RPP PDP: Independensi dan Peran Strategis DPO bagi Korporasi

Lihat Foto

Ilustrasi mengamankan berbagai data pribadi untuk menghindari kejahatan di dunia maya.(Dok. iStock)

Anda bisa menjadi kolumnis !

Kriteria (salah satu): akademisi, pekerja profesional atau praktisi di bidangnya, pengamat atau pemerhati isu-isu strategis, ahli/pakar di bidang tertentu, budayawan/seniman, aktivis organisasi nonpemerintah, tokoh masyarakat, pekerja di institusi pemerintah maupun swasta, mahasiswa S2 dan S3. Cara daftar baca di sini

Daftar di sini Kirim artikel

Editor Sandro Gatra

DATA Protection Officer (DPO) adalah unit baru organisasi yang bertanggung jawab untuk mengawasi kepatuhan regulasi dan memitigasi risiko praktik privasi korporasi.

Keberadaan DPO di berbagai negara merupakan konsekuensi atas diberlakukannya regulasi pelindungan data pribadi.

Di Uni Eropa, DPO diatur dalam Pasal 37-39 General Data Protection Regulation (GDPR). Dalam Undang-undang No. 27 tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), DPO distilahkan sebagai pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi.

Untuk memudahkan pembaca, dalam tulisan ini saya akan menggunakan istilah DPO.

UU PDP mengamanatkan pengaturan lebih lanjut tentang DPO dalam bentuk Peraturan Pemerintah (PP) yang saat ini tengah dalam proses.

Ketentuan yang disusun perlu diselaraskan dengan general principles of privacy dan praktik global terkait DPO.

Tulisan ini adalah materi ajar saya di Fakultas Hukum Universitas Padjadjaran, yang saya bagikan juga kepada pembaca Kompas.com untuk manfaat lebih luas.

Kriteria DPO

Terkait kriteria DPO, kita bisa merujuk pada European Data Protection Supervisor (EDPS) sebagai referensi.

DPS menyatakan bahwa penunjukan DPO harus didasarkan pada kualitas pribadi dan profesionalitas, dengan penekanan pada pengetahuan di bidang perlindungan data.

Bagaimana dengan UU PDP? Pasal 53 ayat (2) menekankan, bahwa pejabat dimaksud harus memiliki pengetahuan hukum.

Hal ini menunjukan pendekatan bisnis, teknologi dan hukum harus paralel dilakukan, mengingat pengalaman menunjukan banyaknya kasus hukum PDP di berbagai negara.

Merujuk pada publikasi GDPR Summary (2023), tugas DPO sangat strategis, karena selain memantau kepatuhan atas regulasi dan kebijakan internal korporasi, juga melakukan audit PDP, melakukan investigasi, dan memberikan rekomendasi terkait penilaian dampak perlindungan data.

DPO juga menjadi unit yang menciptakan ekosistem PDP di internal korporasi, peningkatan kesadaran, pelatihan staf, dan bertindak sebagai narahubung bagi otoritas pengawas Data Pribadi.

Independensi dan konflik kepentingan

Frasa independensi DPO seringkali “mengejutkan” bagi pimpinan korporasi. Namun dapat saya jelaskan bahwa karakter independen yang dipraktikan secara global, dimaksudkan justru untuk melindungi korporasi secara optimal dari risiko pelanggaran privasi.

GDPR menjadikan sifat independen dan bebas dari konflik kepentingan sebagai elemen dasar. Tugas DPO pada prinsipnya tidak boleh beririsan dengan fungsi jabatan yang memengaruhi pemrosesan dan kebijakan penggunaan data pribadi.