UU PDP Berlaku Tanpa Adanya Lembaga Pengawas, Ini Konsekuensinya
JAKARTA, investortrust.id - Undang-Undang No. 27/2022 tentang Perlindungan Data Pribadi (UU PDP) sudah berlaku mulai Kamis (17/10/2024) atau tepat dua tahun setelah diundangkan. Namun, aturan turunan dari UU PDP tak kunjung diterbitkan, termasuk yang mengatur lembaga pengawas PDP.
Menurut Chairman lembaga riset siber Communication and Information System Security Research Center (CISSReC) Pratama Persadha, pemerintah seperti setengah hati melaksanakan UU PDP. Pemerintah juga seperti acuh tak acuh dengan potensi pelanggaran karena tak kunjung menerbitkan aturan turunan dari undang-undang tersebut.
Termasuk di antaranya adalah peraturan presiden (perpres) yang akan mengatur lembaga pengawas PDP. Lembaga pengawas PDP yang independen merupakan amanat dari Pasal 58 UU PDP.
"Dibentuknya lembaga pengawas PDP akan dapat menurunkan jumlah kebocoran data secara signifikan. Karena setelah lembaga penyelenggara PDP tersebut dibentuk dan UU PDP sudah mulai berjalan, maka organisasi pemerintahan maupun komersial akan lebih berhati-hati dalam melakukan pengelolaan data pribadi karena adanya ancaman untuk mendapatkan sanksi baik sanksi administratif maupun sanksi pidana," katanya kepada Investortrust pada Jumat (18/10/2024).
Baca Juga
Ini Tanggapan Kemenkominfo Soal Aturan Turunan UU PDP yang Tak Kungjung Diterbitkan
Belum adanya lembaga tersebut, menurut Pratama, membuat perusahaan atau organisasi yang mengalami kebocoran data pribadi seolah-olah abai terhadap insiden keamanan siber. Salah satu contoh adalah mereka tidak mempublikasikan laporan terkait insiden tersebut. Padahal, hal tersebut melanggar Pasal 46 ayat 1 UU PDP.
"Dalam hal terjadi kegagalan pelindungan data pribadi, pengendali data pribadi wajib pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada subjek data pribadi dan lembaga," tuturnya.
Adapun, data apa yang perlu diungkapkan diatur dalam Pasal 46 ayat (2) UU PDP yaitu minimal terkait data pribadi yang terungkap. Kemudian kapan dan bagaimana Data Pribadi terungkap dan upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pengendali data pribadi.
Kemudian, dalam Pasal 47 UU PDP juga tercantum kewajiban pengendali data pribadi untuk membuktikan pemenuhan kewajiban dalam menerapkan prinsip-prinsip pelindungan data pribadi. Sehingga pengendali data pribadi yang mengalami insiden kebocoran data wajib memberikan klarifikasi hasil investigasi serta apa saja metode keamanan yang dipergunakannya.
Baca Juga
Selain itu, aspek hukum lainnya adalah ancaman hukum terhadap pelanggaran terhadap UU PDP seperti Pasal 57 ayat (2) yang mengatur tentang denda administratif paling tinggi sebesar 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran. Kemudian Pasal 65 ayat (1) yang mengatur pidana penjara paling lama empat tahun atau denda paling banyak Rp 5 milyar.
Terkait dengan lembaga pengawas PDP, sebelumnya Wakil Menteri Komunikasi dan Informatika (Wamenkominfo) Nezar Patria mengatakan lembaga tersebut masih disiapkan oleh kementerian/lembaga terkait. Dia menyebut untuk tahap awal tugas dan fungsi dari lembaga tersebut akan dijalankan oleh Kemenkominfo melalui unit kerja khusus.
"Untuk (masa transisi) itu kan butuh waktu ya. Jadi, dalam proses transisi ini mungkin akan ditangani oleh Kemenkominfo dahulu. Bentuknya mungkin ada satu unit (kerja) di Kemenkominfo untuk menangani ini," katanya ketika ditemui usai Peluncuran Prangko 150 Tahun Universal Postal Union dan Pembukaan Pameran Prangko (Penandatanganan Sampul Hari Pertama) di kantor Kemenkominfo, Jakarta Pusat, Senin (14/10/2024).
Lebih lanjut, Nezar mengatakan bentuk dari unit kerja yang akan menjalankan tugas dan fungsi sementara lembaga pengawas PDP masih dalam pembahasan. Namun, kemungkinan unit kerja tersebut akan setingkat dengan direktorat yang dikepalai oleh seorang direktur.
"Nah, ini kita lagi diskusikan apakah dia setara direktorat atau setara apa. Nah, itu transisi sampai dengan nanti jadi badannya," ungkapnya.