 |
| Ilustrasi. RUU PDP akan memberi sanksi bagi lembaga yang lalai menjaga data pengguna. |
kabaris -- Rancangan Undang-undang Perlindungan Data Pribadi (RUU PDP) mewajibkan lembaga negara hingga korporasi multinasional untuk melindungi data pribadi warga atau penggunanya. Denda besar disiapkan bagi yang tak mampu menjalankannya.
Hal tersebut tertuang dalam draf terakhir Rancangan Undang-Undang Tentang Perlindungan Data Pribadi (RUU PDP) yang disepakati antara Komisi I DPR dengan Pemerintah (Tingkat I).
Draf itu didapat CNNIndonesia.com dari staf Komisi I dan mendapat konfirmasi dari Anggota Komisi I DPR Muhammad Farhan.
RUU PDP itu mengatur sejumlah kewajiban para pihak yang disebut sebagai Pengendali Data Pribadi setidaknya dalam lima pasal.
Apa itu Pengendali Data Pribadi? Definisinya ada pada Pasal 1 ayat (4) RUU tersebut; setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi.
RUU yang sama menjelaskan bahwa 'Setiap Orang' mencakup perseorangan atau korporasi; Badan Publik adalah lembaga eksekutif, legislatif, yudikatif, dan badan lain yang fungsi dan tugas pokoknya berkaitan dengan penyelenggaraan negara; Organisasi Internasional ialah organisasi yang diakui sebagai subjek hukum internasional dan mempunyai kapasitas untuk membuat perjanjian internasional.
Dengan kata lain, semua pihak yang mengelola data pribadi, mulai dari lembaga negara seperti Kementerian Komunikasi dan Informatika, operator seluler, hingga perusahaan asing seperti Google, terikat aturan ini.
Apa saja kewajiban para Pengendali Data pribadi?
Pertama, wajib melindungi dan memastikan keamanan Data Pribadi dengan melakukan penyusunan dan penerapan langkah teknis operasional (Pasal 35 RUU PDP).
Kedua, wajib menjaga kerahasiaan Data Pribadi dalam pemrosesannya (Pasal 36).
Ketiga, wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi (Pasal 37).
Keempat, wajib melindungi Data Pribadi dari pemrosesan yang tidak sah (Pasal 38).
Kelima, wajib mencegah Data Pribadi diakses secara tidak sah (Pasal 39).
Apa sanksinya jika tak menaati kewajiban itu? RUU PDP mencantumkan konsekuensinya pada Pasal 57, yakni sanksi administratif.
Sanksi administratif itu berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan Data Pribadi, penghapusan atau pemusnahan Data Pribadi, dan/atau denda administratif.
Berapa besar denda administratifnya? Pasal 57 ayat (3) menyebut bahwa "Sanksi administratif berupa denda administratif sebagaimana dimaksud pada ayat (2) huruf d paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran".
Pihak yang berhak menjatuhkan sanksinya adalah lembaga PDP dengan rincian ketentuan lebih lanjut dalam Peraturan Pemerintah.
Diketahui, isu kebocoran data tengah santer diperbincangkan terutama karena aksi Bjorka. Ia membocorkan data pelanggan Tokopedia hingga surat-surat untuk Presiden Jokowi.
Kasus ini mendorong kesadaran publik soal pentingnya RUU PDP. Pengesahaannya sendiri saat ini masih menunggu jadwal rapat paripurna DPR.
"Kemarin di rapat tingkat I Komisi I DPR RI, pemerintah dan fraksi di Komisi I DPR RI telah menyepakati agar RUU PDP yang telah selesai dibahas di tingkat panja (panitia kerja) bisa ditindaklanjuti ke pengambilan keputusan tingkat II pada saat rapat paripurna DPR RI menjadi UU," ujar Menkominfo, Johnny G. Plate usai pertemuannya dengan Duta Besar China untuk Indonesia, di kediamannya di Jakarta, Kamis (8/9).
