Isi UU Perlindungan Data Pribadi: Larangan, Sanksi hingga Jenis Data

Merdeka.com - Merdeka.com - Dewan Perwalikan Rakyat (DPR) dan Pemerintah telah mengesahkan Rancangan Undang-undang perlindungan data pribadi (RUU PDP) menjadi Undang-undang (UU).

Lalu, apa saja isi dari UU PDP yang merupakan payung hukum pertama di Indonesia terkait perlindungan data pribadi? Simak informasi berikut ini.

Naskah final RUU PDP terdiri atas 371 daftar inventarisasi masalah (DIM) dan menghasilkan 16 bab serta 76 pasal. Jumlah pasal di RUU PDP ini bertambah 4 pasal dari usulan awal pemerintah pada akhir 2019, yakni sebanyak 72 pasal.

4 Larangan dan Sanksi di UU PDP

UU Perlindungan Data Pribadi atau UU PDP merupakan payung hukum pertama di Indonesia terkait perlindungan data pribadi. Dalam salinan draf RUU PDP yang baru disahkan pemerintah dan DPR RI, Selasa (20/9), ada empat hal yang dilarang terkait data menurut UU PDP.

Berikut ini 4 hal yang dilarang terkait pengelolaan data pribadi menurut UU PDP yang tertuang pada pasal 65, yaitu:

1. Larangan memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi.

2. Larangan mengungkapkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi.

3. Larangan menggunakan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi.

4. Larangan membuat data pribadi palsu atau memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain.

Berikut ini sanksi bagi yang melanggar keempat hal di atas menurut UU PDP yang diatur dalam pasal 67 dan pasal 68, yakni;

1. Sanksi bagi pelaku yang memperoleh atau mengumpulkan data pribadi yang bukan miliknya adalah pidana penjara paling lama 5 tahun dan/atau pidana denda paling banyak Rp 5 miliar.

2. Sanksi bagi pelaku yang mengungkapkan data pribadi yang bukan miliknya adalah pidana penjara paling lama 4 tahun dan/atau pidana denda paling banyak Rp 4 miliar.

3. Sanksi bagi pelaku yang menggunakan data pribadi yang bukan miliknya adalah pidana penjara paling lama 5 tahun dan/atau pidana denda paling banyak Rp 5 miliar.

4. Sanksi bagi pelaku yang memalsukan data pribadi adalah pidana penjara paling lama 6 tahun dan/atau pidana denda paling banyak Rp 6 miliar. (Pasal 68 UU PDP).

Jenis Data Pribadi Menurut UU Perlindungan Data Pribadi

UU Perlindungan Data Pribadi (UU PDP) juga mengatur apa saja yang termasuk jenis-jenis data pribadi. Menurut salinan draf RUU PDP yang baru disahkan, Selasa (20/9/2022), ada dua jenis data pribadi yang diatur dalam Pasal 4 UU PDP.

Berikut ini jenis-jenis data pribadi menurut UU Perlindungan Data Pribadi, yaitu:

Data pribadi yang bersifat spesifik:

• Data dan informasi kesehatan

• Data biometrik

• Data genetika

• Catatan kejahatan

• data anak

• Data keuangan pribadi

• Data lainnya sesuai dengan ketentuan peraturan perundang-undangan.

Data pribadi yang bersifat umum:

• Nama lengkap

• Jenis kelamin

• Kewarganegaraan

• Agama

• Status perkawinan

• Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang.

Kritik LBH

Pengacara LBH Jakarta Alif Fauzi Nurwidiastomo mengatakan pengesahan UU PDP seharusnya tidak ditempatkan pada Lembaga/Badan Perlindungan Data Pribadi berada di bawah Presiden/Kementerian.

"Karena berpotensi tarik menarik penyalahgunaan untuk kepentingan politik atau oleh penguasa," kata Alif Fauzi Nurwidiastomo dalam keterangannya.

Alif menyebut, rekam jejak kebocoran data pribadi di Indonesia terjadi beberapa kali, bahkan terjadi pula pada korporasi pelat merah.

Beberapa di antaranya seperti kebocoran data daftar pemilih tetap (DPT) Pemilu tahun 2014 sebanyak 2,3 Juta, aplikasi eHAC, penyebarluasan data pribadi konsumen pinjaman online. Kemudian kasus terakhir adalah kebocoran data pelanggan PLN, IndiHome dan SIM Card Jasa Telekomunikasi hingga beberapa data pribadi pejabat pemerintahan.

