Apa itu DPO menurut UU PDP?

UU PDP tidak pernah menyebut istilah "data protection officer". Frasa yang dipakai undang-undang adalah pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi. Pasar menyebutnya DPO karena pemicu kewajiban, tugas, dan posisinya dalam organisasi sangat dekat dengan Pasal 37 hingga 39 GDPR. Perbedaan penamaan itu penting secara praktis: kewajiban yang sesungguhnya bersumber dari undang-undang Indonesia, bukan dari panduan GDPR. Halaman ini mengurai apa itu peran tersebut, kapan undang-undang mewajibkannya, apa yang harus dilakukan pejabat tersebut, dan apa konsekuensinya jika penunjukan tidak dilakukan.

Kapan undang-undang mewajibkan DPO

Pasal 53 ayat 1 menempatkan kewajiban penunjukan pada pengendali maupun prosesor. Ada tiga kondisi yang memicu kewajiban itu. Pertama, apabila pemrosesan data pribadi dilakukan untuk penyelenggaraan pelayanan publik. Kedua, apabila kegiatan inti pengendali atau prosesor, berdasarkan sifat, ruang lingkup, dan/atau tujuannya, memerlukan pemantauan data pribadi secara teratur dan sistematis dalam skala besar. Ketiga, apabila kegiatan inti terdiri atas pemrosesan data pribadi spesifik dan/atau data pribadi yang berkaitan dengan tindak pidana dalam skala besar. Memenuhi satu saja dari ketiga kondisi ini sudah cukup untuk mewajibkan penunjukan.

Poin terakhir itu bersumber dari putusan Mahkamah Konstitusi. Dalam rumusan awal, ketiga kondisi Pasal 53 ayat 1 dihubungkan dengan kata "dan", yang jika dibaca secara harfiah berarti ketiga syarat harus terpenuhi sekaligus. Mahkamah Konstitusi, dalam Putusan No. 151/PUU-XXII/2024, menafsirkan kata penghubung itu sebagai "dan/atau". Akibatnya, organisasi yang memenuhi satu syarat saja sudah diwajibkan menunjuk pejabat pelindungan data. Penafsiran ini memperluas lingkup kewajiban secara signifikan dan menempatkan organisasi yang kegiatan intinya melibatkan pemantauan sistematis berskala besar terhadap individu secara tegas di dalam jangkauan kewajiban tersebut, meskipun mereka tidak memproses data kategori khusus maupun menyelenggarakan pelayanan publik.

Apa yang harus dilakukan pejabat ini

Pasal 54 ayat 1 menetapkan tugas minimum. Pejabat pelindungan data pribadi wajib, setidaknya:

Dua tugas pertama bersifat berkelanjutan. Pejabat ini menjaga agar pengendali atau prosesor memahami apa yang diwajibkan undang-undang dan menelusuri apakah organisasi benar-benar memenuhi persyaratan tersebut. Tugas ketiga berarti pejabat ini dilibatkan ketika penilaian dampak pelindungan data pribadi diperlukan, yang diwajibkan Pasal 34 sebelum pemrosesan yang kemungkinan besar menimbulkan risiko tinggi bagi subjek data. Tugas keempat menjadikan pejabat ini sebagai saluran komunikasi antara otoritas pengawas dan subjek data dengan organisasi dalam hal pelindungan data pribadi.

Pasal 54 ayat 2 memberi peran ini karakter berbasis risiko. Dalam menjalankan tugasnya, pejabat wajib mempertimbangkan sifat, ruang lingkup, konteks, dan tujuan pemrosesan, serta risiko yang menyertainya. Perumusan itu berarti penyedia layanan kesehatan berskala besar dan agensi pemasaran kecil sama-sama perlu menunjuk pejabat jika memenuhi pemicunya, tetapi apa yang sesungguhnya dilakukan pejabat itu akan berbeda sesuai kompleksitas pemrosesan yang terlibat.

Pasal 54 ayat 3 menyatakan bahwa ketentuan lebih lanjut mengenai tugas dan kualifikasi pejabat akan diatur dalam Peraturan Pemerintah. Peraturan pelaksana tersebut belum diterbitkan per tanggal halaman ini. Sampai terbit, Pasal 53 dan 54 tetap menjadi ketentuan yang berlaku.

Siapa yang bisa menjabat

Pasal 53 ayat 2 mensyaratkan penunjukan didasarkan pada tiga hal: profesionalisme, pengetahuan mengenai hukum pelindungan data pribadi, dan kemampuan untuk melaksanakan fungsi pelindungan tersebut. Undang-undang tidak menyebut sertifikasi atau kredensial tertentu. Organisasi dan pasar telah memetakan persyaratan itu ke berbagai program seperti CIPP/A dari IAPP atau Certified Data Protection Officer yang didukung BSN, tetapi undang-undang sendiri menyerahkan penilaian kualifikasi kepada organisasi yang melakukan penunjukan, setidaknya sampai peraturan pelaksana mengatur lebih lanjut.

Pasal 53 ayat 3 memperbolehkan pejabat berasal dari dalam dan/atau luar organisasi. Penunjukan secara outsourcing atau melalui kontrak dengan demikian merupakan pengaturan yang sah berdasarkan undang-undang, bukan sekadar solusi pasar. Bagi organisasi yang sedang mempertimbangkan antara membangun peran ini secara internal atau menggunakan penyedia jasa, halaman perbandingan biaya menguraikan pertimbangan finansial dan operasionalnya. Jika Anda masih mengevaluasi apakah organisasi Anda memicu kewajiban, daftar periksa kewajiban DPO menelusuri kondisi Pasal 53 dengan contoh kasus.

Posisi kewajiban ini dalam linimasa

1. 1

   UU PDP diundangkan, Oktober 2022

   Undang-undang berlaku sejak diundangkan, dengan masa transisi dua tahun berdasarkan Pasal 74.

2. 2

   Kepatuhan penuh diwajibkan, Oktober 2024

   Masa transisi berakhir; kewajiban substantif sudah mengikat.

3. 3

   Mahkamah Konstitusi memperluas pemicu kewajiban

   Putusan 151/PUU-XXII/2024 menafsirkan kondisi Pasal 53 sebagai dan/atau, sehingga satu pemicu saja sudah cukup.

4. 4

   Peraturan pelaksana dan lembaga pengawas belum ada

   Peraturan Pemerintah dan lembaga pengawas yang diamanatkan belum terbentuk; Komdigi menjalankan fungsi pengawasan sementara.

Masa transisi dua tahun berdasarkan Pasal 74 berakhir pada Oktober 2024. Pengendali dan prosesor telah tunduk pada seluruh ketentuan undang-undang sejak saat itu. Putusan Mahkamah Konstitusi yang mengonfirmasi pembacaan dan/atau memperluas cakupan pihak yang terikat, sehingga sebagian organisasi yang sebelumnya menganggap diri di luar lingkup kewajiban perlu meninjau ulang penilaian tersebut. Di sisi lain, lembaga pengawas khusus yang diamanatkan undang-undang belum terbentuk. Kementerian Komunikasi dan Digital (Komdigi) menjalankan fungsi pengawasan sementara, namun kerangka kelembagaan formalnya masih belum lengkap.

Konsekuensi jika tidak mematuhi

Pasal 57 menyebutkan sanksi administratif yang dapat dijatuhkan otoritas pengawas, dan kegagalan memenuhi Pasal 53 ayat 1 secara tegas termasuk dalam pelanggaran yang dicakupnya. Rangkaian sanksi dimulai dengan teguran tertulis. Jika teguran tidak ditindaklanjuti, otoritas dapat menjatuhkan penghentian sementara kegiatan pemrosesan, penghapusan atau pemusnahan data pribadi, dan denda administratif. Denda ditetapkan hingga dua persen dari pendapatan tahunan yang terkait dengan pelanggaran, bukan persentase tetap dari keseluruhan omzet. Besaran denda dengan demikian bergantung pada aliran pendapatan yang berkaitan dengan pemrosesan yang tidak memenuhi kewajiban.

Di luar sanksi administratif, Pasal 57 berada dalam kerangka penegakan yang lebih luas, yang mencakup sanksi pidana berdasarkan Pasal 67 hingga 73 untuk kategori pelanggaran lain, serta tuntutan perdata dari subjek data. Jalur administratif atas kegagalan menunjuk pejabat adalah risiko yang paling langsung, tetapi tidak berdiri sendiri.

Melakukan penunjukan berdasarkan undang-undang

Langkah praktis untuk memenuhi kewajiban Pasal 53 dibahas di halaman cara menunjuk DPO berdasarkan UU PDP, termasuk cara mendokumentasikan penunjukan, apa yang perlu dimuat dalam mandat pejabat, dan bagaimana peran ini berdampingan dengan fungsi kepatuhan dan hukum yang sudah ada.

Halaman ini merupakan panduan umum mengenai UU PDP, bukan nasihat hukum. Konfirmasikan kewajiban Anda dengan merujuk langsung pada undang-undang yang berlaku dan peraturan pelaksana yang diterbitkan.