Jakarta, CNN Indonesia —
Undang-undang Perlindungan Data Pribadi (UU PDP) baru saja disahkan lewat Rapat Paripurna DPR (Pembicaraan Tingkat II), Selasa (20/9). UU tersebut memuat sanksi terhadap mereka yang mengakses dan membocorkan data pribadi secara ilegal.
Pada naskah final RUU PDP, ada 371 Daftar Inventarisasi Masalah (DIM) dan 16 Bab serta 76 pasal. Jumlah pasal itu bertambah empat dari usulan awal pemerintah pada akhir 2019 yakni 72 pasal.
Rapat Paripurna pengesahan RUU PDP sendiri dihadiri 295 anggota dewan, dengan rincian 73 orang hadir secara fisik, 206 orang hadir secara virtual. Sedangkan, sebanyak 16 orang tak hadir atau izin.
CNNIndonesia.com mencoba merinci pasal-pasal krusial yang terdapat dalam UU tersebut. Pada Bab 1 Ketentuan Umum di pasal 1 termuat definisi-definisi soal Data Pribadi, Pengendali Data Pribadi, Prosesor Data Pribadi dan Subyek Data Pribadi.
1. Definisi Data Pribadi
Definisi Data Pribadi menurut UU PDP “adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik”
Sementara, Pengendali Data didefinisikan sebagai “setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi”
Untuk Subyek Data Pribadi definisinya “adalah orang perseorangan yang pada dirinya melekat Data Pribadi”
Lebih lanjut pada Bab III soal Jenis Data Pribadi, diatur data-data mana saja yang masuk ke dalam kategori Data Pribadi. UU PDP menggolongkan Data Pribadi menjadi dua: bersifat spesiifik, dan bersifat umum (Pasal 4).
Data Pribadi bersifat spesifik “sebagaimana dimaksud pada ayat (1) huruf a meliputi: a. data dan informasi kesehatan; b. data biometrik; c. data genetika; d. catatan kejahatan; e. data anak; f. data keuangan pribadi; dan/atau g. data lainnya sesuai dengan ketentuan peraturan perundang-undangan.”
Untuk Data Pribadi bersifat umum meliputi a. nama lengkap; b. jenis kelamin; c. kewarganegaraan; d. agama; e. status perkawinan; dan/atau f. Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
2. Hak-hak Subyek Data
Masyarakat sebagai Subjek Data Pribadi diatur hak-haknya dalam pasal 5 hingga 15. Di dalamnya tercantum bahwa Subyek Data berhak mendapat kejelasan terkait kepentingan hukum, tujuan permintaan dan akuntabilitas lembaga yang meminta data pribadi mereka (pasal 5).
Pada pasal 8, Subjek Data Pribadi juga berhak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
Hal tersebut dikuatkan dengan penjelasan dalam Pasal 44. Dijelaskan bahwa pengendali data pribadi wajib memusnahkan data pribadi pada empat hal yakni:
a. telah habis masa retensinya dan berketerangan dimusnahkan berdasarkan jadwal retensi arsip;
b. terdapat permintaan dari Subjek Data Pribadi;
c. tidak berkaitan dengan penyelesaian proses hukum suatu perkara; dan/atau
d. Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.
Pada pasal 12 ayat 1, Subjek Data Pribadi juga bisa “menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.”
Akan tetapi pada pasal 15, hak-hak Subyek Data Pribadi dikecualikan untuk lima hal yakni
a. kepentingan pertahanan dan keamanan nasional;
b. kepentingan proses penegakan hukum;
c. kepentingan umum dalam rangka penyelenggaraan negara;
d. kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara; atau
e. kepentingan statistik dan penelitian ilmiah.
Pengendali Data Pribadi dan Sanksi Larangan
3. Pengendali Data Pribadi
UU PDP juga mengatur kewajiban Pengendali Data Pribadi dalam Pemrosesan Data Pribadi. Hal itu tertuang pada Bab VI antara lain soal dasar pemrosesan Data Pribadi yang harus mendapat “persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi; (pasal 20 ayat 2 poin a).
Kemudian pada pasal 21 diatur soal kewajiban Pengendali Data Pribadi “menyampaikan Informasi mengenai: a. legalitas dari pemrosesan Data Pribadi; b. tujuan pemrosesan Data Pribadi; c. jenis dan relevansi Data Pribadi yang akan diproses; d. jangka waktu retensi dokumen yang memuat Data Pribadi; e. rincian mengenai Informasi yang dikumpulkan; f. jangka waktu pemrosesan Data Pribadi; dan g. hak Subjek Data Pribadi.”
Di sisi lain, kewajiban melindungi Data Pribadi termuat dalam pasal 35 yang menyebut dua poin yakni a. penyusunan dan penerapan langkah teknis operasional untuk melindungi Data Pribadi dari gangguan pemrosesan Data Pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan; dan b. penentuan tingkat keamanan Data Pribadi dengan memperhatikan sifat dan risiko dari Data Pribadi yang harus dilindungi dalam pemrosesan Data Pribadi.
Pada pasal 36 pun, Pengendali Data Pribadi “wajib menjaga kerahasiaan Data Pribadi” dalam pemrosesannya.
4. Sanksi-Sanksi dan Larangan
Terkait sanksi-sanksi dan larangan, UU PDP memuatnya dalam Bab 13 yang terdiri dari pasal 65 dan 66. Di dalamnya tertulis antara lain “Setiap Orang dilarang membuat Data Pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain. (pasal 66)”
Sementara itu pada Bab 16, UU PDP mengatur sanksi dan denda yang akan dijatuhkan kepada para pelanggar. Itu termuat dalam padal 67 hingga 73.
Pasal 67 memuat hukuman penjara hingga denda yang tergantung kepada pelanggaran yang mengacu kepada pasal 65. Pelanggar yang melanggar pasal 65 ayat 1 dijatuhi hukuman “pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).
Sementara, pelanggar pasal 65 ayat 2 akan dijatuhi hukuman “pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp4.000.000.000,00 (empat miliar rupiah).”
Untuk pelanggar pasal 65 ayat 3 hukumannya adalah “pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).”
UU PDP pun mengatur pelanggar yang memalsukan data pribadi yakni di pasal 68 dengan ancaman “pidana penjara paling lama 6 (enam) tahun dan/atau pidana denda paling banyak Rp6.000.000.000,00 (enam miliar rupiah).”
Kemudian pada pasal 70 diatur hukuman dan denda apabila pelanggar berstatus korporasi. Pada ayat 1 misalnya, hukuman kepada korporasi akan dijatuhkan kepada “pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau Korporasi.
Hukuman kepada korporasi pun hanya berupa denda (pasal 70 ayat 2) dengan denda paling banyak 10 kali dari maksimal pidana denda yang diancamkan (pasal 70 ayat 3).
