Jakarta, CNN Indonesia —
Undang-undang Perlindungan Data Pribadi (UU PDP) memuat sejumlah poin penting terkait data pribadi warga. Pentingkah bagi warga?
“Selasa, 20 September 2022, merupakan tonggak sejarah kemajuan perlindungan data pribadi di Indonesia,” klaim Menteri Komunikasi dan Informatika Johnny G. Plate, di kantornya, Selasa (20/9).
“Pemerintah bersama-sama dengan DPR RI telah mengesahkan legislasi primer yang menjadi payung hukum utama pelindungan data pribadi di indonesia, yakni UU Pelindungan Data Pribadi,” lanjut dia.
Benarkah segenting yang diungkapkan Plate? Mari simak beberapa poin perundangan baru ini:
1. Pengumpul, Pembocor, Pengguna Data Pribadi
Peretas, pembocor, dan pengguna, serta pemalsu data pribadi dapat terancam pidana penjara paling lama enam tahun dan/atau pidana denda hingga Rp6 miliar.
Rinciannya, pertama, pengumpul data pribadi via jalur ilegal, baik itu peretasan, pembelian dari pihak lain, bisa kena hukuman maksimal 5 tahun bui dan/atau denda Rp5 miliar. (Pasal 67 ayat (1))
Kedua, pengungkap data pribadi orang lain bisa dipenjara 4 tahun dan/atau denda maksimal Rp4 miliar. (Pazal 67 ayat (2))
Ketiga, pengguna data pribadi yang bukan miliknya dipenjara 5 tahun dan/atau denda maksimal Rp5 miliar. (Pazal 67 ayat (3))
Keempat, pemalsu data pribadi bisa dibui maksimal 6 tahun dan/atau denda maksimal Rp6 miliar. (Pazal 68)
2. Pidana jumbo bagi korporasi
Lain cerita jika pengakses, pengumpul, pengguna, dan pemalsu data pribadi adalah sebuah perusahaan.
Menurut pasal 70 ayat 1, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan atau korporasi.
Adapun pidana yang dapat dijatuhkan terhadap korporasi adalah pidana denda dengan nilai 10 kali lipat dari denda terhadap individu.
“Pidana denda maksimal Rp4-6 miliar, dan pidana penjara maks 4-6 tahun,” kata Menkominfo Johnny G Plate, Selasa (20/9).
Selain itu, korporasi dapat dijatuhi berbagai pidana tambahan, mulai dari perampasan keuntungan dan/atau harta kekayaan hasil dari tindak pidana, pembekuan seluruh atau sebagian usaha korporasi, dan pelarangan permanen melakukan perbuatan tertentu.
Kemudian, penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi, melaksanakan kewajiban yang telah dilalaikan, dan pembayaran ganti kerugian.
Lalu, pencabutan izin dan/atau pembubaran Korporasi.
3. Denda bagi korporasi-BUMN lalai
UU PDP mengatur beberapa kewajiban Pengendali Data Pribadi. Apa itu?
Pasal 1 ayat (4) menjelaskan Pengendali Data Pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi.
Dengan kata lain, semua pihak yang mengelola data pribadi, mulai dari lembaga negara seperti Kementerian Komunikasi dan Informatika, operator seluler, hingga perusahaan asing seperti Google, terikat aturan ini.
Apa saja kewajiban mereka?
Pertama, wajib melindungi dan memastikan keamanan Data Pribadi dengan melakukan penyusunan dan penerapan langkah teknis operasional (Pasal 35 RUU PDP).
Kedua, wajib menjaga kerahasiaan Data Pribadi dalam pemrosesannya (Pasal 36).
Ketiga, wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi (Pasal 37).
Keempat, wajib melindungi Data Pribadi dari pemrosesan yang tidak sah (Pasal 38).
Kelima, wajib mencegah Data Pribadi diakses secara tidak sah (Pasal 39).
Apa sanksinya jika abai terhadap kewajiban itu? RUU PDP mencantumkan konsekuensinya pada Pasal 57, yakni sanksi administratif.
Bentuknya berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan Data Pribadi, penghapusan atau pemusnahan Data Pribadi, dan/atau denda administratif.
Berapa besar denda administratifnya? Pasal 57 ayat (3) menyebut bahwa “Sanksi administratif berupa denda administratif sebagaimana dimaksud pada ayat (2) huruf d paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran”.
Pihak yang berhak menjatuhkan sanksinya adalah lembaga PDP dengan rincian ketentuan lebih lanjut dalam Peraturan Pemerintah.
Hak hapus data hingga dapat pemberitahuan kebocoran di halaman berikutnya…
4. Lembaga wajib beri tahu bocor data
Pengendali Data Pribadi, baik pemerintah atau swasta, wajib mengabari warga atau pelanggan yang terdampak kebocoran data.
“Dalam hal terjadi kegagalan Pelindungan Data Pribadi (data pelanggan), Pengendali Data Pribadi (Kominfo-Operator seluler) wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada Subjek Data Pribadi (Pelanggan) dan lembaga,” jelas Pasal 46 ayat 1 UU PDP.
Bagian penjelasan UU ini menerangkan bahwa ‘kegagalan Pelindungan Data Pribadi’ adalah kegagalan melindungi Data Pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan Data Pribadi, termasuk pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap Data Pribadi yang dikirim, disimpan, atau diproses.
Pemberitahuan tertulis tersebut setidaknya memuat data pribadi yang terungkap, penjelasan kapan dan bagaimana data itu terungkap, serta upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pihak pengendali.
“Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan Pelindungan Data Pribadi,” demikian Pasal 45 ayat (3) UU PDP.
Artinya, jika terjadi lagi kebocoran data registrasi SIM card, Kementerian Komunikasi dan Informatika Republik Indonesia (Kominfo), operator seluler, hingga Dukcapil selaku pengendali data pelanggan wajib mengabari semua nomor yang terdampak.
5. Warga bisa minta hapus data pribadi
UU PDP memberi hak kepada warga untuk menarik dan menghapus data pribadinya.
Pasal 8 menyebutkan “Subjek Data Pribadi berhak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.”
Hal tersebut dikuatkan dengan penjelasan dalam Pasal 44. Dijelaskan bahwa pengendali data pribadi wajib memusnahkan data pribadi pada sejumlah hal.
Pertama, masa retensi (penyimpanan) telah habis dan berketerangan dimusnahkan berdasarkan jadwal retensi arsip.
“Terdapat permintaan dari Subjek Data Pribadi,” jelas Pasal 44 ayat 1 huruf b.
Lalu, tidak berkaitan dengan penyelesaian proses hukum suatu perkara dan/atau Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.
Pemusnahan tersebut dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
