RUU Pelindungan Data Pribadi Jadi UU, Sanksi Berat Bakal Menunggu Pelanggar

Dewan Perwakilan Rakyat menyetujui Rancangan Undang-Undang Pelindungan Data Pribadi disahkan sebagai undang-undang (UU) dalam rapat paripurna di Kompleks Parlemen, Jakarta, Selasa (20/9/2022). Rapat dipimpin oleh Wakil Ketua DPR dari Fraksi Partai Golkar Lodewijk F Paulus. Adapun pemerintah diwakili Menteri Komunikasi dan Informatika Johnny G Plate, perwakilan Menteri Dalam Negeri, serta Menteri Hukum dan Hak Asasi Manusia.

Pengesahan disetujui setelah mendengarkan laporan pembahasan RUU yang disampaikan Wakil Ketua Komisi I DPR dari Fraksi Partai Keadilan Sejahtera (PKS) Abdul Kharis Almasyhari dan pandangan akhir pemerintah oleh Johnny G Plate. Dari sembilan fraksi yang ada di DPR, semuanya menyetujui pengesahan RUU tersebut.

Abdul Kharis Almasyhari menjelaskan, RUU PDP telah melewati pembahasan yang dinamis, kritis, dan mendalam selama lebih dari dua tahun. Naskah awal yang diajukan pemerintah terdiri dari 15 bab dan 75 pasal telah diubah menjadi 16 bab dan 76 pasal.

UU PDP ini diharapkan mampu menjadi awal yang baik dalam menyelesaikan permasalahan kebocoran data pribadi di Indonesia.

Dari ke-16 bab tersebut, di antaranya mengatur soal sanksi administratif dan hukuman pidana bagi pengendali dan pemroses data yang melanggar aturan pelindungan data. Sebelumnya, ketiadaan payung hukum yang mengatur pihak bertanggung jawab serta ancaman sanksi dinilai sebagai penyebab masifnya kasus kebocoran data pribadi warga, baik yang dikelola oleh instansi pemerintah maupun swasta. ”UU PDP ini diharapkan mampu menjadi awal yang baik dalam menyelesaikan permasalahan kebocoran data pribadi di Indonesia,” kata Kharis.

Baca juga: Bjorka dan Urgensi RUU Perlindungan Data Pribadi

Berdasarkan dokumen draf RUU PDP yang diperoleh Kompas, ada empat bentuk sanksi yang diatur dalam Pasal 57 Ayat (2) RUU PDP. Sanksi dimaksud berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi dan/atau denda administratif.

Denda administratif paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran. Penjatuhan sanksi ini nantinya oleh Lembaga Perlindungan Data Pribadi yang juga diamanatkan untuk dibentuk oleh UU PDP. Ketentuan lebih lanjut mengenai tata cara pengenaan sanksi administratif akan diatur dalam peraturan pemerintah.

Pelanggaran yang bisa dijatuhi sanksi administrasi, di antaranya, ialah jika pengendali data pribadi tidak melindungi dan memastikan keamanan data pribadi yang diprosesnya, menjaga kerahasiaan data pribadi, serta tak berupaya mencegah data pribadi diakses secara tidak sah. Untuk mencegah akses tidak sah tersebut, UU PDP di antaranya mengamanatkan pengendali data pribadi menyediakan sistem keamanan yang andal, aman, dan bertanggung jawab.

Selain sanksi administratif, UU PDP juga mengatur ancaman pidana yang tercantum dalam Bab XV. Setiap orang yang dengan sengaja memperoleh atau mengumpulkan data yang bukan miliknya, melawan hukum dan mengungkapkan data yang buka miliknya, serta membuat data palsu atau memalsukan data, dihukum dengan pidana penjara mulai dari 4-6 tahun dan/atau denda sebesari Rp 4 miliar-Rp 6 miliar.

Badan publik itu, kan, badan pemerintah, (maka) sanksinya lain lagi, tidak bisa dimasukkan dalam UU PDP itu.

Pelanggar pidana juga dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian. Jika pelakunya adalah korporasi, UU PDP juga menyertakan ancaman pidananya. Pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi.

Namun, pidana yang dapat dijatuhkan terhadap korporasi hanya pidana denda. Denda paling banyak 10 kali dari maksimal pidana denda yang diancamkan. Korporasi juga dapat dijatuhi pidana tambahan, seperti perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana; pembekuan seluruh atau sebagian usaha korporasi; hingga pencabutan izin, dan pembubaran korporasi.

