Jakarta, CMKP – Bulan Juli 2023 diwarnai dengan dugaan kasus kebocoran data penduduk Indonesia. Setidaknya terdapat 337 juta data kependudukan warga Indonesia yang diduga dijual di forum daring peretasan. Sebelumnya pada tahun 2021, terjadi kebocoran 279 juta data BPJS Kesehatan. Data tersebut mencakup nama, KTP, email, nomor telepon, hingga besaran gaji.
Hal tersebut tentu perlu menjadi perhatian tentang seberapa ketat perlindungan data pribadi rakyat Indonesia oleh pemerintah selaku otoritas tertinggi. Karena kasus kebocoran data bukanlah hal yang dapat disepelekan karena berpotensi digunakan untuk kejahatan, penipuan, maupun tindak pidana lain yang merugikan korban. Sayangnya, kasus kebocoran data tersebut terus terjadi dari tahun ke tahun tanpa adanya solusi pasti.
Indonesia sendiri sejatinya memiliki beberapa perangkat hukum yang menjadi payung bagi perlindungan data pribadi. Salah satunya adalah UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Bagaimana UU PDP mengatur dan memberikan sanksi terhadap peristiwa kebocoran data? Berikut penjelasannya.
Kebocoran Data sebagai Pelanggaran Administratif dan Perbuatan Pidana
Dalam UU PDP, kebocoran data pribadi termasuk sebagai pelanggaran administratif dan perbuatan pidana. UU PDP membagi pertanggungjawaban atas kebocoran data menjadi sanksi administratif dan sanksi pidana. Sanksi administratif dikenakan kepada pengendali data pribadi dan/atau prosesor data pribadi, sedangkan sanksi pidana dikenakan kepada setiap orang atau korporasi.
Pengendali data pribadi sendiri merupakan setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi. Sementara prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi.
Pelanggaran dan Sanksi Administratif
Jika terjadi kebocoran data pribadi, pengendali data pribadi dapat dianggap melakukan pelanggaran terhadap Pasal 39 UU PDP dan Pasal 46 UU PDP.
Pasal 39 UU PDP mewajibkan pengendali data pribadi untuk mencegah data pribadi diakses secara tidak sah. Pencegahan akses data pribadi secara tidak sah dilakukan dengan menggunakan sistem keamanan terhadap data pribadi yang diproses dan/atau memproses data pribadi menggunakan sistem elektronik yang andal, aman, dan bertanggung jawab.
Pengendali data pribadi dapat dikenakan Pasal 46 UU PDP dalam hal pengendali data pribadi lalai atau tidak menyampaikan peristiwa kegagalan pelindungan data pribadi sesuai ketentuan UU PDP.
Pasal 46 UU PDP mewajibkan pengendali data pribadi untuk menyampaikan pemberitahuan tertulis paling lambat 3 x 24 jam kepada subjek data pribadi (konsumen) dan lembaga pemerintah yang menyelenggarakan pelindungan data pribadi (Lembaga). Dalam hal tertentu, selain melakukan pemberitahuan tertulis kepada subjek data pribadi dan Lembaga, pengendali data pribadi juga wajib melakukan pemberitahuan tertulis kepada masyarakat mengenai kegagalan pelindungan data pribadi.
Pengenaan Sanksi Administratif
Sanksi administratif dalam UU PDP diatur dalam Pasal 57 ayat (2). Sanksi tersebut meliputi:
- Peringatan tertulis;
- Penghentian sementara kegiatan pemrosesan data pribadi;
- Penghapusan atau pemusnahan data pribadi; dan/atau
- Denda administratif (paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel anggaran).
Penjatuhan sanksi administratif nantinya diberikan oleh Lembaga.
BACA JUGA: Mengenal Data Crawling: Aktivitas Perayapan Data yang Belum Diatur Legalitasnya
Perbuatan Pidana
Terkait kebocoran data pribadi, UU PDP mengatur 2 jenis sanksi pidana. Pertama, kepada pelaku yang melakukan akses data pribadi secara tidak sah (umumnya dilakukan oleh peretas/hacker), yang dapat dikenakan Pasal 65 ayat (1) jo. Pasal 67 ayat (1) UU PDP. Kedua, kepada pihak yang memanfaatkan data pribadi hasil pengaksesan tidak sah (umumnya pihak yang membeli data pribadi dari peretas), dan dapat dikenakan Pasal 65 ayat (3) jo. Pasal 67 ayat (3) UU PDP.
Pasal ayat (1) jo. Pasal 67 ayat (1) UU PDP memberikan ancaman pidana penjara paling lama 5 tahun dan/atau denda paling banyak 5 miliar rupiah bagi setiap orang yang:
- memperoleh atau mengumpulkan data pribadi yang bukan miliknya;
- dengan maksud untuk menguntungkan diri sendiri atau orang lain;
- yang dapat mengakibatkan kerugian subjek data pribadi.
Pasal 65 ayat (3) jo. Pasal 67 ayat (3) UU PDP memberikan ancaman pidana penjara paling lama 5 tahun dan/atau denda paling banyak 5 miliar rupiah bagi setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya.
Referensi:
CNBC Indonesia, 2023. “34 Juta data Paspor Bocor, Dirjen Imigrasi: Masih Dugaan” [online] Tersedia dalam: https://www.cnbcindonesia.com/news/20230708130632-8-452460/34-juta-data-paspor-bocor-dirjen-imigrasi-masih-dugaan.
Detik, 2023. “337 Data Dukcapil Diduga Bocor, Pakar Beberkan Sederet Bahayanya” [online] Tersedia dalam: https://news.detik.com/berita/d-6828794/337-juta-data-dukcapil-diduga-bocor-pakar-beberkan-sederet-bahayanya.
UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi.