Pentingnya Peran Data Protection Officer dalam Suatu Perusahaan
Kolom

Pentingnya Peran Data Protection Officer dalam Suatu Perusahaan

Tugas utama seorang Data Protection Officer adalah untuk memastikan kepatuhan perusahaan terhadap UU Pelindungan Data Pribadi yang berlaku.

Bacaan 2 Menit
Danny Kobrata. Foto: Istimewa
Danny Kobrata. Foto: Istimewa

Sejak awal tahun 2020, pemerintah dan DPR sudah secara intensif membahas RUU Pelindungan Data Pribadi. Pembahasan RUU ini ditargetkan akan selesai dalam tahun ini. Apabila berlaku, perusahaan-perusahaan yang beroperasi di Indonesia akan wajib untuk tunduk pada norma-norma hukum baru yang diatur di dalam UU Pelindungan Data Pribadi ini.

Di antara beberapa kewajiban yang diatur UU Pelindungan Data Pribadi, salah satu kewajiban yang cukup penting adalah kewajiban untuk menunjuk Data Protection Officer atau di dalam RUU Pelindungan Data Pribadi disebut sebagai Pejabat atau Petugas yang Melaksanakan Fungsi Pelindungan Data Pribadi (untuk kepentingan artikel ini akan disingkat sebagai DPO).

Penunjukkan DPO merupakan pelaksanaan dari asas akuntabilitas perusahaan di dalam melindungi data pribadi yang diatur di dalam RUU Pelindungan Data Pribadi. Kewajiban penunjukkan DPO ini juga mengadopsi kewajiban serupa yang berlaku di beberapa negara lain seperti di negara-negara Uni Eropa dan beberapa negara di Asia yang sudah lebih dulu memiliki legislasi di bidang perlindungan data pribadi.

Namun sayangnya, kewajiban penunjukkan DPO ini sering luput dari perhatian dan diskusi pubik di Indonesia. Padahal, peran dari seorang DPO sangat penting di dalam suatu perusahaan. Tanpa adanya DPO kepatuhan terhadap UU Pelindungan Data Pribadi akan sulit berjalan secara efektif.

Perusahaan yang wajib menunjuk DPO

Berdasarkan RUU Pelindungan Data Pribadi, tidak semua perusahaan wajib menunjuk DPO. Kewajiban menunjuk DPO hanya berlaku bagi perusahaan dalam hal tertentu. Hal tertentu yang dimaksud di dalam RUU Pelindungan Data Pribadi adalah (i) dalam hal pemrosesan data pribadi untuk kepentingan pelayanan publik (seperti lembaga pemerintahan); (ii) apabila kegiatan inti perusahaan memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas data pribadi dengan skala besar; dan (iii) apabila kegiatan inti perusahaan terdiri dari pemrosesan data pribadi dalam skala besar untuk data pribadi yang bersifat spesifik dan/atau terkait dengan tindak pidana.

RUU Pelindungan Data Pribadi sendiri tidak memberikan kriteria yang definitif bagi perusahaan sehingga menjadi wajib menunjuk DPO (misalnya kewajiban ini berlaku bagi perusahaan yang mengelola lebih dari 100 data pribadi dan lain sebagainya). Oleh sebab, itu perusahaan harus melakukan penilaian secara mandiri untuk menentukan apakah ia masuk ke dalam kriteria yang disebutkan di atas.

Perlu diingat bahwa dalam melakukan penilaian mandiri tersebut, suatu perusahaan wajib mempertimbangkan beberapa hal. Pertama, perusahaan harus mempertimbangkan berapa besar jumlah data pribadi yang diproses. Semakin besar jumlah data pribadi yang diproses, semakin besar juga kemungkinan perusahaan tersebut menjadi tunduk pada kewajiban untuk menunjuk DPO. Apalagi apabila pemrosesan tersebut melibatkan data yang sifatnya spesifik/sensitif.

Tags:

Berita Terkait