UU Pelindungan Data Pribadi Akhirnya Disahkan, Asa Baru Mencegah Kebocoran Data

Prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi. Subyek data pribadi adalah orang perseorangan yang pada dirinya melekat data pribadi. Setiap orang adalah orang perseorangan atau korporasi. Sementara korporasi adalah kumpulan orang dan/ atau kekayaan yang terorganisasi baik yang berbadan hukum maupun tidak berbadan hukum.

UU PDP juga mengatur hak subyek data pribadi. Pada Bab IV Pasal 5, misalnya, subyek data pribadi berhak mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta data pribadi. ”Subyek data pribadi berhak melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan data pribadi tentang dirinya sesuai dengan tujuan pemrosesan data pribadi,” demikian bunyi Pasal 6.

Baca juga : Setelah Dua Tahun, RUU Pelindungan Data Pribadi Akhirnya Tuntas Dibahas

Namun, Pasal 15 menyatakan, hak-hak subyek data pribadi dikecualikan untuk sejumlah hal, yakni kepentingan pertahanan dan keamanan nasional; kepentingan proses penegakan hukum; kepentingan umum dalam rangka penyelenggaraan negara; kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara; atau kepentingan statistik dan penelitian ilmiah. Pengecualian tersebut hanya dalam rangka pelaksanaan ketentuan UU.

Selain hak subyek data pribadi, UU PDP juga memuat pemrosesan data pribadi, kewajiban pengendali data pribadi dan prosesor data pribadi dalam memproses data pribadi, transfer data pribadi, sanksi administratif, kelembagaan, hingga ketentuan pidana.

Ancaman pidana tercantum dalam Bab XIV. Pasal 67 Ayat (1) menyatakan, setiap orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subyek data pribadi dipidana dengan pidana penjara paling lama 5 tahun dan/atau pidana denda paling banyak Rp 5 miliar.

Pasal 67 Ayat (2) menyatakan, setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya , dipidana dengan pidana penjara paling lama 4 tahun dan/atau pidana denda paling banyak Rp 4 miliar. Selain itu, Pasal 67 Ayat (3) mengatur setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya dipidana penjara paling lama 5 tahun dan/atau pidana denda paling banyak Rp 5 miliar.

Selanjutnya, Pasal 68 menyatakan, setiap orang yang dengan sengaja membuat data pribadi palsu atau memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain dipidana dengan pidana penjara paling lama 6 tahun dan/atau pidana denda paling banyak Rp 6 miliar. ”Selain dijatuhi pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68, juga dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian,” demikian bunyi Pasal 69.

Pidana bagi korporasi UU PDP juga mengatur hukuman bagi pelanggar korporasi. Pasal 70 menyatakan, jika tindak pidana dalam Pasal 67 dan Pasal 68 dilakukan oleh korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi.

Pidana yang dapat dijatuhkan terhadap korporasi hanya pidana denda. Pidana denda yang dijatuhkan kepada korporasi paling banyak 10 kali dari maksimal pidana denda yang diancamkan. Selain dijatuhi pidana denda, korporasi dapat dijatuhi pidana tambahan.

Pidana tambahan itu di antaranya perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana, pembekuan seluruh atau sebagian usaha korporasi, pelarangan permanen melakukan perbuatan tertentu, penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi, melaksanakan kewajiban yang telah dilalaikan, pembayaran ganti kerugian, pencabutan izin, dan/atau pembubaran korporasi.

Selain sanksi pidana, sanksi administratif juga diberikan bagi mereka yang lalai melindungi data pribadi, yakni peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, dan penghapusan atau pemusnahan data pribadi; dan/atau denda administratif.

Denda administratif paling tinggi 2 persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran. Sanksi tersebut akan diberikan oleh lembaga PDP. Ketentuan lebih lanjut mengenai tata cara pengenaan sanksi administratif akan diatur dalam peraturan pemerintah. Terkait dengan lembaga PDP, lembaga itu akan ditetapkan oleh presiden dan bertanggung jawab kepada presiden. Ketentuan lebih lanjut mengenai lembaga itu akan diatur dalam peraturan presiden.

