Kementerian Komunikasi dan Informatika (Kominfo) serta DPR sudah membahas Rancangan Undang-undang atau RUU Perlindungan Data Pribadi. Regulasi ini pun ditargetkan terbit sebelum acara G20 di Bali pada November.
Parlemen dan Kominfo pun menggelar penandatanganan naskah RUU Perlindungan Data Pribadi di Gedung DPR, Jakarta, Rabu (7/9). Berdasarkan draf yang diperoleh Katadata.co.id, regulasi ini terdiri dari 16 Bab dan 76 pasal.
Anggota Komisi I DPR pun mengonfirmasi kebenaran salah satu pasal yang ada di draf yang diperoleh oleh Katadata.co.id.
“UU pelindungan data pribadi ini tidak berlaku untuk pemrosesan data pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga,” demikian dikutip dari draf RUU Perlindungan Data Pribadi yang belum mendapatkan nomor regulasi, Kamis (8/9).
Rincian Bab di dalamnya yakni:
1. Ketentuan umum
Bab ini memuat pengertian data pribadi, pengendali data, prosesor data hingga subjek data pribadi
2. Asas
3. Jenis data pribadi
Bab ini menjelaskan bahwa data pribadi dibagi menjadi spesifik dan umum. Data spesifik yakni:
- Informasi kesehatan
- Biometrik, seperti sidik jari dan retina mata
- Genetika
- Catatan kejahatan
- Data anak
- Keuangan pribadi
- Dan lainnya sesuai dengan ketentuan peraturan perundang-undangan
Sedangkan data pribadi yang bersifat umum di antaranya:
- Nama lengkap
- Jenis kelamin
- Kewarganegaraan
- Agama
- Status perkawinan
- Data pribadi yang dikombinasikan untuk mengidentifikasi seseorang
4. Hak subjek data pribadi
Hak subjek data pribadi yakni:
- Mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data, serta akuntabilitas pihak yang meminta data
- Melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan data pribadi tentang dirinya sesuai dengan tujuan pemrosesan
- Mendapatkan akses dan memperoleh salinan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan
- Mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan
- Menarik kembali persetujuan pemrosesan data pribadi tentang dirinya yang telah diberikan kepada pengendali
- Mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis, termasuk pemrofilan yang menimbulkan akibat hukum atau berdampak signifikan pada subjek
- Keberatan atas pemrosesan secara otomatis
- Menunda atau membatasi pemrosesan data secara proporsional sesuai dengan tujuan pemrosesan
- Menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan
- Mendapatkan dan/atau menggunakan data pribadi tentang dirinya dari pengendali dalam bentuk yang sesuai dengan struktur dan/atau format yang lazim digunakan dan dapat dibaca oleh sistem elektronik
- Menggunakan dan mengirimkan data pribadi tentang dirinya ke pengendali data, sepanjang sistem yang digunakan dapat saling berkomunikasi secara aman sesuai UU Perlindungan Data Pribadi
5. Pemrosesan data pribadi
Pemrosesan data pribadi meliputi:
- Pemerolehan dan pengumpulan
- Pengolahan dan penganalisisan
- Penyimpanan
- Perbaikan dan pembaruan
- Penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan
- Penghapusan dan pemusnahan
Pemrosesan data pribadi tersebut dilakukan dengan prinsip pelindungan data pribadi. “Ketentuan lebih lanjut diatur dalam peraturan pemerintah,” demikian dikutip.
6. Kewajiban pengendali data pribadi dan prosesor data pribadi dalam pemrosesan data pribadi
- Pengendali data pribadi wajib menyempaikan informasi mengenai:
- Legalitas pemrosesan data pribadi
- Tujuan
- Jenis dan relevansi data pribadi yang akan diproses
- Jangka waktu retensi dokumen yang memuat data pribadi
- Rincian mengenai informasi yang dikumpulkan
- Jangka waktu pemrosesan data
- Hak subjek data
Jika ada perubahan informasi, maka pengendali wajib memberitahukan kepada subjek data sebelum berubah.
- Pengendali juga wajib menunjukkan bukti persetujuan yang telah diberikan oleh subjek data.
