Jakarta, Ditjen Aptika – Undang-Undang Pelindungan Data Pribadi (UU PDP) mengamanatkan Presiden Joko Widodo untuk menunjuk pimpinan Lembaga Otoritas Pelindungan Data Pribadi, dengan mengacu pada praktik di negara lain yang memiliki lembaga sejenis.
Undang-Undang Nomor 27 Tahun 2022 tentang PDP merupakan sebuah keberhasilan dalam mewujudkan tata kelola data di Indonesia. Ada sejumlah hak dan tanggung jawab di ranah publik maupun swasta bagi penyelenggara data dan pengendali data dalam mengelola data pribadi.
“Kenapa bukan Kementerian Kominfo sebagai perumus aturannya? Karena dalam pembahasan (dengan DPR), praktik-praktik terbaik di negara lain, otoritas PDP itu badan yang independen, presiden yang berhak menetapkan,” kata Pelaksana tugas (Plt) Direktur Tata Kelola Aplikasi Informatika Kemkominfo, Teguh Arifiyadi, dalam webinar Tok Tok Kominfo bertema “Bahas PDP Yuk!” di Jakarta pada Kamis (20/10/2022).
Teguh menjelaskan, otoritas PDP bertugas untuk mengawasi pengelolaan data pribadi oleh penyelenggara sistem elektronik, baik pemerintah dan swasta agar memenuhi kriteria dalam UU PDP.
Berdasarkan tugas tersebut, maka otoritas PDP dituntut untuk independen, baik dari sisi badan hukum maupun fungsinya. “Lembaga Otoritas PDP bisa, misalnya ke Kominfo atau BSSN (Badan Sandi dan Siber Negara), bisa juga menjadi lembaga otoritas yang baru,” tutur Plt Direktur Teguh.
Menurutnya, dalam beberapa bulan ke depan Presiden Joko Widodo akan menetapkan Lembaga Otoritas PDP. Diakuinya pembahasan mengenai aturan terkait pimpinan dan anggota Otoritas PDP dinilai menjadi salah satu penyebab lamanya Rancangan Undang-Undang (RUU) PDP disahkan menjadi UU di DPR.
Lihat juga: Menkominfo: RUU PDP Disahkan, Kominfo Awasi Tata Kelola Data Pribadi PSE
Pada kesempatan itu, Teguh juga menerangkan dalam UU PDP ada dua jenis data yaitu data pribadi umum dan data pribadi spesifik. Data pribadi umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
Sedangkan data pribadi spesifik mencakup data dan informasi kesehatan, data biometrik, data genetika, kehidupan/orientasi seksual, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan. Dalam RUU PDP yang terdiri dari 16 bab dan 76 pasal terdapat empat unsur penting, yaitu pemilik data, pengguna data, arus data, dan keamanan data.
Secara gamblang, Teguh Arifiyadi mengungkapkan, begitu UU PDP diberlakukan, maka ada perbedaan besar dalam pengelolaan data pribadi dalam format digital. Antara lain, undang-undang ini mengatur mekanisme transfer data pribadi.
“Jika sebelumnya perpindahan data dapat dilakukan penyelenggara data semaunya saja, kini harus memenuhi persyaratan tertentu. Misalnya, harus mendapatkan izin dari pemilik data,” terangnya.
Menyangkut transfer data lintas negara, dia menambahkan, baru bisa dilakukan ketika negara yang menerima data memiliki peraturan yang setara UU No 27/2022 tentang PDP.
“Pengaturan perpindahan/pertukaran (transfer) data, ada tanggung renteng soal tanggung jawab antara penyelenggara data dan pengendali data,” jelasnya.
Satu hal, menurut Teguh, UU PDP ini memuat hak pemilik data pribadi alias subyek data. Mereka berhak mempertanyakan pada penyelenggara data soal tujuan dari pemindahan data. Publik juga diberikan hak untuk pemutakhiran data pribadi.
“Pemilik data juga berhak mendapatkan salinan data seperti rekam medis, atau transkrip transaksi keuangan yang kita lakukan,” tutur Plt Direktur Tata Kelola Aptika.
Yang pasti, menurut Teguh, salah satu yang menjadi kewajiban dari PSE lingkup pemerintah (publik) maupun swasta (privat) yakni memastikan di dalam sistemnya data pribadi dilindungi.
Bagaimana data pribadi disalahgunakan? Untuk itu, dijelaskan oleh Teguh, sesuai UU PDP Penyelenggara Sistem Elektronik (PSE) dapat diberikan berbagai jenis sanksi berupa sanksi administratif maupun sanksi pidana, kurungan, dan denda.
Lihat juga: Guru Besar Unair: Keamanan Data Menjadi Tanggung Jawab PSE
Untuk besaran sanksinya bervariasi dari tingkat kesalahan. Seperti mengungkapkan data pribadi bukan miliknya, mengumpulkan atau memperoleh data pribadi, menggunakan data pribadi, dan membuat data palsu/memalsukan data pribadi.
Hukuman pidananya mulai dari hukuman badan 4 tahun sampai 6 tahun pidana, maupun hukuman denda sebesar Rp4 miliar hingga Rp6 miliar setiap kejadian. Apabila korporasi yang melakukan kesalahan, maka dikenakan sanksi sebesar 2 persen dari total pendapatan tahunan.
“Secara perdata pemilik data atau subjek data pribadi juga berhak menggugat dan menerima ganti rugi ketika terjadi pelanggaran pemprosesan data pribadi,” pungkas Plt Direktur Tata Kelola Aptika Kominfo.
Menurut Teguh, dengan adanya UU PDP ini diharapkan segala persoalan mengenai kebocoran data publik bisa berangsur-angsur berhenti. Kedaulatan data Indonesia semakin terjamin. (kw)