RUU Perlindungan Data Pribadi Disahkan DPR RI: Sanksi Berat Harus Benar-Benar Diterapkan, Tak Hanya di Atas Kertas
Menkominfo Johnny G. Plate saat menyerahkan Pendapat Akhir Presiden RI atas RUU PDP kepada Pimpian Rapat Paripurna DPR RI, Rabu (20/9). (Humas Kominfo)

Bagikan:

JAKARTA - Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) sudah mulai dibahas pemerintah bersama parlemen pada Desember 2019. Semula dijadwalkan selesai pada November 2020. 

Akibat pandemi COVID-19 dan belum terciptanya kesepakatan antara Pemerintah dan DPR terkait regulator Perlindungan Data Pribadi, pembahasan RUU PDP terus molor meski sudah menjadi salah satu Program Legislasi Nasional (Prolegnas) tahun 2021. 

Hingga akhirnya, aksi doxing hacker Bjorka ke sejumlah pejabat pada Agustus 2022 menjadi doping untuk Kementerian Komunikasi dan Informatika (Kominfo) dan DPR segera mengesahkan RUU PDP.   

Pada 20 September 2022, RUU PDP disahkan menjadi UU PDP dalam Rapat Paripurna DPR RI Masa Persidangan I Tahun Sidang 2022-2023. 

“Komisi I DPR dalam proses pembahasan terus proaktif dan responsif, melibatkan partisipasi masyarakat dan pemangku kepentingan terkait. UU ini diharapkan mampu menjadi awal yang baik dalam menyelesaikan permasalahan kebocoran data pribadi di Indonesia,” kata Wakil Ketua Komisi I DPR RI Abdul Kharis Almasyhari saat Rapat Paripurna di Kompleks Parlemen, Jakarta (20/9).

Ilustrasi - Hacker Bjorka pada Agustus 2022 melakukan doxing ke sejumlah pejabat. Data pribadi Ketua DPR Puan Maharani, Menkominfo Johnny G. Plate, Menko Marves Luhut Binsar Panjaitan, dan lainnya dibagikan ke publik lewat sosial media. (Twitter)

Sesuai Pasal 58 UU PDP, sebagai regulator penyelenggara Perlindungan Data Pribadi adalah pemerintah dalam hal ini dilaksanakan oleh Menteri sesuai Pasal 58 UU PDP. 

Menteri Komunikasi dan Informatika (Kominfo) Johnny G. Plate mengimbau seluruh elemen masyarakat, instansi pemerintah, aparat penegak hukum, rekan-rekan sektor privat, dan Penyelenggara Sistem Elektronik (PSE) terus berpartisipasi dalam mengimplementasikan UU PDP.

"Menandai era baru dalam tata kelola Perlindungan Data Pribadi di Indonesia. Mari bersama-sama kita hadirkan ruang digital yang aman di Indonesia agar Indonesia makin digital," tuturnya kepada awak media usai Rapat Paripurna DPR RI, Rabu (20/9).

Kewajiban Pengendali Data Pribadi

UU PDP berisi 16 bab dan 76 pasal. Dalam UU tertera kewajiban pengendali data pribadi atau pihak yang menentukan tujuan dan melakukan kendali pemrosesan data pribadi. Diatur jelas pada Bab V Bagian Kedua Pasal 24 hingga Pasal 42. 

Antara lain, Pasal 40 ayat (1) UUD PDP, dalam hal terjadi kegagalan Pelindungan Data Pribadi, pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis dalam waktu paling lambat 3x24 jam kepada pemilik data pribadi dan menteri terkait. 
 
Pemberitahuan tertulis mengenai data pribadi yang terungkap, kapan dan bagaimana bisa data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh Pengendali Data Pribadi. 

“Dalam hal tertentu Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan pelindungan data pribadi,” bunyi Pasal 40 ayat 3. 

