Presiden Joko Widodo telah menandatangani UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) pada 17 Oktober 2022. Terdapat 76 pasal yang tercantum dalam UU PDP dan para pihak seperti pengendali data pribadi, prosesor data pribadi serta pihak lainnya yang terkait dengan pemrosesan data pribadi wajib menyesuaikan dengan ketentuan pemrosesan Data Pribadi berdasarkan UU paling lama 2 dua tahun sejak diundangkan.
UU PDP menjelaskan bahwa data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik. Kemudian, Pelindungan Data Pribadi adalah keseluruhan upaya untuk melindungi Data Pribadi dalam rangkaian pemrosesan Data Fribadi guna menjamin hak konstitusional subjek Data Pribadi.
Informasi adalah keterangan, pernyataan, gagasan, dan tanda-tanda yang mengandung nilai, makna, dan pesan, baik data, fakta, maupun penjelasannya yang dapat dilihat, didengar, dan dibaca yang disajikan dalam berbagai kemasan dan format sesuai dengan perkembangan teknologi informasi dan komunikasi secara elektronik ataupun nonelektronik. Pengendali Data Pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.
Baca Juga:
- APPDI: Pengesahan UU PDP Sebagai “Garis Awal” Pelindungan Data Pribadi
- UU PDP Diharapkan Mampu Lindungi Keamanan Data dalam Perubahan Geopolitik
- Tugas-tugas Lembaga Penyelenggara Pelindungan Data Pribadi dalam UU PDP
Prosesor Data Pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi. Subjek Data Pribadi adalah orang perseorangan yang pada dirinya melekat Data Pribadi.
Sebelumnya, Chairman Asosiasi Praktisi Pelindungan Data Indonesia (APPDI), Raditya Kosasih, menyampaikan pengesahan UU PDP baru merupakan tahap awal dari rezim pelindungan data di Indonesia. Terdapat aturan teknis hingga implementasi yang harus diperhatikan kedepannya agar UU PDP berfungsi menjaga kerahasiaan data masyarakat.
“Apakah UU PDP dapat menjamin? Ini pertanyaan menarik. Tapi sama-sama harus kawal implementasi ini ke depannya. Masih ada beberapa hal yang kita tunggu. UU PDP ini bukan garis finis, tapi garis awal baru. Misalnya, bagaimana pembentukan institusinya, aturannya seperti apa, panduan-panduan teknisnya, bagaimana kepatuhannya, serta bagaimana UU ini diterapkan?” jelas Raditya dalam Instagram Live Hukumonline “Mampukah UU PDP atasi Persoalan Keamanan Data di Indonesia?” pada Selasa (18/10).
Terdapat dua jenis data pribadi yaitu data bersifat umum dan spesifik. Data bersifat spesifik meliputi data dan informasi kesehatan; data biometrik; data genetika; catatan kejahatan; data anak; data kerangan pribadi; dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan. Data pribadi yang bersifat umum meliputi nama lengkap; jenis kelamin; agama; status perkawinan; dan/atau data pribadi yang dikombinasikan mengidentifikasi seseorang.
UU PDP juga menyatakan setiap orang dilarang secara melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi. (2) Setiap orang dilarang secara melawan hukum mengungkapkan data pribadi yang bukan miliknya; Setiap orang dilarang secara melawan hukum menggunakan data pribadi yang bukan miliknya; Setiap orang dilarang membuat data pribadi palsu atau memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian orang lain.
Terdapat juga sanksi administratif bagi pengendali data pribadi yang melakukan pelanggaran terhadap ketentuan Pasal 20 ayat (l), Pasal 21, Pasal 24, Pasal 25 ayat (2), Pasal 26 ayat (3), Pasal 27, Pasal 28, Pasal 29, Pasal 30, Pasal 31, Pasal 32 ayat (1), Pasal 33, Pasal 34 ayat (1), Pasal 35, Pasal 36, Pasal 37, Pasal 38, Pasal 39 ayat (1), Pasal 4O ayat (1), Pasal 41 ayat (1) dan ayat (3), Pasal 42 ayat (1), Pasal 43 ayat (1), Pasal 44 ayat (1), Pasal 45, Pasal 46 ayat (1) dan ayat (3), Pasal 47, Pasal 48 ayat (l), Pasal 49, Pasal 51 ayat (1) dan ayat (5), Pasal 52, Pasal 53 ayat (1), Pasal 55 ayat (2), dan Pasal 56 ayat (2) sampai dengan ayat (4) dikenai sanksi administratif.
Sanksi administratif berupa peringatan tertulis; penghentian sementara kegiatan pemrosesan data pribadi; penghapusan atau pemusnahan data pribadi; dan/atau denda administratif. Sanksi administratif berupa denda administratif sebagaimana dimaksud pada ayat (2) huruf d paling tinggi 2 (dua) persen dari perrdapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.
Pada sanksi pidana, setiap orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi sebagaimana dimaksud dalam Pasal 65 ayat (1) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah). Setiap orang yang dengan sengaja dan melawan hukum mengunglapkan data pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (2) dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp4.000.000.000,00 (empat miliar rupiah).
Setiap orang yang dengan senqaja dan melawan hukum menggunakan data pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (3) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah). Kemudian Pasal 68, setiap orang yang dengan sengaja membuat data pribadi palsu atau memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 66 dipidana dengan pidana penjara paling tama 6 (enam) tahun dan/atau pidana denda paling banyak Rp6.000.000.000,00 (enam miliar rupiah).
Selain dijatuhi pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 juga dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/ atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian. Pasal 70 (1), dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 dilakukan oleh Korporasi, pidana dapat dljatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau Korporasi.
(2) Pidana yang dapat dijatuhkan terhadap Korporasi hanya pidana denda. (3) Pidana denda yang dijatuhkan kepada korporasi paling banyak 10 (sepuluh) kali dari maksimal pidana denda yang diancamkan. (4) Selain dijatuhi pidana denda sebagaimana dimaksud pada ayat (2), Korporasi dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/ atau harta kekayaan yang diperoleh atau hasil dari tindak pidana; pembekuan seluruh atau sebagian usaha Korporasi; pelarangan permanen melakukan perbuatan tertentu; penutupan seluruh atau sebagian tempat usaha dan/ atau kegiatan Korporasi; melaksanakan kewajiban yang telah dilalaikan; pembayaran ganti kerugian; pencabutan izin; dan/atau h. pembubaran Korporasi.