Definisi
Data Protection Officer (DPO) atau Pejabat Perlindungan Data Pribadi adalah pejabat atau petugas yang ditunjuk oleh Pengendali Data Pribadi dan/atau Prosesor Data Pribadi untuk melaksanakan fungsi perlindungan data pribadi dalam suatu organisasi. Penunjukan DPO diwajibkan oleh Pasal 53 UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi.
DPO harus memiliki profesionalitas, pengetahuan hukum, pemahaman praktik perlindungan data pribadi, dan kemampuan untuk memenuhi tugas-tugasnya. Tugas DPO meliputi memberikan saran terkait perlindungan data, memantau kepatuhan organisasi, memberikan pelatihan kepada karyawan, menjadi titik kontak dengan lembaga pengawas, dan menangani permintaan subjek data.
DPO harus menjalankan tugasnya secara independen dan tidak boleh diberhentikan atau dikenai sanksi karena menjalankan tugasnya. DPO wajib menjaga kerahasiaan data pribadi yang dikelolanya. Keberadaan DPO merupakan bentuk akuntabilitas organisasi dalam mengelola data pribadi sesuai ketentuan UU PDP.
Contoh Kasus
Sebuah bank besar di Indonesia menunjuk DPO yang bertanggung jawab langsung kepada direksi. DPO melakukan audit kepatuhan seluruh unit kerja yang memproses data pribadi nasabah, merancang kebijakan privasi yang sesuai UU PDP, dan memastikan seluruh karyawan mendapat pelatihan tentang perlindungan data pribadi.
Perusahaan teknologi yang memproses data jutaan pengguna menunjuk DPO yang berpengalaman di bidang hukum privasi dan keamanan siber. Ketika perusahaan hendak meluncurkan fitur baru yang mengumpulkan data lokasi pengguna, DPO melakukan Data Protection Impact Assessment (DPIA) dan memberikan rekomendasi agar pengumpulan data dilakukan dengan consent yang jelas.