Tidak Semua Perusahaan Wajib Menunjuk Data Protection Officer (DPO)

ULASAN LENGKAP

Pertama, terimakasih atas pertanyaan yang Anda ajukan.

Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (selanjutnya disebut “UU PDP”) mulai berlaku pada tanggal 17 Oktober 2022. Dengan berlakunya UU PDP tersebut maka setiap Pengendali Data Pribadi, Prosesor Data Pribadi dan pihak lain yang terkait dengan pemrosesan Data Pribadi, wajib menyesuaikan dengan ketentuan pemrosesan data pribadi berdasarkan UU PDP paling lama 2 (dua) tahun sejak UU PDP diundangkan.

Baca juga: Ini 4 Ketentuan Transfer Data Pribadi Lintas Negara

Sebelum masuk pada inti pembahasan, maka perlu dipahami terlebih dahulu, istilah-istilah seperti, Pengendali Data Pribadi, Prosesor Data Pribadi dan pemrosessan data pribadi, yakni dijelaskan sebagai berikut:

• Pengendali Data Pribadi, adalah setiap orang, badanpublik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi (Pasal 1 angka 4 UU PDP).
• Prosesor Data Pribadi, adalah setiap orang, badan publik, dan organisasi internasional yang bertinda sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi (Pasal 1 angka 5 UU PDP).
• Pemrosesan Data Pribadi meliputi:
  • pemerolehan dan pengumpulan;
  • pengolahan dan penganalisisan;
  • penyimpanan;
  • perbaikan dan pembaruan;
  • penampilan, pengumuman, transfer,
  • penyebarluasan, atau pengungkapan; dan/ atau
  • penghapusan atau pemusnahan.

Berdasarkan uraian di atas, maka dalam artikel ini, yang dimaksud Perusahaan ialah yang termasuk pengendali data pribadi dan/atau prosesor data pribadi.

Kembali pada pertanyaan Anda “Apakah semua perusahaan, termasuk perusahaan UMKM wajib menunjuk Data Protection Officer (DPO)?” dalam UU PDP istilah Data Protection Officer disebut pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi, yaitu pejabat atau petugas yang bertanggung jawab untuk memastikan kepatuhan atas prinsip pelindungan data pribadi dan mitigasi risiko pelanggaran pelindungan data pribadi. Menjawab pertanyaan Anda, berdasarkan UU PDP, tidak semua Perusahaan wajib menunjuk Data Protection Officer. Kewajiban menunjuk menunjuk Data Protection Officer hanya berlaku bagi Perusahaan dalam hal tertentu. Hal tertentu tersebut meliput:

1. pemrosesan Data Pribadi untuk kepentingan pelayanan publik;
2. kegiatan inti Pengendali Data Pribadi memiliki sifat, ruang lingkup, dan/ atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas data pribadi dengan skala besar; dan
3. kegiatan inti Pengendali Data Pribadi terdiri dari pemrosesan data pribadi dalam skala besar untuk data pribadi yang bersifat spesifik dan/ atau Data Pribadi yang berkaitan dengan tindak pidana.

UU PDP tidak menyebut secara spesifik Perusahaan dibidang industri apa, atau perusahaan yang mengelola data pribadi sebanyak berapa yang diwajibkan menunjuk Data Protection Officer. Acuan penunjukan Data Protection Officer hanya berdasarkan 3 (tiga) hal di atas (Pasal 53 ayat (1) UU PDP.

Tugas Data Protection Officer

Perusahaan diperbolehkan menunjuk Data Protection Officer berasal dari dalam dan/atau luar Perusahaan. Data Protection Officer yang ditunjuk harus berdasarkan profesionalitas, pengetahuan mengenai hukum, praktik pelindungan data pribadi, dan kemampuan untuk memenuhi tugas-tugasnya.

Tugas Data Protection Officer paling sedikit meliputi:

1. menginformasikan dan memberikan saran kepada perusahaan agar mematuhi ketentuan UU PDP;
2. memantau dan memastikan kepatuhan terhadap UU PDP dan kebijakan perusahaan;
3. memberikan saran mengenai penilaian dampak pelindungan data pribadi dan memantau kinerja perusahaan; dan
4. berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan data pribadi.

Dalam melaksanakan tugas, Data Protection Officer yang melaksanakan fungsi pelindungan data pribadi memperhatikan risiko terkait pemrosesan data pribadi, dengan mempertimbangkan sifat, ruang lingkup, konteks, dan tujuan pemrosesan.