REPUBLIKA.CO.ID, JAKARTA -- Data pribadi menjadi salah satu subjek yang paling rawan disalahgunakan di era digital saat ini. Oleh karena itu, perusahaan atau pihak-pihak tertentu yang melakukan kegiatan mengumpulkan dan mengelola data harus memastikan bahwa informasi pribadi tidak disalahgunakan. Pemilik data pribadi atau konsumen tidak boleh dirugikan akibat penyalahgunaan data. 

"Dalam konteks ini, privasi data yang berkaitan dengan perlindungan identitas pelanggan merupakan prioritas utama bagi semua perusahaan karena setiap kehilangan privasi data akan mengakibatkan masalah hukum dengan denda yang besar," kata Direktur Eksekutif Hukum Lembaga Penjamin Simpanan (LPS) Ary Zulfikar saat berbicara pada webinar dengan tema ‘RUU Perlindungan Data Pribadi, Siapkah Organisasi Menghadapinya?’ beberapa waktu lalu.

Menurut Ary, perusahaan memiliki tanggung jawab untuk menjamin penggunaan data pribadi. Sedangkan pemilik data atau konsumen memiliki hak atas perlindungan data pribadi. Di Indonesia, banyaknya kasus kebocoran data seperti kasus kebocoran 91 juta data pengguna Tokopedia mendorong pemerintah untuk segera mengesahkan RUU Perlindungan Data Pribadi (RUU PDP).

"Pertanyaannya adalah, apabila RUU PDP akan diundangkan dalam waktu dekat, siapkah siapkah kita, organisasi kita, atas hak dan tanggung jawab serta konsekuensi hukum dari pelaksanaan UU PDP?" kata Ary menambahkan.

Direktur Utama PT Data Privasi Indonesia (PT DPI) Yudianta Medio Simbolon menyampaikan, sebelum ada RUU PDP, peraturan tentang perlindungan data pribadi di Indonesia tidak ditemukan dalam satu peraturan yang komprehensif. Peraturan terkait data pribadi ditemukan terpencar di sejumlah sektor seperti berada di UU Perbankan, UU Perlindungan Konsumen, UU Telekomunikasi, UU Informasi dan Transaksi Elektonik dan sebagainya. 

Oleh karena itu, RUU PDP merupakan inisiatif untuk mewujudkan satu peraturan tentang perlindungan data pribadi yang komprehensif. RUU PDP terdiri dari 15 Bab dan 72 Pasal. Dalam Pasal 1 RUU PDP, data pribadi didefinisikan setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau non-elektronik.

"UU ini berlaku untuk setiap orang, badan publik, dan organisasi atau institusi yang melakukan perbuatan hukum sebagaimana diatur dalam RUU PDP. Sedangkan pihak-pihak yang diatur dalam RUU PDP adalah pemilik data pribadi, pengendali data pribadi, dan prosesor data pribadi," kata Yudianta. 

Dalam RUU PDP juga dijelaskan hak dan kewajiban yang dimiliki oleh tiga pihak tersebut. Pemilik data pribadi memiliki 11 hak, pengendali data pribadi ada 20 kewajiban, dan prosesor data pribadi tujuh kewajiban.

Selain itu, RUU PDP juga memiliki sejumlah larangan dalam penggunaan data pribadi sebagaimana diatur dalam RUU PDP dalam kentuan Pasal 51 sampai dengan Pasal 54. Di antaranya setiap orang dilarang memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain secara melawan hukum atau dapat mengakibatkan kerugian pemilik data pribadi, dilarang secara melawan hukum mengungkapkan data pribadi yang bukan miliknya secara melawan hukum mengungkapkan data pribadi yang bukan miliknya, dilarang secara melawan hukum menggunakan data pribadi yang bukan miliknya.

"Kemudian, setiap orang dilarang memalsukan data pribadi dengan maksud menguntungkan diri sendiri dan mengakibatkan kerugian bagi orang lain, setiap orang juga dilarang menjual dan membeli data pribadi," ujar Yudianta.

Direktur PT DPI Defrizal Djamaris menyatakan, RUU PDP sudah termasuk peraturan yang ideal karena mencakup perlindungan data elektronik dan nonelektronik. "Sebab kalau dilihat, di UU ITE dan Permen Kominfo masih parsial karena mengatur perlindungan data pribadi hanya untuk elektronik saja," kata Defrizal.

RUU PDP ini juga telah mengatur sejumlah sanksi administratif, ketentuan pidana dan denda bagi pihak-pihak yang melanggar aturan. Menurut Defrizal sanksi yang diatur cukup berat.

"Sanksi ini cukup besar tapi mungkin untuk efek jera. Misalnya pada Pasal 64 ayat (1) setiap orang yang dengan sengaja memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain atau yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 54 ayat 1 dipidana dengan pidana penjara paling lama 6 tahun atau pidana denda paling banyak Rp 60 miliar rupiah,” kata Defrizal.

Bahkan, dalam RUU PDP ini, memungkinkan sebuah perusahaan mendapatkan denda paling banyak tiga kali dari maksimal pidana denda yang diancamkan. Selain dijatuhi pidana denda, perusahaan juga dapat dijatuhi pidana tambahan berupa pembekuan perusahaan, pelarangan permanen melakukan tindakan tertentu, penutupan seluruh atau sebagian kegiatan perusahaan, pembayaran ganti rugi, dan sebagainya. "Karena itu, perusahaan-perusahaan harus benar hati-hati. Meski hanya karena kelalaian itu akan merugikan perusahaan," ujarnya.

Sementara itu, Adjunct Professor University of Indonesia dan International Islamic University of Malaysia, Prof Abu Bakar Munir, menyebut isi RUU PDP yang dimiliki Indonesia sudah sesuai dengan standar EU General Data Protection Regulation (EU GDPR). Munir menjelaskan, EU GDPR merupakan peraturan perlindungan data pribadi internasional yang dianggap memiliki standar tinggi dan sering dijadikan pedoman oleh sejumlah negara di dunia.  

RUU PDP Indonesia memiliki sejumlah kesamaan dengan EU GDPR. Kesamaan itu seperti memiliki prinsip melindungi data pribadi, menjamin hak privasi, jika ada kebocoran data pribadi perusahaan wajib melaporkan kepada pemilik data pribadi.

"Berbeda dengan Malaysia dan Singapura, sektor publik atau pemerintah dikecualikan dalam UU Perlindungan Data Pribadi. Karena itu saya bilang Malaysia dan Singapura tidak cocok dengan standar internasional karena tidak mencakup semua. Dan saya menghargai RUU PDP Indonesia juga tidak memberikan pengecualian untuk sektor publik," kata Munir. 

Ikuti Whatsapp Channel Republika