- Pengendali wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan data pribadi
- Pengendali wajib memberikan akses kepada subjek data terhadap data pribadi yang diproses paling lama 3 x 24 jam sejak permintaan akses
- Pengendali wajib memberikan akses kepada subjek data terhadap rekam jejak pemrosesan data paling lama 3 x 24 jam sejak permintaan akses
- Pengendali wajib melakukan penilaian dampak perlindungan data dalam hal pemrosesan data yang berisiko tinggi terhadap subjek, seperti memiliki akibat hukum
- Pengendali wajib melindungi dan memastikan keamanan data yang diproses, dengan cara:
- Menyusun dan menerapkan langkah teknis operasional
- Menentukan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko datanya
- Pengendali wajib menjaga kerahasiaan data pribadi
- Pengendali wajib mengawasi setiap pihak yang terlibat dalam pemrosesan data
- Pengendali wajib melindungi data dari pemrosesan yang tidak sah atau ilegal
- Pengendali wajib mencegah data pribadi diakses secara tidak sah
- Pengendali wajib menghentikan pemrosesan data jika subjek menarik kembali persetujuan
- Pengendali wajib menghentikan pemrosesan data paling lambat 3 x 24 jam setelah penarikan persetujuan
- Pengendali wajib memberitahukan kepada subjek jika gaga melindungi data mereka paling lambat 3 x 24 jam
- Pengendali juga wajib melaporkan pemrosesan data yang tidak sah kepada lembaga yang berwajib
“Informasi yang harus disampaikan yakni jenis data yang bocor, kapan dan bagaimana kebocoran data terjadi, serta upaya penanganannya,” demikian dikutip.
Ada lebih banyak kewajiban pengendali dalam memproses data pribadi, yang diatur dalam RUU Perlindungan Data Pribadi.
Sedangkan kewajiban prosesor data yakni:
- Pengendali data wajib menunjuk prosesor data pribadi yang memiliki kewajiban melakukan pemrosesan data
- Prosesor data wajib mendapatkan persetujuan tertulis dari pengendali data sebelum melibatkan prosesor data pribadi lain
7. Transfer data pribadi
Transfer data dilakukan di wilayah hukum Indonesia. Selain itu, wajib melindungi data yang ditransfer.
8. Sanksi administratif
Sanksi administratif berupa:
- Peringatan tertulis
- Penghentian sementara kegiatan pemrosesan data
- Penghapusan dan pemusnahan data
- Denda administratif
9. Kelembagaan
Lembaga perlindungan data pribadi menjadi perdebatan panjang antara Kominfo dan DPR. Keduanya pun sepakat bahwa komisi independen ini ditetapkan oleh presiden.
“Akan diatur dalam peraturan presiden,” demikian dikutip.
Tugas lembaga tersebut yakni:
- Merumuskan dan menetapkan kebijakan dan strategi pelindungan data pribadi
- Mengawasi penyelenggaran pelindungan data pribadi
- Menegakan hukum administratif terhadap pelanggaran UU
- Memfasilitasi penyelesaian sengketa di luar pengadilan
Ada lebih banyak tugas lembaga perlindungan data pribadi yang tertuang dalam RUU Pelindungan Data Pribadi.
10. Kerja sama internasional
11. Partisipasi masyarakat
12. Penyelesaian sengketa dan hukum acara
13. Larangan dalam penggunaan data pribadi
14. Ketentuan pidana
Orang atau badan yang melanggar ketentuan terkait penggunaan data pribadi dapat dikenakan sanksi berupa:
- Pidana lima tahun penjara dan denda Rp 5 miliar, jika dengan sengaja mengumpulkan data pribadi yang bukan miliknya dengan maksud menguntungkan diri sendiri atau orang lain, namun merugikan subjek
- Pidana empat tahun penjara dan denda Rp 4 miliar, jika dengan sengaja mengungkapkan data pribadi yang bukan miliknya
- Pidana lima tahun penjara dan denda Rp 5 miliar, jika menggunakan data yang bukan miliknya
- Pidana enam tahun penjara dan denda Rp 6 miliar, jika memalsukan data pribadi dengan tujuan menguntungkan diri sendiri atau orang lain yang merugikan orang lain
- Pidana denda kepada korporasi maksimal 10 kali dari maksimal pidana denda yang diancamkan
15. Ketentuan peralihan
“Penyesuaian dengan ketentuan pemrosesan data pribadi sebagaiama tertuang dalam UU Pelindungan Data Pribadi paling lama dua tahun sejak diundangkan,” demikian dikutip.
16. Ketentuan penutup