Anggota Komisi I DPR dari Fraksi Partai Demokrasi Indonesia Perjuangan (PDI-P), Tubagus Hasanuddin, mengatakan, sanksi untuk pengendali dan pemroses data yang berasal dari badan publik akan diatur lebih detail dalam aturan turunan UU PDP. ”Badan publik itu, kan, badan pemerintah, (maka) sanksinya lain lagi, tidak bisa dimasukkan dalam UU PDP itu,” ujarnya.

Ia menambahkan, aturan lain juga dibutuhkan dalam penjatuhan sanksi karena pelanggaran di badan publik berpotensi melibatkan aparatur sipil negara (ASN). Dengan begitu, dibutuhkan peraturan yang terkait dengan ASN. ”Misalnya, pelanggarnya itu apakah akan dipidanakan atau cukup diberikan hukuman disiplin, itu biar diatur oleh pemerintah,” kata Hasanuddin.

Apabila ada korporasi, orang-orang dan korporasi yang menggunakan data pribadi secara ilegal, maka sanksi (akan) jauh lebih berat berupa perampasan seluruh kegiatannya yang terkait manfaat ekonomi atas data pribadi yang dimaksud.

Johnny G Plate mengatakan, UU PDP mengatur sanksi yang bervariasi bergantung pada tingkat kesalahan. Mulai dari ancaman penjara empat hingga enam tahun dan denda sebesar Rp 4 miliar-Rp 6 miliar dari setiap kejadian. Selain itu, kesalahan yang dilakukan oleh pengendali dan pemroses data akan diganjar sanksi sebesar 2 persen dari total pendapatan tahunannya.

”Apabila ada korporasi, orang-orang dan korporasi yang menggunakan data pribadi secara ilegal, maka sanksi (akan) jauh lebih berat berupa perampasan seluruh kegiatannya yang terkait manfaat ekonomi atas data pribadi yang dimaksud,” kata Johnny. Namun, ia tidak menjelaskan secara khusus sanksi yang akan dikenakan kepada pengendali dan pemroses data dari badan publik.

Ketimpangan sanksi

Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar mengatakan, rumusan UU PDP memperlihatkan ketimpangan dalam pemberian sanksi antara pengendali dan pemroses data swasta dan badan publik. Pelanggaran yang dilakukan oleh badan publik hanya akan dikenakan sanksi administratif. Sementara badan swasta, selain terancam sanksi yang sama, juga bisa dikenakan denda administratif dan ancaman pidana.

Dengan rumusan demikian, meski disebutkan UU ini berlaku mengikat bagi sektor publik dan privat, dalam kapasitas yang sama sebagai pengendali atau pemroses data, dalam penerapannya akan lebih bertaji pada korporasi, tumpul terhadap badan publik.

”Dengan rumusan demikian, meski disebutkan UU ini berlaku mengikat bagi sektor publik dan privat, dalam kapasitas yang sama sebagai pengendali atau pemroses data, dalam penerapannya akan lebih bertaji pada korporasi, tumpul terhadap badan publik,” kata Wahyudi. Padahal, pelanggaran yang selama ini terjadi, salah satunya terkait dengan kebocoran data, juga kerap terjadi di badan publik.

Baca juga: RUU Perlindungan Data Pribadi dan Komitmen Politik

Hal itu diperparah dengan penjatuhan sanksi yang nantinya dilakukan oleh lembaga pelindungan data pribadi. Lembaga yang dimaksud akan dibentuk oleh presiden dan bertanggung jawab kepada presiden sehingga merupakan bagian dari kekuasaan eksekutif. Artinya, lembaga tersebut memiliki kedudukan yang setara dengan badan publik yang melakukan pelanggaran. Ia memprediksi, akan sulit bagi lembaga pelindungan data memberikan sanksi yang sesuai kepada pelanggar.

”Ketika pelanggaran dilakukan oleh badan publik dan sanksi yang diberikan semata-mata hanya sanksi administrasi, akan sulit untuk mengidentifikasi gradasi atau tingkat pelanggaran yang dilakukan. Apalagi sanksi administrasi bentuknya sangat terbatas,” kata Wahyudi.

Oleh karena itu, tambahnya, diperlukan aturan turunan yang mengatur lebih detail mengenai sanksi yang bisa dikenakan terhadap badan publik. Aturan yang dimaksud harus mencakup rumusan dan cakupan sanksi. Tanpa kesetaraan sanksi antara swasta dan badan publik, dikhawatirkan perlindungan data di instansi pemerintah tidak optimal.