Asosiasi Penyelenggara Jasa Telekomunikasi Indonesia (ATSI) mengusulkan enam hal untuk bahan pertimbangan pembahasan rancangan Undang-undang Perlindungan Data Pribadi (RUU PDP). Salah satunya, tidak mengatur tentang sanksi.
Alasannya, ATSI khawatir tumpang tindih dengan UU Informasi dan Transaksi Elektronik (UU ITE). “Agak dilematis,” kata Sekretaris Jenderal ATSI Marwan O Baasir saat Rapat Dengar Pendapat (RDP) dengan Komisi I DPR, Kamis (9/7). "Usulan kami hanya sanksi administratif."
Pada Pasal 30 UU ITE ayat 1 hingga 3 misalnya, melarang setiap orang dengan sengaja dan tanpa hak mengakses komputer dan/atau sistem elektronik orang lain, untuk memperoleh informasi maupun menjebol sistem pengamanan.
(Baca: Bila UU PDP Dirilis, Tokopedia-Bhinneka Bisa Didenda jika Data Bocor)
Bagi yang melanggar Pasal 30 ayat 1, akan didenda Rp 600 juta. Sedangkan yang melanggar Pasal 30 ayat 2 dan 3 didenda Rp 700 juta dan Rp 800 juta. Ini diatur dalam Pasal 46.
Jika pelanggaran itu merugikan orang lain, maka pelaku bisa dipidana penjara paling lama 12 tahun dan/atau denda maksimal Rp 12 miliar. (Baca: Peluang Lembaga Negara Disanksi Ratusan Miliar Rupiah jika Data Bocor)
Sedangkan pada Pasal 42 dalam draf RUU PDP, pelaku yang mencuri dan memalsukan data pribadi dengan tujuan kejahatan, terancam pidana paling lama satu tahun atau denda maksimal Rp 300 juta.
Kemudian, Pasal 43 disebutkan bahwa pidana pokok ditingkatkan dendanya menjadi maksimal Rp 1 miliar jika pelanggaran dilakukan suatu badan usaha. Pada Pasal 12 juga disebutkan, pemilik data pribadi berhak menuntut dan menerima ganti rugi atas pelanggaran tersebut.
ATSI ingin pasal sanksi pada RUU PDP dihapus, karena sudah diatur pada UU ITE. Asosiasi juga meminta agar besaran denda dikurangi guna menjaga keberlangsungan industri lokal.
(Baca: Kemendikbud Bantah 1,3 Juta Data Pegawainya Bocor)
Marwan juga berharap, RUU PDP mengadopsi ketentuan-ketentuan dalam General Data Protection Regulation (GDPR) yang dikeluarkan oleh Uni Eropa pada 2016 lalu. Salah satunya membatasi hak pemilik data.
Dalam GDPR, hak-hak pemilik data pribadi dapat dikecualikan atau tidak berlaku terkait dua hal. Pertama, terdapat kontrak antara pemilik dan pengendali data pribadi. Kedua, pengendali data pribadi mendapatkan persetujuan dari pemilik.
"Tidak adanya batasan hak pemilik data pribadi berpotensi menghambat bisnis penyelenggaraan telekomunikasi. Mereka berperan penting dalam mendukung digitalisasi," ujar Marwan.
Empat usulan lainnya yakni terkait definisi, bentuk persetujuan, transfer data ke luar negeri, dan ketentuan peralihan. (Baca: RUU Perlindungan Data Pribadi Memuat Lima Pokok Aturan)
Namun, Ketua Cyber Law Center Fakultas Hukum Universitas Padjajaran (Unpad) Sinta Dewi Rosadi sebelumnya mengatakan, regulasi yang ada saat ini hanya mengatur sanksi administrasi jika ada kebocoran data. “Kalau di RUU PDP ada denda dan pidana kalau itu sampai ada indikasi pidananya,” kata dia kepada Katadata.co.id, pada Mei lalu (13/5).
Jika merujuk pada Pasal 30 UU ITE, memang hanya disebutkan pelanggaran terkait mengakses komputer dan/atau sistem elektronik orang lain. Aturan ini belum secara spesifik mengatur tentang kebocoran data.
Pada draf RUU PDP, Pihak yang memalsukan ataupun menjual data pengguna ke pihak lain juga bisa disanksi denda dan pidana. “Di negara manapun kebocoran data pasti dendanya besar," ujar Sinta.
(Baca: Akademisi Ungkap Penyebab RI Rawan Zoomboombing hingga Kebocoran Data)