Setelah DPR mengesahkan UU Pelindungan Data Pribadi (UU PDP), penting bagi semua pihak untuk mengetahui beragam ketentuan yang diatur dalam UU tersebut. Salah satu ketentuan yang patut diketahui dan diantisipasi yakni ancaman pidana.
Praktisi perlindungan data pribadi sekaligus CoChair of International Association of Privacy Professional Indonesia Chapter, Satriyo Wibowo, mengingatkan pihak terkait terutama perusahaan yang mengelola data pribadi harus segera menyesuaikan kegiatan bisnisnya dengan ketentuan UU PDP guna mengantisipasi potensi terkena ancaman pidana.
Menurut Satriyo, sanksi pidana itu akan berlaku ketika UU PDP ditandatangani Presiden atau setelah mendapat penomoran UU (setelah 30 hari sejak disahkan). Berbeda dengan sanksi administrasi yang pelaksanaannya berlaku paling lama 2 tahun setelah UU PDP diundangkan.
“Harus disiapkan secepatnya karena saat UU ini ditandatangani Presiden sanksi pidana UU PDP langsung aktif (berlaku, red),” ujar Satriyo dalam diskusi bertema “Bagaimana Menghindari Sanksi Pidana terkait UU PDP” secara daring, Kamis (6/10/2022).
Baca Juga:
- Advokat Ini Sebut Perusahaan Tak Melulu Bertanggung Jawab Terhadap Kebocoran Data Pribadi
- Menilik Sejumlah Kewajiban Penting dalam UU PDP
- Membandingkan Isi UU Pelindungan Data Pribadi di Indonesia dengan Negara Lain
Ketentuan pidana dalam antara lain diatur Pasal 65 UU PDP yang intinya mengatur sanksi pidana bagi setiap orang atau korporasi yang memperoleh, mengumpulkan, mengungkapkan, menggunakan data pribadi secara melanggar hukum. Kemudian membuat data pribadi palsu atau memalsukan data pribadi. Aturan pidana ini hanya menyasar perorangan dan korporasi. Badan publik tidak dikenakan pidana karena selalu punya dasar dalam memproses data pribadi.
“Jadi semua kegiatan bisnis yang memproses data pribadi harus punya dasar pemrosesan data pribadi. Ini yang membedakan (menandakan, red) adanya pelanggaran hukum atau tidak,” ujar Satriyo.
Jika ada pelanggaran yang berhubungan dengan sanksi administrasi, tapi dalam proses investigasinya ditemukan indikasi pidana, maka pihak yang bersangkutan bisa dijerat pidana. Oleh karena itu, setiap orang atau perusahaan harus memahami posisinya apakah sebagai pengendali atau prosesor data pribadi. Masing-masing posisi itu punya tanggung jawab yang berbeda.
Pasal 65 UU PDP
(1) Setiap Orang dilarang secara melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi.
(2) Setiap Orang dilarang secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya.
(3) Setiap Orang dilarang secara melawan hukum menggunakan Data Pribadi yang bukan miliknya.
Pasal 70 UU PDP
(1) Dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 dilakukan oleh Korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau Korporasi.
(2) Pidana yang dapat dijatuhkan terhadap Korporasi hanya pidana denda.
(3) Pidana denda yang dijatuhkan kepada Korporasi paling banyak 10 (sepuluh) kali dari maksimal pidana denda yang diancamkan.
(4) Selain dijatuhi pidana denda sebagaimana dimaksud pada ayat (2), Korporasi dapat dijatuhi pidana tambahan berupa: …..
Untuk menyesuaikan dengan ketentuan yang diatur UU PDP, termasuk bagaimana mengantisipasi potensi ancaman pidana, Satriyo menyebut sedikitnya ada 3 langkah yang bisa dilakukan. Pertama, harus paham dasar pemrosesan data. Kemudian memastikan proses bisnis perusahaan memiliki informasi dasar yang memadai tentang pemrosesan data pribadi.
Kedua, memahami konsep pengendali, pengendali bersama, dan prosesor data pribadi. Ketiga, menunjuk pejabat atau petugas yang melaksanakan fungsi perlindungan data pribadi. Berbagai langkah itu merupakan awal untuk menyiapkan berbagai hal dalam menghadapi UU PDP mulai berlaku dari menyiapkan program, asesmen, analisis, dan lainnya.
Satriyo menyebut frasa kunci Pasal 65 UU PDP itu adalah “secara melawan hukum”. Data pribadi yang menjadi data publik, misalnya LHKPN, dan publik figur pada prinsipnya bisa dikumpulkan, tapi tidak bisa diungkapkan kecuali ada dasar pemrosesan atau izin. “Dan ini yang kami khawatirkan akan menjadi negatif, misalnya bagi kalangan jurnalis (dan aktivis, red),” imbuhnya.
Menurut Satriyo, hal pertama yang paling penting untuk dipahami adalah konsep dasar pemrosesan data pribadi. Selanjutnya, melihat bagaimana proses bisnis yang berjalan selama ini di perusahaan. Lalu menilai bagian mana saja proses data pribadi yang berisiko tinggi, tapi tidak punya dasar pemrosesan yang tepat. Misalnya, yang lebih aman, perusahaan memiliki dasar pemrosesan berupa persetujuan atau kontraktual dalam mengelola data pribadi perusahaan.
Perwakilan PT PGAS Telekomunikasi Nusantara (PGNCOM), Airin Siregar, mengatakan menyesuaikan dengan ketentuan UU PDP pihaknya masih menyiapkan sejumlah hal, seperti infrastruktur yang terintegrasi dan cetak biru (blueprint). “Agar mumpuni dalam mengelola data pribadi, maka kita menyusun blueprint bagaimana infrastruktur dan kebijakan untuk sejalan dengan UU PDP,” ujarnya dalam kesempatan yang sama.
CTO Dattabot, Imron Zuhri, menyebut pihaknya sudah punya perhatian terhadap perlindungan data pribadi sejak 15 tahun silam. Perusahaan yang bergerak di bidang analisis data itu posisinya bukan sebagai pengumpul data, tapi memproses data. Ia mengingatkan ke depan harus dicermati data yang diproteksi keamanannya harus sesuai dengan aturan UU PDP. Karena belum tentu data yang diproteksi itu pengumpulan atau perolehannya dilakukan secara legal.
“Kalau dari sektor security (keamanan data) pemahamannya kan melindungi dari peretasan dan kebocoran, tapi kalau UU PDP ini konteksnya lebih pada kepatuhan terhadap aturan,” kata Imron.
Menurut Imron, yang pasti, jerat pidana bisa diantisipasi selama mematuhi peraturan yang berlaku. Oleh karena itu yang penting dicermati tak sekedar bagaimana menjaga keamanan sistem data, tapi penting juga bagaimana proses memperoleh atau mendapat data tersebut kemudian memprosesnya.