Tonggak sejarah baru tercatat dalam sektor regulasi keamanan siber dan privasi di Indonesia. Undang-Undang nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) telah resmi berlaku mulai 17 Oktober 2024. Kehadiran UU PDP ini diharapkan dapat memberikan payung hukum yang kuat dalam melindungi privasi warga Indonesia, terutama di era digital saat ini.

Lonjakan jumlah pengguna internet, membuat pelindungan keamanan data pribadi menjadi semakin penting dan mendesak. Direktur Jenderal Informasi Komunikasi Publik Kementerian Komunikasi dan Informatika Prabunindya Revolusi mengatakan, aturan turunan UU PDP saat ini tengah diharmonisasi di Kementerian Hukum dan Hak Asasi Manusia (Kemenkumham).

Adapun aturan turunan dimaksud, antara lain, peraturan pemerintah (PP) yang menjadi dasar pelaksanaan UU PDP dan peraturan presiden (Perpres) untuk pembentukan Badan Pengawas Pelindungan Data Pribadi. “Ini semua lagi harmonisasi di Kemenkumham. Kalau sudah selesai baru ada badannya," kata Prabu, seperti dilaporkan antaranews.com, saat ditemui di Kantor Kementerian Kominfo, Jakarta Pusat, Rabu (9/10/2024)

Sebelumnya, mantan Menteri Komunikasi dan Informatika Budi Arie Setiadi-- kini telah dilantik menjadi Menteri Koperasi--menegaskan bahwa Kementerian Kominfo bersama Kementerian Pendayagunaan Aparatur Negara dan Reformasi Birokrasi serta Kementerian Sekretariat Negara terus berkoordinasi terkait hal tersebut. "Kita kan enggak mau main-main juga karena pelindungan data pribadi itu isu yang sangat penting buat masyarakat khususnya di era digital," katanya, seperti dikutip antaranews.com, Selasa (1/10/2024).

Dalam kesempatan terpisah, Wakil Menteri Komunikasi dan Informatika Nezar Patria, menyatakan, koordinasi antarlembaga itu juga membahas soal pembentukan Badan Pengawas PDP. Diskusi terkait struktur dan kedudukan Badan Pengawas masih berlangsung yang mengerucut pada beberapa pilihan.

Pertama, lembaga pengawas PDP berupa institusi independen yang bertanggung jawab dan melaporkan pekerjaannya langsung kepada presiden. Kedua, status lembaga tersebut dilekatkan pada lembaga yang sudah ada. Maka bisa saja ada unit tertentu yang sudah ada diberi tugas tambahan untuk melakukan pengawasan berkenaan dengan pelindungan data pribadi. Ketiga, lembaga pengawas PDP berada di bawah naungan presiden, tapi bekerja dan berkoordinasi dengan kementerian atau lembaga terkait.

Namun Nezar menyebutkan badan pengawas ini tidak berada di bawah kementerian yang kini disebut sebagai Kementerian Komunikasi dan Digital (Komdigi) . “Ini masih kita diskusikan, tetapi kita cenderung badan pengawas ini tidak berada di bawah Kominfo, tapi langsung di bawah presiden," ujarnya seperti dilaporkan antaranews.com, Selasa (3/9/2024).

Budi Arie melanjutkan, pemerintah telah menggodok UU PDP dengan melibatkan semua pihak dan mendesak. Data International Association of Privacy Professional 2023, menyatakan 68 persen konsumen global mengkhawatirkan pelindungan data mereka. Sebanyak 85 persen konsumen menginginkan transparansi kebijakan penggunaan data pribadi konsumen dari penyedia layanan.

Ini menunjukkan konsumen sebagai subyek data pribadi semakin sadar betapa pentingnya pelindungan privasi dan data pribadi. Kondisi tersebut dikatakannya dapat dipahami mengingat tingginya jumlah kebocoran data yang terjadi serta biaya penanganannya. “Penyusunan yang telah dilaksanakan sejak awal Januari ini merupakan mandat UU PDP. Pelaksanaannya selama ini melibatkan beragam pakar dan akademisi sebelum draf yang ada disiapkan uji publik,” tutur Budi Arie.

