RUU PDP, Mengapa Lembaga Negara 'Aman' dari Ancaman Sanksi dan Pidana?
Ketentuan pidana dalam BAB XIV RUU PDP hanya berlaku bagi "Setiap Orang".
REPUBLIKA.CO.ID, oleh Nawir Arsyad Akbar
RUU Perlindungan Data Pribadi (PDP) selangkah lagi akan menjadi undang-undang jika disahkan dalam rapat paripurna DPR terdekat. Namun, pembahasan RUU PDP dinilai menyisakan ketidaksinkronan sanksi denda, pidana, dan administratif bagi pihak yang melakukan pelanggaran perlindungan data pribadi.
Menurut Direktur Eksekutif Lembaga Advokasi Masyarakat (Elsam), Wahyudi Djafar, lembaga eksekutif, legislatif, yudikatif, dan badan negara yang disebut sebagai "Badan Publik" dalam RUU PDP dapat dikatakan 'aman' dari sanksi denda dan pidana RUU PDP. Pasalnya, ketentuan pidana dalam BAB XIV RUU PDP hanya berlaku bagi "Setiap Orang".
Dalam Pasal 1 RUU PDP dijelaskan, "Setiap Orang" adalah orang perseorangan atau korporasi. Lalu, "Korporasi" adalah kumpulan orang dan/atau kekayaan yang terorganisasi baik yang berbadan hukum maupun tidak berbadan hukum.
"Mereka (lembaga negara) berbeda dengan swasta, apabila swasta itu bisa didenda atau seterusnya, sedangkan pemerintah atau lembaga publik itu tidak. Karena kesannya pemerintah memiliki dua persona, yaitu pengawas dan juga diawasi," ujar Wahyudi saat dihubungi, Selasa (13/9/2022)..
Lembaga eksekutif, legislatif, dan eksekutif yang melakukan pelanggaran data pribadi disebutnya hanya mendapatkan sanksi administratif. Namun, dalam Pasal 57 Ayat 2 RUU PDP, sanksi administratif dinilainya ringan, karena hanya berupa peringatan tertulis; penghentian sementara kegiatan pemrosesan data pribadi; penghapusan atau pemusnahan data pribadi; dan/atau denda administratif.
Adapun denda administratif dalam Pasal 57 Ayat 3, denda paling tinggi hanyalah 2 persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran. Namun, menurut Wahyudi sanksi administratif masihlah bersifat 'karet' untuk ditujukan kepada lembaga negara.
"Seharusnya ada aturan yang lebih berat kepada badan publik atau lembaga negara ini, karena mereka juga mengumpulkan dan menyimpan data masyarakat. Misal dengan sanksi pengurangan anggaran atau misal dalam kementerian yang diisi oleh ASN dapat dikenakan sanksi berdasarkan UU ASN," ujar Wahyudi.
Dalam hal ini, lembaga pengawas perlindungan data pribadi memiliki peran penting dalam membuat sanksi bagi pelanggar. Namun, ia juga mempertanyakan kekuatan kewenangan lembaga tersebut dalam memberikan sanksi kepada lembaga eksekutif, legislatif, dan yudikatif.
Karenanya, dibutuhkan komitmen dari Presiden Joko Widodo (Jokowi) dalam melindungi data pribadi warganya. Karena dalam RUU PDP, lembaga pengawas data pribadi bertanggung jawab langsung kepada Presiden, bukan Kementerian Komunikasi dan Informatika (Kemkominfo).
"Lembaga pengawas data pribadi menjadi peran penting dalam pengaplikasian RUU PDP, juga niat dari presiden sebagai pengawas lembaga tersebut. RUU PDP dapat berjalan dengan baik jika adanya itikad dari presiden dalam perlindungan data pribadi ini," ujar Wahyudi.
Dalam Pasal 65 BAB XIII tentang Larangan dalam Penggunaan Data Pribadi RUU PDP, dijelaskan larangan penggunaan pribadi, yakni:
- Setiap Orang dilarang secara melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi.
- Setiap Orang dilarang secara melawan hukum mengungkapkan data pribadi yang bukan miliknya.
- Setiap Orang dilarang secara melawan hukum menggunakan data pribadi yang bukan miliknya. "Setiap Orang dilarang membuat Data Pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain," bunyi Pasal 66 RUU PDP.
