UU PDP Belum Atur Sanksi Pelanggaran Data Pribadi oleh Pemerintah, Lantas Bagaimana?
JAKARTA, investortrust.id - Undang-Undang No. 27/2022 tentang Perlindungan Data Pribadi (UU PDP) yang mulai berlaku sejak Kamis (17/10/2024) ternyata belum mengatur pengendalian data pribadi oleh pemerintah, termasuk sanksi yang dijatuhkan apabila terjadi pelanggaran.
Menurut Chairman lembaga riset siber Communication and Information System Security Research Center (CISSReC) Pratama Persadha, UU PDP hanya mengatur pengendali data pribadi dari sektor swasta. Hal ini tecermin dari sanksi yang dijatuhkan kepada pengendali data pribadi apabila terjadi pelanggaran seperti kebocoran data pribadi.
Mengacu pada Pasal 57 ayat (2) UU PDP, sanksi yang dijatuhkan kepada pengendali data pribadi yang melanggar adalah denda administratif paling tinggi sebesar 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran. Kemudian Pasal 65 ayat (1) mengatur pidana penjara paling lama empat tahun atau denda paling banyak Rp 5 miliar.
Baca Juga
UU PDP Berlaku Tanpa Adanya Lembaga Pengawas, Ini Konsekuensinya
"Berlaku untuk sektor privat karena sektor publik atau pemerintahan tidak memiliki penghasilan sehingga tidak dapat dikenakan denda. Jika ada penghasilan pun hanya seolah-olah berpindah dari kantong kiri ke kantong kanan karena denda dari institusi pemerintah yang mengalami insiden akan kembali lagi ke negara," katanya kepada Investortrust pada Jumat (18/10/2024).
Pratama menyebut kemungkinan sanksi yang dapat dijatuhkan ke sektor publik atau pemerintahan adalah sanksi kepada pejabat yang mengelola sistem informasi. Sebagai contoh adalah demosi atau pemberhentian dengan tidak hormat.
"Misalkan kepala pusdatin (pusat data dan informasi) dari masing-masing institusi, bisa berupa demosi atau pemberhentian dengan tidak hormat. Sehingga diharapkan masing-masing pejabat pengelola sistem informasi akan benar-benar memastikan kehandalan serta keamanan dari sistem informasi yang dikelolanya," tuturnya.
Lebih lanjut, Pratama menilai sanksi khusus untuk pelanggaran data pribadi di sektor publik atau pemerintahan sangar diperlukan. Terlebih saat ini pemerintah sedang getol mengumpulkan berbagai data pemerintahan di Satu Data Indonesia serta pembuatan Superapps INA Digital yang nantinya akan menggantikan semua aplikasi milik pemerintahan yang sudah ada sebelumnya.
Baca Juga
Ini Tanggapan Kemenkominfo Soal Aturan Turunan UU PDP yang Tak Kungjung Diterbitkan
Kemudian pemerintah juga menyimpan seluruh data di fasilitas Pusat Data Nasional Sementara (PDNS) yang salah satunya, yakni PDNS 2 sempat menjadi sasaran serangan ransomware.
"Hal ini merupakan hal yang sangat menyenangkan untuk para peretas karena mereka tidak perlu menyerang satu-persatu lembaga pemerintahan untuk mencuri data. Namun, cukup menyerang satu aplikasi atau satu pusat data untuk bisa mendapatkan hampir seluruh data pribadi milik masyarakat," ujarnya.
Sebelumnya, Direktur Pengendalian Aplikasi Informatika (Aptika) Kementerian Komunikasi dan Informatika (Kemenkominfo) Teguh Arifiyadi mengatakan sanksi tersebut nantinya akan diatur dalam peraturan turunan dari Undang-Undang No. 27/2022 tentang Perlindungan Data Pribadi (UU PDP). Peraturan turunan dari UU PDP berupa peraturan pemerintah (PP) yang saat ini tak kunjung rampung.
Baca Juga
Lembaga Pengawas PDP Bakal di Bawah Kemenkominfo, Bukan Lembaga Independen?
"Kita masih cari formula apa yang paling pas. Apakah mekanisme sanksi denda bisa dikenakan atau ada mekanisme lain? Misalnya, terkait dengan budgeting (anggaran), terkait dengan pergantian tanggung jawab dari pimpinan selaku ketua atau kepala lembaga," katanya ketika ditemui di Hotel Borobudur, Jakarta Pusat, Kamis (18/7/2024).
Selain sanksi yang disebutkan di atas, Teguh menyebut sanksi yang dikenakan ke lembaga pemerintah atau badan publik bisa saja lebih "lunak" dibandingkan dengan swasta. Hal tersebut merujuk pada aturan yang disiapkan di sejumlah negara untuk melindungi data pribadi.
"Jadi, pola-pola dari model sanksi ini juga kita pelajari di negara lain dan memang beda. Lebih banyak mengenakan sanksi administratif berupa rekomendasi maupun teguran, belum sampai sanksi denda," ungkapnya.