Dalam konteks hukum perlindungan data, peran Data Protection Officer (DPO) sangat krusial, terutama di tengah meningkatnya insiden DPO adalah penghubung antara perusahaan, subjek data, dan otoritas pengawas. Namun, pertanyaan tentang siapa yang memikul tanggung jawab hukum penuh ketika terjadi pelanggaran atau insiden seringkali menimbulkan kebingungan. Perlu dipahami bahwa DPO adalah fungsi pengawas dan penasihat, bukan penanggung jawab utama.
Menurut regulasi global seperti GDPR (General Data Protection Regulation) dan berbagai UU Perlindungan Data di Indonesia, Data Protection Officer hukum utama atas pemrosesan data pribadi tetap berada pada Controller (Pengendali Data) dan Processor (Pemroses Data). Controller adalah entitas yang menentukan tujuan dan cara pemrosesan data. Ketika terjadi Kebocoran Data, denda dan sanksi hukum pertama tama ditujukan kepada entitas, bukan perorangan DPO.
Peran DPO adalah memastikan kepatuhan perusahaan terhadap kerangka hukum perlindungan data. Ini mencakup pemantauan internal, pelaksanaan audit, dan pemberian saran mengenai penilaian dampak perlindungan data (DPIA). Jika DPO telah melaksanakan tugas pengawasan dan pelaporannya secara cermat, dan saran tersebut diabaikan oleh manajemen, tanggung jawab akan bergeser ke tingkat eksekutif.
Namun, DPO tidak sepenuhnya lepas dari tanggung jawab. DPO dapat dimintai pertanggungjawaban internal jika terbukti adanya kelalaian profesional yang disengaja dalam menjalankan tugasnya. Misalnya, jika DPO gagal melaporkan temuan kerentanan kritis atau sengaja memberikan saran yang menyesatkan. Tetapi ini adalah kasus malpraktik individual, bukan tanggung jawab langsung atas insiden Kebocoran Data yang dilakukan oleh entitas.
Untuk, Controller harus memberdayakan DPO dengan sumber daya yang memadai dan independensi yang diperlukan. DPO harus memiliki akses langsung ke tingkat manajemen tertinggi dan harus diizinkan untuk beroperasi tanpa konflik kepentingan. Mendukung fungsi DPO secara penuh adalah investasi mitigasi risiko hukum bagi seluruh organisasi.
Dalam kasus, tindakan DPO sangat penting dalam proses response dan reporting. DPO bertanggung jawab untuk memastikan insiden tersebut didokumentasikan, dievaluasi dampaknya, dan dilaporkan kepada otoritas pengawas dalam batas waktu yang ditentukan. Kepatuhan DPO dalam pelaporan ini sering kali memengaruhi tingkat sanksi yang dijatuhkan kepada perusahaan.
Secara ringkas, atas integritas sistem kepatuhan, sedangkan Controller dan Processor bertanggung jawab penuh atas keputusan operasional dan hasil dari insiden. Ini adalah pemisahan tanggung jawab yang disengaja dalam hukum perlindungan data, memastikan bahwa pihak yang memiliki otoritas keputusan tertinggi (manajemen) juga yang memikul risiko hukum tertinggi.
Data Protection Officer pemetaan tanggung jawab ini krusial. Perusahaan tidak boleh menggunakan DPO sebagai kambing hitam. Sebaliknya, mereka harus melihat DPO sebagai mitra strategis yang keberadaannya esensial untuk membangun kepercayaan publik dan mencegah denda yang besar akibat kegagalan dalam menjaga kerahasiaan data pribadi.