Sejak awal tahun 2020, pemerintah dan DPR sudah secara intensif membahas RUU Pelindungan Data Pribadi. Pembahasan RUU ini ditargetkan akan selesai dalam tahun ini. Apabila berlaku, perusahaan-perusahaan yang beroperasi di Indonesia akan wajib untuk tunduk pada norma-norma hukum baru yang diatur di dalam UU Pelindungan Data Pribadi ini.
Di antara beberapa kewajiban yang diatur UU Pelindungan Data Pribadi, salah satu kewajiban yang cukup penting adalah kewajiban untuk menunjuk Data Protection Officer atau di dalam RUU Pelindungan Data Pribadi disebut sebagai Pejabat atau Petugas yang Melaksanakan Fungsi Pelindungan Data Pribadi (untuk kepentingan artikel ini akan disingkat sebagai DPO).
Penunjukkan DPO merupakan pelaksanaan dari asas akuntabilitas perusahaan di dalam melindungi data pribadi yang diatur di dalam RUU Pelindungan Data Pribadi. Kewajiban penunjukkan DPO ini juga mengadopsi kewajiban serupa yang berlaku di beberapa negara lain seperti di negara-negara Uni Eropa dan beberapa negara di Asia yang sudah lebih dulu memiliki legislasi di bidang perlindungan data pribadi.
Namun sayangnya, kewajiban penunjukkan DPO ini sering luput dari perhatian dan diskusi pubik di Indonesia. Padahal, peran dari seorang DPO sangat penting di dalam suatu perusahaan. Tanpa adanya DPO kepatuhan terhadap UU Pelindungan Data Pribadi akan sulit berjalan secara efektif.
Perusahaan yang wajib menunjuk DPO
Berdasarkan RUU Pelindungan Data Pribadi, tidak semua perusahaan wajib menunjuk DPO. Kewajiban menunjuk DPO hanya berlaku bagi perusahaan dalam hal tertentu. Hal tertentu yang dimaksud di dalam RUU Pelindungan Data Pribadi adalah (i) dalam hal pemrosesan data pribadi untuk kepentingan pelayanan publik (seperti lembaga pemerintahan); (ii) apabila kegiatan inti perusahaan memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas data pribadi dengan skala besar; dan (iii) apabila kegiatan inti perusahaan terdiri dari pemrosesan data pribadi dalam skala besar untuk data pribadi yang bersifat spesifik dan/atau terkait dengan tindak pidana.
RUU Pelindungan Data Pribadi sendiri tidak memberikan kriteria yang definitif bagi perusahaan sehingga menjadi wajib menunjuk DPO (misalnya kewajiban ini berlaku bagi perusahaan yang mengelola lebih dari 100 data pribadi dan lain sebagainya). Oleh sebab, itu perusahaan harus melakukan penilaian secara mandiri untuk menentukan apakah ia masuk ke dalam kriteria yang disebutkan di atas.
Perlu diingat bahwa dalam melakukan penilaian mandiri tersebut, suatu perusahaan wajib mempertimbangkan beberapa hal. Pertama, perusahaan harus mempertimbangkan berapa besar jumlah data pribadi yang diproses. Semakin besar jumlah data pribadi yang diproses, semakin besar juga kemungkinan perusahaan tersebut menjadi tunduk pada kewajiban untuk menunjuk DPO. Apalagi apabila pemrosesan tersebut melibatkan data yang sifatnya spesifik/sensitif.
Kedua, perusahaan juga harus menilai seberapa besar peran pemrosesan data pribadi dalam kegiatan perusahaan. Apabila pemrosesan data pribadi merupakan bagian inti atau penting dalam kegiatan perusahaan, maka besar kemungkinan kewajiban untuk menunjuk DPO akan berlaku bagi perusahaan tersebut. Contoh di mana pemrosesan data pribadi merupakan kegiatan inti: pemrosesan data keuangan yang dilakukan bank atau pemrosesan data pemesanan tiket atau perjalanan oleh perusahaan transportasi atau biro perjalanan.