UU PDP di Era Digital

Dengan penerapan UU PDP, pemerintah berharap dapat meminimalisir insiden kebocoran data yang selama ini kerap menghantui berbagai perusahaan teknologi di Indonesia. Keamanan siber telah menjadi isu global, dan Indonesia tidak luput dari ancaman tersebut. Kasus kebocoran data di Indonesia, mulai dari sektor perbankan hingga platform digital, telah menimbulkan kekhawatiran besar di kalangan masyarakat.

UU PDP mencakup berbagai aspek penting yang sebelumnya diabaikan dalam regulasi terkait data di Indonesia. Undang-undang ini mengatur segala sesuatu mulai dari bagaimana data dikumpulkan, disimpan, diproses, hingga dihapus. UU PDP memberikan hak kepada individu untuk meminta akses, koreksi, dan bahkan penghapusan data pribadi mereka jika dirasa perlu.

Pasal 1 poin 2, UU UDP menyatakan pelindungan data pribadi sebagai seluruh upaya untuk melindungi data dalam rangkaian pemrosesan data pribadi untuk menjamin hak konstitusional subjek data pribadi, serta mengatur bagaimana data tersebut akan diberikan dan digunakan oleh pihak lain.

Pada Pasal 4, UU UDP secara lebih rinci disebutkan tentang Jenis Data Pribadi.

Jenis data pribadi

• UU PDP membagi data pribadi menjadi dua jenis, yaitu data pribadi umum dan data pribadi spesifik. Data pribadi umum boleh digunakan secara umum, seperti nama, alamat, status, agama, nomor telepon dan lainnya. Untuk data pribadi spesifik adalah data yang sensitif, seperti data kesehatan, data biometrika, atau catatan kriminal.

Hak pemilik data

• Salah satu hal penting dalam UU PDP adalah hak pemilik data. Setiap individu berhak mengetahui bagaimana data mereka digunakan, siapa yang menggunakannya, memperbaiki data atau menolak penggunaan data, dan dapat meminta penghapusan data jika diperlukan. Konsep ini ini memberikan hak penuh kepada pemilik data terhadap penggunaan informasi pribadi mereka.

Peran pengelola data

• UU PDP juga mengatur kewajiban pihak yang mengelola data pribadi, seperti perusahaan atau lembaga. Mereka harus memastikan data yang telah disimpan tetap aman, bertanggungjawab atas penggunaan data, dan tidak disebarluaskan tanpa izin pemilik. Jika kebocoran data, pengelola data wajib memberi tahu informasi tersebut atau memungkinkan dapat dikenakan sanksi hukum, termasuk denda besar atau hukuman pidana.

Hal lain yang diatur adalah adanya persetujuan eksplisit dari pemilik data sebelum data mereka dikumpulkan dan diproses oleh perusahaan. Hal ini berarti perusahaan tidak bisa lagi sembarangan mengakses atau memanfaatkan data pengguna tanpa sepengetahuan atau persetujuan mereka.

Pejabat Data, Tanggung Jawab Baru

Dampak penting lainnya adalah perusahaan di seluruh sektor kini wajib untuk menunjuk pejabat atau petugas khusus yang akan mengelola dan melindungi data pribadi pelanggan mereka. Pejabat pelindungan data atau data protection officer (DPO) itu bertugas memastikan perusahaan patuh terhadap peraturan yang berlaku dan mengimplementasikan langkah-langkah pengamanan yang memadai terhadap data pribadi yang dikelola.

Pelaksanaan UU PDP ini menuntut setiap perusahaan untuk memastikan sistem manajemen data yang mereka miliki dapat memenuhi standar keamanan digital yang telah ditetapkan. Para pelaku bisnis perlu segera melakukan penyesuaian, baik dari segi operasional maupun sumber daya manusia, guna menghindari sanksi yang cukup berat jika terjadi pelanggaran.

