Baca berita dengan sedikit iklan, klik di sini
Panitia Kerja Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) telah merampungkan pembahasan RUU yang digagas lebih dari satu dekade lalu tersebut. Draf finalnya kini tengah menunggu pengesahan lewat rapat paripurna Dewan Perwakilan Rakyat. Namun sejumlah kalangan menilai RUU PDP masih belum menjamin perlindungan data pribadi secara maksimal, terutama untuk mencegah kebocoran data yang dua tahun terakhir semakin marak.
Apa kewajiban pengendali dan/atau prosesor data pribadi yang berhubungan langsung dengan upaya mencegah potensi kebocoran data pribadi?
Baca berita dengan sedikit iklan, klik di sini
Pasal 38 RUU PDP mewajibkan pengendali data pribadi, atau pihak yang mengelola dan mengendalikan data untuk tujuan tertentu, untuk melindungi data pribadi. Pasal 39 juga mewajibkan pengendali data pribadi untuk mencegah pengaksesan secara ilegal. Adapun Pasal 52 menyatakan kewajiban pada Pasal 38 juga berlaku bagi prosesor data pribadi, yaitu pihak yang memproses data atas nama pengendali data pribadi.
Pasal 38
Pengendali Data Pribadi wajib melindungi Data Pribadi dari pemrosesan yang tidak sah.
Pasal 39
(1) Pengendali Data Pribadi wajib mencegah Data Pribadi diakses secara tidak sah.
(2) Pencegahan sebagaimana dimaksud pada ayat (1) dilakukan dengan menggunakan sistem keamanan terhadap Data Pribadi yang diproses dan/atau memproses Data Pribadi menggunakan sistem elektronik secara andal, aman, dan bertanggung jawab.
(3) Pencegahan sebagaimana dimaksud pada ayat (2) dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
Bagaimana jika pengendali dan/atau prosesor data pribadi gagal melindungi dan mencegah pengaksesan data pribadi secara ilegal?
Baca berita dengan sedikit iklan, klik di sini
Baca berita dengan sedikit iklan, klik di sini
RUU PDP dinilai tak tegas mengatur permasalahan tersebut. Pasal 46 hanya mewajibkan pengendali data pribadi menyampaikan pemberitahuan tertulis kepada subyek data pribadi, yaitu seseorang yang pada dirinya melekat data pribadi. Pemberitahuan tertulis juga harus diberikan kepada lembaga yang mengatur dan mengawasi perlindungan data pribadi.
Pasal 46
(1) Dalam hal terjadi kegagalan Pelindungan Data Pribadi, Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada:
a. Subjek Data Pribadi; dan
b. lembaga.
(2) Pemberitahuan tertulis sebagaimana dimaksud pada ayat (1) minimal memuat:
a. Data Pribadi yang terungkap;
b. kapan dan bagaimana Data Pribadi terungkap; dan
c. upaya penanganan dan pemulihan atas terungkapnya Data Pribadi oleh Pengendali Data Pribadi.
(3) Dalam hal tertentu Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan Pelindungan Data Pribadi.
Petugas Dinas Kependudukan dan Pencatatan Sipil mencetak KTP elektronik di kantor Disdukcapil Kota Tasikmalaya, Jawa Barat. ANTARA/Adeng Bustom
Apa sanksi jika kewajiban-kewajiban itu tak dipenuhi oleh pengendali atau prosesor data pribadi?
Salah satu bagian RUU PDP yang dipersoalkan ada di pertanyaan tersebut. Pasal 57 menyatakan pelanggaran-pelanggaran terhadap pasal-pasal tersebut di atas hanya dikenai sanksi administratif.
Pasal 57
(1) Pelanggaran terhadap ketentuan… Pasal 38, Pasal 39 ayat (1), … Pasal 46 ayat (1) dan ayat (3)… dikenai sanksi administratif.
(2) Sanksi administratif sebagaimana dimaksud pada ayat (1) berupa:
a. peringatan tertulis;
b. penghentian sementara kegiatan pemrosesan Data Pribadi;
c. penghapusan atau pemusnahan Data Pribadi; dan/atau
d. denda administratif.
