memastikan kepatuhan organisasi terhadap UU PDP. Agar dapat menjalankan tugasnya secara efektif, maka penting diterapkannya prasyarat independen dan bebas dari konflik kepentingan.
Lalu siapa saja yang wajib memiliki DPO? UU PDP menegaskan dalam Pasal 53 ayat (1), antara lain mewajibkan badan publik yang melakukan pemrosesan Data Pribadi untuk kepentingan pelayanan publik.
Kemudian jika kegiatan inti Pengendali Data Pribadi memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis dengan skala besar.
Selanjutnya, jika kegiatan inti Pengendali Data Pribadi terdiri dari pemrosesan Data Pribadi spesifik skala besar, dan/atau Data Pribadi yang berkaitan dengan tindak pidana.
Tugas utama DPO diatur dalam Pasal 54 UU PDP. Meliputi pemberian saran kepada pengendali, atau prosesor data pribadi, memantau kepatuhan terhadap UU PDP, serta menjadi nara hubung (PIC) antara korporasi dengan Lembaga Pelindungan Data Pribadi Pemerintah.
DPO memiliki fungsi strategis, karena tidak hanya bertugas memastikan kepatuhan hukum, tetapi juga memantau, mengelola, dan memitigasi risiko yang berkaitan dengan pelindungan data pribadi.
Pasal 53 ayat(3) UU PDP memperbolehkan DPO berasal dari dalam maupun luar organisasi. DPO dari luar dikenal dengan DPO as a service (DPOaas). Model ini efisien untuk model holding atau grup perusahaan. Namun, independensi dan non-konflik kepentingan tetap harus dijaga.
Independensi dan konflik kepentingan
Dalam praktik global, independensi dan non-konflik kepentingan bagi DPO merupakan salah satu prinsip utama. Prinsip yang diintroduksi GDPR Uni Eropa menjadi rujukan global.
GDPR menetapkan, DPO harus bekerja secara independen untuk memastikan bahwa pelindungan data pribadi dilaksanakan sesuai dengan peraturan berlaku (Pasal 38 (3)).
Norma yang sebangun terdapat dalam RPP PDP pasal 170 ayat (1) huruf b dan c. Pasal ini menegaskan bahwa Pejabat Petugas Pelindung Data Pribadi harus memiliki akses pelaporan ke tingkat manajemen tertinggi.
Pejabat Petugas Pelindung Data Pribadi juga harus dipastikan dapat beroperasi secara objektif, dan tidak diberhentikan atau dihukum karena menjalankan tugasnya sesuai dengan ketentuan peraturan perundang-undangan.
DPO juga tidak boleh terlibat dalam konflik kepentingan. Dalam arti tidak boleh memiliki peran atau tanggung jawab lain dalam organisasi yang dapat menimbulkan konflik kepentingan (GDPR, Pasal 38 ayat 6).
DPO tidak boleh menjadi bagian dari departemen yang terlibat dalam pemrosesan data pribadi, seperti departemen pemasaran atau teknologi informasi pemroses data.
Hal ini penting untuk memastikan bahwa DPO dapat menjalankan tugasnya tanpa tekanan atau pengaruh dari pihak lain yang terlibat langsung dalam pemrosesan data.
DPO juga harus independen dan melapor langsung kepada tingkat manajemen tertinggi dalam organisasi (GDPR, Pasal 38 ayat 3).
Model seperti ini memberikan jaminan bahwa DPO dapat memberikan saran yang objektif dan tidak terpengaruh oleh kepentingan internal lainnya.
Hal lainnya adalah organisasi harus menyediakan sumber daya yang memadai bagi DPO untuk melaksanakan tugasnya dengan efektif (GDPR, Pasal 38 ayat 2).
Sumber daya ini mencakup akses terhadap informasi, dukungan administratif, serta kesempatan untuk pengembangan keterampilan dan pengetahuan yang relevan.
Konflik kepentingan terjadi ketika DPO memiliki tanggung jawab ganda yang dapat memengaruhi objektivitasnya dalam menjalankan tugas pelindungan data pribadi.
Dalam RPP tentang Pelaksanaan UU PDP masalah konflik kepentingan terdapat pada pasal 170 ayat (2).
Saat DPO juga menjalankan tugas pemrosesan data pribadi, maka akan menimbulkan dilema saat menilai kepatuhan departemennya sendiri. Situasi semacam ini tidak hanya dapat merusak integritas peran DPO, tetapi juga berisiko menyebabkan pelanggaran terhadap UU PDP.
Independensi dan bebas dari konflik kepentingan adalah elemen kunci dalam menjalankan peran DPO yang efektif di bawah UU PDP.
DPO diproyeksikan tidak hanya berfungsi sebagai penjaga kepatuhan, tetapi juga sebagai mitra strategis dan konsultan internal korporasi di bidang PDP.
Dengan memastikan bahwa DPO dapat bekerja secara mandiri, tanpa tekanan, dan terbebas konflik kepentingan, maka DPO akan menjadi penjaga kepatuhan dalam pemanfaatan data sebagai New Oil.
Keberadaan DPO bukanlah untuk menghambat proses dan pertumbuhan bisnis korporasi. Fungsi DPO secara preventif justru dimaksudkan agar korporasi dapat memanfaatkan data dan big data sebagai New Oil secara optimal.
DPO akan dianggap sukses jika bisa mengantarkan korporasi mengoptimalkan penggunaan data dan mencegahnya dari risiko hukum, finansial, dan terdisrupsinya reputasi akibat kasus pelanggaran data pribadi.
Dapatkan update berita pilihan dan breaking news setiap hari dari Kompas.com. Mari bergabung di Grup Telegram "Kompas.com News Update", caranya klik link https://t.me/kompascomupdate, kemudian join. Anda harus install aplikasi Telegram terlebih dulu di ponsel.