Lembaga PDP akan melaksanakan perumusan dan penetapan kebijakan dan strategi pelindungan data pribadi yang menjadi panduan bagi subyek data pribadi, pengendali data pribadi, dan prosesor data pribadi. Selain itu, mengawasi penyelenggaraan pelindungan data pribadi, penegakan hukum administratif terhadap pelanggaran undang-undang PDP, dan memfasilitasi penyelesaian sengketa di luar pengadilan.

Pengendali data pribadi, prosesor data pribadi, dan pihak lain yang terkait dengan pemrosesan data pribadi wajib menyesuaikan dengan ketentuan pemrosesan data pribadi paling lama dua tahun sejak UU PDP diundangkan. Meskipun sudah disahkan, semua ketentuan peraturan perundang-undangan yang mengatur mengenai pelindungan data pribadi dinyatakan masih tetap berlaku sepanjang tidak bertentangan dengan ketentuan dalam UU PDP.

Wakil Ketua Komisi I DPR Abdul Kharis Almasyhari berharap pengesahan UU PDP mampu menekan semaksimal mungkin kebocoran ataupun penyalahgunaan data pribadi. Menurut Kharis, adanya UU PDP menunjukkan Indonesia setara dengan negara lain yang sudah memiliki aturan tersebut.

”Ketika belum ada undang-undang, tidak ada dasar hukum melakukan tindakan terhadap pelanggaran pelindungan data pribadi. Setelah adanya UU ini, melakukan tindakan terhadap para pelanggar data pribadi ini menjadi punya dasar hukum yang kuat,” kata Kharis saat dihubungi dari Jakarta, Rabu (19/10/2022).

Senada dengan Kharis, anggota Komisi I DPR dari Fraksi Partai Demokrasi Indonesia Perjuangan (PDI-P), Mayor Jenderal (Purn) TB Hasanuddin mengatakan, disahkannya UU itu dapat membuat masyarakat lebih leluasa bertransaksi secara elektronik dan mendorong sektor ekonomi digital lebih maju.

Pengesahan UU PDP, kata Hasanuddin, menjadi awal yang baik dari komitmen pemerintah dan DPR untuk menghadirkan negara dalam melindungi data pribadi seluruh masyarakat Indonesia. ”Dengan demikian, pemerintah harus mempercepat proses implementasi UU tersebut. Aturan turunan dan pelembagaan pelindungan data pribadi harus segera dilaksanakan,” ucapnya.

Meski demikian, Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar berpandangan, UU PDP belum sempurna. Kendati begitu, UU tersebut menjadi rujukan awal untuk memperbaiki tata kelola pelindungan data pribadi di Indonesia.

”Karena setidaknya ada kejelasan tentang apa definisi dari data pribadi, bagaimana data pribadi itu diproses, harus memenuhi dasar hukum apa saja, subyek data itu haknya melingkupi apa saja, terus kemudian kewajiban dari pengendali dan pemroses data itu meliputi apa saja,” kata Wahyudi.

Ia pun menyoroti beberapa hal. Penerapan sanksi pidana dikhawatirkan menciptakan risiko kriminalisasi berlebihan. Selain itu, soal adanya lembaga pengawas PDP yang bertanggung jawab kepada presiden.

”Sementara, kan, UU ini nantinya berlaku mengikat tidak hanya bagi sektor swasta, tetapi juga pemerintah. Ini yang kemudian menjadi problematis ketika lembaga pengawas pelindungan data pribadi itu sendiri adalah bagian dari institusi pemerintah,” ucap Wahyudi.

Lebih lanjut, Wahyudi berharap masa transisi selama dua tahun ini dioptimalkan untuk menyiapkan peraturan pelaksana, termasuk kesiapan-kesiapan lain guna memastikan kepatuhan terhadap pelaksanaan UU PDP.

Sebelumnya, DPR menyetujui mengesahkan Rancangan Undang-Undang (RUU) PDP menjadi UU setelah melalui pembahasan sejak Januari 2020 lalu. Pengesahan itu dilakukan dalam rapat paripurna V masa persidangan I tahun sidang 2022-2023 di Gedung DPR, Jakarta, pada Selasa (20/9/2022). Naskah final RUU PDP itu terdiri atas 371 daftar inventarisasi masalah (DIM) dan menghasilkan 16 bab serta 76 pasal dari yang awalnya terdiri dari 15 bab dan 72 pasal.