RPP PDP: Independensi dan Peran Strategis DPO bagi Korporasi

DATA Protection Officer (DPO) adalah unit baru organisasi yang bertanggung jawab untuk mengawasi kepatuhan regulasi dan memitigasi risiko praktik privasi korporasi.

Keberadaan DPO di berbagai negara merupakan konsekuensi atas diberlakukannya regulasi pelindungan data pribadi.

Di Uni Eropa, DPO diatur dalam Pasal 37-39 General Data Protection Regulation (GDPR). Dalam Undang-undang No. 27 tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), DPO distilahkan sebagai pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi.

Untuk memudahkan pembaca, dalam tulisan ini saya akan menggunakan istilah DPO.

UU PDP mengamanatkan pengaturan lebih lanjut tentang DPO dalam bentuk Peraturan Pemerintah (PP) yang saat ini tengah dalam proses.

Ketentuan yang disusun perlu diselaraskan dengan general principles of privacy dan praktik global terkait DPO.

Tulisan ini adalah materi ajar saya di Fakultas Hukum Universitas Padjadjaran, yang saya bagikan juga kepada pembaca Kompas.com untuk manfaat lebih luas.

Kriteria DPO

Terkait kriteria DPO, kita bisa merujuk pada European Data Protection Supervisor (EDPS) sebagai referensi.

DPS menyatakan bahwa penunjukan DPO harus didasarkan pada kualitas pribadi dan profesionalitas, dengan penekanan pada pengetahuan di bidang perlindungan data.

Bagaimana dengan UU PDP? Pasal 53 ayat (2) menekankan, bahwa pejabat dimaksud harus memiliki pengetahuan hukum.

Hal ini menunjukan pendekatan bisnis, teknologi dan hukum harus paralel dilakukan, mengingat pengalaman menunjukan banyaknya kasus hukum PDP di berbagai negara.

Merujuk pada publikasi GDPR Summary (2023), tugas DPO sangat strategis, karena selain memantau kepatuhan atas regulasi dan kebijakan internal korporasi, juga melakukan audit PDP, melakukan investigasi, dan memberikan rekomendasi terkait penilaian dampak perlindungan data.

DPO juga menjadi unit yang menciptakan ekosistem PDP di internal korporasi, peningkatan kesadaran, pelatihan staf, dan bertindak sebagai narahubung bagi otoritas pengawas Data Pribadi.

Independensi dan konflik kepentingan

Frasa independensi DPO seringkali “mengejutkan” bagi pimpinan korporasi. Namun dapat saya jelaskan bahwa karakter independen yang dipraktikan secara global, dimaksudkan justru untuk melindungi korporasi secara optimal dari risiko pelanggaran privasi.

GDPR menjadikan sifat independen dan bebas dari konflik kepentingan sebagai elemen dasar. Tugas DPO pada prinsipnya tidak boleh beririsan dengan fungsi jabatan yang memengaruhi pemrosesan dan kebijakan penggunaan data pribadi.

DPO dalam menjalankan fungsi independennya, dapat melakukan asesmen kepatuhan hingga investigasi pascapelanggaran.

DPO juga harus memastikan penerapan aturan internal korporasi terkait privasi secara obyektif. Hasilnya tentu untuk dilaporkan kepada pimpinan tertinggi korporasi.

Uraian tugas DPO untuk kepastian, secara detail perlu diatur dalam regulasi internal korporasi. Idealnya juga dituangkan dalam DPO Charter.

Hal ini sekaligus menjadi bukti bahwa korporasi telah memposisikan DPO secara independen dan bebas konflik kepentingan jika suatu saat ada yang menyoal.

Mengingat regulasi juga memungkinkan korporasi menunjuk DPO eksternal, maka jika itu yang dipilih, perlu penekanan peran spesifik dalam kontrak, antara korporasi dengan DPO secara detail dan eksplisit.

Sebagai pendukung tugasnya, DPO juga harus memiliki sumber daya yang sesuai dan memadai. Termasuk untuk menggunakan jasa konsultan hukum eksternal jika diperlukan.

Mengingat sanksi denda privasi yang spektakuler, maka menjadi relevan dalam melaksanakan tugasnya, DPO bertanggung jawab dan memiliki akses langsung ke manajemen tertinggi.

Hal ini dimaksudkan agar rekomendasi bisa langsung diterima, diantisipasi, dan ditindaklanjuti oleh pimpinan tertinggi korporasi, terutama dalam keadaan darurat seperti isu kebocoran data.

Untuk efisiensi, dalam praktik korporasi global unit DPO bisa beririsan dengan tugas organisasi lainnya dengan syarat harus tetap independen dan bebas dari konflik kepentingan.

Pasal 38 (6) GDPR menyatakan bahwa DPO dapat melaksanakan tugas dan kewajiban lainnya. Pengendali atau prosesor data, harus memastikan bahwa tugas dan kewajiban tersebut tidak menimbulkan konflik kepentingan.

