Beda Sanksi Menteri, Hacker, dan Perusahaan jika Data Bocor di UU PDP

Muhammad Zaenuddin|Katadata
Ilustrasi kebocoran data
Penulis: Lenny Septiani
18/9/2022, 14.15 WIB

Kementerian Komunikasi dan Informatika (Kominfo) serta DPR tengah mengebut pembahasan Rancangan Undang-undang alias RUU Perlindungan Data Pribadi. Apa sanksi bagi kementerian dan lembaga (K/L), individu seperti hacker, dan perusahaan jika terjadi data bocor?

Katadata.co.id memperoleh draf RUU Perlindungan Data Pribadi versi 7 September. Regulasi ini berisi 16 bab dan 76 pasal.

Sanksi bagi yang melanggar diatur pada Bab 8 dan 14. “Dalam hal tindak pidana dilakukan oleh korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi,” demikian bunyi pasal 70, Minggu (18/9).

Pidana yang dapat dijatuhkan terhadap korporasi hanya pidana denda. Besarannya, paling banyak 10 kali dari maksimal pidana denda yang diancamkan.

Selain dijatuhi pidana denda, korporasi dapat dijatuhi pidana tambahan berupa:

  • Perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana
  • Pembekuan seluruh atau sebagian usaha korporasi
  • Pelarangan permanen melakukan perbuatan tertentu

Sedangkan sanksi administratif diatur dalam pasal 57, sebagai berikut:

  • Peringatan tertulis
  • Penghentian sementara kegiatan pemrosesan data pribadi
  • Penghapusan atau pemusnahan data pribadi
  • Denda administratif

“Sanksi administratif berupa denda paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran,” demikian dikutip.

Penjatuhan sanksi administratif ditetapkan  oleh lembaga perlindungan data pribadi. Ketentuan lebih lanjut mengenai tata cara pengenaan sanksi diatur dalam Peraturan Pemerintah (PP).

Sedangkan ketentuan pidana untuk individu sebagai berikut:

  • Setiap orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya untuk menguntungkan diri sendiri atau orang lain, yang dapat mengakibatkan kerugian subjek data pribadi dipidana penjara paling lama lima tahun dan/atau denda maksimal Rp 5 miliar
  • Setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya dipidana penjara paling lama empat tahun dan/atau denda maksimal Rp 4 miliar
  • Setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya dipidana penjara paling lama lima tahun dan/atau denda maksimal Rp 5 miliar
  • Setiap orang yang dengan sengaja dan melawan hukum membuat data pribadi palsu untuk menguntungkan diri sendiri atau orang lain, yang dapat mengakibatkan kerugian bagi orang lain, dipidana penjara paling lama ena tahun dan/atau denda maksimal Rp 6 miliar

Sanksi lainnya yakni, dalam hal terpidana tidak membayar pidana denda dalam jangka waktu yang ditentukan, maka harta kekayaan atau pendapatanmya disita dan dilelang oleh jaksa. Jika tidak cukup, maka pidana denda yang tidak dibayar diganti dengan pidana penjara yang ditentukan oleh hakim.

Dalam hal penyitaan dan pelelangan harta kekayaan atau pendapatan terpidana korporasi tidak cukup, maka perusahaan dikenakan pidana pengganti berupa pembekuan sebagian atau seluruh kegiatan usaha paling lama lima tahun. Lamanya pembekuan ditentukan oleh hakim.

Namun, tidak ada aturan sanksi jika pelanggaran data dilakukan di kementerian atau lembaga (K/L).

Reporter: Lenny Septiani