Betapa tidak, pada paket kebijakan UU PDP terdapat beberapa sanksi dan denda bagi pelanggaran perlindungan data pribadi, baik berupa sanksi pidana maupun administratif. Beberapa hukuman dan denda yang tercantum dalam UU ini antara lain:

Sanksi Pidana

• Pelanggaran terkait penggunaan data pribadi tanpa izin bisa berujung pada hukuman penjara maksimal 6 tahun.
• Pelanggaran terkait pengumpulan data ilegal terancam hukuman penjara maksimal 5 tahun.
• Penggunaan data pribadi yang menyebabkan kerugian**: Hukuman penjara bisa mencapai hingga 7 tahun.

Sanksi Denda

• Pelanggar dapat dikenai denda hingga Rp 6 miliar, terutama jika terbukti data pribadi disalahgunakan untuk memperoleh keuntungan.
• Pelanggaran yang menyebabkan kebocoran data pribadi bisa dikenai denda besar tergantung pada dampak dan sifat pelanggarannya.

Sanksi Administratif

• Perusahaan atau organisasi yang gagal mematuhi ketentuan dalam UU ini bisa mendapatkan sanksi administratif berupa teguran, penghentian sebagian atau seluruh aktivitas pengolahan data, hingga pencabutan izin usaha.

UU ini juga memberikan hak kepada individu yang data pribadinya dilanggar untuk menuntut ganti rugi kepada pengelola data. Pelanggaran yang terbukti menyebabkan kerugian material atau imaterial juga dapat berujung pada kompensasi.

Perbandingan dengan Negara Lain

Indonesia bukanlah negara pertama yang menerapkan undang-undang pelindungan data pribadi. Banyak negara di dunia, telah lebih dulu mengadopsi undang-undang yang mengatur penggunaan dan pelindungan data pribadi. Misalnya Uni Eropa dengan General Data Protection Regulation (GDPR) dan Singapura dengan Personal Data Protection Act (PDPA).

GDPR telah menjadi model bagi banyak negara dalam merumuskan peraturan terkait data pribadi. Salah satu kunci suksesnya adalah kemampuannya untuk menegakkan pelindungan data dengan sangat ketat, dengan sanksi yang jelas bagi pelanggar.

Banyak pakar menyarankan agar Indonesia dapat lebih banyak belajar dari negara-negara dengan aturan serupa, terutama dalam hal pembentukan Otoritas Pelindungan Data. Dengan begitu, regulasi yang ada dapat benar-benar efektif dan perusahaan-perusahaan akan terdorong untuk patuh terhadap UU ini.

Tantangan Pelaksanaan

Meskipun UU PDP memberikan banyak harapan pelindungan data pribadi masyarakat, tantangan di lapangan juga tidak sedikit. Banyak perusahaan, terutama UMKM dan perusahaan yang berbasis teknologi, masih belum sepenuhnya memahami implikasi dari undang-undang ini. Biaya untuk meningkatkan sistem keamanan data, termasuk menunjuk Pejabat Pelindungan Data, bisa menjadi beban tambahan bagi perusahaan kecil dan menengah.

Namun, ini adalah langkah yang perlu dilakukan untuk memastikan bahwa data pelanggan terlindungi. Dengan diberlakukannya UU Pelindungan Data Pribadi ini, Indonesia telah mengambil langkah besar menuju era baru dalam keamanan digital dengan landasan hukum yang kuat.

“Pelaksanaan UU PDP memberikan Indonesia berbagai kesempatan. Baik kesempatan untuk melindungi hak fundamental masyarakat Indonesia dengan lebih baik, hingga fasilitasi kegiatan usaha dan inovasi dengan lebih bijaksana," ujar Budi Arie.

Redaktur: Ratna Nuraini/Taofiq Rauf
Penulis: Dwitri Waluyo
Judul: Era Baru Pelindungan Data Pribadi