Pengenaan sanksi denda administratif kepada perusahaan pelanggar perlindungan data pribadi akan berefek jera. Pembuatan peraturan pemerintah pelaksana kebijakan semestinya menunggu adanya UU Perlindungan Data Pribadi.
Oleh
MEDIANA
·3 menit baca
KOMPAS/HENDRA A SETYAWAN
Gading, bukan nama sebenarnya, mengambil foto KTP untuk keperluan administrasi pinjaman daring di Pinang, Tangerang, Banten, Rabu (18/8/2021). KTP merupakan salah satu data diri yang banyak digunakan sebagai syarat administrasi via daring. Dewan Perwakilan Rakyat kembali memperpanjang pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi yang belum tuntas dalam lima kali masa sidang.
JAKARTA, KOMPAS — Pemerintah tetap melanjutkan rencana pengenaan denda administratif atas pelanggaran data pribadi yang dituangkan dalam Rancangan Peraturan Pemerintah tentang Jenis dan Tarif atas Jenis Penerimaan Negara Bukan Pajak yang Berlaku pada Kementerian Komunikasi dan Informatika. Rencana ini menimbulkan polemik. Pemerintah diharapkan fokus menyelesaikan pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi.
”Ketika belum ada undang- undang (UU) terkait perlindungan data pribadi yang komprehensif, pengenaan denda administratif akan susah diterapkan karena tidak ada acuan yang memadai. Ditambah lagi tidak ada pengaturan pembagian tanggung jawab pengendali data, pengendali data bersama, dan pemroses data,” ujar peneliti di Lembaga Studi dan Advokasi Masyarakat (Elsam), Alia Yofira, Rabu (1/6/2022), di Jakarta.
Penerapan sanksi berupa denda administratif tanpa ada produk hukum setingkat UU Perlindungan Data Pribadi (UU PDP), imbuh Alia, akan berdampak pada akuntabilitas dan pengenaan denda. Apabila denda tetap ingin diterapkan, pengenaannya harus transparan dan berjenjang. Jenis pelanggaran, dampak, dan aktor yang melanggar harus diperhatikan. Pelaku juga harus mempunyai kesempatan memberikan klarifikasi dan sanggahan ke tingkat pengadilan.
Ketua Umum Masyarakat Telematika Indonesia (Mastel) Sarwoto Atmosutarno menambahkan, UU Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik dan Peraturan Pemerintah (PP) No 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik yang menjadi dasar penyusunan rumusan denda administratif sebenarnya mengamanatkan tata cara pengenaannya melalui peraturan menteri. Hingga sekarang peraturan menteri yang dimaksud belum kunjung diterbitkan.
”Berisiko menimbulkan kerancuan yang berujung pada kegaduhan di masyarakat. Kondisi ini tentunya sangat tidak kondusif bagi pertumbuhan ekonomi digital,” ujar Sarwoto.
Sarwoto berharap pemerintah dan Komisi I DPR perlu terlebih dahulu merampungkan pembahasan RUU PDP dan mengesahkannya menjadi UU sehingga dapat menjadi rujukan pengenaan denda administratif terhadap pelanggaran prinsip pelindungan data pribadi.
Risiko bisnis
Sementara itu, Chairman Indonesia Cyber Security Forum (ICSF) Ardi Sutedja berpendapat, sanksi administratif berupa denda merupakan risiko bisnis perusahaan penyelenggara sistem elektronik. Jika risiko bisnis itu tidak dimasukkan dan diperhitungkan dalam perencanaan usaha sejak awal, perusahaan semestinya tidak terlibat mengelola data pribadi. Dia menilai masih ada pelaku usaha yang belum memahami konsekuensi itu.
”Saya sependapat bahwa RUU Perlindungan Data Pribadi tetap harus ada. Setiap produk hukum harus ada landasannya,” kata Ardi sembari menilai bahwa dasar pengenaan denda administratif memakai PP No 71/2019 bisa diterima.
Dalam siaran pers, Menteri Komunikasi dan Informatika Johnny G Plate menyatakan, pencegahan kebocoran data di Indonesia telah diatur melalui PP No 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan PP No 80/2019 tentang Perdagangan Melalui Sistem Elektronik. PP No 71/2019 khususnya, mengatur bahwa penyelenggara sistem elektronik baik privat maupun publik wajib melaksanakan prinsip pelindungan data pribadi.
Pelanggaran terhadap kewajiban itu, sesuai Pasal 100 Ayat (1) PP No 71/2019, dikenai sanksi administratif. Sanksi administratif berupa teguran tertulis, denda administratif, penghentian sementara, pemutusan akses, ataupun dikeluarkan dari daftar.