Panja Pastikan RUU PDP Pertegas Pihak yang Bertanggung Jawab pada Kebocoran Data
RUU Perlindungan Data Pribadi disebut mempertegas pihak yang bertanggung jawab atas kebocoran data pribadi. Selain itu, diatur pula bahwa pengendali data akan berhubungan dengan BI dan OJK.
Oleh
KURNIA YUNITA RAHAYU
·4 menit baca
JAKARTA, KOMPAS — Pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi dipastikan sudah mendekati final. Panitia Kerja RUU PDP juga menargetkan agar RUU tersebut bisa disahkan pada Masa Sidang I Tahun Sidang 2022-2023. Keberadaan UU PDP disebut akan mempertegas pihak yang bertanggung jawab dan skema pertanggungjawaban dalam berbagai kasus kebocoran data pribadi yang terus berulang.
Ketua Panitia Kerja Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) Komisi I Dewan Perwakilan Rakyat (DPR) Abdul Kharis Almasyhari mengatakan, pembahasan substansi RUU PDP hampir tuntas. Saat ini, tim perumus dan tim sinkronisasi sedang menyinkronisasikan bagian penjelasan dari naskah RUU dengan sejumlah undang-undang dan peraturan terkait.
Politisi Partai Keadilan Sejahtera (PKS) itu mencontohkan, sinkronisasi yang belum tuntas di antaranya terkait sanksi pidana yang akan dikenakan kepada pihak yang melanggar aturan perlindungan data pribadi. Aturan pidana perlu diselaraskan dengan Kitab Undang-Undang Hukum Pidana (KUHP). Apalagi, saat ini DPR dan pemerintah juga telah membuat Rancangan KUHP (RKUHP) baru yang masih terus didiskusikan dengan publik.
”Kami mengantisipasi jangan sampai kita masih pakai (aturan) yang ada di KUHP yang lama, arahnya akan mengikuti RKUHP,” kata Kharis dihubungi dari Jakarta, Jumat (2/9/2022).
Ia menambahkan, sinkronisasi juga diperlukan untuk sanksi administrasi. Sebab, nantinya penerapan sanksi administrasi akan terkait dengan Kementerian Keuangan. Dalam hal ini, Kementerian Keuangan yang akan menentukan besaran sanksi administratif bagi pihak yang melanggar ketentuan perlindungan data pribadi.
Selain itu, pihak yang menjadi pengendali data juga akan berhubungan dengan Bank Indonesia (BI) dan Otoritas Jasa Keuangan (OJK). Oleh karenanya, DPR masih harus berkoordinasi dengan kedua otoritas tersebut dan menyinkronkan aturan yang ada di RUU PDP dengan peraturan BI dan OJK. ”Tinggal itu saja yang masih harus disinkronisasi. Mungkin dalam satu kali rapat akan selesai,” kata Kharis.
Ia menambahkan, menurut rencana, Panja RUU PDP akan kembali menggelar rapat pada Senin (5/9). Ditargetkan, RUU akan disahkan dalam rapat paripurna terdekat di Masa Sidang I Tahun 2022-2023.
Dihubungi terpisah, anggota Komisi I DPR dari Fraksi Partai Demokrat, Rizki Aulia Rahman Natakusumah, mengatakan bahwa benar pembahasan RUU PDP sudah hampir selesai. Hanya tersisa proses perumusan penjelasan oleh tim perumus dan tim sinkronisasi.
RUU PDP sudah mulai dibahas oleh Komisi I DPR dan pemerintah sejak Juli 2020. Namun, hingga sembilan masa persidangan, pembentuk UU tak kunjung menyelesaikannya. Pembahasan sebelumnya buntu karena DPR dan pemerintah tak menemukan titik temu untuk memutuskan tentang otoritas pengawas perlindungan data pribadi. DPR menginginkan agar otoritas itu berbentuk lembaga independen, sedangkan pemerintah mengusulkan agar otoritas berada di bawah kementerian.
Pembahasan RUU PDP sudah hampir selesai. Hanya tersisa proses perumusan penjelasan oleh tim perumus dan tim sinkronisasi.
Perjelas pertanggungjawaban
Kharis menambahkan, keberadaan UU PDP merupakan jawaban pesoalan perlindungan data pribadi masyarakat. Salah satunya terkait kebocoran data yang terus berulang. Selama ini, kebocoran tidak pernah terungkap tuntas. Tidak ada pula kejelasan dari negara mengenai pihak mana yang harus mempertanggungjawabkan hal tersebut.
”Siapa yang harus bertanggung jawab, siapa yang harus dipidana, siapa yang harus didenda itu jelas sekali dalam RUU PDP,” ujarnya. Dengan begitu, nantinya pengadilan juga memiliki patokan untuk mengadili masalah kebocoran data.
Ia menambahkan, dalam RUU PDP dijelaskan bahwa pihak yang harus bertanggung jawab atas kebocoran adalah pengelola, pemroses, atau pengendali data. Oleh karena itu, pihak tersebut harus benar-benar menjaga data yang dikelola, diproses, atau dikendalikan. Salah satunya dengan terus memperbarui sistem keamanan siber.
”Artinya, kalau ada kebocoran, ya, dia (pengelola, pemroses, atau pengendali data) yang salah. Dalam RUU ini, subyek data atau pemilik data tidak pernah salah,” kata Kharis.
Berdasarkan catatan Kompas, kebocoran data pribadi warga terus berulang setidaknya sejak 2019. Data pribadi baik yang tersimpan di instansi negara maupun swasta kerap disebar oleh pihak tertentu untuk berbagai kepentingan. Belakangan, marak penjualan data pribadi warga di forum jual beli data daring.
Terakhir, Rabu (31/8) dini hari, data pribadi yang diduga berasal dari proses registrasi kartu SIM prabayar dipasarkan di forum breached.to oleh akun ”Bjorka”. Akun tersebut mengklaim memiliki 1,3 miliar data registrasi SIM dari seluruh operator seluler. Data yang dimaksud terdiri dari nomor induk kependudukan (NIK), nomor telepon seluler, provider telekomunikasi, dan tanggal registrasi. Data dijual seharga 50.000 dollar AS atau setara Rp 745 juta.
Ketua Lembaga Riset Keamanan Siber CISSRec Pratama Persadha menilai, RUU PDP yang akan segera disahkan harus menjamin unsur pertanggungjawaban atas pelanggaran terhadap perlindungan data pribadi, tidak terkecuali dalam kasus kebocoran data. Untuk itu, di dalam UU PDP nantinya harus ada pasal yang mengatur hukuman tegas bagi para pelanggar, baik dalam bentuk pidana maupun perdata.
Sanksi perdata yang dimaksud bisa berupa denda dalam jumlah besar sehingga bisa menimbulkan efek jera. ”Contohnya seperti di Uni Eropa, satu kasus kebocoran dan penyalahgunaan data bisa dituntut ganti rugi sampai 20 juta euro (setara Rp 298 miliar),” kata Pratama.
Selain itu, tambahnya, UU PDP juga memerlukan pasal yang mengatur tentang otoritas pengawas perlindungan data pribadi. Otoritas harus memiliki kewenangan yang kuat secara politik dan dapat bekerja secara independen. Hal itu penting mengingat posisinya yang krusial serta lingkup tugas yang tidak hanya mengawasi lembaga negara, tetapi juga swasta.