Jakarta, Ditjen Aptika – Direktorat Jenderal Aplikasi Informatika, Kementerian Komunikasi dan Informatika sedang mengakselerasi pembuatan sertifikasi kerja Pejabat Pelindungan Data Pribadi (PPDP) atau Data Protection Officer (DPO). Kriteria dan kompetensi kerja PPDP nantinya tertuang dalam Standar Kompetensi Kerja Nasional Indonesia (SKKNI).
“Apakah sudah berjalan dan ada sertifikasinya. Tentu saja belum. Saya rasa bisa memulai memperkuat capacity building kita dengan mengikuti training-training yang pada akhirnya selaras dengan regulasi (UU PDP) ini,” kata Ketua Tim Tata Kelola PDP Kominfo, Hendri Sasmita Yuda dalam Webinar Tok Tok Kominfo bertajuk Bahas PDP Yuk Seri 2, Selasa (1/11/2022).
Menurutnya, materi pelatihan bagi para PPDP itu bisa berbentuk pengetahuan tentang hukum pelindungan data pribadi di dalam negeri maupun luar negeri maupun keterampilan teknis lainnya. “Bisa dimulai dari sekarang, tentunya nanti dengan menyesuaikan dengan SKKNI yang dibuat,” jelasnya.
Peran PPDP itu akan diatur lebih lanjut dalam Peraturan Pemerintah sebagai turunan dari Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. Hendri memaparkan, kebutuhan seorang PPDP untuk badan publik tertentu berbeda, misalnya dengan Dinas Kominfo di daerah. Begitu pula bagi kebutuhan kalangan swasta juga berbeda.
Sebetulnya kriteria seperti apa sosok yang layak ditunjuk sebagai PPDP? Dalam pandangan Hendri, seorang PPDP bukan saja harus mengerti soal UU PDP, hal ihwal teknologi informasi dan praktik PDP tetapi juga memahami skema bisnis pengelolaan data pribadi.
“Terkadang ada orang memahami IT dan hukum namun tidak memberikan solusi tentang perlindungan data yang akuntabel dan sesuai regulasi,” tukas salah satu anggota Tim Perumus UU PDP tersebut.
Intinya ada empat hal yang menjadi tugas PPDP. Pertama, PPDP bertugas menginformasikan dan memberikan saran kepada pengendali data pribadi atau prosesor data pribadi agar mematuhi ketentuan dalam UU PDP.
Kedua, memantau dan memastikan kepatuhan terhadap UU PDP dan kebijakan pengendali data pribadi atau prosesor data pribadi.
Ketiga, PPDP bertugas memberi saran mengenai penilaian dampak perlindungan data pribadi dan memantau kinerja pengendali data pribadi maupun prosesor data pribadi.
Keempat, PPDP memiliki tugas untuk berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan data pribadi.
Lihat juga: Bakal Jadi Profesi Baru, Inilah Empat Tugas PPDP
Satu hal, Hendri mengingatkan, dalam hal pengelolaan data yang bersifat rahasia (confidential) maka perlu dipastikan beberapa hal. Siapa pejabat yang mengelola data itu, manajemen akses, pengawasan, cara pendistribusian data itu, larangan-larangan hingga pengamanan ekstra seperti penggunaan CCTV di ruangan pengelolaan data.
“Jadi intinya bagaimana membangun di setiap lembaga dan organisasi mewujudkan budaya pelindungan data, membuat SOP dan menyiapkan sistem keamanan datanya untuk memastikan tidak terjadi kebocoran,” jelasnya.
Diakui Hendri Sasmita Yuda, penempatan petugas PDP tergantung pada kebutuhan dan kapasitas SDM di unit kerja masing-masing kementerian/lembaga dan organisasi. Tidak mesti seluruh unit kerja di K/L memiliki PPDP atau cukup hanya satu PPDP di satu unit lembaga.
