Open in app

Sign in

Write

Sign in

Privacy Operating Model Series: Mengenal Data Protection Officer

Eryk Budi Pratama
8 min readAug 29, 2021

--

Disclaimer: Tulisan ini adalah opini dan hasil analisis penulis pribadi tanpa mewakili pihak/institusi manapun.

Sebelum membaca artikel ini, saya sarankan pembaca terlebih dahulu membaca artikel saya tentang Relevansi Data Privacy dan Data Protection. Secara definisi memang keduanya adalah hal yang berbeda, namun relevan. Hal mendasar yang harus pembaca pahami:

Keamanan Informasi dapat berjalan efektif tanpa perlu mempertimbangkan aspek Privacy. Sedangkan Privacy tidak akan dapat berjalan efektif tanpa mempertimbangkan aspek keamanan informasi.

Singkatnya, data protection lebih banyak berbicara tentang bagaimana melindungi data dengan menerapkan kontrol keamanan data/informasi, sedangkan data privacy lebih banyak berbicara tentang aspek etika, prinsip, dan regulasi yang tujuannya memang untuk menjamin salah satu hak asasi manusia, yaitu privasi. Apabila kita melihat dari aspek penamaan regulasi, sebagai contoh GDPR dan RUU PDP, keduanya menggunakan kata “Perlindungan Data” atau “Data Protection”. Namun isinya kebanyakan membahas tentang aspek Privacy. Nah loh. Jadi tidak perlu memperdebatkan penamaan regulasinya. Cukup kita pahami saja bahwa keduanya adalah definisi yang sangat erat.

Kalau saya pribadi, lebih sering menggunakan kata Data Privacy, meskipun konteks diskusinya mencakup perlindungan data baik dari sisi regulasi maupun teknis (termasuk teknologi). Namun tergantung konteks diskusinya. Jika berbicara di level program dan strategi, kadang saya harus menyamakan persepsi antara Data Privacy Program dan Data Protection Program.

Pada seri pertama dari Privacy Operating Model ini, saya akan membahas hal dasar yang menyangkut aspek People dalam mengelola Privacy Program. Nantinya saya akan bahas lebih ke arah aspek keamanan informasi dalam konteks perlindungan data.

Definisi Data Protection Officer (DPO)

Baik GDPR maupun RUU PDP cukup jelas mendefinisikan DPO. Pasal 37 dari GDPR menjelaskan penunjukan Data Protection Officer (DPO) ini. Pasal 45 dari RUU PDP juga menjelaskan penunjukan “Pejabat atau Petugas Yang Melaksanakan Fungsi Pelindungan Data Pribadi”. Singkatnya, DPO adalah personil yang melaksanakan fungsi perlindungan data pribadi. Pelaksanaan fungsi ini bisa multi tafsir. Apakah melaksanakan maksudnya hanya merancang, menerapkan, mengawasi, dan/atau memantau kontrol perlindungan data? Sebelum saya jawab dengan pasal-pasal yang ada di GDPR dan RUU PDP, ada salah satu publikasi menarik terkait “Three Lines of Defense in Privacy Organisations

Data Privacy, Eryk Budi Pratama, Privacy Expert
Sumber: Deloitte Data Privacy as a Strategic Priority https://www2.deloitte.com/us/en/pages/advisory/articles/data-privacy-as-a-strategic-priority.html

Rekan-rekan yang berkecimpung di bidang Risk Management, Internal Audit, Keamanan Informasi, umumbya familiar dengan konsep Three-Lines-of-Model dari IIA. Untuk Privacy, ada juga loh. Kenapa ini saya sajikan di depan? Karena nantinya saya akan menjelaskan roles yang umumnya ada di Privacy, yaitu Data Protection Officer dan Data Privacy Officer/Privacy Officer. Selain kedua role itu, sebenarnya ada satu lagi yang perannya ini lebih banyak di 1st Line, yaitu Privacy Liaisons.

