Jakarta, CNN Indonesia —
Perusahaan yang mengakses dan membocorkan data pribadi secara ilegal serta lalai menjaga data pribadi pelanggan dapat terancam denda besar hingga perampasan keuntungan.
Hal tersebut tertuang dalam draf Rancangan Undang-Undang Tentang Perlindungan Data Pribadi (RUU PDP) yang sudah disahkan menjadi UU dalam Rapat Paripurna DPR (Pembicaraan Tingkat II), Selasa (20/9).
Apa saja sanksinya? “Ah, baca sendiri,” timpal Menteri Komunikasi dan Informatika Johnny G Plate, usai Rapat Paripurna tersebut, di kompleks parlemen Senayan, Jakarta, Selasa (20/9).
Kelalaian menjaga data
UU PDP mewajibkan, pertama, Pengendali Data pribadi (pemerintah maupun swasta) melindungi dan memastikan keamanan Data Pribadi dengan melakukan penyusunan dan penerapan langkah teknis operasional (Pasal 35 RUU PDP).
Kedua, menjaga kerahasiaan Data Pribadi dalam pemrosesannya (Pasal 36). Ketiga, melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi (Pasal 37).
Keempat, melindungi Data Pribadi dari pemrosesan yang tidak sah (Pasal 38). Kelima, mencegah Data Pribadi diakses secara tidak sah (Pasal 39).
Jika tak menaati kewajiban itu, UU PDP mencantumkan sanksi administratif (pasal 57). Bentuknya, peringatan tertulis, penghentian sementara kegiatan pemrosesan Data Pribadi, penghapusan atau pemusnahan Data Pribadi, dan/atau denda administratif.
Pasal 57 ayat (3) menyebut bahwa “Sanksi administratif berupa denda administratif sebagaimana dimaksud pada ayat (2) huruf d paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran”.
Pihak yang berhak menjatuhkan sanksinya adalah lembaga PDP dengan rincian ketentuan lebih lanjut dalam Peraturan Pemerintah.
“[Sanksi] bervariasi mulai dari hukuman empat tahun sampai enam tahun maupun hukuman denda dari empat miliar sampai enam miliar setiap kejadian. Dan apabila terjadi kesalahan maka dikenakan sanksi sebesar 2 persen dari total pendapatan tahunannya dan bervariasi,” tutur Menkominfo.
Akses ilegal
Menkominfo melanjutkan korporasi juga terancam denda besar jika menggunakan data pelanggan secara ilegal.
“Apabila ada korporasi, orang-orang dan korporasi yang menggunakan data pribadi secara ilegal, maka sanksi jauh lebih berat berupa perampasan seluruh kegiatannya yang terkait manfaat ekonomi atas data pribadi yang dimaksud kalau ilegal,” kata Plate.
Berdasarkan Pasal 67 UU PDP, denda besar disiapkan bagi pihak yang mengumpulkan data pribadi untuk keuntungan sendiri.
“Setiap Orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 65 ayat (1) dipidana dengan pidana penjara paling lama lima tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah),” demikian bunyi pasal 67 ayat 1.
Tak hanya itu, orang yang membocorkan dan memakai data pribadi orang lain secara ilegal masing-masing terancam denda Rp4 miliar dan Rp5 miliar.
“Setiap Orang yang dengan sengaja dan melawan hukum mengungkapkan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (2) dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp4.000.000.000,00,” demikian bunyi Pasal 67 ayat (2) UU PDP.
“Setiap Orang yang dengan sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (3) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00,” Pasal 67 ayat (3) UU PDP.
Sanksi berlipat disiapkan bagi perusahaan atau korporasi yang melanggar pasal-pasal di atas.
Menurut pasal 70 ayat 1, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan atau korporasi.
“Pidana denda yang dijatuhkan kepada korporasi paling banyak sepuluh kali dari maksimal pidana denda yang diancamkan,” jelas Pasal 70 ayat 3 UU PDP.
Secara hitungan kasar, denda maksimal bagi korporasi pembocor data bisa mencapai Rp50 miliar.
Selain itu, korporasi dapat dijatuhi berbagai pidana tambahan. Mulai dari perampasan keuntungan dan/atau harta kekayaan hasil dari tindak pidana, pembekuan seluruh atau sebagian usaha korporasi, dan pelarangan permanen melakukan perbuatan tertentu;
Penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi, melaksanakan kewajiban yang telah dilalaikan, dan pembayaran ganti kerugian. Lalu, pencabutan izin dan/atau pembubaran Korporasi.
“UU PDP mengatur institusi perorangan, korporasi baik di dalam negeri maupun global,” tandas Plate.
Sebelumnya, Indonesia kerap dikritik karena tak bisa memberi sanksi berat terhadap perusahaan, terutama asing, yang mestinya bertanggung jawab dalam kebocoran data publik.
(lom/cfd/arh)
[Gambas:Video CNN]