Akhir-akhir ini kami sering mendapatkan pertanyaan tentang PPDP atau DPO. Salah satu pertanyaan yang sangat sering ditanyakan yaitu “Apa saja tugas dari seorang PPDP atau DPO?”
Melalui tulisan ini, kami ingin menguraikan hal apa saja yang menjadi tugas dari seorang PPDP atau DPO, baik yang tercantum di dalam UU PDP ataupun yang berlaku secara internasional.
Tugas seorang PPDP yang tercantum di UU PDP
Di dalam UU PDP, pada Pasal 54 pada Ayat 1 dan 2 disebutkan bahwa:
(1) Pejabat atau Petugas yang melaksanakan fungsi Pelindungan Data Pribadi memiliki tugas paling sedikit:
- Menginformasikan dan memberikan saran kepada Pengendali Data Pribadi atau Prosesor Data Pribadi agar mematuhi ketentuan dalam Undang-Undang ini;
- Memantau dan memastikan kepatuhan terhadap Undang-Undang ini dan kebijakan Pengendali Data Pribadi atau Prosesor Data Pribadi;
- Memberikan saran mengenai penilaian dampak Pelindungan Data Pribadi dan memantau kinerja Pengendali Data Pribadi dan Prosesor Data Pribadi; dan
- Berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan Data Pribadi.
(2) Dalam melaksanakan tugas sebagaimana dimaksud pada ayat (l), pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi memperhatikan risiko terkait pemrosesan Data Pribadi, dengan mempertimbangkan sifat, ruang lingkup, konteks, dan tujuan pemrosesan.
UU PDP Pasal 54 Ayat 1 dan 2
Apabila kita melihat sepintas mengenai isi dari Pasal 54 Ayat 1 dan 2 UU PDP di atas, kita dapat menyimpulkan bahwa seorang PPDP atau DPO memiliki tugas yang cukup sederhana, sedangkan apabila kita melihat pada Article 39 GDPR, kita dapat melihat bahwa seorang PPDP atau DPO memiliki tugas antara lain:
Tugas seorang DPO yang tercantum dalam GDPR
(1) The data protection officer shall have at least the following tasks:
- To inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;
- To monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;
- To provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35;
- To cooperate with the supervisory authority.
- To act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter.
(2) The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.
GDPR Article 39
Jika diterjemahkan ke dalam bahasa Indonesia, Article 39 GDPR dapat diartikan sebagai berikut:
- Menginformasikan dan memberikan masukan kepada Pengendali atau Prosesor Data Pribadi dan kepada semua staf yang menyelenggarakan pemrosesan Data Pribadi berdasarkan atas GDPR dan semua peraturan mengenai Data Pribadi yang terdapat di seluruh negara anggota Uni Eropa
- Untuk mengawasi kepatuhan yang dilakukan oleh Pengendali Data Pribadi dan Prosesor Data Pribadi terhadap GDPR dan undang undang dan peraturan lain di dalam Uni Eropa yang berkaitan dengan Data Pribadi, termasuk tanggung jawab di dalam Pemrosesan yang dilakukan masing masing pihak, peningkatan kesadaran terhadap Pelindungan Data Pribadi, pelatihan terhadap seluruh staff yang melaksanakan Pemrosesan Data Pribadi dan yang terakhir adalah pelaksanaan audit.
- Memberikan analisis dampak atas pemrosesan Data Pribadi yang beresiko tinggi (apabila diperlukan) dan mengawasi pelaksanaannya
- Tunduk dan bekerja atas perintah lembaga Pelindungan Data Pribadi
- Bertindak sebagai narahubung kepada Lembaga Pelindungan Data Pribadi terhadap isu-isu yang berkaitan dengan pemrosesan Data Pribadi dan seputar permasalahan yang berkaitan dengan Pelindungan Data Pribadi.
(2) Seorang PPDP atau DPO harus bekerja dengan memperhitungkan segala resiko yang dapat muncul, sebagai akibat dari Pemrosesan Data Pribadi, dengan memperhitungkan beberapa faktor antara lain sifat, cakupan, konteks dan tujuan pemrosesan.
Kesimpulan
Apabila kita melihat dan membandingkan kedua Undang Undang di atas, kita bisa menyimpulkan bahwa secara esensi tugas seorang PPDP yang tercantum di UU PDP ataupun tugas seorang DPO yang tercantum di GDPR adalah sama, namun karena terdapat ketentuan di UU PDP Pasal 54 ayat 3 yang berbunyi “Ketentuan lebih lanjut mengenai pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi diatur dalam Peraturan Pemerintah”, maka terlihat UU PDP hanya menjelaskan tugas PPDP atau DPO secara garis besarnya saja. Penjelasan akan tugas-tugas dari seorang PPDP atau DPO akan lebih detail lagi dijelaskan dalam Peraturan Pemerintah yang akan segera terbit. Namun gambaran yang lebih detail mengenai tugas PPDP atau DPO sudah dapat kita lihat di dalam GDPR artikel 39 di atas, oleh karena GDPR merupakan standar tertinggi di dalam hukum Pelindungan Data Pribadi di seluruh dunia.
Tertarik untuk mempelajari lebih lanjut tentang tugas-tugas seorang DPO?
Gerbang PDP Indonesia menawarkan Program Profesi Petugas atau Pejabat Pelindung Data Pribadi / Data Protection Officer berdasarkan SKKNI Nomor 103 Tahun 2023 melalui LPKS Gerbang PDP Indonesia yang sudah mendapatkan izin sebagai Lembaga Pelatihan Kerja Swasta pada bulan Januari 2024 lalu. Program sertifikasi DPO atau PPDP dijadwalkan terselenggara selama 5 hari dan dilanjutkan dengan Pendampingan selama 1 bulan agar DPO / PPDP lulusan LPKS Gerbang PDP Indonesia dapat memberikan solusi yang efisien dan efektif terkait pemrosesan Data Pribadi dan dapat mengimplementasikan UU PDP dengan komprehensif.
Untuk informasi lebih lanjut terkait jadwal sertifikasi, Anda bisa menghubungi kami di sini.