Soal Sanksi, Pelaku Usaha Minta Pemerintah Memasukkan Tingkat Kepatuhan
Pelaku usaha di sektor industri teknologi digital masih menunggu aturan turunan terkait sanksi. Mereka berharap pemerintah berani mempertimbangkan tingkat kepatuhan ataupun keparahan pelanggaran setiap pelaku usaha.
Oleh
MEDIANA
·4 menit baca
JAKARTA, KOMPAS — Lahirnya Undang-Undang Pelindungan Data Pribadi diharapkan dapat meningkatkan kepercayaan masyarakat terhadap keamanan dalam bertransaksi digital. Pelaku usaha di sektor industri teknologi masih menunggu aturan turunan terkait pelaksanaan pengenaan sanksi. Diusulkan agar dalam proses perumusannya, pemerintah memperhatikan tingkat dampak yang ditimbulkan dalam setiap kategori pelanggaran.
”Dalam pengaturan sanksi, penting untuk melihat tingkat keparahan dalam kategori pelanggaran pelindungan data pribadi. Hal ini bertujuan untuk membedakan pelaku usaha yang melanggar, tetapi telah melaksanakan pelindungan data yang maksimal, dengan pelaku usaha yang tidak sama sekali melaksanakan pelindungan data,” ujar Ketua Umum Asosiasi Ecommerce Indonesia (idEA) Bima Laga, Kamis (22/9/2022), di Jakarta.
Menurut Bima, upaya seperti itu bisa mendorong timbulnya mekanisme insentif dan disinsentif di industri teknologi digital. Pihaknya berharap pemerintah bisa melibatkan pelaku usaha selama proses pembuatan peraturan turunan tersebut sehingga menghasilkan implementasi Undang-Undang Pelindungan Data Pribadi (UU PDP) yang efektif.
Dalam UU PDP menyertakan sanksi pidana dan administratif kepada pelaku usaha yang melanggar pelindungan data pribadi. Pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi. Selain itu, korporasi bisa dijatuhkan pidana denda. Pidana denda paling banyak 10 kali dari maksimal pidana denda yang diancamkan.
Selain itu, korporasi dapat dijatuhi pidana tambahan, seperti perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana; pembekuan seluruh atau sebagian usaha korporasi; hingga pencabutan izin dan pembubaran korporasi.
Di luar sanksi pidana, pelaku usaha yang lalai melindungi data pribadi dapat dikenai sanksi administratif. Cakupannya berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi dan/atau denda administratif. Denda administratif paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran (Kompas.id, 20/9/2022).
Ketua Dewan Pengawas Asosiasi Fintech Indonesia (Aftech) Rudiantara, saat dihubungi terpisah, mengatakan, pihaknya mengusulkan adanya indeks tingkat kepatuhan. Pelaku usaha memang wajib patuh terhadap prinsip-prinsip pelindungan data pribadi, tetapi peretasan dan kebocoran data bisa terjadi secara tak terduga.
Dengan adanya indeks tingkat kepatuhan, menurut dia, industri teknologi digital akan lebih sehat. Masyarakat juga akan semakin teredukasi pentingnya pelindungan data pribadi.
”Tingkat kemampuan perusahaan teknologi berbeda-beda, sesuai dengan tingkatan skala usaha. Perusahaan rintisan bidang teknologi atau start up, misalnya, meliputi start up baru dapat pendanaan awal sampai berstatus unicorn dan seterusnya,” ujar Rudiantara yang juga menjabat sebagai Ketua Indonesia Fintech Society (IFSOC).
Terkait sanksi denda administratif, ia berpendapat pentingnya ada kesepakatan definisi ”pendapatan tahunan” saat menyusun peraturan turunan UU PDP. Sebab, start up biasanya memperoleh pendapatan dari biaya layanan (fee). Inilah yang biasa dipakai mengukur total pemasukan sebenarnya, bukan nilai pemprosesan total (total processing value) ataupun akumulasi dari nilai pembelian yang dilakukan oleh pengguna melalui situs atau aplikasi dalam periode tertentu (gross merchandise value).
”Kami mengusulkan pula agar pengenaan sanksi bersifat berjenjang. Kami berharap peraturan turunan dari UU PDP harus menekankan complience, bukan sekadar (mengejar) punishment,” ucap Rudiantara.
Pengacara di Christian Teo and Partners, Glenn Wijaya, menambahkan, jika mengacu pada Regulasi Umum Pelindungan Data Pribadi (General Data Protection Regulation/GDPR) Uni Eropa, tidak sedikit perusahaan baru sadar pentingnya kepatuhan regulasi pelindungan data pribadi setelah GDPR berlaku. Akibatnya, kasus demi kasus kebocoran data beserta sanksi denda malah marak mengemuka. Oleh karena itu, masa transisi UU PDP selama dua tahun penting dimaksimalkan untuk edukasi kepatuhan kepada seluruh pelaku industri teknologi dari berbagai skala usaha.
”Apakah sanksi-sanksi yang tercantum dalam UU PDP akan berefek jera pada korporasi? Kami rasa tidak. UU ini bukan hanya represif setelah kejadian kebocoran data, tetapi juga preventif,” kata Glenn.
Sementara itu, praktisi hukum teknologi di firma hukum Trifida, Ariehta Eleison Sembiring, berpendapat pentingnya untuk memisahkan sanksi-sanksi yang tercantum dalam UU PDP dan siapa nantinya yang akan menjadi pihak mengenakan sanksi. Apalagi, UU PDP telah mengamanatkan lembaga otoritas pelindungan data pribadi di bawah presiden.
”Ketika peraturan turunan terkait sanksi disusun, apakah sudah cukup responsif. Lalu, ketika diberlakukan, apakah bisa ditegakkan secara optimal?” ujar Ariehta.
Sebelumnya, dalam konferensi pers, Selasa (20/9/2022), di Jakarta, Menteri Komunikasi dan Informatika (Menkominfo) Johnny G Plate menekankan, UU PDP sebagai payung hukum utama pelindungan data pribadi di Indonesia. Pengaturan pelindungan data pribadi akan dinamis mengikuti perkembangan teknologi dan masyarakat.
”Panjangnya pembahasan rancangan UU yang dilalui merupakan proses untuk menghasilkan sebuah undang-undang yang substantif dan komprehensif. Belum tentu sempurna, tetapi terus akan disempurnakan sejalan dengan perjalanan waktu perkembangan teknologi dan perubahan-perubahan di masyarakat,” kata Johnny.