Lalu Pasal 27, Pengendali Data Pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya, dengan melakukan: 

1. Penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan data pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan; dan 

2. Penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi dalam pemrosesan data pribadi. 

Penjabaran singkat soal RUU Perlindungan Data Pribadi. (Kominfo)

Kemudian Pasal 28, Pengendali Data Pribadi wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi di bawah kendali pengendali data pribadi. 

Pasal 29, Pengendali Data Pribadi wajib memastikan Perlindungan Data Pribadi dari pemrosesan data pribadi yang tidak sah. 

“Dengan begitu, UU PDP mengatur hak-hak pemilik data pribadi dan mengatur sanksi-sanksi bagi penyelenggara sistem elektronik atas tata kelola data pribadi yang diproses dalam sistem mereka masing-masing,” kata Johnny. 

Pengenaan Sanksi 

Adapun sanksi atas kelalaian tersebut, berdasar Pasal 50 ayat (2) UU PDP berupa sanksi administratif berupa: 

1. Peringatan tertulis; 

2. Penghentian sementara kegiatan pemrosesan Data Pribadi; 

3. Penghapusan atau pemusnahan Data Pribadi; 

4. Ganti kerugian; dan/atau 

5. Denda administratif 

“Ketentuan mengenai tata cara pengenaan sanksi administratif sebagaimana dimaksud diatur dalam Peraturan Pemerintah,” bunyi Pasal 50 ayat (4).

Ilustrasi - Salah satu Kalajian PSE lingkup pemerintah (publik) maupun swasta (privat) adalah memastikan data pribadi yang tersimpan di dalam sistem terlindungi. (Antara/Shutterstock)

Selain itu, UU PDP di BAB VIII Pasal 51 juga mengatur larangan dalam penggunaan data pribadi: 

  • Setiap orang dilarang memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain secara melawan hukum atau dapat mengakibatkan kerugian pemilik data pribadi.
  • Setiap orang dilarang secara melawan hukum mengungkapkan data pribadi yang bukan miliknya.
  • Setiap orang dilarang secara melawan hukum menggunakan data pribadi yang bukan miliknya.

Pelanggaran atas aturan tersebut masuk ke ketentuan pidana seperti tertera pada BAB XIII Pasal 61: 

  • Setiap orang yang dengan sengaja memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain secara melawan hukum atau dapat mengakibatkan kerugian pemilik data pribadi sebagaimana dimaksud dalam Pasal 51 ayat (1) dipidana dengan pidana penjara paling lama 5 (lima) tahun atau pidana denda paling banyak Rp50.000.000.000,00 (lima puluh miliar rupiah). 
  • Setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 51 ayat (2) dipidana dengan pidana penjara paling lama 2 (dua) tahun atau pidana denda paling banyak Rp20.000.000.000,00 (dua puluh miliar rupiah). 
  • Setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 51 ayat (3) dipidana dengan pidana penjara paling lama 7 (tujuh) tahun atau pidana denda paling banyak Rp70.000.000.000,00 (tujuh puluh miliar rupiah). 

Salah satu kewajiban PSE lingkup pemerintah (publik) maupun swasta (privat) adalah memastikan data pribadi yang tersimpan di dalam sistem terlindungi. 

“Apabila terjadi insiden data pribadi atau kebocoran data pribadi (breach), maka yang akan dilakukan pemeriksaan terhadap penyelenggara data pribadi, apakah mereka telah melaksanakan compliance sesuai UU PDP,” kata Johnny.

Kendati begitu, apabila ada orang-orang dan korporasi yang menggunakan data pribadi secara illegal, maka sanksinya jauh lebih berat berupa perampasan seluruh kegiatan yang terkait dengan manfaat ekonomi atas data pribadi tersebut. 

“Makanya kita sangat mendorong mari gunakan seluruh kepercayaan publik ruang usaha di bidang digital khususnya bidang data secara legal. Mari kita baca sama-sama undang-undangnya, di saat yang bersamaan tentu kami melakukan literasi agar masyarakat mengetahui hak-haknya dan koporasi, serta perorangan mengetahui kewajiban,” tegas Menkominfo.