Melirik Uni Eropa, Data Protection Officer menjadi kewajiban yang harus dipenuhi oleh lembaga pemrosesan data pribadi. Begitu pula di Indonesia, RUU PDP telah mengadopsi ketentuan tersebut. Hal ini Bertujuan agar melindungi Lembaga dari konsekuensi hukum dan melindungi konsumen dari kejahatan atas data pribadi.

Revolusi industri 4.0 telah memberikan berbagai kemudahan bagi masyarakat dunia. Kehadiran teknologi dalam era ini telah memberikan kemudahan dan kecepatan dalam menemukan informasi, keterhubungan hingga proses pengolahan data yang semua aktivitas tersebut dilakukan secara digital. Revolusi industri 4.0 disebut juga sebagai cyber physical system yang mana revolusi ini menitikberatkan pada otomatisasi dan mengkolaborasikan dengan teknologi siber. Dr. Danrivanto Budhijanto, S.H. LL.M. in it Law, FACBarb dalam bukunya yang berjudul “Cyber Law dan Revolusi Industri 4.0” mengatakan bahwa tantangan terbesar dalam mengadapi revolusi industri terutama dalam revolusi industri 4.0 adalah mengenai aspek privasinya. Dibalik kemudahan yang diberikan oleh zaman ini memberikan peluang baru terhadap tindakan kejahatan.

Di Indonesia sendiri banyak ditemukan kasus kebocoran data pribadi seperti kebocoran data pribadi pengguna BPJS Kesehatan, data nasabah BRI Life, kebocoran data pelanggan dari beberapa aplikasi e-commerce seperti Lazada dan Tokopedia. Bahkan yang terbaru adalah kebocoran data pengguna electronic Health Alert Card (e-HAC). Data-data pribadi tersebut diretas dan dalam beberapa kasus data-data pribadi tersebut di jual dalam suatu platform dengan harga tertentu.

Pendiri dan Pengurus Asosiasi Praktisi Pelindungan Data Indonesia (APPDI), Muhammad Iqsan Sirie, dalam Webinar yang bertajuk “Kebocoran Data Pribadi, Quo Vadis Perlindungan Data Pribadi di Indonesia?”, memaparkan prediksi Gartner, Perusahaan riset teknologi informasi dan firma penasihat Amerika Serikat, terkait dengan masa depan data pribadi masyarakat dunia. Prediksi tersebut antara lain mengatakan bahwa pada tahun 2023 lebih dari setengah negara di dunia akan memiliki aturan khusus terkait data pribadi.

Salah satunya adalah Indonesia yang saat ini tengah menggodok Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP). RUU ini sebenarnya telah dibahas sejak 7 tahun yang lalu namun naskah akademik baru diajukan ke DPR pada awal tahun 2020 dan hari ini sudah berada di tahap pembahasan Daftar Inventaris Masalah.

Lebih lanjut, Iqsan juga mengatakan bahwa pada tahun 2022 terdapat lebih dari 1 (satu) juta organisasi atau lembaga pemroses data pribadi yang membutuhkan praktisi pelindungan data pribadi atau Data Protection Officer (DPO). Hal tersebut dikarenakan peraturan perundang-undangan pelindungan data pribadi mewajibkan suatu lembaga untuk memiliki DPO. Oleh karena itu, DPO ini juga akan menjadi sebuah profesi baru yang memiliki tingkat permintaan yang tinggi ke depannya.

Uni Eropa telah lebih dulu memiliki peraturan perundang-undangan terkait pelindungan data pribadi yang disebut General Data Protection Regulation (GDPR). GDPR juga mewajibkan tiap lembaga pemroses data pribadi untuk memiliki DPO. Maka dari itu, setelah disahkannya GDPR, terdapat sekitar 75 (tujuh puluh lima) ribu permintaan profesi DPO.

Mengenal DPO

Dalam Webinar Kebocoran Data Pribadi, Quo Vadis Perlindungan Data Pribadi di Indonesia? Pada Jumat (1/10) lalu, Iqsan juga memperkenalkan DPO melalui mekanisme 5W yaitu, What, When, Where, Why dan Who, berikut penjelasannya.

Siapakah itu DPO? DPO merupakan perseorangan atau kelompok yang merupakan karyawan tetap di suatu organisasi atau lembaga pemroses data pribadi. DPO memiliki tugas untuk mengawasi lembaga dimana mereka bekerja agar lembaga tersebut mematuhi ketentuan peraturan perundang-undangan pelindungan data pribadi yang berlaku.

