Cara menunjuk DPO menurut UU PDP

Menunjuk DPO berdasarkan UU PDP adalah serangkaian keputusan, bukan sekadar satu tanda tangan. Hukum dalam Pasal 53 dan 54 menetapkan siapa yang wajib menunjuk, kualifikasi apa yang dibutuhkan pejabat tersebut, apakah penunjukan internal maupun outsourced keduanya sah, dan apa kewajiban pejabat setelah ditempatkan. Mengerjakan langkah-langkah itu secara berurutan mencegah penunjukan menjadi formalitas yang kemudian dapat dipermasalahkan oleh undang-undang.

Langkah-langkahnya

Setiap langkah di bawah ini berkaitan dengan persyaratan undang-undang tertentu atau keputusan praktis yang menentukan apakah penunjukan dapat dipertahankan saat diperiksa.

Konfirmasi kewajiban

Sebelum melakukan hal lain, periksa kegiatan pemrosesan Anda terhadap tiga pemicu dalam Pasal 53 ayat 1. Kewajiban ini berlaku bagi pengendali maupun prosesor. Tiga kondisi tersebut adalah: pemrosesan yang dilakukan untuk menyelenggarakan pelayanan publik; kegiatan inti yang berdasarkan sifat, lingkup, dan/atau tujuannya memerlukan pemantauan data pribadi secara teratur dan sistematis dalam skala besar; serta kegiatan inti yang terdiri dari pemrosesan data pribadi spesifik atau data yang berkaitan dengan tindak pidana dalam skala besar.

Mahkamah Konstitusi, melalui Putusan Nomor 151/PUU-XXII/2024, menafsirkan kembali kata penghubung yang menghubungkan ketiga kondisi tersebut sebagai "dan/atau", bukan sekadar "dan". Akibatnya, memenuhi satu kondisi saja sudah cukup. Organisasi yang kegiatan intinya adalah pemantauan sistematis berskala besar terhadap individu tunduk pada kewajiban ini meskipun tidak memproses data kategori khusus dan tidak menyelenggarakan pelayanan publik. Jika Anda sedang memeriksa apakah organisasi Anda memenuhi syarat, daftar periksa kewajiban DPO memandu melalui kondisi Pasal 53 dengan contoh-contoh nyata.

Pilih internal atau outsourced

Pasal 53 ayat 3 menyatakan bahwa pejabat tersebut dapat berasal dari dalam dan/atau luar organisasi. DPO yang di-outsource atau dikontrak dengan demikian merupakan pengaturan yang sah berdasarkan undang-undang, bukan sekadar jalan pintas. Pilihan antara membangun peran secara internal dan menggunakan penyedia eksternal bergantung pada biaya, ketersediaan keahlian, dan bagaimana peran tersebut perlu diposisikan dalam struktur tata kelola. Perbandingan biaya internal vs outsourced menguraikan pertimbangan finansial dan operasionalnya secara rinci.

Kualifikasi calon pejabat

Pasal 53 ayat 2 mensyaratkan bahwa penunjukan didasarkan pada tiga hal: profesionalisme, pengetahuan tentang hukum pelindungan data pribadi, dan kemampuan untuk melaksanakan fungsi pelindungan. Undang-undang tidak menyebutkan sertifikasi tertentu. Kredensial yang diakui, seperti CIPP/A dari IAPP atau Certified Data Protection Officer yang didukung BSN, dapat membantu organisasi menunjukkan bahwa calon yang ditunjuk memenuhi standar undang-undang, tetapi penilaian kompetensi tetap berada pada organisasi yang menunjuk, setidaknya hingga peraturan pelaksana memberikan ketentuan lebih lanjut.

Tetapkan mandat dan lindungi independensi

Dokumen penunjukan harus lebih dari sekadar menyebut nama pejabat. Dokumen itu perlu memberikan kondisi yang diperlukan agar pejabat dapat bekerja secara efektif. DPO yang melapor ke fungsi yang sama dengan yang harus diawasinya, atau yang tidak memiliki akses ke kegiatan pemrosesan yang harus dipantaunya, tidak dapat menjalankan kewajiban Pasal 54 secara bermakna.

Jalur pelaporan harus berada pada level di mana pejabat dapat menyampaikan kekhawatiran tanpa diintervensi oleh fungsi yang bertanggung jawab atas pemrosesan. Independensi tidak mengharuskan entitas hukum yang terpisah; yang diperlukan adalah pejabat tidak menerima instruksi tentang cara menjalankan tugas pelindungan datanya.

Hubungkan dengan kewajiban dan notifikasi pelanggaran

Pasal 54 menetapkan kewajiban minimum pejabat: menginformasikan dan memberi saran mengenai kepatuhan, memantau dan memastikan kepatuhan, memberi saran dan memantau penilaian dampak pelindungan data, serta berkoordinasi sebagai titik kontak bagi otoritas pengawas dan subjek data. Ini adalah kewajiban yang bersifat berkelanjutan, bukan sekali jalan.

Tenggat waktu notifikasi pelanggaran diatur secara terpisah. Pasal 46 mensyaratkan bahwa pemberitahuan pelanggaran data pribadi diberikan kepada subjek data yang terdampak dan kepada otoritas pengawas dalam 3 kali 24 jam sejak pelanggaran diketahui. Pejabat harus dilibatkan dalam proses respons insiden sehingga penghitungan waktu dimulai sejak pelanggaran diketahui, bukan sejak mencapai fungsi kepatuhan.

Yang masih dalam proses

Per 2026, dua elemen yang diamanatkan oleh undang-undang belum tersedia. Peraturan Pemerintah pelaksana yang disebutkan dalam Pasal 54 ayat 3 belum diterbitkan. Lembaga pengawas khusus yang diatur oleh undang-undang juga belum dibentuk. Kementerian Komunikasi dan Digital (Komdigi) bertindak sebagai otoritas pengawas sementara. Saluran pendaftaran atau notifikasi untuk penunjukan DPO karenanya masih bersifat sementara dan dapat berubah ketika kerangka formal telah ditetapkan. Pendekatan yang tepat adalah menunjuk pejabat dan membangun perannya sekarang, serta mengonfirmasi saluran yang berlaku begitu lembaga dan peraturan resmi ditetapkan.

Langkah-langkah berdasarkan undang-undang

Secara keseluruhan, langkah-langkah ini mengubah penunjukan dari sekadar centang kotak kepatuhan menjadi pengaturan yang mencerminkan apa yang sesungguhnya diharuskan oleh undang-undang dan yang dapat diandalkan oleh pejabat untuk melaksanakan tugasnya.

Halaman ini merupakan panduan umum mengenai UU PDP, bukan nasihat hukum. Konfirmasikan kewajiban Anda dengan merujuk langsung pada undang-undang yang berlaku dan peraturan pelaksana yang diterbitkan.