Salah satu amanah yang tertuang dalam Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) adalah kewajiban pihak yang melakukan pemrosesan data pribadi di wilayah Indonesia, baik selaku Pengendali Data Pribadi maupun Prosesor Data Pribadi untuk menunjuk pejabat atau petugas yang melakukan fungsi Pelindungan Data Pribadi, atau dikenal sebagai Data Protection Officer (DPO).
Pasal 53 ayat (1) UU PDP mengatur mengenai kondisi dimana DPO menjadi wajib bagi Perusahaan, yaitu dalam hal:
- Perusahaan melakukan pemrosesan Data Pribadi untuk kepentingan pelayanan publik;
- kegiatan inti Perusahaan memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar; dan
- kegiatan inti Perusahaan terdiri dari pemrosesan Data Pribadi dalam skala besar untuk Data Pribadi yang bersifat spesifik dan/atau Data Pribadi yang berkaitan dengan tindak pidana.
DPO sendiri dapat ditunjuk dari internal atau eksternal Perusahaan, selama penunjukan didasarkan pada profesionalitas, pengetahuan mengenai hukum, praktik pelindungan Data Pribadi, dan kemampuan untuk memenuhi tugas-tugasnya.
Salah satu tantangan dalam menunjuk DPO di Indonesia adalah saat ini belum ada sertifikasi yang diresmikan dalam peraturan perundang-undangan di Indonesia sebagai sertifikasi Petugas Pelindungan Data Pribadi atau DPO.
Sehingga, Perusahaan perlu merujuk kepada hukum PDP di negara lain, menggunakan asas Good Corporate Governance dan prinsip kehati-hatian dalam menentukan kompetensi DPO dan juga mempertimbangkan rencana pengembangan dan pelatihan DPO, dalam hal nantinya diwajibkan oleh peraturan pelaksanaan di Indonesia untuk mendapatkan suatu sertifikasi khusus.
Belajar dari insiden kebocoran data pribadi yang terjadi di Indonesia, DPO tidak hanya perlu memiliki pengetahuan mengenai hukum PDP, namun juga pengetahuan di bidang keamanan informasi, ilmu komputer, atau pengetahuan sejenis yang relevan dengan bagaimana data pribadi diproses dalam Perusahaan. Pengalaman yang mumpuni di bidang manajemen risiko juga menjadi penting.
Sertifikasi internasional yang dapat dipertimbangkan Perusahaan dalam menunjuk DPO adalah sertifikasi yang diterbitkan International Association of Privacy Professionals (IAPP) seperti CIPP dan/atau CIPM. Selain itu, sertifikasi dari Information Systems Audit and Control Association (ISACA) seperti CRISC dan CGEIT juga dipertimbangkan, sebagai sertifikasi dalam manajemen dan pengelolaan risiko. Namun, kembali lagi, perlu diingat bahwa DPO yang sudah memiliki sertifikasi tersebut sangat mungkin untuk diminta mendapatkan sertifikasi lain yang berlaku di Indonesia.
Artikel ini ditulis oleh Sekar Ayu Primadani, Partner BP Lawyers Counselor At Law.
