Asosiasi Penyelenggara Telekomunikasi Seluruh Indonesia (ATSI) mengusulkan agar rancangan Undang-undang Perlindungan Data Pribadi (RUU PDP) tidak mengatur sanksi. Namun, pakar informasi dan teknologi (IT) menilai RUU PDP tak akan efektif jika tidak memuat perihal hukuman.
“Kalau tidak ada sanksi, esensi UU PDP bukan melindungi rakyat, tetapi pemilik layanan,” kata Peneliti Keamanan Siber Communication Information System Security Research Center (CISSReC) Pratama Persadha kepada Katadata.co.id, Jumat (10/7).
ATSI beralasan bahwa sanksi terkait kebocoran data sudah diatur dalam UU Informasi dan Transaksi Elektronik (ITE). Namun, Pratama menilai bahwa UU ITE belum mengatur secara spesifik terkait penyalahgunaan data, khususnya oleh perusahaan.
(Baca: Asosiasi Operator Seluler Usul UU Perlindungan Data Tak Atur Sanksi)
Tanpa aturan terkait sanksi, UU PDP sama seperti Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE). "UU ITE tidak bisa digunakan untuk menindak PSTE yang lalai," kata Pratama.
Pada Pasal 30 UU ITE ayat 1 hingga 3 misalnya, melarang setiap orang dengan sengaja dan tanpa hak mengakses komputer dan/atau sistem elektronik orang lain, untuk memperoleh informasi maupun menjebol sistem pengamanan.
Bagi yang melanggar Pasal 30 ayat 1, akan didenda Rp 600 juta. Sedangkan yang melanggar Pasal 30 ayat 2 dan 3 didenda Rp 700 juta dan Rp 800 juta. Ini diatur dalam Pasal 46.
Jika pelanggaran itu merugikan orang lain, maka pelaku bisa dipidana penjara paling lama 12 tahun dan/atau denda maksimal Rp 12 miliar. (Baca: Telkomsel Lapor Polisi soal Dugaan Penyalahgunaan Data Denny Siregar)
Sedangkan pada Pasal 42 dalam draf RUU PDP, pelaku yang mencuri dan memalsukan data pribadi dengan tujuan kejahatan, terancam pidana paling lama setahun atau denda maksimal Rp 300 juta.
Kemudian, Pasal 43 disebutkan bahwa pidana pokok ditingkatkan dendanya menjadi maksimal Rp 1 miliar jika pelanggaran dilakukan suatu badan usaha. Pada Pasal 12 juga disebutkan, pemilik data pribadi berhak menuntut dan menerima ganti rugi atas pelanggaran tersebut.
(Baca: Penantian Panjang Beleid Baru Penambal Kebocoran Data Pribadi)
Jika merujuk pada Pasal 30 UU ITE, memang hanya disebutkan pelanggaran terkait mengakses komputer dan/atau sistem elektronik orang lain. Aturan ini belum secara spesifik mengatur tentang kebocoran data.
"Harus ada konsekuensi atas kelalaian para PSTE. Jangan sampai, setiap ada kejadian data bocor dan peretasan, PSTE tidak mendapatkan ganjaran," kata Pratama.
Hal senada juga sempat disampaikan oleh Ketua Cyber Law Center Fakultas Hukum Universitas Padjajaran (Unpad) Sinta Dewi Rosadi. Ia menilai, regulasi yang ada saat ini hanya mengatur sanksi administrasi jika ada kebocoran data.
“Kalau di RUU PDP ada denda dan pidana kalau itu sampai ada indikasi pidananya,” kata dia kepada Katadata.co.id, pada Mei lalu (13/5). (Baca: Dicari Anak STM di Twitter, Siapa Denny Siregar?)
Pada draf RUU PDP, Pihak yang memalsukan ataupun menjual data pengguna ke pihak lain juga bisa disanksi denda dan pidana. “Di negara manapun kebocoran data pasti dendanya besar," ujar Sinta.
Baru-baru ini, kasus kebocoran data pribadi Denny Siregar juga melibatkan salah satu perusahaan telekomunikasi, Telkomsel. Perusahaan milik negara ini pun sudah melapor ke kepolisian terkait dugaan penyalahgunaan influencer politik itu.
Sebelumnya, kartu SIM (simcard) Wartawan Senior Ilham Bintang dibobol hingga dana yang ada di rekeningnya habis. Pakar IT menilai, pegawai Indosat Ooredoo lalai sehingga pelaku bisa membobol nomor ponsel itu.
(Baca: Indosat & Ahli IT Respons Pembobolan Kartu SIM hingga Rekening Dikuras)