Tugas seorang DPO
Tugas utama seorang DPO adalah untuk memastikan kepatuhan perusahaan terhadap UU Pelindungan Data Pribadi yang berlaku. Segala sesuatu yang terkait dengan pemrosesan data pribadi di dalam suatu perusahaan harus melibatkan DPO. Dan perusahaan wajib berkonsultasi dengan DPO sebelum memberikan keputusan terhadap pemrosesan data pribadi dalam perusahaan tersebut.
Dalam praktiknya, keterlibatan DPO dapat dilakukan dalam beberapa bentuk. Seorang DPO dapat membantu perusahaan dalam merancang dan mengimplementasikan sistem perlindungan data pribadi yang baik di dalam perusahaan. Seorang DPO dapat bekerja sama dengan manajemen perusahaan atau divisi-divisi terkait di dalam perusahaan untuk memastikan pemrosesan sudah sesuai dengan aturan yang berlaku. Misalnya, DPO dapat membantu divisi Human Resources (HR) dalam menyusun kebijakan atau prosedur pengelolaan data pribadi karyawan atau membantu divisi Sales/Marketing dalam memperoleh data pribadi konsumen secara sah.
Di samping itu, DPO juga dapat membantu perusahaan dalam melakukan analisa dampak perlindungan data pribadi atas kebijakan atau produk baru yang akan dikeluarkan oleh perusahaan tersebut. Dengan berkonsultasi terlebih dahulu dengan DPO, maka perusahaan dapat mengetahui aspek perlindungan data pribadi dari kebijakan atau produk yang akan dikeluarkan tersebut. Tujuannya adalah untuk memastikan bahwa kebijakan atau produk yang keluar tersebut tidak bertentangan dengan UU Pelindungan Data Pribadi yang berlaku.
Selain itu, tugas penting lainnya dari seorang DPO adalah berperan sebagai narahubung dari perusahaan dengan pihak ketiga seperti regulator dan pemilik data pribadi (karyawan atau konsumen). Tugas ini penting karena terkait dengan jaminan pelaksanaan hak-hak pemilik data pribadi seperti misalnya, ketika pemilik data pribadi ingin melaksanakan hak akses atas data pribadi, melakukan pembaruan data pribadi, atau meminta penghapusan data pribadi kepada perusahaan. Permintaan-permintaan seperti ini akan ditangani oleh DPO dengan berkoordinasi dengan divisi-divisi terkait seperti divisi IT atau HR dalam suatu perusahaan.
Satu hal yang perlu dicatat adalah DPO berperan secara independen, terlepas dari status DPO yang bisa saja merupakan karyawan pada perusahaan tersebut. Artinya, seorang DPO tidak boleh diatur oleh perusahaan dalam menjalankan tugasnya. DPO wajib memberikan saran sesuai dengan keahliannya. Apabila, suatu kebijakan atau produk dalam suatu perusahaan tidak sesuai dengan aturan pelindungan data pribadi yang berlaku, maka perusahaan tidak bisa memaksa DPO untuk menyetujui kebijakan atau produk baru tersebut.
Siapa saja yang bisa menjadi DPO?
Pada dasarnya, DPO bisa saja bekerja sebagai karyawan pada perusahaan tersebut maupun pihak lain di luar perusahaan yang ditunjuk oleh perusahaan tersebut misalnya konsultan yang bergerak di bidang pelindungan data pribadi. Baik karyawan maupun pihak lain ini harus memenuhi kriteria-kriteria yang ditetapkan oleh RUU Pelindungan Data Pribadi.
