RPP PDP: Independensi dan Peran Strategis DPO bagi Korporasi

Pengendali Data Pribadi dan Prosesor Data Pribadi, wajib menunjuk DPO atau yang dalam RPP disebut Pejabat Petugas Pelindung Data Pribadi (PPDP), dalam hal melakukan pemrosesan Data Pribadi untuk kepentingan pelayanan publik.

Selain itu, jika kegiatan intinya memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis dengan skala besar, dan kegiatan intinya bersifat spesifik dan/atau yang berkaitan dengan tindak pidana.

Terkait kriteria pejabat, RPP tentang PDP juga menekankan profesionalitas, pengetahuan mengenai hukum, praktik Pelindungan Data Pribadi, dan kemampuan untuk memenuhi tugas-tugasnya.

DPO dapat terdiri dari orang perseorangan atau beberapa orang yang berasal dari dalam dan/atau luar Pengendali Data Pribadi dan/atau Prosesor Data Pribadi.

RPP juga membuka ruang fleksibilitas, dengan menyatakan bahwa penunjukan DPO dilakukan dengan mempertimbangkan struktur, ukuran, dan kebutuhan organisasi Pengendali Data Pribadi dan/atau Prosesor Data Pribadi.

Hal ini penting mengingat beragamnya karakter dan kompleksitas korporasi, sehingga harus diberi pilihan secara proporsional.

RPP, bahwa DPO memiliki akses pelaporan ke tingkat manajemen tertinggi, menegaskan sifat independen, tidak ada konflik kepentingan dan tidak diberhentikan atau dihukum karena menjalankan tugasnya sesuai regulasi.

Hal yang terakhir ini perlu dicermati secara hati-hati, mengingat DPO adalah organ organisasi yang tetap harus tunduk pada regulasi dan kebijakan organisasi.

Dengan demikian, konteks penerapannya harus tetap berada pada ekosistem korporasi masing-masing, yang kebijakannya berpusat pada pimpinan puncak korporasi.

Sebagai perbandingan, terkait konflik kepentingan, European Court of Justice, dalam putusan terbarunya tanggal 9 Februari 2023 (C-453/21), menegaskan bahwa konflik kepentingan akan muncul setiap kali DPO diberi tugas yang mencakup penentuan tujuan dan metode pemrosesan data pribadi pada pengendali atau prosesor data pribadi.

Mahkamah menyatakan, penilaian mengenai ada tidaknya konflik kepentingan harus dilakukan kasus per-kasus, dengan mempertimbangkan semua keadaan yang relevan, termasuk struktur organisasi, regulasi dan kebijakan yang berlaku.

Dalam membuat regulasi implementasi pemahaman kepentingan stake holder dalam negeri harus menjadi prioritas, apalagi UU PDP juga berlaku bagi lembaga eksekutif, legislatif, dan yudikatif.

Dengan demikian, regulasi implementasi ini perlu mengantisipasi berbagai hal di lapangan nantinya. Isu kebocoran dan pelanggaran data pribadi dan ancaman denda administratif yang tinggi, jangan sampai digunakan pihak tak beritikad baik untuk “mengerjai” organisasi.

PP harus secara eksplisit memberikan kepastian dan pelindungan hukum optimal tidak hanya untuk subjek data pribadi, tetapi juga pengendali dan prosesor data pribadi, serta kepentingan nasional dalam menghadapi transformasi digital yang sangat masif.