Selanjutnya, dalam Pasal 67 BAB XIV tentang Ketentuan Pidana, terdapat tiga ayat yang mengatur sanksi pidana bagi "Setiap Orang" yang melakukan tindakan larangan penggunaan data pribadi. Namun, di dalamnya tak mengatur terkait sanksi untuk lembaga negara yang larangan penggunaan data pribadi.
Adapun tiga ayat dalam Pasal 67, yakni:
- Setiap Orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 65 ayat (1) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).
- Setiap Orang yang dengan sengaja dan melawan hukum mengungkapkan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (2) dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp 4.000.000.000,00 (empat miliar rupiah).
- Setiap Orang yang dengan sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (3) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).
Selanjutnya dalam Pasal 68 RUU PDP dijelaskan, setiap orang yang melakukan pemalsuan data pribadi demi keuntungannya akan dikenakan pidana penjara paling lama enam tahun dan/atau pidana denda paling banyak Rp 6 miliar.
Pihak yang melakukan larangan perlindungan data pribadi juga berlaku kepada korporasi yang mengumpulkan, membocorkan, hingga memalsukan data pribadi orang lain demi keuntungannya. Hal tersebut diatur dalam Pasal 70 RUU PDP.
"Dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 dilakukan oleh korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi," bunyi Pasal 70 Ayat 1 RUU PDP.
Pidana yang dapat dijatuhkan terhadap korporasi hanyalah pidana denda. Namun, pidana denda yang dijatuhkan kepada korporasi paling banyak 10 kali dari maksimal pidana denda yang diancamkan.
Selain itu, korporasi yang melakukan larangan penggunaan data pribadi dapat dijatuhi tujuh pidana tambahan. Salah satunya adalah pembayaran ganti kerugian, pencabutan izin, hingga pembubaran korporasi.
"Selain dijatuhi pidana denda sebagaimana dimaksud pada Ayat (2), Korporasi dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana; pembekuan seluruh atau sebagian usaha korporasi; pelarangan permanen melakukan perbuatan tertentu; penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi; melaksanakan kewajiban yang telah dilalaikan; pembayaran ganti kerugian; pencabutan izin; dan/atau pembubaran korporasi."
Anggota Komisi I DPR Dave Akbarshah Fikarno menanggapi, tak diaturnya sanksi pidana dan denda bagi lembaga negara yang melakukan pelanggaran perlindungan data pribadi di RUU PDP. Ia menjelaskan, sanksi tersebut akan diatur dalam aturan turunan undang-undang tersebut.
"Nanti kan diatur, ada Perpresnya, ada Kepmennya (Keputusan Menteri), itu kan nanti semua diatur secara detail. Makanya dalam waktu satu tahun, dua tahun ke depan ini sudah harus rampung semua aturannya," ujar Dave di Gedung Nusantara III, Kompleks Parlemen, Jakarta, Selasa.
Menurutnya, RUU PDP tinggal disahkan dalam rapat paripurna DPR. Namun, ia mengatakan bahwa hal tersebut masih tergantung rapat badan musyawarah (Bamus) DPR.
"Dalam Paripurna berikutnya (RUU PDP disahkan menjadi undang-undang). Jadwalnya kapan? Tergantung Bamus," ujar Dave.
Wakil Ketua DPR Abdul Muhaimin Iskandar mengatakan, keamanan data pribadi harus menjadi perhatian khusus pemerintah. Mengingat dalam beberapa waktu terakhir, data pribadi masyarakat bocor dan diperjualbelikan di forum daring.
"Saya kira secepat mungkin paripurna terdekat, tapi kita lihat agenda berapa buah, saya kira prioritas," ujar Muhaimin di Gedung Nusantara, Kompleks Parlemen, Jakarta, Selasa.
Muhaimin sendiri mengaku menjadi salah satu korban dari kebocoran data tersebut. Nomor teleponnya diketahui dibocorkan oleh peretas, dan membuatnya dihubungi oleh orang-orang yang tak jelas identitasnya.
"Ini darurat ya, sebagai orang yang menjadi korban dibuka ini berarti pertahanan nasional kita terganggu. Saya kira pemerintah, apakah Kominfo atau Menkopolhukam atau kepolisian harus bahu-membahu ini, perang ini pasukan harus disiapkan, tempur ini, jangan leha-leha," ujar Muhaimin.