RUU Pelindungan Data Pribadi mensyaratkan bahwa seorang DPO harus memiliki kualitas profesional, pengetahuan mengenai hukum, dan praktik pelindungan data pribadi. RUU tidak menjelaskan secara lebih rinci mengenai kriteria seorang DPO. Namun, apabila kita melihat rumusan dari pasal terkait di dalam RUU Pelindungan Data Pribadi, bisa disimpulkan bahwa idealnya seorang DPO haruslah seorang Sarjana Hukum yang memiliki pengetahuan yang memadai mengenai hukum dan prinsip-prinsip pelindungan data pribadi serta memiliki pengalaman berpraktik di dalam isu-isu pelindungan data pribadi.
Untuk negara yang baru saja memiliki UU Pelindungan Data Pribadi tentu saja syarat-syarat di atas akan sulit dipenuhi pada tahun-tahun awal berlakunya UU Pelindungan Data Pribadi. Hal ini dikarenakan UU Pelindungan Data Pribadi merupakan konsep yang sama sekali baru bagi publik Indonesia. Kampus-kampus dan lembaga pendidikan yang memiliki kurikulum khusus tentang pelindungan data pribadi masih sedikit. Jumlah profesional dan konsultan yang berkecimpung di bidang pelindungan data pribadi pun masih terbatas.
Bagi dunia usaha tentu saja hal ini merupakan suatu tantangan. Di satu sisi perusahaan diwajibkan untuk menunjuk DPO, tapi di sisi lain ketersediaan profesional yang mumpuni di bidang pelindungan data pribadi belum mampu mencukupi kebutuhan akan DPO bagi perusahaan di seluruh Indonesia.
Salah satu cara yang bisa dilakukan adalah dengan cara mendorong sertifikasi DPO seperti yang sudah dilakukan oleh negara-negara di Eropa seperti Perancis dan Spanyol. Tujuan dari sertifikasi adalah untuk memberikan ketenangan dan kepastian kepada perusahaan mengenai kualifikasi orang yang akan bekerja sebagai DPO. Bagi negara dalam arti luas, adanya DPO yang tersertifikasi akan berguna untuk meningkatkan efektivitas kepatuhan terhadap UU Pelindungan Data Pribadi.
Melalui sertifikasi, calon-calon DPO akan dibekali dengan pelatihan secara intensif baik dari sisi hukum yang berlaku di Indonesia maupun dari sisi praktik pelindungan data pribadi yang berkembang. Sertifikasi bisa diberikan oleh lembaga-lembaga yang sudah disetujui oleh pemerintah. Pengajar-pengajar dalam pelatihan ini juga harus merupakan orang-orang yang memiliki kualifikasi akademik dan pengalaman praktik yang mumpuni. Sehingga diharapkan, dengan sertifikasi, DPO memiliki bekal konsep dan pengetahuan yang cukup dalam melaksanakan tugasnya.
Penutup
Baik perusahaan maupun calon DPO masa depan wajib mempersiapkan diri dalam menyambut UU Pelindungan Data Pribadi. Dengan UU Pelindungan Data Pribadi di depan mata, perusahaan sudah harus bersiap-siap menyiapkan segala sumber daya dan infrastruktur yang diperlukan untuk mematuhi kewajiban-kewajiban yang diatur dalam UU Pelindungan Data Pribadi, termasuk dalam menyiapkan sumber daya manusia yang memiliki kompetensi di bidang pelindungan data pribadi.
Bagi calon DPO masa depan, adanya kewajiban menunjuk DPO bagi perusahaan harus dilihat sebagai peluang karier yang menjanjikan. Oleh sebab itu, calon DPO masa depan harus terus mengasah keilmuan dan keterampilan praktik di bidang perlindungan data pribadi dengan mengikuti seminar-seminar dan pelatihan-pelatihan terkait perlindungan data pribadi yang diselenggarakan oleh lembaga pelatihan yang ada.
*)Danny Kobrata, pendiri dan pengurus Asosiasi Praktisi Pelindungan Data Pribadi (APPDI)
Artikel kolom ini adalah tulisan pribadi Penulis, isinya tidak mewakili pandangan Redaksi Hukumonline. |