Umumnya organisasi akan memiliki operating model yang berbeda walaupun untuk Privacy ini harusnya tidak signifikan bedanya. Untuk organisasi yang besar, selain punya tim untuk Privacy/Data Protection, juga perlu menunjuk champion/liaison/penghubung di masing-masing unit kerja atau negara. Kalau di IT, kita mengenal IT Business Analyst/IT Business Alliance. Nah kurang lebihnya perannya mirip, yaitu personel yang ditunjuk sebagai PIC dalam konteks kebutuhan terkati Privacy untuk setiap unit kerja. PIC ini bisa jadi pegawai di unit kerja terkait, atau memang tim Privacy yang ditunjuk untuk mengelola relationship dengan unit kerja tersebut.

Gambar di atas sebenarnya lebih cocok untuk organisasi global. Namun untuk organisasi yang scope-nya hanya satu negara, masih bisa juga mengadopsi model tersebut namun dengan ketersediaan jumlah SDM yang sangat terbatas. Jika organisasi memiliki keterbatasan dalam mengadopsi model ini, biasanya fungsi DPO ini tersentral (centralized). Untuk perusahaan global, sejauh yang saya tahu dari klien-klien saya, mereka mengadopsi model hybrid (centralized dan decentralized).

Oh iya. Meskipun namanya adalah “Pejabat yang memiliki fungsi perlindungan data pribadi”, bukan berarti DPO ini hanya satu orang ya. Bisa jadi DPO ini adalah sebuah tim yang bisa jadi memiliki skillset yang sama (umumnya di bidang hukum) atau campuran (umumnya bidang keamanan informasi dan data management).

Tugas Data Protection Officer

Berdasarkan Pasal 39 GDPR, tugas DPO adalah:

  1. Memberikan informasi dan saran kepada Data Controller/Processor yang melakukan pemrosesan data pribadi untuk dapat memenuhi kewajiban mereka sesuai dengan peraturan perlindungan data pribadi yang berlaku.
  2. Memantau kepatuhan terhadap peraturan perlindungan data pribadi, termasuk penugasan tanggung jawab, peningkatan awareness, dan pelatihan staf yang terlibat dalam operasi pemrosesan data pribadi, dan audit.
  3. Memberikan saran (jika dibutuhkan) terkait dengan aktivitas Data Protection Impact Assessment (DPIA) dan memantau kinerjanya sesuai dengan yang diatur di Pasal 35 GDPR.
  4. Bekerja sama dengan otoritas/lembaga pengawas.
  5. Bertindak sebagai PIC bagi otoritas/lembaga pengawas terkait permasalahan yang berkaitan dengan pemrosesan.

Kalau di RUU PDP gimana? Pembaca bisa lihat Pasal 46. Sejujurnya isinya copas dari GDPR (uppss!!)

Beberapa tugas DPO lainnya yang tidak diwajibkan oleh GDPR namun sangat saya rekomendasikan.

  1. Memberikan saran dan rekomendasi kepada perusahaan tentang interpretasi atau penerapan aturan perlindungan data.
  2. Menangani komplain dan/atau permintaan atas akses data pribadi (Data Subject Access Request-DSAR).
  3. Mengidentifikasi dan mendokumentasikan aktivitas pemrosesan data pribadi dengan membuat inventarisasi pemrosesan data pribadi (Record of Processing Activities-ROPA).

Perlu diingat bahwa DPO ini bukanlah personel / tim yang bertanggung jawab (Responsibilities) terhadap pemenuhan regulasi perlindungan data pribadi. Pemenuhan kontrol terhadap aspek privacy tetap perlu dilakukan oleh semua fungsi yang ada di organisasi. Ini sama seperti keamanan informasi yang menjadi tanggung jawab bersama, tidak hanya tim IT Security saja.

Apakah setiap organisasi wajib punya DPO?

GDPR Pasal 37(1) dan RUU PDP Pasal 45(2) sudah menjelaskan kriteria organisasi yang harus memiliki DPO.