(3) Sanksi administratif berupa denda administratif sebagaimana dimaksud pada ayat (2) huruf d paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.
(4) Penjatuhan sanksi administratif sebagaimana dimaksud pada ayat (2) diberikan oleh lembaga.
(5) Ketentuan lebih lanjut mengenai tata cara pengenaan sanksi administratif sebagaimana dimaksud pada ayat (3) diatur dalam Peraturan Pemerintah.
Bukankah RUU PDP juga mengatur ketentuan pidana?
RUU PDP mengatur ketentuan pidana di Pasal 67 sampai Pasal 73. Sanksi pidana itu merujuk pada larangan penggunaan data pribadi yang diatur dalam Pasal 65 dan Pasal 66. RUU PDP sebenarnya juga mengatur ancaman pidana jika tindakan melawan hukum atas data pribadi dilakukan oleh korporasi.
Pasal 65
(1) Setiap Orang dilarang secara melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi.
(2) Setiap Orang dilarang secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya.
(3) Setiap Orang dilarang secara melawan hukum menggunakan Data Pribadi yang bukan miliknya.
Pasal 66
Setiap orang dilarang membuat data pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain.
Seorang karyawan memeriksa kebocoran data di beberapa situs Internet melalui situs web www.periksadata.com di Jakarta, 5 September 2022. ANTARA/Muhammad Adimaja
Pasal 67
(1) Setiap Orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 65 ayat (1) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp 5.000.000.000 (lima miliar rupiah).
(2) Setiap Orang yang dengan sengaja dan melawan hukum mengungkapkan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (2) dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp 4.000.000.000 (empat miliar rupiah).
(3) Setiap Orang yang dengan sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (3) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp 5.000.000.000 (lima miliar rupiah).
Pasal 68
Setiap Orang yang dengan sengaja membuat Data Pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 66 dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau pidana denda paling banyak Rp 6.000.000.000 (enam miliar rupiah).
Pasal 70
(1) Dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 dilakukan oleh Korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau Korporasi.
(2) Pidana yang dapat dijatuhkan terhadap Korporasi hanya pidana denda.
(3) Pidana denda yang dijatuhkan kepada Korporasi paling banyak 10 (sepuluh) kali dari maksimal pidana denda yang diancamkan.
(4) Selain dijatuhi pidana denda sebagaimana dimaksud pada ayat (2), Korporasi dapat dijatuhi pidana tambahan berupa:
a. perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana;
b. pembekuan seluruh atau sebagian usaha Korporasi;
c. pelarangan permanen melakukan perbuatan tertentu;
d. penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan Korporasi;
e. melaksanakan kewajiban yang telah dilalaikan;
f. pembayaran ganti kerugian;
g. pencabutan izin; dan/atau
h. pembubaran Korporasi.
Pertanyaan terakhir, apakah ketentuan pidana itu akan berjalan dan efektif mencegah kebocoran data pribadi? Jawabannya belum terang. Yang jelas, ancaman pidana terhadap pelanggaran-pelanggaran serupa—dalam bahasa berbeda—sebenarnya juga diatur dalam Undang-Undang Informasi dan Transaksi Elektronik. Kita semua tahu apa yang terjadi berikutnya. Kelompok masyarakat sipil juga meragukan efektivitas rancangan beleid anyar tersebut karena RUU PDP gagal membentuk lembaga independen yang berwenang mengawasi pelaksanaan pelindungan data pribadi.
SUMBER: DRAF FINAL RUU PELINDUNGAN DATA PRIBADI. WAWANCARA DIOLAH TEMPO
- Akses edisi mingguan dari Tahun 1971
- Akses penuh seluruh artikel Tempo+
- Baca dengan lebih sedikit gangguan iklan
- Fitur baca cepat di edisi Mingguan
- Anda Mendukung Independensi Jurnalisme Tempo