17 Oktober 2024 tinggal menghitung hari, yang menandakan akan berlaku penuhnya Undang-undang perlindungan Data Pribadi atau yang lebih dikenal dengan UU PDP. Undang-undang ini mengikat bagi seluruh instansi Pemerintahan, Perusahaan, dan Organisasi tanpa terkecuali. Terlepas dari tugas, kewajiban, denda dan hukuman yang mengikat pada undang-undang tersebut, ada satu amanat undang-undang tersebut yang dapat dengan mudah terlihat apakah suatu organisasi telah memenuhi kewajibannya yakni adanya fungsi Pejabat Perlindungan Data Pribadi atau juga lebih dikenal dengan Data Protection Officer (DPO). Organisasi yang belum memiliki DPO dapat menjadi sasaran empuk bahwa proses perlindungan data pribadi di dalam organisasi tersebut belum dilaksanakan. Dengan minimnya kapasitas pekerja organik terkait perlindungan data pribadi dan terbatasnya pool of talent DPO di Indonesia, lantas adakah cara cepat untuk mengisi fungsi DPO di organisasi dan perusahaan anda ?
Baca Juga : Quick Win Perusahaan anda dalam Mematuhi UU PDP
Pasal 53 Undang-undang No 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) memiliki tiga ayat. Ayat pertama mengatur peran dan tugas seorang DPO di dalam suatu organisasi yang mengelola sistem elektronik. Ayat kedua mengatur latar belakang yang sebaiknya dimiliki oleh seorang DPO yakni mengerti perlindungan data pribadi dari aspek hukum, dan aspek teknis perlindungan yang perlu diberikan. Dan Ayat ketiga mengatur bahwa DPO dapat ditunjuk dari dalam maupun LUAR organisasi. Berfokus pada ayat ketiga, ayat ini memberikan keleluasaan suatu organisasi memilih DPO dari luar organisasi-nya dan tidak mengatur apakah DPO ini harus menjadi bagian dari organisasi tersebut.
Berkaca pada induk peraturan perlindungan data pribadi Uni Eropa General Data Protection Regulation (GDPR), yang menjadi referensi Pemerintah Indonesia dalam membangun UU PDP, juga mengamanatkan hal yang sama yakni DPO dari pihak luar organisasi. Hal ini yang membuat ekosistem layanan DPO as a Service (DPOaaS) atau DPO eksternal menjadi subur di Uni Eropa. Bagaimana dengan DPO eksternal di Indonesia ?
Mengenal DPO as a Service
DPOaaS menawarkan serangkaian layanan yang membantu organisasi memastikan kepatuhan terhadap regulasi perlindungan data yang berlaku, tanpa harus memiliki DPO internal secara penuh waktu. Layanan ini mencakup berbagai aspek seperti pemantauan kepatuhan, penilaian risiko, pengembangan kebijakan, pelatihan, manajemen insiden, serta komunikasi dengan otoritas regulasi. Baik GDPR, maupun UU PDP mengamanatkan hal yang sama terkait fungsi DPO eksternal ini. Dengan adanya ketentuan ini, maka perusahaan dan organisasi di Indonesia juga seharusnya dapat menggunakan layanan DPO eksternal, yang mana lebih cost-effective dibandingkan mempekerjakan DPO secara penuh waktu.
Apakah semua organisasi dapat menggunakan DPO Eksternal untuk menekan ongkos operasional ?. Secara prinsip hal ini diizinkan, namun saya meyakini pada akhirnya akan ada mekanisme pasar yang menciptakan keseimbangan. Sebagai contoh Perusahaan A dengan 100 orang pegawai, dan 2.000 pelanggan, memilih menggunakan DPO eksternal dari suatu firma dengan harga sekitar 200 Juta Rupiah satu tahun yang mana hal ini lebih efisien dibandingkan harus mempekerjakan orang baru di perusahaannya. Lantas apakah Perusahaan B dengan 100.000 pegawai, dan jutaan pelanggan akan dibebankan harga 200 Juta saja oleh firma yang sama ?. Firma ini pasti akan berhitung risiko, dan usaha yang dikeluarkan dan pada akhirnya membebankan 20 miliar Rupiah per tahun. Dengan pengawaran 20 Miliar Rupiah per Tahun, perusahaan B kemudian mengkalkulasi bahwa mempekerjakan satu orang DPO dengan 10 orang tim di bawahnya masih jauh lebih efisien dibandingkan menerima tawaran tersebut. Dengan begitu keseimbangan tercipta.
