Pada tahun 2022, Pemerintah Republik Indonesia telah mengesahkan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Dengan pemberlakuan UU PDP, penting bagi seluruh pelaku usaha untuk mempelajari dan mempersiapkan pelaksanaan kewajiban-kewajiban yang timbul dengan berlakunya UU PDP, terutama untuk seluruh pelaku usaha yang melakukan aktivitas pengolahan data pribadi di Indonesia.
Implikasi dari UU PDP melahirkan sebuah profesi baru yang disebut dengan Data Protection Officer (DPO). DPO merupakan pejabat atau petugas yang melaksanakan fungsi Perlindungan Data Pribadi. Dalam susunan organisasi DPO harus bekerja secara independen sehingga DPO dapat bekerja secara komprehensif. Sebuah hal yang lazim jika DPO ditempatkan langsung di bawah pimpinan puncak atau di bawah langsung CEO sebuah perusahaan.
Dalam sebuah perusahaan, DPO memiliki tugas utama untuk memastikan pemrosesan data pelanggan, karyawan, pihak ketiga, dan entitas lain mematuhi peraturan mengenai perlindungan data. Selain itu DPO memiliki tugas-tugas lain, yaitu menginformasikan dan memberikan saran kepada pengendali data pribadi atau prosesor data pribadi agar mematuhi ketentuan dalam UU PDP; memberikan saran mengenai penilaian dampak PDP dan memantau kinerja pengendali data pribadi dan prosesor data pribadi; serta berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan data pribadi. DPO juga harus memastikan perusahaan terhindar dari risiko pelanggaran dan sanksi berat UU PDP.
Berdasarkan UU PDP, Perusahaan diperbolehkan untuk menunjuk DPO dari dalam dan/atau luar Perusahaan, selama penunjukan dilakukan berdasarkan profesionalitas, pengetahuan mengenai hukum, praktik Pelindungan Data Pribadi, dan kemampuan untuk memenuhi tugas-tugas sebagai DPO. Petugas DPO tidak harus bergelar sarjana hukum, yang terpenting mengerti hukum terutama terkait PDP. Asosiasi Profesional Privasi Data Indonesia (APPDI) memberikan pelatihan bagi individu yang tertarik untuk memperoleh sertifikasi Pejabat Perlindungan Data
UU PDP mengatur setiap perusahaan atau lembaga pemerintahan wajib menunjuk DPO apabila:
- Entitas melakukan pemrosesan Data Pribadi untuk kepentingan pelayanan public;
- Kegiatan inti Entitas memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar; dan
- Kegiatan inti Perusahaan terdiri dari pemrosesan Data Pribadi dalam skala besar untuk Data Pribadi yang bersifat spesifik dan/atau Data Pribadi yang berkaitan dengan tindak pidana.
Di Indonesia, perusahaan-perusahaan yang memenuhi kriteria ini contohnya adalah perusahaan yang bergerak di sektor keuangan, baik perbankan maupun lembaga jasa keuangan non-bank. Karena, dalam memberikan jasa keuangan, baik bank maupun lembaga non-bank perlu meminta data pribadi nasabah maupun calon nasabah untuk melakukan customer due diligence (uji tuntas pelanggan) sebagaimana diwajibkan dalam peraturan perundang-undangan di sektornya.
Sektor keuangan merupakan sektor yang sangat vital dan rentan terhadap kebocoran data yang memuat informasi-informasi penting dari nasabah sehingga kehadiran DPO menjadi sangat penting dan diharapkan dapat memberikan proteksi terhadap data pribadi nasabah. Selain informasi pribadi, sektor keuangan juga memuat data keuangan nasabah, seperti saldo nasabah yang harus dijaga dan diproteksi dengan baik
Selain sektor keuangan, perusahaan-perusahaan yang bergerak di sektor kesehatan, e-commerce, dan digital juga merupakan sektor-sektor yang memerlukan DPO. Salah satu e-commerce di Indonesia yang telah memiliki divisi khusus Data Protection adalah Tokopedia (IDX: GOTO), platform marketplace yang dipakai banyak masyarakat Indonesia. Dengan skala transaksi yang difasilitasi Tokopedia, dan banyaknya merchant dan user yang terdaftar di dalamnya, dapat disimpulkan bahwa pelindungan data pribadi menjadi salah satu prioritas dan hal tersebut dapat dilihat dari adanya DPO di dalam Perusahaan.
WIR Group (IDX: WIRG), sebuah perusahaan digital yang bergerak dalam pengembangan metaverse, dan PT DCI Indonesia Tbk. (IDX: DCII) melakukan kerja sama dalam memastikan adanya perlindungan privasi dan keamanan data user yang memasuki dunia metaverse. Kerja sama ini merupakan langkah strategis terkait implementasi teknologi metaverse yang memerlukan dukungan infrastruktur data center yang aman, handal, stabil dan zero downtime.
