Sanksi Pidana di RUU Perlindungan Data Pribadi Diminta Dihapus

KOMPAS.com - Asosiasi Penyelenggara Telekomunikasi Seluruh Indonesia (ATSI) mengusulkan agar sanksi pidana pada rancangan undang-undang perlindungan data pribadi (RUU PDP) dihapus, agar tidak tumpang tindih dengan peraturan undang-undang yang sudah ada.

Menurut Marwan O Baasir, Sekjen ATSI, berkaca dari General Data Protection Regulation (GDPR) Uni Eropa, ketentuan pidana belum dicantumkan. GDPR sendiri menjadi salah satu kiblat perumusan UU PDP.

Baca juga: ATSI Minta Ada Pengawas Independen UU PDP di Luar Pemerintah

"Agak dilematis karena aturan di indonesia ada UU ITE (Informasi dan Transaksi Elektronik), ada aturan pidana korporasi Perma No. 13 Tahun 2016," jelas Marwan dalam Rapat Dengar Pendapat bersama anggota DPR Komisi I yang disiarkan live di situs DPR, Kamis (9/7/2020).

ATSI juga mengusulkan sanksi denda agar lebih diringankan demi menjaga keberlangsungan industri lokal.

Senada dengan ATSI, koordinator Koalisi Advokasi Pelindungan Data Pribadi, Wahyudi Djafar juga mengusulkan agar sanksi pidana di UU PDP dihapus karena dinilai tumpang tindih dengan aturan yang sudah ada.

"Jadi, misalnya ketentuan terkait ilegal akses itu sudah ada dalam ketentuan pasal 30 juncto pasal 46 UU ITE, ketentuan terkait mengubah data juga sudah diatur dalam ketentuan pasal 32 UU ITE juncto pasal 48 UU ITE," papar Wahyudi.

Baca juga: RUU PDP, Penyalahgunaan Data Pribadi Diancam Denda Rp 70 Miliar

Begitu pula dengan jual-beli data pribadi, bisa menggunakan ketentuan mengenai penggelapan di dalam KUHP.

"Kalau mengatur ketentaun pidana seperti yang diterapkan di Denmark, (RUU PDP) harus spesifik mengatur cyber-dependent crime yang belum diatur di UU ITE," imbuhnya.

Pengaturan level denda

Sepakat dengan Marwan, Wahyudi mengatakan agar UU PDP hanya mengatur ketentuan sanksi administratif dan denda administratif saja dengan perumusan yang lebih baik, termasuk bagaimana mekanisme penjatuhan denda.

Wahyudi mencontohkan, di GDPR ada dua level denda, yakni dua persen dan empat persen dari keuntungan kotor perusahaan. Besarannya tergantung pada ketentuan mana yang dilanggar.

Namun, model seperti ini, kata Wahyudi agak sulit diterapkan di Indonesia. Pria yang juga menjabat sebagai Deputi Direktur Riset ELSAM ini mengusulkan agar level denda dibagi berdasarkan skala perusahaan, apakah UMKM, perusahaan menengah, atau berskala besar.

Baca juga: RUU PDP, Ancaman Denda Puluhan Miliar Menanti Penjual dan Pemalsu Data Pribadi

"Jadi rujukannya bisa mengacu pada UU UMKM dan juga UU Perseroan Terbatas, di sana ada gradasi perusahaan kecil, menengah, dan besar," jelas Wahyudi.

Sementara untuk sektor publik atau pemerintahan, menurut Shita Laksmi, Direktur Eksekutif Yayasan Tifa bisa diberikan sanksi berupa pemotongan anggaran apabila terbukti melanggar UU PDP. Skema tersebut juga diatur dalam GDPR Uni Eropa.

Kemudian untuk pemberi sanksi, Shita mengusulkan agar ada lembaga khusus yang menentukan sanksi atau merekomendasikan ke pengadilan.

Usulan lembaga pengawas independen

ATSI dan Koalisi Advokasi Pelindungan Data Pribadi juga mengusulkan adanya lembaga pengawas independen non-pemerintah.

Selain melakukan penegakan, lembaga tersebut bisa memberikan rekomendasi, nasihat otorisasi, investigasi, penegakan, koreksi, hingga penjatuhan sanksi. Untuk diketahui, ketentuan sanksi pidana dalam RUU PDP tercantum dalam pasal 61-69, Bab Ketentuan Pidana.

Pada pasal 61, disebutkan pihak yang mengumpulkan data pribadi bukan miliknya, digunakan untuk kepentingan diri sendiri atau orang lain secara melawan hukum atau mengakibatkan kerugian pemilik data pribadi, dikenai ancaman penjara hingga lima tahun.

Baca juga: Kasus Kebocoran Data di Indonesia dan Nasib UU Perlindungan Data Pribadi

Setiap orang yang secara sengaja mengungkap data pribadi bukan miliknya, diancam hukuman penjara maksimal dua tahun. Lalu orang yang sengaja dan melawan hukum menggunakan data pribadi bukan miliknya, akan dikenai ancaman penjara hingga tujuh tahun.

Terakhir, setiap orang yang sengaja memasang dan/atau mengoperasikan alat pemroses atau pengolah data visual di tempat umum, atau fasilitas pelayanan publik yang dapat mengancam atau melanggar pelindungan data pribadi, diancam penjara paling lama satu tahun.