Tren Layanan DPO as a Service di Berbagai Negara
Inggris
Di Inggris, layanan DPOaaS semakin populer seiring dengan penerapan GDPR yang ketat. Perusahaan-perusahaan seperti Trustwave dan DPO Consulting menyediakan layanan DPOaaS yang mencakup audit kepatuhan, pelatihan, dan manajemen insiden. Layanan ini membantu perusahaan kecil dan menengah (UKM) yang mungkin tidak mampu mempekerjakan DPO penuh waktu untuk tetap mematuhi persyaratan GDPR.
Prancis
Di Prancis, layanan DPOaaS diatur dalam kerangka GDPR, dengan tambahan regulasi lokal dari Commission Nationale de l’Informatique et des Libertés (CNIL). Penyedia layanan seperti Data Protection Services dan ePrivacy menawarkan solusi yang mencakup penilaian dampak perlindungan data (DPIA), pengembangan kebijakan, dan pelatihan. Layanan ini memastikan bahwa perusahaan memenuhi kewajiban mereka di bawah GDPR serta peraturan lokal.
Belanda
Belanda, yang dikenal dengan kepatuhan yang ketat terhadap GDPR, memiliki penyedia layanan DPOaaS seperti Privacy1st dan Sia Partners. Layanan mereka mencakup pengelolaan risiko, pelatihan, dan berkomunikasi dengan Autoriteit Persoonsgegevens (AP), badan perlindungan data pribadi Belanda.
Tren Kedepan DPO as a Service di Indonesia
Di Indonesia, tren penggunaan DPOaaS diperkirakan akan meningkat seiring dengan penerapan UU PDP. Beberapa faktor yang mendorong pertumbuhan ini termasuk:
1. Kepatuhan Terhadap UU PDP: Dengan ketentuan UU PDP yang mengharuskan setiap pengendali data dan pemroses data untuk memiliki DPO, banyak perusahaan akan memilih DPOaaS sebagai solusi efisien untuk memenuhi kewajiban hukum tanpa harus menambah beban biaya untuk karyawan tetap.
2. Keterbatasan Sumber Daya Internal: Banyak perusahaan, terutama UMKM, mungkin tidak memiliki sumber daya untuk mempekerjakan DPO penuh waktu. DPOaaS memberikan solusi yang terjangkau dan fleksibel untuk memastikan kepatuhan.
3. Peningkatan Kesadaran Data Pribadi: Seiring dengan meningkatnya kesadaran akan pentingnya perlindungan data pribadi, perusahaan-perusahaan akan lebih cenderung untuk mencari solusi yang dapat memberikan jaminan bahwa mereka mematuhi standar yang ditetapkan oleh UU PDP.
4. Kebutuhan Akan Keahlian Khusus: DPOaaS menawarkan akses kepada keahlian spesifik dalam perlindungan data yang mungkin tidak tersedia secara internal. Ini membantu perusahaan untuk mengelola dan mengurangi risiko terkait dengan pengelolaan data pribadi.
5. Adaptasi Terhadap Perubahan Regulasi: Perubahan regulasi data pribadi dan perlindungan data global akan mendorong perusahaan untuk mengadopsi layanan DPOaaS agar tetap up-to-date dan dapat beradaptasi dengan cepat terhadap perubahan.
Layanan DPOaaS atau DPO eksternal di Indonesia tinggal menunggu waktu untuk tumbuh dan berkembang. Beberapa tahun kedepan akan menjadi waktu yang menarik untuk melihat berkembang suburnya diskusi akademik, seminar kepatuhan, sertifikasi profesional, dan bergulirnya isu Data Pribadi di Indonesia, dan pastinya tidak kalah menarik pengembangan teknologi untuk menjawab hal tersebut.