Dalam era digital yang semakin berkembang, pengelolaan data pribadi menjadi aspek yang krusial dalam kegiatan operasional perusahaan. Dengan meningkatnya ancaman kebocoran data, penyalahgunaan informasi, hingga hadirnya regulasi yang semakin kompleks, maka menjadi penting bagi Pengendali Data Pribadi maupun Prosesor Data Pribadi untuk memastikan bahwa Data Pribadi yang mereka kelola aman dan sesuai dengan ketentuan hukum. Salah satu langkah strategis dalam memastikan kepatuhan terhadap regulasi perlindungan data adalah dengan melakukan penunjukan pejabat maupun petugas yang melaksanakan fungsi Pelindungan Data Pribadi/Data Protection Officer (“DPO”).
Fungsi Data Protection Officer (DPO)
Pasal 53 ayat (1) jo. Pasal 1 angka 5 dan angka 6 Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU 27/2022”) memberikan amanat bahwa Pengendali Data Pribadi yang merupakan setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi serta Prosesor Data Pribadi yang merupakan setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi memiliki kewajiban untuk menunjuk pejabat maupun petugas yang melaksanakan fungsi Pelindungan Data Pribadi/DPO ketika memenuhi syarat-syarat ataupun kondisi-kondisi tertentu yang sifatnya kumulatif. Syarat maupun kondisi tersebut kemudian dispesifikkan sebagai berikut:
- pemrosesan Data Pribadi untuk kepentingan pelayanan publik;
- kegiatan inti Pengendali Data Pribadi memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar; dan
- kegiatan inti Pengendali Data Pribadi terdiri dari pemrosesan Data Pribadi dalam skala besar untuk Data Pribadi yang bersifat spesifik dan/atau Data Pribadi yang berkaitan dengan tindak pidana.
Penting untuk diketahui bahwa UU 27/2022 mengenal Data Protection Officer (DPO) dengan istilah pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi. Lebih lanjut, dalam Penjelasan Pasal 53 ayat (1) UU 27/2022 disebutkan bahwa pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi merupakan pejabat atau petugas yang bertanggung jawab untuk memastikan kepatuhan atas prinsip Pelindungan Data Pribadi dan mitigasi risiko pelanggaran Pelindungan Data Pribadi. Ketika merujuk pada Pasal 53 ayat (1) UU 27/2022, diketahui bahwa sejatinya penunjukan DPO hanya diwajibkan kepada Pengendali Data Pribadi atau Prosesor Data Pribadi yang menjalankan fungsi-fungsi yang disebutkan dalam pasal tersebut, sehingga dalam hal ini penunjukan DPO menjadi urgensi yang utama bagi Pengendali Data Pribadi atau Prosesor Data Pribadi.
Tugas Data Protection Officer (DPO)
Dalam melaksanakan fungsinya, pejabat maupun petugas yang dimaksud untuk melaksanakan fungsi Pelindungan Data Pribadi memiliki tugas yang diatur dalam Pasal 54 ayat (1) UU 27/2022 paling sedikit sebagai berikut:
- menginformasikan dan memberikan saran kepada Pengendali Data Pribadi atau Prosesor Data Pribadi agar mematuhi ketentuan dalam Undang-Undang ini;
- memantau dan memastikan kepatuhan terhadap Undang-Undang ini dan kebijakan Pengendali Data Pribadi atau Prosesor Data Pribadi;
- memberikan saran mengenai penilaian dampak Pelindungan Data Pribadi dan memantau kinerja Pengendali Data Pribadi dan Prosesor Data Pribadi; dan
- berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan Data Pribadi.
Dalam melaksanakan tugasnya sebagaimana dimaksud dalam Pasal 54 ayat (1) UU 27/2022, DPO memiliki kewajiban untuk memperhatikan risiko terkait pemrosesan Data Pribadi, dengan mempertimbangkan sifat, ruang lingkup, konteks, dan tujuan pemrosesan. Hal tersebut diatur secara eksplisit dalam Pasal 54 ayat (2) UU 27/2022. Terkait DPO kemudian diamanatkan untuk diatur dalam Peraturan Pemerintah sebagaimana dalam Pasal 54 ayat (3) UU 27/2022, namun, hingga saat ini peraturan pemerintah yang merupakan peraturan pelaksana tersebut masih berada dalam tahap pembahasan harmonisasi.
