Pakar: Pentingnya institusi kesehatan siapkan DPO terkait aturan PDP

Peneliti dari Pusat Kebijakan dan Manajemen Kesehatan (PKMK) Universitas Gadjah Mada (UGM), Anis Fuad menjelaskan institusi atau lembaga kesehatan perlu menyiapkan pejabat/petugas pelindungan data pribadi (PDP), sehingga dapat sejalan dengan aturan dalam UU PDP.

“Tidak kalah pentingnya adalah menyiapkan pada aspek orang, yaitu mengenalkan apa saja komponen dalam PDP. Kemudian, melakukan penyiapan kompetensi SDM di sektor kesehatan agar rumah sakit atau faskes siap ketika UU PDP yang dua tahun lagi sudah harus efektif dilaksanakan,” kata Anis dalam webinar “Mengawal Kebijakan Keamanan Siber dan Pelindungan Data Pribadi Kesehatan” diikuti secara virtual di Jakarta, Senin.

Undang-Undang Pelindungan Data Pribadi (UU PDP) resmi diteken oleh PresidenJoko Widodo pada 17 Oktober lalu. Pengendali data pribadi, prosesor data pribadi, dan pihak lain yang terkait dengan pemrosesan data pribadi, wajib menyesuaikan ketentuan pemrosesan data pribadi berdasarkan UU tersebut paling lama dua tahun sejak UU diundangkan.

Baca juga: Perusahaan wajib punya petugas pelindungan data pribadi

Baca juga: Kemenkominfo: UU PDP regulasi jaga kedaulatan ruang virtual

Kemampuan dan ketersediaan sumber daya manusia (SDM) merupakan salah satu pilar yang perlu disiapkan dalam penatakelolaan PDP selain kebijakan dan proses.

Merujuk pada aturan tersebut, petugas PDP atau DPO setidaknya memiliki tugas-tugas, seperti menginformasikan dan memberikan saran tentang bagaimana proses pengendalian data pribadi, memantau dan memastikan kepatuhan, memberikan saran mengenai penilaian dampak PDP, dan berkoordinasi dengan berbagai pihak terkait dengan pemrosesan data pribadi.

Anis mengatakan bahwa petugas PDP tidak harus berasal dari tenaga kesehatan. Penetapan petugas PDP bisa ditunjuk oleh institusi kesehatan seperti rumah sakit dengan menugaskan stafnya untuk mengemban tugas PDP.

“Saat ini ada perhimpunan asosiasi DPO di Indonesia, tapi sebagian besar memang dari sektor finansial. Kalau di sektor kesehatan nanti seperti apa? Bisa juga nanti di rumah sakit ada staf yang ditugaskan dengan SK dari Direktur untuk mendapatkan tugas tambahan sebagai DPO,” kata Anis.

Menurut dia, petugas PDP juga akan disesuaikan bergantung dengan besaran institusi kesehatan. Institusi yang besar seperti rumah sakit harus memiliki petugas PDP. Sedangkan pada dokter yang menjalankan praktik pribadi, meskipun mengelola data pribadi, Anis menilai ketersediaan petugas PDP tidak harus serupa dengan rumah sakit.

Baca juga: UU PDP atur empat pelanggaran yang bisa dipidana

Baca juga: Kemenkominfo kaji pembentukan lembaga pengawas data pribadi

“Bagaimana mengelolanya, katakanlah dalam satu kabupaten akan ada konsorsium bekerja sama dengan pihak yang ditugaskan secara outsource untuk mengawal compliance dokter praktik pribadi dalam pengelolaan data pribadi, itu juga mungkin bisa. Jadi, saya kira mekanisme itu nanti bisa dilakukan dan saya kira nanti proses itu masih berjalan,” katanya.

Kementerian Komunikasi dan Informatika (Kominfo) sedang menyusun standar kompetensi bagi petugas PDP. Hanya saja, perlu ada komponen yang spesifik terkait dengan sektor kesehatan. Dia mendorong agar modul untuk panduan petugas PDP di sektor kesehatan dibuat bersama-sama antara Kemenkominfo, Kemenkes, asosiasi profesi, serta akademisi.

“Saya kira Kemenkes perlu proaktif dengan Kominfo, karena nanti panduannya DPO dari Kominfo. Kalau misalnya Kemenkes itu tidak proaktif, jangan-jangan nanti panduannya disiapkan ketika di sektor kesehatan ‘Oh, ini tidak implementable’, misalnya, itu kan agak susah, kasihan kita juga,” kata Anis.