Apakah Anda wajib menunjuk DPO? Checklist UU PDP

Halaman ini merupakan daftar periksa praktis berdasarkan tiga kondisi Pasal 53 UU PDP. Halaman ini membantu Anda menentukan apakah salah satu kondisi tersebut berlaku bagi organisasi Anda dan menandai kategori data yang paling sering memicu kondisi ketiga. Untuk penjelasan lengkap mengenai apa yang dilakukan DPO, bagaimana peran itu disusun, dan apa konsekuensinya jika penunjukan tidak dilakukan, lihat halaman apa itu DPO menurut UU PDP.

Tiga pemicu kewajiban

Pasal 53 ayat 1 menempatkan kewajiban penunjukan pada pengendali maupun prosesor. Memenuhi salah satu dari kondisi berikut sudah membuat penunjukan DPO menjadi wajib.

Ketiga kondisi itu tidak bersifat kumulatif. Rumah sakit umum memenuhi kondisi pertama secara otomatis. Perusahaan telekomunikasi atau logistik yang memantau perilaku individu dalam skala besar memenuhi kondisi kedua. Bank, fintech, atau asuransi kesehatan yang memproses kategori data sensitif dalam volume besar memenuhi kondisi ketiga. Setiap jalur tersebut mengarah pada kewajiban yang sama.

Mengapa satu pemicu sudah cukup

Dalam rumusan awalnya, ketiga kondisi Pasal 53 ayat 1 dihubungkan dengan kata "dan". Jika dibaca secara harfiah, perumusan itu berarti ketiga syarat harus terpenuhi sekaligus, yang pada praktiknya akan mengecualikan sebagian besar organisasi sektor swasta dari kewajiban ini.

Mahkamah Konstitusi, melalui Putusan Nomor 151/PUU-XXII/2024, menafsirkan kembali kata penghubung tersebut menjadi "dan/atau". Akibatnya, memenuhi satu syarat saja sudah cukup untuk mewajibkan penunjukan. Perubahan itu secara signifikan memperluas lingkup kewajiban. Organisasi yang kegiatan intinya melibatkan pemantauan sistematis berskala besar terhadap individu kini secara tegas berada di dalam jangkauan kewajiban, meskipun tidak memproses data kategori khusus dan tidak menyelenggarakan pelayanan publik.

Daftar data spesifik yang sering menjadi penentu

Pemicu ketiga menjangkau setiap organisasi yang kegiatan intinya adalah pemrosesan data pribadi spesifik dalam skala besar. Pasal 4 ayat 2 mendefinisikan kategori-kategorinya:

Kategori yang paling sering diabaikan dalam praktik adalah data keuangan pribadi, karena undang-undang secara eksplisit menyebutkan apa yang tercakup dalam istilah tersebut: deposito, tabungan, deposito berjangka, dan data kartu kredit. Setiap lembaga yang mengelola data-data itu dalam skala besar, termasuk bank, perusahaan multifinance, dan penyedia layanan pembayaran, memproses data pribadi spesifik dalam pengertian undang-undang. Jika pemrosesan itu merupakan kegiatan inti dan bukan sekadar kegiatan sampingan, pemicu ketiga berlaku.

Bagi organisasi di sektor keuangan yang ingin memahami implikasinya secara lebih rinci, halaman tanggung jawab DPO di sektor keuangan menguraikan gambaran spesifik sektor tersebut.

Apa arti "skala besar" dan "kegiatan inti" dalam praktik

UU PDP tidak menetapkan ambang batas numerik untuk "skala besar", dan Peraturan Pemerintah pelaksana yang mungkin menambahkan ketentuan lebih rinci masih belum diterbitkan. Dalam praktiknya, menilai apakah pemrosesan termasuk skala besar berarti mempertimbangkan jumlah subjek data yang terdampak, volume dan sensitivitas data, jangkauan geografis pemrosesan, serta lamanya pemrosesan berlangsung. Tidak ada satu faktor yang bersifat mutlak. Pemrosesan yang jelas bersifat sampingan, misalnya basis data SDM yang kecil, pada umumnya tidak akan memenuhi ambang batas tersebut meskipun organisasinya sendiri berskala besar.

"Kegiatan inti" juga memiliki makna yang praktis. Istilah itu merujuk pada pemrosesan yang merupakan bagian integral dari apa yang sesungguhnya dilakukan oleh pengendali atau prosesor, bukan pada fungsi pendukung yang bersifat insidental. Mengelola penggajian bukanlah kegiatan inti bagi perusahaan logistik. Memantau pergerakan barang secara real time adalah kegiatan inti. Perbedaan itu penting karena pemicu kedua dan ketiga hanya berlaku apabila pemrosesan berskala besar merupakan inti dari tujuan organisasi, bukan sekadar efek sampingan dari aktivitas lainnya.

Masih belum yakin? Periksa kesiapan Anda

Jika Anda sudah memeriksa pemicu-pemicu di atas namun masih tidak yakin apakah pemrosesan Anda memenuhi ambang batas tersebut, langkah praktis berikutnya adalah memetakan kegiatan pemrosesan Anda dan menilai setiap kegiatannya terhadap tiga kondisi tersebut. Alat asesmen mandiri UU PDP dari Alpha Code memandu Anda melalui pertanyaan-pertanyaan kunci dan memberikan gambaran awal mengenai posisi kepatuhan Anda, secara gratis.

Bahkan ketika DPO tidak secara tegas diwajibkan, menunjuknya merupakan praktik yang bijak. Peran ini mendukung kepatuhan di seluruh kewajiban UU PDP, bukan hanya persyaratan penunjukan, dan menunjukkan kepada mitra serta regulator bahwa pelindungan data pribadi diperlakukan dengan serius.

Halaman ini merupakan panduan umum mengenai UU PDP, bukan nasihat hukum. Konfirmasikan kewajiban Anda dengan merujuk langsung pada undang-undang yang berlaku dan peraturan pelaksana yang diterbitkan.