Penunjukan DPO dan Sanksi Administratif
Pasal 53 ayat (2) UU 27/2022 menyebutkan bahwa terkait penunjukan pejabat maupun petugas yang dimaksud untuk melaksanakan fungsi Pelindungan Data Pribadi harus didasarkan pada profesionalitas, pengetahuan mengenai hukum, praktik Pelindungan Data Pribadi, dan kemampuan untuk memenuhi tugas-tugasnya. Lebih lanjut, DPO tersebut dapat berasal dari dalam dan/atau luar Pengendali Data Pribadi atau Prosesor Data Pribadi sebagaimana diatur dalam Pasal 53 ayat (3) UU 27/2022.
Dalam hal Pengendali Data Pribadi atau Prosesor Data Pribadi yang telah memenuhi syarat maupun kondisi yang disebutkan dalam Pasal 53 ayat (1) UU 27/2022 tidak menunjuk Pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi, Pengendali Data Pribadi atau Prosesor Data Pribadi tersebut akan dikenakan sanksi administratif sebagaimana diamanatkan dalam Pasal 57 ayat (1) UU 27/2022. Sanksi administratif tersebut diuraikan lebih lanjut dalam Pasal 57 ayat (2) UU 27/2022 sebagai berikut:
- peringatan tertulis;
- penghentian sementara kegiatan pemrosesan Data Pribadi;
- penghapusan atau pemusnahan Data Pribadi; dan/atau
- denda administratif.
Lebih lanjut, Pasal 57 ayat (3) UU 27/2022 menyebutkan bahwa sanksi administratif berupa denda administratif sebagaimana dimaksud dalam Pasal 57 ayat (2) huruf d paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran. Kemudian, untuk penjatuhan sanksi administratif tersebut akan diberikan oleh lembaga serta ketentuan lebih lanjut terkait sanksi administratif tersebut akan diatur dalam peraturan pemerintah, yang sayangnya hingga saat ini masih dalam tahapan pembahasan harmonisasi.
Perbandingan Data Protection Officer (DPO) antara UU 27/2022 dengan The General Data Protection Regulation – European Union Regulation 2016/679 (GDPR)
Berikut ini adalah tabel Perbandingan terkait dengan pengaturan DPO antara GDPR dan UU 27/2022:
Tabel 1
Perbandingan Pengaturan DPO antara GDPR dan UU 27/2022:
No. | Unsur | GDPR | UU 27/2022 |
| 1. | Istilah yang Digunakan | Data Protection Officer. | Pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi. |
| 2. | Kewajiban Penunjukan | Ditunjuk oleh pengontrol dan prosesor jika memenuhi kondisi: a. pemrosesan dilakukan oleh otoritas atau badan publik, kecuali pengadilan yang bertindak dalam kapasitas peradilannya; b. kegiatan inti dari pengendali atau pemroses terdiri dari operasi pemrosesan yang, berdasarkan sifat, cakupan, dan/atau tujuannya, memerlukan pemantauan rutin dan sistematis terhadap subjek data dalam skala besar; atau c. kegiatan inti dari pengendali atau pemroses terdiri dari pemrosesan dalam skala besar kategori data khusus atau data pribadi yang terkait dengan hukuman pidana dan pelanggaran. (vide Article 37 Paragraph 1 GDPR). | Ditunjuk oleh Pengendali Data Pribadi atau Prosesor Data Pribadi jika melakukan: a. pemrosesan Data Pribadi untuk kepentingan pelayanan publik; b. kegiatan inti Pengendali Data Pribadi memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar; dan c. kegiatan inti Pengendali Data Pribadi terdiri dari pemrosesan Data Pribadi dalam skala besar untuk Data Pribadi yang bersifat spesifik dan/atau Data Pribadi yang berkaitan dengan tindak pidana. (vide Pasal 53 ayat (1) UU 27/2022). |
| 3. | Tugas dan Fungsi | a. memberikan informasi dan saran kepada pengawas atau pemroses dan karyawan yang melaksanakan pemrosesan tentang kewajiban mereka sesuai dengan Peraturan ini dan ketentuan perlindungan data Uni atau Negara Anggota lainnya; b. memantau kepatuhan terhadap Peraturan ini, ketentuan perlindungan data Uni atau Negara Anggota lainnya, dan kebijakan pengawas atau pemroses terkait perlindungan data pribadi, termasuk penugasan tanggung jawab, peningkatan kesadaran, dan pelatihan staf yang terlibat dalam operasi pemrosesan, dan audit terkait; c. memberikan saran jika diminta terkait penilaian dampak perlindungan data dan memantau kinerja (Data Protection Impact Assessment); d. bekerja sama dengan otoritas pengawas; e. bertindak sebagai narahubung bagi otoritas pengawas terkait masalah yang terkait dengan pemrosesan, termasuk berkonsultasi, jika sesuai, terkait masalah lainnya. (vide Article 39 Paragraph 1 GDPR). | a. menginformasikan dan memberikan saran kepada Pengendali Data Pribadi atau Prosesor Data Pribadi agar mematuhi ketentuan dalam Undang-Undang ini; b. memantau dan memastikan kepatuhan terhadap Undang-Undang ini dan kebijakan Pengendali Data Pribadi atau Prosesor Data Pribadi; c. memberikan saran mengenai penilaian dampak Pelindungan Data Pribadi dan memantau kinerja Pengendali Data Pribadi dan Prosesor Data Pribadi; dan d. berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan Data Pribadi. (vide Pasal 54 ayat (1) UU 27/2022),
|
| 4. | Pihak yang Melakukan Penunjukan | a. Pengendali Data Pribadi atau Prosesor Data Pribadi; b. Asosiasi atau Badan lainnya yang menjadi representatif dari Pengendali atau Prosesor; (vide Article 37 Paragraph 4 GDPR) c. DPO bisa berasal merupakan karyawan dari Pengendali atau Prosesor Data Pribadi atau berdasarkan Kontrak Jasa. (vide Article 37 Paragraph 6 GDPR) | Pengendali Data Pribadi atau Prosesor Data Pribadi, dimana dapat berasal dari dalam dan/atau luar Pengendali Data Pribadi atau Prosesor Data Pribadi (vide Pasal 53 ayat (1) UU 27/2022). |
| 5. | Kualifikasi | Memiliki pengetahuan ahli tentang hukum dan praktik perlindungan data dan kemampuan untuk memenuhi tugasnya sebagaimana diatur dalam Pasal 39 (vide Article 37 Paragraph 5 GDPR). | Memiliki profesionalitas, pengetahuan mengenai hukum, praktik Pelindungan Data Pribadi, dan kemampuan untuk memenuhi tugas-tugasnya (vide Pasal 53 ayat (2) UU 27/2022). |
| 6. | Tanggungjawab Pengendali Data Pribadi atau Prosesor Data Pribadi terhadap DPO | a. menjamin keterlibatan DPO secara tepat waktu tepat waktu dalam semua masalah; b. menyediakan sumber daya untuk melaksanakan tugas dan akses ke data pribadi dan operasi pemrosesan, dan untuk mempertahankan pengetahuannya; c. tidak mendapatkan instruksi apapun, tidak diberi sanksi, serta diberhentikan karena melaksanakan tugasnya; (vide Article 38 Paragraph 1-3 GDPR). d. Memberikan rincian kontak dari DPO serta mengkomunikasikan hal tersebut kepada otoritas pengawas. (vide Article 37 Paragraph 7 GDPR) | Tidak diatur secara eksplisit. |
| 8. | Pengaturan lainnya yang mengikat bagi DPO | a. Subjek Data Pribadi bisa melakukan korespondensi dengan DPO terkait dengan semua permasalahan pemrosesan data pribadi dengan tujuan untuk menegakkan hak-haknya sesuai dengan GDPR; b. Tidak memiliki konflik kepentingan dalam melaksanakan tugasnya; c. Terikat dalam kerahasiaan dalam menjalankan tugasnya sesuai dengan hukum yang diatur oleh Uni Eropa atau negara anggotanya. (vide Article 38 Paragraph 4-6 GDPR). | Tidak diatur secara eksplisit. |
Urgensi Penunjukan Data Protection Officer (DPO) oleh Pengendali Data Pribadi atau Prosesor Data Pribadi
Berangkat dari fungsi serta tugas yang esensial dari DPO atau pejabat maupun petugas yang melaksanakan fungsi Pelindungan Data Pribadi, terdapat urgensi bagi Pengendali Data Pribadi atau Prosesor Data Pribadi, baik yang memenuhi kondisi yang disebutkan dalam Pasal 53 ayat (1) UU 27/2022 ataupun tidak untuk kemudian menunjuk pejabat maupun petugas yang melaksanakan fungsi Pelindungan Data Pribadi. Hal ini karena terdapat peran krusial yang dimiliki oleh DPO atau pejabat maupun petugas yang melaksanakan fungsi Pelindungan Data Pribadi. Peran tersebut yang kemudian dapat dikelompokkan menjadi tiga peran secara utama, yakni menjamin kepatuhan, memanajemen risiko, serta mengakomodasi respons terkait dengan permasalahan pemrosesan Data Pribadi.