“Tergantung kebutuhan organisasi dari setiap K/L. Karena di UU PDP menyebutkan fleksibilitas dari PPDP ini. Kita bisa menggunakan pihak eksternal jika tak memungkinkan memakai tenaga internal. Adapun di internal bisa diletakkan di unit kerja tertentu,” tuturnya.
Sebelumnya, Dirjen Aptika Kemkominfo, Semuel A. Pangerapan, menyebut seiring dengan pemberlakuan UU No. 27 Tahun 2022 tentang PDP dibutuhkan sekitar 140 ribu Petugas Pelindungan Data Pribadi (PPDP). Tugas mereka untuk memastikan kepatuhan dari tiap lembaga/kementerian dan organisasi selaku pengendali data dalam menerapkan regulasi PDP.
Undang-Undang PDP sejak disahkan 20 September 2022 sudah bisa dijalankan. Meski ada masa penyesuaian selama dua tahun, pemerintah dengan otoritas yang ada dapat melaksanakan undang-undang tersebut. Kewenangan penegak hukum maupun otoritas pengawas lembaga/kementerian dapat menggunakan peraturan perundangan lainnya yang masih selaras dengan muatan UU PDP.
Tanggung Jawab Petugas PDP
Ketika menjawab pertanyaan soal tanggung jawab PPDP jika kasus kebocoran data, Hendri menjelaskan sepanjang pengendali data yang memerintahkan kepada PPDP, maka tanggung jawab itu ada di pengendali data. Namun jika PPDP melakukan pemrosesan data di luar perintah pengendali data, perbuatan itu menjadi tanggung jawab PPDP.
Dikatakan lebih lanjut, PPDP adalah unit kerja yang membantu pengendali data pribadi untuk melaksanakan kepatuhan regulasi PDP. Seperti saat pengendali data menyusun standar operasi prosedur (SOP). Petugas PDP inilah yang memastikan SOP itu berjalan sesuai UU PDP atau peraturan lainnya yang berlaku.
Adapun saat SOP tidak dibuat berdasarkan UU PDP, maka yang terkena sanksi adalah pengendali data pribadi. Pasalnya, sifatnya adalah memberikan saran dan konsultasi kepada pengendali data pribadi atau prosesor data pribadi.
“Berkaca dari praktik DPO di luar negeri. Mereka tidak diberikan hukuman secara pidana maupun perdata. Sebab, DPO hanya melaksanakan perintah dan instruksi dari pengendali data tersebut,” ujar Hendri Sasmita Yuda.
Pada kesempatan itu, Chairman Institute of Digital Trust Indonesia, Eryk Budi Pratama mengingatkan dalam pelaksanaan UU PDP perlu mengatur hubungan yang jelas antara antara pengendali data pribadi dan pemroses data pribadi.
Lihat juga: Teguh: Amanat UU, Presiden Tetapkan Lembaga Otoritas PDP
Ia mencontohkan, seperti pengelolaan data call center perbankan. Pihak bank biasanya menggandeng outsourcing dimana mereka menampung data nasabah lalu diteruskan kepada pihak bank. Namun pada praktiknya, pihak outsourcing juga menyimpan data sendiri dengan dalih peningkatan layanan nasabah.
Dengan demikian, kata Eryk, call center itu sudah berlaku sebagai pengendali data dengan tujuan yang berbeda dari penggunanya. Sama halnya dengan transaksi antara pihak penyedia layanan e-commerce dan merchant yang menjual produk. Mereka berlaku sebagai pengendali sekaligus pemroses data pribadi konsumen.
“Jadi dalam hal ini, ada dua jenis pengendali data. Pertama, sebagai solely controller, seutuhnya mengendalikan sekaligus memroses data pribadi. Kedua, masing-masing memosisikan diri hanya sebagai pengendali atau prosesor data pribadi,” jelas Chairman Institute of Digital Trust Indonesia.
Tentunya sebagai upaya mitigasi risiko, menurut Eryk, hal ini perlu diatur dalam perjanjian bisnis antara para pihak. Perjanjian siapa yang mengendalikan dan memroses data pribadi harus dibuat secara detail. (kw)