Bisnis.com, JAKARTA - Kementerian Komunikasi dan Informatika (Kominfo) mengakui sanksi adminstratif atas pelanggaran Undang-Undang Pelindungan Data Pribadi (UU PDP) untuk pihak swasta sangat tegas.
Perlu diketahui, sanksi pelanggaran dalam UU PDP Nomor 27 Tahun 2022 akan mulai berlaku pada 17 Oktober 2024. UU PDP sendiri diundangkan pada 17 Oktober 2022 yang diteken Presiden Joko Widodo (Jokowi), dan wajib menyesuaikan ketentuan pemrosesan data pribadi paling lama dua tahun sejak UU ini diundangkan.
Direktur Pengendalian Aplikasi Informatika Kemenkominfo Teguh Arifiyadi menjelaskan bahwa UU PDP tidak hanya berlaku untuk penyelenggara swasta, melainkan juga pemerintah, termasuk dalam hal pengenaan sanksi.
“Saya harus jujur, di UU PDP itu mengatur sanksi sangat tegas untuk swasta. Kalau dia melanggar prinsip-prinsip PDP, mereka kena denda maksimum 2% dari penerimaan tahunan dengan variabel-variabel tertentu,” kata Teguh dalam agenda Ngopi Bareng di Kemenkominfo, Jakarta, Jumat (28/6/2024).
Namun, lanjut Teguh, terdapat 10 variabel pengurang pelanggaran UU PDP, tergantung kepatuhan dan banyaknya data yang bocor.
“Tetapi di satu sisi, UU PDP belum mengatur tegas bagaimana kalau pelanggaran itu dilakukan oleh pemerintah. Nah, itu perlu ada Peraturan Pemerintah tersendiri, jadi belum diatur,” tuturnya.
Menurut Teguh, turunan UU PDP dalam Peraturan Pemerintah perlu mengatur ketentuan sanksi pelanggaran yang dilakukan pemerintah.
“[Sanksinya] apakah pemerintah kalau misalnya ada insiden, pejabat harus diganti? Apakah misalnya anggarannya dikurangi dan seterusnya. Itu belum ada. Terus terang belum ada [sanksi] memang. Tetapi itu bukan berarti tidak dipikirkan,” ujarnya.
Namun, Teguh memastikan bahwa sanksi administratif atas pelanggaran UU PDP untuk pemerintah bakal disiapkan dalam satu rumusan PP tersendiri. Pasalnya, saat ini Peraturan Pemerintah (PP) yang disiapkan lebih banyak menekankan ke penyelenggara swasta.
Kemenkominfo menjelaskan bahwa terdapat dua opsi yang tengah digodok untuk merumuskan turunan UU PDP dalam RPP terkait pengenaan sanksi, yakni sanksi untuk pemerintah masuk ke dalam RPP yang eksisting, atau dibuat dalam RPP yang terpisah.
Sebab, Teguh menuturkan, mayoritas negara yang mengatur terkait PDP hanya ditujukan untuk penyelenggara swasta, bukan untuk pemerintah.
“Tetapi Indonesia, waktu UU ini dirumuskan kita sepakat bahwa yang harus comply jangan cuma swasta dong, justru pemerintah yang paling banyak mengelola data, [seperti] kesehatan, telekomunikasi, dan lain-lain,” terangnya.
Di tengah UU PDP yang akan berlaku pada Oktober 2024, Teguh mengaku bahwa masih ditemukan puluhan. Kasus terkait data pribadi.
“Yang pasti, semenjak UU PPD disahkan masih terjadi puluhan kasus insiden data pribadi,” ungkapnya.
Dalam UU PDP dijelaskan bahwa data pribadi terdiri atas data pribadi yang bersifat spesifik dan umum. Untuk data pribadi yang bersifat spesifik, meliputi data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi, dan atau data lainnya yang sesuai dengan ketentuan peraturan perundang-undangan.
Sedangkan untuk data pribadi yang bersifat umum terdiri dari nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