  1. Pemrosesan Data Pribadi untuk kepentingan pelayanan publik.
  2. Kegiatan inti Pengendali Data Pribadi memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar.
  3. Kegiatan inti Pengendali Data Pribadi terdiri dari pemrosesan Data Pribadi dalam skala besar untuk Data Pribadi yang bersifat spesifik dan/atau Data Pribadi yang berkaitan dengan tindak pidana.

Jika organisasi memiliki keterbatasan sumber daya dalam konteks kompetensi dan/atau jumalah personil, maka organisasi dapat menggunakan pihak eskternal yang bertindak sebagai DPO (RUU PDP Pasal 45 Ayat 4). Bahkan untuk perusahaan yang memiliki beberapa anak perusahaan juga bisa menunjuk satu personil/tim DPO untuk menangani semua entitas anak perusahaan tersebut. Kalau di kerjaan saya sebagai konsultan, biasanya saya pakai istilah “DPO as a Service”.

Independensi DPO

Salah satu perbedaan mendasar antara DPO versi GDPR dan RUU PDP adalah bahwa DPO tidak boleh ada konfik kepentingan (conflict of interest) dengan unit kerja lainnya (Pasal 38 Ayat 6 GDPR). RUU PDP tidak mengatur hal ini. Oleh sebab itu privacy operating model perusahaan-perusahaan di Eropa umumnya berbeda dengan di Indonesia.

Kualifikasi Data Protection Officer

GDPR Pasal 37(5) RUU PDP Pasal 45(3) menjelaskan bahwa kualifikasi dasar DPO adalah:

  1. Professional Qualities: harus ditunjuk berdasarkan kualitas profesional
  2. Expert Knowledge of Data Protection Law and Practices: pengetahuan mengenai hukum dan praktik pelindungan Data Pribadi
  3. Ability to Fulfill DPO Tasks: kemampuan untuk memenuhi tugas-tugasnya

Umumnya DPO berasal dari orang yang memiliki latar belakang pendidikan, pengalaman, dan/atau pengetahuan tentang hukum/legal. Saat saya daftar sebagai member IAPP juga sejauh saya sampling cari-cari member lain di IAPP, kebanyakan memang orang Legal. NAMUN, pada praktiknya tidak selalu seperti itu. Sebagian besar organisasi memang mengambil tim legal untuk menjadi DPO. Namun, sebagian organisasi juga mengambil orang yang memiliki pengetahuan dan pengalaman di bidang IT Security dan Data Management. Di artikel Privacy Operating Model series lainnya akan saya jelaskan lebih detil mengapa IT Security dan Data Management ini sangat penting untuk Privacy bahkan DPO sangat memerlukan kedua bidang ini.

Saya sendiri tidak memiliki latar belakang Hukum (tidak kuliah hukum). Namun pengalaman saya di bidang IT GRC dan melakukan compliance review berbagai regulasi (khususnya terkait manajemen risiko IT dan pelindungan data pribadi/privacy) membuat saya dan juga rekan-rekan saya di bidang Cybersecurity dan IT GRC cukup memahami regulasi-regulasi terkait risiko IT dan Privacy.

Saya sangat bersemangat sebenarnya membahas kenapa pengetahuan hukum saja tidak cukup untuk seorang DPO. Memang biasanya DPO (yang diisi orang legal) akan berkoordinasi dengan Legal Counsel, IT Security, Data Management, dan Risk Management untuk menyelesaikan kasus-kasus tertentu berkaitan dengan pelanggaran data pribadi. Namun pada kondisi tertentu, yang menuntut untuk mengeluarkan keputusan dengan cepat, multiple expertise seorang DPO akan sangat membantu. Oh iya, menyelesaikan ini tidak hanya terbatas menyelesaikan sengketa hukum, namun bagaimana memastikan bahwa mitigasi risikonya berjalan efektif. DPO yang saya bahas di paragraf ini adalah DPO yang tidak hanya sekedar memenuhi tugas yang diatur oleh GDPR/RUU PDP saja, namun juga bertindak sebagai “Privacy Officer” yang tidak hanya menggunakan kacamata kuda dalam menjalankan Privacy Program di organisasi.