Adapun pandangan LBH Jakarta terhadap persoalan tersebut, berikut adalah tiga pandangan LBH Jakarta terkait UU PDP.

Pertama, ketika Lembaga/Badan Otoritas perlindungan data pribadi dibentuk melalui UU PDP diharapkan kedudukannya tidak ditempatkan berada di bawah Presiden langsung atau Kementerian dalam struktur ketatanegaraan.

Alif Fauzi mengatakan, Lembaga Perlindungan Data Pribadi dalam RUU PDP itu sendiri, ditetapkan oleh Presiden dan bertanggung jawab kepada Presiden sebagaimana Pasal 58 ayat (3) dan (4) RUU PDP dan akan diatur lebih lanjut dalam Peraturan Pemerintah (PP).

"Desain kelembagaan yang seperti itu belum memberikan jaminan atas kepastian bahwa wewenang yang akan dimiliki dapat melindungi subjek data terbebas dari tarik menarik kepentingan politik dan pengaruh kekuasaan," ucapnya.

Untuk itu, perlu keterlibatan semua lembaga pemerintahan dalam mengawasi program pemindaian, didukung dengan adanya badan pengawasan sipil yang independen, menjadi hal yang esensial dalam menjamin efektivitas perlindungan hukum bagi para subjek data.

"Institusi pengawasan internal yang tidak didukung dengan independensi, telah terbukti pula tidak efektif dalam menghadapi praktik pemindaian yang tidak sah dan sewenang-wenang," ujar Alif.

Kemudian yang kedua, LBH beranggapan bahwa seharusnya struktur dan unsur dalam Lembaga/Badan Otoritas Perlindungan Data Pribadi harus diatur dan dimuat dalam UU PDP itu sendiri.

Hal itu merujuk seperti beberapa lembaga negara di luar konstitusi yang lahir atas sebuah peraturan perundang-undangan. Sebagai contoh ialah UU ORI, UU KPK, UU HAM, dan Komnas Perempuan yang dibentuk melalui Kepres No 181/1998.

Mengingat, kehadiran Lembaga/Badan Otoritas walaupun tidak tercantum dalam konstitusi secara langsung, namun memiliki kepentingan konstitusional (constitutional importance) yang dapat dilihat dalam Pasal 28G ayat (1) UUD NRI 1945.

Hal lain yang membuat Badan/Lembaga Otoritas Perlindungan Data Pribadi memiliki kepentingan konstitusional adalah karena perlindungan HAM merupakan materi yang harus ada dalam konstitusi setiap negara hukum yang salah satunya dicirikan dengan negara yang menghormati HAM.

Ketiga, LBH menilai dalam prosesnya, pembahasan UU PDP terkesan sangat tidak transparan. Mulai dari informasi RUU, tahapan proses pembentukan undang-undang, dan sejauh mana keterlibatan masyarakat dalam perumusan yang tidak dibuka secara berkala kepada publik.

"Terlihat, bahwa cepatnya pengesahan RUU PDP oleh pemerintah adalah akibat adanya beberapa kasus kebocoran data pribadi dan Permenkominfo 5/2020 tentang PSE Lingkup Privat," kata dia.

Permasalahan pembentukan undang-undang selama ini ada pada komitmen para pembentuk undang-undang untuk transparan dan pelibatan partisipasi publik yang bermakna (meaningful participation).

"Sehingga suatu undang-undang tidak disahkan secara ugal-ugalan mengingat isu PDP ini sangat kompleks," imbuhnya.

Praktik tersebut, lanjut dia, merupakan bentuk legislasi otokratis (autocratic legalism) ini merupakan bentuk pembangkangan terhadap amanat Pasal 1 ayat (3) dan Pasal 24 ayat (1) UUD NRI 1945.

Hal ini, seakan-akan coba diperbaiki oleh pemerintah dengan melakukan Revisi Kedua UU Pembentukan Peraturan Perundang-Undangan (UU PPP).

"Yang mana sebenarnya sebagai alat legitimasi atas adanya UU Cipta Kerja tanpa adanya Laporan Akhir Analisis dan Evaluasi terhadap penerapan UU PPP terlebih dahulu," tandasnya. [eko]