Dilansir European Commision bahwa kelompok ahli Uni Eropa telah mengeluarkan pedoman atau Guidelines yang menegaskan bahwa DPO tidak dapat memegang posisi dalam organisasi yang mengarahkannya untuk menentukan tujuan dan cara pemrosesan data pribadi.

Dalam Guidelines disebutkan posisi-posisi yang yang cenderung bertentangan dengan peran DPO, yaitu senior management positions, chief executive, chief operating, chief financial, chief medical officer, head of the marketing department, head of Human Resources, head of the IT department, atau posisi lain yang berhubungan dengan penetapan tujuan dan cara pemrosesan data pribadi.

Referensi lain juga menyebut, meskipun DPO memerlukan seorang yang berpengetahuan hukum, tetapi dalam struktur tidak dapat beririsan dengan tugas Legal Department.

UU dan RPP PDP

Di Indonesia, keberadaan DPO diatur pada Pasal 53 jo. 54 UU PDP. Hal ini telah saya tulis di kolom Kompas.com dengan judul “CDO, CPO, DPO, dan Masa Transisi Perlindungan Data Pribadi Korporasi” sehingga tidak perlu saya uraikan lagi.

Pemerintah saat ini tengah mempersiapkan RPP PDP. Khusus terkait DPO, RPP yang telah dipublikasikan untuk konsultasi publik, menekankan pengaturan tentang DPO dalam pasal 165 sampai dengan pasal 169.

Pengendali Data Pribadi dan Prosesor Data Pribadi, wajib menunjuk DPO atau yang dalam RPP disebut Pejabat Petugas Pelindung Data Pribadi (PPDP), dalam hal melakukan pemrosesan Data Pribadi untuk kepentingan pelayanan publik.

Selain itu, jika kegiatan intinya memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis dengan skala besar, dan kegiatan intinya bersifat spesifik dan/atau yang berkaitan dengan tindak pidana.

Terkait kriteria pejabat, RPP tentang PDP juga menekankan profesionalitas, pengetahuan mengenai hukum, praktik Pelindungan Data Pribadi, dan kemampuan untuk memenuhi tugas-tugasnya.

DPO dapat terdiri dari orang perseorangan atau beberapa orang yang berasal dari dalam dan/atau luar Pengendali Data Pribadi dan/atau Prosesor Data Pribadi.

RPP juga membuka ruang fleksibilitas, dengan menyatakan bahwa penunjukan DPO dilakukan dengan mempertimbangkan struktur, ukuran, dan kebutuhan organisasi Pengendali Data Pribadi dan/atau Prosesor Data Pribadi.

Hal ini penting mengingat beragamnya karakter dan kompleksitas korporasi, sehingga harus diberi pilihan secara proporsional.

RPP, bahwa DPO memiliki akses pelaporan ke tingkat manajemen tertinggi, menegaskan sifat independen, tidak ada konflik kepentingan dan tidak diberhentikan atau dihukum karena menjalankan tugasnya sesuai regulasi.

Hal yang terakhir ini perlu dicermati secara hati-hati, mengingat DPO adalah organ organisasi yang tetap harus tunduk pada regulasi dan kebijakan organisasi.

Dengan demikian, konteks penerapannya harus tetap berada pada ekosistem korporasi masing-masing, yang kebijakannya berpusat pada pimpinan puncak korporasi.

Sebagai perbandingan, terkait konflik kepentingan, European Court of Justice, dalam putusan terbarunya tanggal 9 Februari 2023 (C-453/21), menegaskan bahwa konflik kepentingan akan muncul setiap kali DPO diberi tugas yang mencakup penentuan tujuan dan metode pemrosesan data pribadi pada pengendali atau prosesor data pribadi.

Mahkamah menyatakan, penilaian mengenai ada tidaknya konflik kepentingan harus dilakukan kasus per-kasus, dengan mempertimbangkan semua keadaan yang relevan, termasuk struktur organisasi, regulasi dan kebijakan yang berlaku.

Dalam membuat regulasi implementasi pemahaman kepentingan stake holder dalam negeri harus menjadi prioritas, apalagi UU PDP juga berlaku bagi lembaga eksekutif, legislatif, dan yudikatif.

Dengan demikian, regulasi implementasi ini perlu mengantisipasi berbagai hal di lapangan nantinya. Isu kebocoran dan pelanggaran data pribadi dan ancaman denda administratif yang tinggi, jangan sampai digunakan pihak tak beritikad baik untuk “mengerjai” organisasi.

PP harus secara eksplisit memberikan kepastian dan pelindungan hukum optimal tidak hanya untuk subjek data pribadi, tetapi juga pengendali dan prosesor data pribadi, serta kepentingan nasional dalam menghadapi transformasi digital yang sangat masif.