Privacy must balance the compliance and business speed.

— proferyk

Itu konsep dasar berpikir yang berusaha saya tanamkan ketika saya (sebagai konsultan) membantu klien dalam menyusun strategi untuk mengimplementasikan Privacy Program. Kalau di end-user, mungkin fungsi privacy (dalam hal ini DPO) lebih dibatasi karena dalam struktur tata kelola biasanya DPO ini akan berkoordinasi dengan fungsi/unit kerja lain. Namun sebagai konsultan, tidak hanya saya saja, tapi rekan-rekan saya yang memang berkecimpung di area Privacy juga memiliki banyak pengalaman di Cybersecurity dan IT GRC. Percaya atau tidak, perspektif orang Legal, IT Security, dan Data Management itu berbeda.

Kalau Anda bekerja di organisasi yang besar, bisa jadi organisasi tersebut memiliki cukup modal untuk bisa membentuk tim Privacy/DPO yang terdiri dari berbagai kompetensi. Bagaimana kalau organisasi yang modalnya terbatas? Biasanya akan menunjuk personil yang bisa “palugada (apa lu mau gua ada)”. Di pekerjaan saya pun, rekan-rekan yang terlibat dalam proyek-proyek Data Privacy, sebagian besar (mungkin hampir semua) adalah praktisi di bidang Cybersecurity dan IT GRC. Dalam case tertentu, baru melibatkan expert di bidang Legal.

Setelah saya menulis paragraf di atas, saya coba googling artikel terkait DPO. Berdasarkan artikel ini, requirement untuk DPO adalah:

Sumber: https://dataprivacymanager.net/who-is-a-data-protection-officer-roles-and-responsibilites/

See ?? Menurut pengalaman saya memang idealnya tidak cukup hanya memiliki expertise di Legal (Compliance), namun juga di bidang Data Management dan IT Security. Kalau di artikel ini, ditambahin juga pengalaman Audit.

Terlepas dari requirements tersebut, balik lagi ke preferensi dan kebutuhan dari individu yang berprofesi sebagai DPO baik di end-user maupun konsultan, serta organisasi yang bersangkutan.

Kesimpulan

Artikel singkat untuk mengawali tulisan berseri terkait Privacy Operating Model ini lebih saya fokuskan ke konsep dasar DPO dan opini saya berdasarkan pengalaman dan pengetahuan di bidang Data Privacy & Data Protection.

Semoga bermanfaat. Semangat menulis, semangat berbagi :)

Profil Penulis

Eryk merupakan praktisi dan konsultan di bidang Cybersecurity, IT Advisory, dan Privacy yang memiliki pengalaman di tiga area tersebut di berbagai industri, baik organisasi di Indonesia maupun luar negeri. Eryk merupakan member dari International Association of Privacy Professionals (IAPP), satu-satunya asosiasi terbesar untuk praktisi privacy di seluruh dunia. Eryk memiliki beberapa sertifikasi terkait Data Privacy: Certified Information Privacy Manager (CIPM), Certified Data Protection Officer (CDPO), OneTrust Privacy Professional, OneTrust Privacy Expert, dan OneTrust Fellow of Privacy Technology.

Q&A Seputar Data Privacy

https://medium.com/@proferyk/q-a-seputar-data-privacy-73e3f55c5215

Channel berita Telegram seputar Data Privacy & Protection: https://t.me/dataprivid

Komunitas Data Privacy & Protection Indonesia: https://t.me/dataprotectionid

Data Privacy
Privacy Operating Model
Data Protection

--

--

Eryk Budi Pratama

Written by Eryk Budi Pratama

254 Followers

Global IT & Cybersecurity Advisor | Global CIO & CISO Advisory | IT GRC | Cloud | Cyber Resilience | Data Privacy & Governance

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams