Sanksi untuk Korporasi yang Melanggar UU Perlindungan Data Pribadi

Tingkatkan Keamanan Siber, Kemenkominfo Butuh Rp 34,5 Miliar

WargaSipil.com – Undang-Undang tentang Perlindungan Data Pribadi (PDP) mengatur secara tegas sanksi untuk para pelanggar. Bagi perorangan, mereka bisa dipenjara dan dijatuhi denda miliaran rupiah. Sedangkan bagi korporasi yang menyalahgunakan data pribadi, bisa dirampas asetnya, bahkan usahanya bisa ditutup paksa.

Menteri Komunikasi dan Informatika (Menkominfo) Johnny G. Plate mengatakan, ada dua jenis sanksi yang diatur. Yaitu, sanksi administratif dan pidana. Sanksi administratif tertuang dalam Pasal 57 UU PDP. Berupa peringatan tertulis, pemberhentian sementara kegiatan pemprosesan data pribadi, pemusnahan data pribadi, dan atau denda administratif.

Denda administratif paling tinggi 2 persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran. Menurut Johnny, sanksi tersebut dikenakan bagi pengendali atau pemproses data pribadi jika melanggar ketentuan UU PDP. ’’Di antaranya, tidak memproses data pribadi sesuai tujuannya dan tidak mencegah akses data tidak sah,’’ katanya.

Sanksi pidana diatur dalam Pasal 67–73 UU PDP. Pertama, pidana denda maksimal Rp 4 miliar hingga Rp 6 miliar dan pidana penjara maksimal 4–6 tahun. ”Pidana akan dikenakan bagi orang yang melakukan perbuatan terlarang. Antara lain, mengumpulkan data pribadi yang bukan miliknya untuk menguntungkan diri sendiri dan merugikan orang lain,’’ ucapnya. Pasal 69 UU PDP juga mengatur pidana tambahan berupa perampasan keuntungan dan harta kekayaan yang diperoleh dari tindak pidana dan ganti kerugian.

UU PDP juga mengatur sanksi pidana bagi korporasi. Ancaman pidana tersebut diatur dalam pasal 70. Namun, sanksi yang dijatuhkan hanya berupa pidana denda. Pasal itu menyebutkan bahwa pidana denda untuk korporasi paling banyak 10 kali dari maksimal pidana denda yang diberikan. Jika korporasi melanggar pasal 67, mereka bisa dijatuhi denda maksimal Rp 50 miliar. Pasal 67 sendiri mengatur soal pengumpulan data pribadi dengan tujuan untuk menguntungkan diri sendiri atau orang lain yang mengakibatkan kerugian pada subjek data pribadi.

Kalau korporasi melanggar pasal 68, mereka bisa diancam denda maksimal Rp 60 miliar. Pasal 68 mengatur pembuatan data pribadi palsu atau pemalsuan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang mengakibatkan kerugian bagi pemilik data pribadi.

Selain dijatuhi pidana denda, korporasi yang melanggar juga diancam dengan pidana tambahan. Yaitu, perampasan keuntungan atau harta kekayaan yang diperoleh dari tindak pidana, pembekuan seluruh atau sebagian usaha korporasi, pelarangan permanen melakukan perbuatan tertentu, penutupan seluruh atau sebagian tempat usaha, pemenuhan kewajiban yang telah dilalaikan, pembayaran ganti kerugian, pencabutan izin, dan pembubaran korporasi.

Anggota Komisi I DPR Arwani Thomafi mengatakan, sanksi bagi pelanggar UU PDP sangat jelas. Jual beli data pribadi secara ilegal juga diatur. Memang, kata dia, istilah yang digunakan bukan jual beli, tapi menggunakan istilah menguntungkan diri sendiri dan orang lain. ”Jual beli data pribadi secara ilegal juga masuk di situ,” terang dia. Sebab, transaksi jual beli bisa menguntungkan pihak penjual dan pembeli. Jadi, kata Sekjen PPP itu, jangan ada lagi pihak yang melakukan jual beli data pribadi secara ilegal.

Setelah RUU PDP disahkan menjadi UU, pemerintah harus bergerak cepat menyusun peraturan turunan, baik peraturan presiden (perpres) maupun peraturan pemerintah (PP). Aturan turunan itu harus menjelaskan secara terperinci hal-hal yang belum jelas pada UU PDP. Ada waktu dua tahun bagi pemerintah untuk menuntaskan penyusunan aturan turunan UU PDP.

Direktur Eksekutif Lembaga Studi Advokasi Masyarakat (ELSAM) Wahyudi Djafar mengatakan, masih ada beberapa catatan yang perlu menjadi perhatian pemerintah setelah aturan tersebut diresmikan. Salah satunya terkait dengan lembaga yang nanti diberi kewenangan untuk memastikan terciptanya perlindungan maksimal terhadap data pribadi masyarakat.

Menurut Wahyudi, pemerintah harus menjamin bahwa lembaga tersebut menjalankan tugas dengan baik. Tidak hanya ’’galak’’ kepada pihak swasta, lembaga itu juga wajib ’’galak’’ kepada pemerintah. Dia menilai, hal tersebut harus dipastikan lantaran lembaga itu turut berada di rumpun eksekutif. Karena itu, muncul kekhawatiran baru. ”Apakah mungkin satu institusi pemerintah memberikan sanksi pada institusi pemerintah yang lain,” ungkap dia.

ELSAM juga menyoroti beberapa pasal dalam UU PDP. Terutama pasal berisi rumusan sanksi. Menurut dia, ada ketidaksetaraan hukuman dalam rumusan itu. Wahyudi mencontohkan, bila PSE sektor privat melakukan pelanggaran, mereka bisa terkena hukuman administrasi hingga denda dan hukuman pidana. ”Sedangkan sektor publik hanya mungkin dikenakan sanksi administrasi,” imbuhnya. Dengan rumusan itu, dia menilai UU PDP akan lebih bertaji pada korporasi. ”Namun, tumpul terhadap badan publik,” tambah dia.

Di luar itu, pihaknya juga menyoroti kelenturan rumusan pasal 65 ayat (2) juncto pasal 67 ayat (2). Dalam pasal tersebut, Wahyudi menyampaikan, ada ancaman terhadap individu atau korporasi yang mengungkapkan data pribadi secara melawan hukum. Menurut dia, ada ketidakjelasan dalam frasa melawan hukum di pasal tersebut. Ketidakjelasan itu berisiko memunculkan masalah baru. ”Akan berdampak karet dan multitafsir dalam penerapannya. Yang berisiko disalahgunakan untuk tujuan mengkriminalkan orang lain,” kata dia.

Dalam rapat pembahasan tambahan anggaran Kementerian Kominfo di kompleks DPR kemarin, disinggung soal anggaran terkait UU PDP. Menkominfo Plate mengatakan, pihaknya membutuhkan tambahan anggaran untuk sejumlah kegiatan. ’’Di antaranya, anggaran untuk sosialisasi UU PDP yang baru disahkan,’’ katanya. Politikus Partai Nasdem itu mengatakan, Kementerian Kominfo membutuhkan anggaran Rp 20 miliar untuk sosialisasi UU PDP. Dia mengatakan, bagaimanapun caranya, harus dicarikan jalan supaya anggaran tersebut tersedia.

Plate mengatakan, pemerintah bersama Komisi I DPR diharapkan bisa mencari sumber pendanaan untuk pembiayaan kegiatan sosialisasi itu. Plate juga menyampaikan kebutuhan anggaran untuk keamanan siber di lingkungan Kementerian Kominfo. ’’Anggaran peningkatan keamanan siber Rp 34,5 miliar. Ini adalah keamanan siber internal Kementerian Kominfo,’’ tuturnya. Dalam postur rancangan APBN 2023 Kementerian Kominfo, anggaran tersebut belum tersedia.

Dia menjelaskan, layanan keamanan siber tersebut penting. Sebab setelah keluar Peraturan Presiden 53/2017, seluruh Direktorat Keamanan Siber Kementerian Kominfo dipindahkan ke Badan Siber dan Sandi Negara (BSSN). Plate mengatakan, yang dipindah bukan hanya pegawai atau SDM-nya. Tetapi, juga perangkat keamanan sibernya.

Secara keseluruhan, pagu anggaran Kementerian Kominfo tahun depan mencapai Rp 19,7 triliun. Kebutuhan anggarannya sekitar Rp 40,5 triliun. Jadi, masih ada kekurangan atau selisih Rp 20,8 triliun.