Tak Atur Sanksi Menteri, UU Pelindungan Data Pribadi Dinilai Tak Adil

Undang-Undang atau UU Perlindungan Data Pribadi (PDP) Nomor 27 Tahun 2022 disahkan bulan lalu. Namun ahli informasi dan teknologi (IT) menilai regulasi ini tidak adil, karena tidak mengatur sanksi bagi kementerian dan lembaga (K/L) yang melanggar.

Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya menjelaskan, regulasi itu hanya mendefinisikan "Setiap Orang" pada orang perseorangan atau koporasi. Sedangkan "Badan Publik" diartikan sebagai lembaga atau badan yang sebagian atau seluruh dananya berasal dari APBN atau APBD.

Alfons mengumpamakan ‘Badan Publik’ sebagai anak kandung pemerintah. Sedangkan ‘Setiap Orang’ yang tidak menerima APBN atau APBD dikatakan sebagai anak tiri.

Jika terjadi pelanggaran dalam pengelolaan data pribadi, maka pengendali data pribadi yang mendapatkan sanksi dari peringatan tertulis, penghentian sementara kegiatan pemrosesan, penghapusan atau pemusnahan data hingga denda administratif 2% dari pendapatan tahunan.

Dalam UU Pelindungan Data Pribadi, pengendali data pribadi adalah setiap orang, badan publik atau organisasi internasional yang melakukan kendali pemrosesan. Sedangkan prosesor data pribadi adalah pihak yang melakukan pemrosesan atas nama pengendali data pribadi.

“Dan dalam hal ini, yang mendapatkan sanksi adalah pengendali data pribadi yang bisa Setiap Orang, Badan Publik atau Organisasi Internasional,” kata Alfons dalam keterangan pers, Selasa (1/11).

Sedangkan pasal 65 dan 66 memuat larangan bagi ‘setiap orang’, yang artinya perseorangan dan korporasi. “Secara tidak langsung, artinya Badan Publik atau Organisasi Internasional tidak termasuk dalam Larangan Dalam Penggunaan Data Pribadi (Bab XIII pasal 65 dan 66) atau eksploitasi Data Pribadi,” tambah dia.

Padahal, kementerian dan lembaga sering mengalami dugaan kebocoran data. Beberapa di antaranya yakni:

Komisi Pemilihan Umum (KPU)

• Badan Intelijen Negara (BIN)
• Kepolisian
• Bank Indonesia (BI), lebih dari 200 komputer di kantor cabang diduga dibobol oleh peretas (hacker) asal Rusia, ransomware Conti pada Januari
• Jutaan data pasien di berbagai rumah sakit di server Kementerian Kesehatan (Kemenkes) diduga bocor pada Januari. Selain itu, data eHAC di aplikasi versi lama diduga bocor pada Agustus 2021.
• Situs Pusat Malware Nasional dari BSSN terkena peretasan dengan metode perusakan atau deface pada Oktober 2021
• Sertifikat vaksinasi milik Presiden Joko Widodo (Jokowi) beredar di media sosial tahun lalu

Ada beberapa kementerian dan lembaga (K/L) lain yang diduga mengalami kebocoran data, termasuk oleh hacker Bjorka. Begitu juga dengan Badan Usaha Milik Negara (BUMN).

Oleh karena itu, Alfons menilai tidak adil jika UU Pelindungan Data Pribadi tak mengatur larangan bagi K/L maupun sanksinya. “Perorangan atau korporasi, dijerat hukuman pidana 4 tahun dan denda Rp 4 miliar,” kata Alfons.

Sedangkan Badan Publik atau Organisasi Internasional bisa dikatakan tidak melanggar pasal. Hal ini karena pasal 65 dan 66 tidak mengatur larangan bagi pihak-pihak ini.

Katadata.co.id beberapa kali mengonfirmasi pasal sanksi kementerian dan lembaga kepada Kominfo. Namun belum ada tanggapan.

Kementerian juga belum memerinci target waktu penerbitan aturan turunan UU Pelindungan Data Pribadi.