Jakarta, SirOnline.id – Rapat Paripurna Dewan Perwakilan Rakyat (DPR) RI, Selasa, 20 September 2022 lalu resmi mensahkan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) menjadi Undang-undang Perlindungan Data Pribadi (UU PDP).
Naskah final RUU PDP sendiri telah dibahas sejak 2016. Di dalamnya terdiri atas 371 daftar inventarisasi masalah (DIM) dan menghasilkan 16 bab serta 76 pasal. Jumlah pasal di RUU PDP ini bertambah 4 pasal dari usulan awal pemerintah pada akhir 2019, yakni sebanyak 72 pasal.
Berikut rangkuman poin-poin penting UU Data Pribadi dikutip dari CNN Indonesia berdasarkan salinan draf RUU PDP, Kementerian Komunikasi dan Informatika (Kominfo), Rabu, (21/9).
1. Pidana enam tahun dan denda Rp 6 miliar
Peretas, pembocor, dan pengguna, serta pemalsu data pribadi dapat terancam pidana penjara paling lama enam tahun dan/atau pidana denda hingga Rp 6 miliar.
Rinciannya adalah pertama, pengumpul data pribadi via jalur ilegal, baik itu peretasan, pembelian dari pihak lain, bisa kena hukuman maksimal 5 tahun bui dan/atau denda Rp5 miliar. (Pasal 67 ayat (1))
Kedua, pengungkap data pribadi orang lain bisa dipenjara 4 tahun dan/atau denda maksimal Rp4 miliar. (Pazal 67 ayat (2)
Ketiga, pengguna data pribadi yang bukan miliknya dipenjara 5 tahun dan/atau denda maksimal Rp5 miliar. (Pazal 67 ayat (3))
Keempat, pemalsu data pribadi bisa dibui maksimal 6 tahun dan/atau denda maksimal Rp6 miliar. (Pazal 68)
2. 10 kali lipat pidana bagi korporasi
Jika pengakses, pengumpul, pengguna, dan pemalsu data pribadi adalah sebuah perusahaan. Menurut pasal 70 ayat 1, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan atau korporasi.
Adapun pidana yang dapat dijatuhkan terhadap korporasi adalah pidana denda dengan nilai 10 kali lipat dari denda terhadap individu. Pidananya yaitu denda maksimal Rp4-6 miliar, dan pidana penjara maks 4-6 tahun.
Selain itu, korporasi dapat dijatuhi berbagai pidana tambahan, mulai dari perampasan keuntungan dan/atau harta kekayaan hasil dari tindak pidana, pembekuan seluruh atau sebagian usaha korporasi, dan pelarangan permanen melakukan perbuatan tertentu.
Kemudian, penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi, melaksanakan kewajiban yang telah dilalaikan, dan pembayaran ganti kerugian.
Lalu, pencabutan izin dan/atau pembubaran Korporasi.
3. Denda bagi korporasi dan BUMN yang lalai
UU PDP juga mengatur beberapa kewajiban Pengendali Data Pribadi jadi akan ada denda bagi korporasi-BUMN yang lalai.
Dijelaskan pada Pasal 1 ayat (4) Pengendali Data Pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi.
Dengan kata lain, semua pihak yang mengelola data pribadi, mulai dari lembaga negara seperti Kementerian Komunikasi dan Informatika, operator seluler, hingga perusahaan asing seperti Google, terikat aturan ini.
Apa saja kewajiban mereka?
Pertama, wajib melindungi dan memastikan keamanan Data Pribadi dengan melakukan penyusunan dan penerapan langkah teknis operasional (Pasal 35 RUU PDP).
Kedua, wajib menjaga kerahasiaan Data Pribadi dalam pemrosesannya (Pasal 36).
Ketiga, wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi (Pasal 37).
Keempat, wajib melindungi Data Pribadi dari pemrosesan yang tidak sah (Pasal 38).
Kelima, wajib mencegah Data Pribadi diakses secara tidak sah (Pasal 39).
Apa sanksinya jika abai terhadap kewajiban itu? RUU PDP mencantumkan konsekuensinya pada Pasal 57, yakni sanksi administratif.
Bentuknya berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan Data Pribadi, penghapusan atau pemusnahan Data Pribadi, dan/atau denda administratif.
Berapa besar denda administratifnya? Pasal 57 ayat (3) menyebut bahwa “Sanksi administratif berupa denda administratif sebagaimana dimaksud pada ayat (2) huruf d paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran”.
Pihak yang berhak menjatuhkan sanksinya adalah lembaga PDP dengan rincian ketentuan lebih lanjut dalam Peraturan Pemerintah.
4. Wajib mengabarkan warga yang datanya bocor
Pengendali Data Pribadi, baik pemerintah atau swasta, wajib mengabari warga atau pelanggan yang terdampak kebocoran data.
“Dalam hal terjadi kegagalan Pelindungan Data Pribadi (data pelanggan), Pengendali Data Pribadi (Kominfo-Operator seluler) wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada Subjek Data Pribadi (Pelanggan) dan lembaga,” jelas Pasal 46 ayat 1 UU PDP.
Bagian penjelasan UU ini menerangkan bahwa ‘kegagalan Pelindungan Data Pribadi’ adalah kegagalan melindungi Data Pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan Data Pribadi, termasuk pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap Data Pribadi yang dikirim, disimpan, atau diproses.
Pemberitahuan tertulis tersebut setidaknya memuat data pribadi yang terungkap, penjelasan kapan dan bagaimana data itu terungkap, serta upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pihak pengendali.
“Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan Pelindungan Data Pribadi,” demikian Pasal 45 ayat (3) UU PDP.
Artinya, jika terjadi lagi kebocoran data registrasi SIM card, Kementerian Komunikasi dan Informatika Republik Indonesia (Kominfo), operator seluler, hingga Dukcapil selaku pengendali data pelanggan wajib mengabari semua nomor yang terdampak.
5. UU PDP memberi hak kepada warga untuk menarik dan menghapus data pribadinya
Pasal 8 menyebutkan “Subjek Data Pribadi berhak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.”
Hal tersebut dikuatkan dengan penjelasan dalam Pasal 44. Dijelaskan bahwa pengendali data pribadi wajib memusnahkan data pribadi pada sejumlah hal.
Pertama, masa retensi (penyimpanan) telah habis dan berketerangan dimusnahkan berdasarkan jadwal retensi arsip.
“Terdapat permintaan dari Subjek Data Pribadi,” jelas Pasal 44 ayat 1 huruf b.
Lalu, tidak berkaitan dengan penyelesaian proses hukum suatu perkara dan/atau Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.
Pemusnahan tersebut dilakukan sesuai dengan ketentuan peraturan perundang-undangan. (rr)