Selain itu, fungsi lainnya adalah untuk menjadi point of contact yang bertugas menjadi narahubung atau contact person antara organisasi dengan regulator ataupun antara organisasi dengan pemilik data pribadi.

DPO sebenarnya sudah diatur dalam Peraturan Menteri Kominfo No.20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (Permen Kominfo 20/2016). Dalam Pasal 28 huruf i, DPO menjadi sebuah kewajiban yang harus dimiliki oleh Setiap PSE. Pasal tersebut berbunyi “Menyediakan narahubung (contact person) yang mudah dihubungi oleh Pemilik Data Pribadi terkait pengelolaan Data Pribadinya.”

What Competency Should A DPO Have?, pendiri sekaligus pengurus APPDI tersebut juga memaparkan bahwa seorang DP harus memiliki banyak kemampuan baik secara ilmu pengetahuan terkait peraturan perundang-undangan pelindungan data pribadi maupun kemampuan yang bersifat teknis seperti kemampuan teknis terkait pengamanan informasi. Maka dari itu, DPO diharapkan dapat membantu perusahaan dan konsumen terkait dengan pelaksanaan peraturan perundang-undangan pelindungan data pribadi.

Where, dimana DPO bekerja? DPO dapat bekerja dalam sektor publik maupun privat. Dalam sektor publik misalnya seperti pada Lembaga Pemerintahan, Kementerian atau lembaga negara lainnya yang melakukan pemrosesan data pribadi. Dalam sektor privat misalnya perusahaan-perusahaan swasta yang juga melakukan pemrosesan data pribadi.

When, kapan DPO dibutuhkan? Terdapat tiga keadaan kapan seorang DPO dibutuhkan oleh suatu organisasi pemrosesan data. Tiga keadaan ini juga nantinya akan diadopsi dalam RUU PDP yang mana keadaan-keadaan ini juga diatur dalam GDPR, yaitu:

1. Wajib hukumnya bagi organisasi untuk memiliki DPO apabila organisasi tersebut melakukan pemrosesan data pribadi dalam kapasitasnya sebagai pelayanan publik
2. Apabila bidang usahanya adalah pemroses data pribadi yang dilakukan secara sistematis dan dengan skala yang besar. Data pribadi yang termasuk dalam kondisi kedua ini adalah data pribadi yang bersifat umum
3. Apabila bidang usahanya adalah pemroses data pribadi yang dilakukan secara sistematis dan dengan skala yang besar. Namun data pribadi yang termasuk dalam kondisi ketiga ini adalah data pribadi yang bersifat spesifik. Misalnya seperti track record tindak pidana seseorang.

Why, kenapa DPO dibutuhkan? Sesuai dengan tugasnya bahwa DPO berfungsi sebagai pihak yang mengawasi suatu lembaga agar sesuai dengan peraturan perundang-undanga pelindungan data pribadi. Sehingga kehadiran DPO dapat melindungi Perusahaan dari konsekuensi hukum akibat dari ketidaksesuaiannya terhadap peraturan dan juga melindungi data pribadi konsumen agar sesuai dengan standar-standar pelindungan data pribadi. Keberadaan praktisi dapat meningkatkan nilai dari lembaga yang dimaksud dengan memiliki DPO, lembaga dapat menunjukan kepada pelanggannya bahwa lembaganya memiliki keseriusan dalam menjalankan pemroses data pribadi.

Selain itu, kehadiran DPO sebagai pihak yang paham dan memiliki pengalaman dalam pelindungan data pribadi, DPO dapat memberikan input atau saran kepada regulator dan meningkatkan kesadaran masyarakat terkait dengan pentingnya data pribadi.

DPO Dalam RUU PDP

RUU PDP tidak memberikan definisi DPO namun pengaturannya dapat ditemukan dalam bagian keempat yang menyebut DPO sebagai Pejabat atau Petugas Yang Melaksanakan Fungsi Pelindungan Data Pribadi.

Dalam hal tertentu yakni ketika lembaga melakukan pemrosesan data pribadi untuk kepentingan pelayanan publik, pengambilan data pribadi secara sistematis atas data pribadi dengan skala besar yang bersifat umum maupun spesifik dan/atau data pribadi yang berkaitan dengan tindak pidana, lembaga wajib untuk menunjuk Pejabat atau Petugas Yang Melaksanakan Fungsi Pelindungan Data Pribadi.

