Kominfo atau Kementerian Komunikasi dan Informatika menyiapkan aturan terkait sanksi bagi lembaga maupun startup jika data bocor. Aturan ini berupa Peraturan Pemerintah turunan dari Undang-Undang atau UU Pelindungan Data Pribadi.
“Pelanggaran dapat dikenakan satu atau lebih sanksi administratif,” demikian dikutip dari draf rancangan Peraturan Pemerintah Pelindungan Data Pribadi tertanggal 31 Agustus.
Sanksi administratif meliputi:
- Peringatan tertulis
- Penghentian sementara kegiatan pemrosesan data pribadi
- Penghapusan atau pemusnahan data pribadi
- Denda administratif paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran
Variabel pelanggaran termasuk data bocor dihitung berdasarkan:
- Dampak negatif yang ditimbulkan akibat pelanggaran
- Durasi waktu terjadinya pelanggaran
- Jenis data pribadi yang terkena dampak
- Jumlah orang yang terkena dampak
- Proses temuan pelanggaran
- Tingkat keterbukaan dan kerja sama pengendali data pribadi dalam proses penyelidikan
- Skala usaha pengendali atau prosesor data pribadi
- Kemampuan pengendali atau prosesor data pribadi untuk membayar
- Konsideran lain yang relevan
Sanksi administratif berupa denda telah memperoleh kekuatan hukum tetap dan mengikat. Denda ini akan disetorkan ke kas negara sebagai penerimaan negara bukan pajak.
Jenis sanksi administratif dan tahapan pengenaan sanksi administratif diatur oleh Lembaga Pelindung Data Pribadi.
Pengenaan sanksi administratif dilakukan dengan mempertimbangkan:
- Tingkat atau dampak pelanggaran yang dilakukan oleh pengendali atau prosesor data pribadi
- Kelangsungan kegiatan usaha dari pengendali atau prosesor data pribadi
- Kepatuhan dan/atau riwayat kepatuhan pengendali atau prosesor data pribadi
- Dengan dasar pertimbangan dan alasan yang jelas
Pelanggaran terhadap ketentuan dapat dikenakan satu atau lebih sanksi administratif.
Penanganan dugaan pelanggaran pelindungan data pribadi dilaksanakan dengan tahapan:
- Pengaduan atau pelaporan dugaan pelanggaran
- Pemeriksaan pendahuluan
- Pemeriksaan lanjutan
- Penjatuhan dan pelaksanaan keputusan
Dugaan terhadap pelanggaran pelindungan data pribadi dapat berasal dari:
- Aduan atau laporan
- Hasil pengawasan pelindungan data pribadi
Aduan atau laporan disampaikan kepada Lembaga Pelindung Data Pribadi secara tertulis, yang memuat paling sedikit informasi:
- Identitas pihak yang mengadukan atau melaporkan
- Identitas pengendali atau prosesor data pribadi yang diadukan atau dilaporkan
- Dugaan pelanggaran administratif yang dilakukan disertasi dengan ketentuan pasal yang dilanggar
- Keterangan dan/atau bukti yang memuat fakta, data, atau petunjuk terjadinya pelanggaran
Dalam keadaan tertentu, identitas pihak yang mengadukan atau melaporkan dapat dirahasiakan.
Lembaga Pelindung Data Pribadi menjatuhkan keputusan pengenaan sanksi administratif berdasarkan hasil pemeriksaan dugaan pelanggaran sanksi administratif paling lambat 30 hari kerja sejak pemeriksaan lanjutan diselesaikan.
Keputusan pengenaan sanksi administratif wajib disampaikan kepada pengendali atau prosesor data pribadi. Keputusan pengenaan sanksi administratif diumumkan di situs Lembaga Pelindung Data Pribadi
Berdasarkan draf, Peraturan Pemerintah Pelindungan Data Pribadi tersebut terdiri dari 10 Bab dan 245 pasal. Bab yang dimaksud yakni:
1. Ketentuan umum
2. Data pribadi
3. Pemrosesan data pribadi
4. Hak dan kewajiban
5. Transfer data pribadi di luar wilayah hukum negara Republik Indonesia
6. Kerja sama internasional
7. Kewenangan lembaga pelindungan data pribadi
8. Sanksi administratif
9. Penyelesaian sengketa dan hukum acara
10. Ketentuan penutup