Cina Denda Perusahaan Belasan Triliun jika Data Bocor, Bagaimana RI?

Muhammad Zaenuddin|Katadata
Ilustrasi kebocoran data
Penulis: Lenny Septiani
18/9/2022, 14.56 WIB

Perusahaan yang mengalami data bocor dapat didenda teguran di Indonesia. Sedangkan di Cina, korporasi bisa didenda belasan triliun.

Salah satu penyebabnya, karena Indonesia belum memiliki Undang-undang atau UU Perlindungan Data Pribadi. “Jadi, tidak ada upaya memaksa dari negara kepada penyelenggara sistem elktronik (PSE) untuk mengamankan data dan sistem mereka,” kata Peneliti Keamanan Siber Communication Information System Security Research Center (CISSReC) Pratama Persadha kepada Katadata.co.id, akhir pekan lalu (14/9).

Akibatnya, banyak terjadi kebocoran data. "Namun tidak ada yang bertanggungjawab. Semua merasa menjadi korban," ujar Pratama.

Kementerian Komunikasi dan Informatika (Kominfo) serta DPR tengah mengebut pembahasan RUU Perlindungan Data Pribadi. Katadata.co.id memperoleh draf per 7 September yang memuat 16 bab dan 76 pasal.

Sanksi Bagi Perusahaan soal Data Bocor

Sanksi bagi yang melanggar diatur pada Bab 8 dan 14. “Dalam hal tindak pidana dilakukan oleh korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi,” demikian bunyi pasal 70, Minggu (18/9).

Pidana yang dapat dijatuhkan terhadap korporasi hanya pidana denda. Besarannya, paling banyak 10 kali dari maksimal pidana denda yang diancamkan.

Selain dijatuhi pidana denda, korporasi dapat dijatuhi pidana tambahan berupa:

  • Perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana
  • Pembekuan seluruh atau sebagian usaha korporasi
  • Pelarangan permanen melakukan perbuatan tertentu

Sedangkan sanksi administratif diatur dalam pasal 57, sebagai berikut:

  • Peringatan tertulis
  • Penghentian sementara kegiatan pemrosesan data pribadi
  • Penghapusan atau pemusnahan data pribadi
  • Denda administratif

“Sanksi administratif berupa denda paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran,” demikian dikutip.

Penjatuhan sanksi administratif ditetapkan  oleh lembaga perlindungan data pribadi. Ketentuan lebih lanjut mengenai tata cara pengenaan sanksi diatur dalam Peraturan Pemerintah (PP).

Sedangkan ketentuan pidana untuk individu sebagai berikut:

  • Setiap orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya untuk menguntungkan diri sendiri atau orang lain, yang dapat mengakibatkan kerugian subjek data pribadi dipidana penjara paling lama lima tahun dan/atau denda maksimal Rp 5 miliar
  • Setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya dipidana penjara paling lama empat tahun dan/atau denda maksimal Rp 4 miliar
  • Setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya dipidana penjara paling lama lima tahun dan/atau denda maksimal Rp 5 miliar
  • Setiap orang yang dengan sengaja dan melawan hukum membuat data pribadi palsu untuk menguntungkan diri sendiri atau orang lain, yang dapat mengakibatkan kerugian bagi orang lain, dipidana penjara paling lama ena tahun dan/atau denda maksimal Rp 6 miliar

Sanksi lainnya yakni, dalam hal terpidana tidak membayar pidana denda dalam jangka waktu yang ditentukan, maka harta kekayaan atau pendapatanmya disita dan dilelang oleh jaksa. Jika tidak cukup, maka pidana denda yang tidak dibayar diganti dengan pidana penjara yang ditentukan oleh hakim.

Dalam hal penyitaan dan pelelangan harta kekayaan atau pendapatan terpidana korporasi tidak cukup, maka perusahaan dikenakan pidana pengganti berupa pembekuan sebagian atau seluruh kegiatan usaha paling lama lima tahun. Lamanya pembekuan ditentukan oleh hakim.

Namun, tidak ada aturan sanksi jika pelanggaran data dilakukan di kementerian atau lembaga (K/L).

Sanksi Data Bocor di Negara Lain

1. Inggris 

General Data Protection Regulation (GDPR) Inggris dan Data Protection Act (DPA) 2018 menetapkan denda maksimal £17,5 juta atau sekitar Rp 304 miliar atau 4% dari omset global tahunan atas pelanggaran. 

2. Uni Eropa 

GDPR Uni Eropa menetapkan denda maksimal €20 juta atau sekitar Rp 301,8 miliar atau 4% dari omset global tahunan atas pelanggaran.

3. Cina

Pada 21 Juli, Administrasi Ruang Siber Tiongkok (CAC) mengumumkan bahwa perusahaan Didi Global Inc dikenakan denda administrasi atas pelanggaran UU perlindungan data di Tiongkok. Denda yang dikenakan RMB 8,026 miliar atau setara Rp 17,8 triliun. 

4. Malaysia

Hukum terkait pelanggaran data pribadi di Malaysia diatur dalam UU Perlindungan Data Pribadi 2010 (PDPA) yang mulai berlaku pada 15 November 2013.

Berdasarkan pasal 5 PDPA, pelanggaran salah satu prinsip perlindungan dapat didenda RM 300.000 setara Rp 988,5 juta dan/atau hingga dua tahun penjara. 

Prinsip-prinsip perlindungan data yang dimaksud adalah prinsip umum, pemberitahuan dan pilihan, pengungkapan, keamanan, retensi, integritas data, dan akses.

Berdasarkan pasal 16 PDPA, kelas pengguna data tertentu diharuskan mendaftar ke Departemen Perlindungan Data Pribadi (PDPD). Kelas ini seperti bank berlisensi, perusahaan asuransi, lembaga perawatan kesehatan swasta, operator tur berlisensi, bisnis penjualan langsung, lembaga pendidikan tinggi swasta dan utilitas, dan penyedia layanan transportasi.

Pengguna data yang gagal dapat dikenakan denda hingga RM 500 ribu atau setara Rp 1,6 miliar dan/atau hukuman penjara hingga tiga tahun.

Berdasarkan pasal 129 PDPA, transfer data pribadi ke luar negeri tanpa pengecualian apa pun dapat didenda hingga RM 300.000 setara Rp 988,5 juta, dan/atau penjara hingga dua tahun.

5. Singapura

Pelanggaran data pribadi di Singapura diatur dalam UU Perlindungan Data Pribadi (PDPA) di bawah Komisi Perlindungan Data Pribadi (PDPC). 

Dikutip dari laman resminya, setiap orang yang menghalangi PDPC atau pejabat berwenang dalam menjalankan kekuasaannya berdasarkan PDPA akan dianggap bersalah karena melakukan pelanggaran dan dapat bertanggung jawab.

Dalam kasus individu, denda hingga S$ 10 ribu  (Rp 106 juta) atau penjara untuk jangka waktu tidak lebih dari 12 bulan atau keduanya dan dalam kasus lain, denda tidak melebihi S$ 100 ribu (Rp 1,06 miliar).

Setiap organisasi yang melanggar Ketentuan DNC (Do Not Call) dari PDPA akan diberikan arahan, termasuk membayar denda keuangan hingga S$ 1 juta (Rp 1,06 triliun)

Untuk kasus yang lebih parah, jumlah penalti finansial mencapai 5% dari omset tahunan organisasi. Individu yang melanggar akan membayar denda keuangan hingga S$ 200 ribu (Rp 2,1 miliar).