Managemen Risiko Data Pribadi pada Korporasi dan UU PDP

Lebih lanjut diperlukan rencana respons atas insiden secara komprehensif. Langkah ini harus menguraikan tindakan apa yang harus diambil jika terjadi pelanggaran data pribadi. Rencana ini pun harus mencakup peran, tanggung jawab, dan protokol komunikasi.

Ketika data menjadi semakin berharga dan rentan, manajemen risiko operasional merupakan praktik yang sangat diperlukan untuk melindunginya. Di sinilah peran aktif DPO diperlukan untuk secara proaktif mengidentifikasi, menilai, dan memitigasi risiko tersebut.

Melalui langkah sistemik ini, maka korporasi dapat membangun reputasi yang baik, dan kepercayaan dari pelanggannya. Di samping itu kepatuhan regulasi juga akan berdampak positif terhindar dari pelanggaran dan ancaman sanksi hukum yang berat.

Ketentuan GDPR

Berdasarkan Artikel 39 GDPR atau dalam UU kita identik dengan materi muatan pasal 53-54 UU PDP diatur keberadaan entitas organisasi berupa Data Protection Officer (DPO), atau yang disebut Pejabat atau Petugas yang melaksanakan pelindungan data pribadi.

DPO memiliki tugas sebagai berikut:

Pertama, memberi tahu dan memberi saran kepada pengendali atau prosesor data pribadi, dan staf yang melaksanakan pemrosesan terkait kewajiban mereka sesuai dengan regulasi PDP.

Kedua, memantau kepatuhan terhadap regulasi dan terhadap kebijakan pengendali atau prosesor data pribadi, termasuk pelaksanaan tanggung jawab, peningkatan kesadaran dan pelatihan staf yang terlibat dalam pemrosesan operasi, dan audit terkait.

Ketiga, memberikan saran jika diminta, sehubungan dengan penilaian dampak dan memantau kinerja. Selain itu melakukan kerja sama dan menjadi narahubung dengan otoritas pengawas data pribadi atau lebih luas.

UU PDP

Ketentuan tentang DPO atau pejabat petugas pelindungan data pribadi terdapat pada pasal 53 jo. pasal 54 UU PDP. Dalam rangka mitigasi risiko, maka DPO harus ditunjuk berdasarkan profesionalitas, pengetahuan mengenai hukum, praktik Pelindungan Data Pribadi.

Di samping itu, DPO juga harus memiliki kemampuan untuk memenuhi tugas-tugasnya. DPO dapat berasal dari dalam dan/atau luar korporasi sebagai Pengendali Data Pribadi atau Prosesor Data Pribadi.

Dalam UU PDP, DPO bertugas menginformasikan dan memberikan saran kepada Pengendali Data Pribadi atau Prosesor Data Pribadi agar mematuhi dan memantau serta memastikan kepatuhan terhadap regulasi PDP.

DPO juga memberikan saran mengenai penilaian dampak dan memantau kinerja Pengendali Data Pribadi dan Prosesor Data Pribadi.

Terkait dengan manajemen risiko, DPO dalam melaksanakan tugasnya memperhatikan risiko terkait pemrosesan Data Pribadi, dengan mempertimbangkan sifat, ruang lingkup, konteks, dan tujuan pemrosesan.

Sudah saatnya korporasi memasukan risiko data pribadi ke dalam prioritas risiko operasional. Hal ini perlu dilakukan mengingat dalam waktu dekat masa transisi UU PDP akan berakhir.

Pimpinan korporasi juga harus wanti-wanti, mengingat ancaman sanksi denda administratif UU PDP terbilang tinggi. Selain itu pelanggaran data pribadi juga berdampak sangat signifikan terhadap reputasi korporasi dan kepercayaan pelanggan.