Substansi Sanksi dan Badan Otoritas RUU Data Pribadi Jadi Sorotan
Dua isu menjadi sorotan terkait draf final RUU Perlindungan Data Pribadi yang diserahkan pemerintah ke DPR pekan lalu. Dua isu itu terkait otoritas pengawasan perlindungan serta soal mekanisme pengenaan sanksi.
Oleh
MEDIANA
·4 menit baca
JAKARTA, KOMPAS — Dalam draf final Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi yang diserahkan pemerintah ke DPR pekan lalu, ada dua isu yang menjadi sorotan. Kedua isu itu, pertama soal ketiadaan substansi badan otoritas pengawasan perlindungan pribadi, dan kedua, soal mekanisme pengenaan dan jenis sanksi.
Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar, Selasa (28/1/2020) malam, di Jakarta, berpendapat, ketika mekanisme pelanggaran data pribadi diserahkan ke lembaga yudisial, pemrosesan hukum akan memakan waktu lama dan tidak efektif.
Di 126 negara yang sudah mempunyai Undang-Undang Perlindungan Data Pribadi, seperti negara-negara di kawasan Uni Eropa, ada badan otoritas pengawasan perlindungan pribadi (supervisory authority dan data protection authority). Ketika terjadi kasus pelanggaran lintas negara, negara yang telah mempunyai badan otoritas akan menuntut kesetaraan hukum.
”Indonesia akan kesulitan. Perlindungan transfer data lintas negara menuntut kesetaraan hukum. Kalau mengacu draf final RUU versi pemerintah, kasus pelanggaran data, seperti kebocoran data, dilaporkan ke pemerintah dan diproses hukum oleh aparat penegak hukum, misalnya kepolisian,” ujarnya.
Konsekuensi dari kesetaraan prinsip hukum adalah memudahkan perusahaan teknologi, terutama multinasional, mengikuti. Mereka pun menjadi lebih mudah berinovasi.
Sanksi
Soal sanksi, dalam draf final RUU PDP Pasal 50 Ayat (2) disebutkan, sanksi administratif meliputi peringatan tertulis, penghentian sementara kegiatan pemrosesan, penghapusan atau pemusnahan data pribadi, ganti kerugian, dan denda administratif. Pemberian sanksi administratif dilakukan oleh menteri.
Sementara terkait ketentuan pidana, draf final RUU PDP menyebutkan, sanksi pidana berupa penjara atau denda diterapkan secara bertingkat kepada individu, baik individu perseorangan maupun individu berlatar belakang korporasi.
Pada Pasal 64 Ayat (1), misalnya, setiap orang yang dengan sengaja memalsukan data pribadi dengan maksud menguntungkan diri sendiri atau orang lain atau yang dapat mengakibatkan kerugian bagi orang lain dipidana dengan pidana penjara paling lama enam tahun atau pidana denda paling banyak Rp 60 miliar.
Pasal 64 Ayat (2) menyatakan, setiap orang yang dengan sengaja menjual atau membeli data pribadi dipidana dengan pidana penjara paling lama lima tahun atau pidana denda paling banyak Rp 50 miliar.
Sementara kepada korporasi, sanksi pidana yang bisa dikenakan hanya pidana denda. Korporasi dapat dijatuhi pidana tambahan, antara lain berupa perampasan keuntungan atau harta kekayaan, pembekuan seluruh atau sebagian usaha, dan penutupan atau sebagian usaha.
Menurut Wahyudi, substansi sanksi seperti itu barangkali mempertimbangkan kemampuan ekonomi perusahaan teknologi yang masih berskala rintisan. Jika itu alasannya, pemberlakuan sanksi seperti itu masuk akal.
”Hanya, pemberlakuan sanksi pidana secara bertingkat seperti itu perlu dikritisi. Apakah pemerintah sudah melakukan kajian, misalnya pertimbangan volume data yang dibocorkan atau jumlah karyawan? Lalu, apakah pemerintah mempertimbangkan juga efek jera?” ujarnya.
Wahyudi lantas membandingkan dengan General Data Protection Regulation (GDPR) yang dimiliki oleh Uni Eropa. Sanksi denda pidana dikenakan empat persen dari pendapatan global perusahaan. Ini sudah dialami oleh British Airways dengan kasus kebocoran data penumpangnya. Persentase tersebut dinilai memberikan efek jera kepada British Airways.
Pada Selasa (28/1/2020) sore hari sekitar pukul 16.00, Menteri Komunikasi dan Informatika (Menkominfo) Johnny G Plate mengumumkan bahwa akhir pekan lalu, Presiden Joko Widodo telah mengirim surat kepada DPR agar segera memproses draf final RUU PDP. Draf final RUU PDP berisi 15 bab dan 72 pasal sudah disetor. Kemkominfo dan Kementerian Hukum dan Hak Asasi Manusia (Kemkumham) akan mewakili pembahasan.
Dia mengatakan, secara garis besar, draf final RUU PDP mengatur tentang kedaulatan data, pengelolaan data pribadi, perlindungan kepada pemilik data pribadi, dan lalu lintas data batas negara. Selain itu, draf final juga memuat hal-hal yang dikecualikan, seperti data pemerintah.
Johnny mengemukakan, ketika bertemu dengan sejumlah pemimpin perusahaan teknologi dunia di Forum Ekonomi Dunia (WEF), Davos, pada 21-24 Januari 2020, mereka berharap Indonesia segera mempunyai UU PDP. Secara teknologi, mereka mengaku siap mengikuti segala ketentuan yang dipersyaratkan di UU PDP milik Indonesia.
”Kami berharap proses politik dan partisipasi publik berjalan lancar selama pembahasan draf RUU PDP di DPR. Kemungkinan besar, pembahasan RUU PDP ditangani oleh Komisi I DPR,” katanya.
Direktur Jenderal Aplikasi dan Informatika Kemkominfo, Semuel Abrijani Pangerapan menegaskan, substansi RUU PDP masih akan berkembang mengikuti dinamika pembahasan di DPR, termasuk soal isu denda. ”Secara global, saat ini sudah ada 126 negara mempunyai UU PDP. Masing-masing memiliki kepentingannya sendiri-sendiri,” ujarnya.