Kemajuan teknologi informasi dan komunikasi (TIK) di era digital telah mendorong pertumbuhan yang pesat dalam penggunaan dan penyebaran data pribadi di berbagai platform digital oleh individu yang berpotensi meningkatkan risiko pelanggaran privasi dalam pemrosesan data pribadi tersebut. Tantangan ini menjadi semakin signifikan bagi individu maupun organisasi dalam menjaga pengelolaan data pribadi agar sesuai dengan prinsip-prinsip pelindungan data. Meskipun pemerintah Indonesia telah mengesahkan Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi, implementasi optimal regulasi tersebut masih menghadapi hambatan yang signifikan. Salah satu kendalanya adalah ketiadaan peraturan turunan yang memberikan panduan teknis dan rinci untuk melakukan penilaian dampak pelindungan data pribadi. Kondisi ini mengakibatkan organisasi mengalami kesulitan dalam mengidentifikasi dan mengelola risiko privasi pada pengelolaan data pribadi. Tujuan dari penelitian ini adalah mengembangkan instrumen penilaian dampak pelindungan data pribadi berbasis risiko. Dalam penelitian ini, digunakan metode kualitatif dengan pendekatan Grounded Theory untuk menyusun instrumen yang menghasilkan 8 prinsip pelindungan data pribadi dan 37 komponen penilaian praktik pelindungan data pribadi. Hasil penilaian tersebut dilakukan analisis risiko mengunakan kerangka kerja ISO 27005:2018 dengan matriks tiga dimensi yang terdiri dari nilai keamanan aset, tindakan pelanggaran, dan pelanggaran prinsip untuk menentukan tingkat dampak dari setiap risiko yang teridentifikasi. Penerapan instrumen dilakukan pada perusahaan konsultan keamanan siber yang menghasilkan identifikasi 47 risiko dengan tingkat dampak tinggi. Temuan ini menjadi dasar penyusunan rekomendasi strategis yang difokuskan pada mitigasi risiko dengan dampak tinggi untuk meningkatkan pelindungan data pribadi di organisasi. Penelitian ini memberikan kontribusi praktis berupa pengembangan instrumen yang mampu membantu organisasi dalam mengidentifikasi, menganalisis, dan mengelola risiko privasi secara lebih efektif terhadap pengelolaan data pribadi. Selain itu, instrumen ini berpotensi menjadi referensi praktis dalam memenuhi persyaratan peraturan perundang-undangan tentang pelindungan data pribadi dan meningkatkan kepatuhan terhadap prinsip-prinsip pelindungan data pribadi di organisasi.