Pejabat atau Petugas Yang Melaksanakan Fungsi Pelindungan Data Pribadi ditunjuk berdasarkan kualitas profesional, pengetahuan mengenai hukum dan praktik pelindungan Data Pribadi, dan kemampuan untuk memenuhi tugastugasnya.

Pasal 46 RUU PDP menjabarkan tugas-tugas dari menunjuk Pejabat atau Petugas Yang Melaksanakan Fungsi Pelindungan Data Pribadi yaitu:

1. menginformasikan dan memberikan saran untuk Pengendali Data Pribadi atau Prosesor Data Pribadi agar mematuhi ketentuan dalam Undang-Undang ini;
2. memantau dan memastikan kepatuhan terhadap Undang-Undang ini dan kebijakan Pengendali Data Pribadi atau Prosesor Data Pribadi, termasuk penugasan, tanggung jawab, peningkatan kesadaran dan pelatihan pihak yang terlibat dalam pemrosesan Data Pribadi, dan audit terkait;
3. memberikan saran mengenai penilaian dampak pelindungan Data Pribadi dan memantau kinerja Pengendali Data Pribadi dan Prosesor Data Pribadi; dan
4. berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan Data Pribadi, termasuk melakukan konsultasi mengenai mitigasi risiko dan/atau hal lainnya.

Kewajiban PSE dalam UU ITE

Masyarakat Indonesia memang sangat menanti-nanti kehadiran UU PDP namun sebenarnya Indonesia sudah memiliki beberapa peraturan perundang-undangan terkait pelindungan data pribadi yang terpisah-pisah misalnya saja dalam Undang-Undang Nomor 8 tahun 1997 tentang Dokumen Perusahaan, Undang-Undang Nomor 10 tahun 1998 tentang Perbankan, Undang-Undang Nomor 26 Tahun 2009 tentang Kesehatan, Undang-Undang Nomor 43 Tahun 2009, Undang-Undang Nomor 36 Tahun Tahun 1999 tentang Telekomunikasi, Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaski Elektronik (UU ITE 19/2016) dan lain-lain. Dikarenakan peraturan tersebut masih secara terpisah-pisah, pengaturannya masih belum cukup komprehensif.

Dalam UU ITE, lembaga pemroses data pribadi secara elektronik menggunakan istilah Penyelenggara Sistem Elektronik (PSE). PSE yakni pihak penyelenggara dalam bentuk negara, Badan Usaha dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik, baik secara sendiri-sendiri maupun bersama-sama kepada pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain, wajib untuk menyelenggarakan sistem elektronik secara andal, aman serta bertanggung jawab.

Lebih lanjut dikatakan bahwa PSE bertanggung jawab terhadap penyelenggaraan sistem elektroniknya (Pasal 15 UU ITE). PSE dilepaskan dari beban tanggung jawab apabila PSE dalam keadaan terpaksa atau kesalahan dan/atau kelalaian dari pihak pengguna PSE itu sendiri.

Dalam Peraturan Pelaksananya yakni dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP 71/19), Pasal 4 mengatur bahwa Setiap PSE wajib untuk melindungi kerahasiaan Informasi Elektronik dalam penyelenggaraan sistem elektronik tersebut. Pasal 14 ayat 1 PP 71/19, PSE juga wajib melaksanakan prinsip pelindungan data pribadi dalam melakukan pemrosesan data pribadi yang meliputi perlindungan terhadap keamanan data pribadi dari kehilangan, penyalahgunaan, akses dan penungkapan yang tidak sah serta pengubahan atau perusakan data pribadi

Dalam UU ITE, PSE atau organisasi pemroses data pribadi lah yang bertanggung jawab apabila terjadi kebocoran data pribadi penggunanya. Tanggung jawab PSE terhadap pelindungan data pribadi didasari juga pada pengakuan UU ITE yang mengatakan bahwa data pribadi adalah salah satu bagian dari hak privasi yang mana hak untuk menikmati kehidupan pribadi dan bebas terhindar dari berbagai gangguan, hak untuk berkomunikasi tanpa diawasi atau tindakan dimata-matai, hak untuk mengawasi akses informasi mengenai kehidupan pribadi dan data seseorang. Maka dari itu, Pasal 26 ayat 1 UU ITE berbunyi “Kecuali ditentukan lain oleh Peraturan Perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.”

NR