Pertama, menjamin kepatuhan. Penunjukan pejabat maupun petugas yang melaksanakan fungsi Pelindungan Data Pribadi akan membantu Pengendali Data Pribadi atau Prosesor Data Pribadi untuk memastikan kepatuhannya terhadap regulasi perlindungan data yang berlaku, baik di tingkat nasional maupun internasional. pejabat maupun petugas yang melaksanakan fungsi Pelindungan Data Pribadi memiliki tanggung jawab dalam mengawasi penerapan kebijakan perlindungan data, memberikan saran terkait pemrosesan data pribadi, serta berkoordinasi dengan otoritas terkait jika diperlukan.
Kedua, memanajemen risiko. Hal ini merupakan upaya mengidentifikasi dan mengelola potensi ancaman terhadap perlindungan data melalui penunjukan pejabat maupun petugas yang melaksanakan fungsi Pelindungan Data Pribadi. Akibat kegiatan operasional Pengendali Data Pribadi atau Prosesor Data Pribadi yang melakukan pemrosesan data pribadi dalam jumlah besar, tentu risiko kebocoran atau penyalahgunaan data semakin tinggi. Dengan itu, pejabat maupun petugas yang melaksanakan fungsi Pelindungan Data Pribadi berperan dalam menerapkan strategi mitigasi risiko serta memastikan bahwa sistem dan kebijakan yang diterapkan mampu melindungi data pribadi secara optimal. Selain itu, penunjukan DPO menjadi penting untuk menghindari sanksi administratif yang dapat mengganggu kegiatan usaha serta menurunkan kredibilitas dari Pengendali Data Pribadi atau Prosesor Data Pribadi.
Ketiga, mengakomodasi respons. Peran ini akan diaktualisasikan oleh pejabat maupun petugas yang melaksanakan fungsi Pelindungan Data Pribadi melalui tugas dan fungsinya sebagai narahubung atau penghubung antara subjek data, Pengendali Data Pribadi atau Prosesor Data Pribadi, serta lembaga terkait. Hal ini ditujukan untuk mengakomodasi permintaan dari pihak tertentu terkait informasi pribadi, seperti permintaan untuk mengakses, memperbaiki, hingga menghapus Data Pribadi. Lebih lanjut, kondisi demikian yang akan memberikan manfaat berupa reputasi yang positif terhadap Pengendali Data Pribadi atau Prosesor Data Pribadi karena memiliki pejabat maupun petugas yang melaksanakan fungsi Pelindungan Data Pribadi yang menunjukkan bahwa Pengendali Data Pribadi atau Prosesor Data Pribadi memiliki keunggulan dan menempatkan pelindungan terhadap Data Pribadi sebagai suatu hal yang esensial.
Disclaimer
Seluruh isi data dan informasi dalam Legal Brief ini merupakan kompilasi dari sumber-sumber terpercaya. Legal Brief ini tidak dimaksudkan dan tidak seharusnya dianggap sebagai nasihat atau opini hukum. Tidak disarankan mengambil tindakan berdasarkan informasi yang ada pada layanan ini tanpa mencari layanan profesional terlebih dahulu.
Penutup
Jika Anda memiliki pertanyaan atau memerlukan lebih lanjut konsultasi mengenai Legal Brief ini, silakan menghubungi kami di:
- Timoty Ezra Simanjuntak, S.H., M.H. – Managing Partner – info@splawoffice.co.id / office@splawoffice.co.id
- Aldo Prasetyo Riyadi, S.H. – Senior Associate – info@splawoffice.co.id / office@splawoffice.co.id
- Izmaliza Putri Ramadhani, S.H.– Associate – info@splawoffice.co.id / office@simanjuntaklaw.co.id
