Presiden Joko Widodo (Jokowi) telah menandatangani Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) pada 24 Januari 2020. RUU tersebut segera dibahas pemerintah bersama Dewan Perwakilan Rakyat (DPR) setelah selesai pembahasan RUU Omnibus Law.
Berdasarkan draf per Desember 2019, RUU PDP memuat 72 pasal dan 15 bab. Beleid itu mengatur tentang definisi data pribadi, jenis, hak kepemilikan, pemrosesan, pengecualian, pengendali dan prosesor, pengiriman, lembaga berwenang yang mengatur data pribadi, serta penyelesaian sengketa. Selain itu, RUU tersebut juga akan mengatur kerja sama internasional hingga sanksi yang dikenakan atas penyalahgunaan data pribadi.
Menteri Komunikasi dan Informatika (Menkominfo) Johnny G. Plate mengatakan, ada tiga unsur penting yang tercakup di dalam RUU PDP. Pertama, kedaulatan data. Pemerintah ingin data yang ada di dalam negeri tak diolah dan dikuasai asing. Kedua, terkait kepemilikan data baik pribadi maupun yang spesifik lainnya. Ketiga, pengaturan lalu lintas data. Pemerintah membuka peluang terhadap investasi dan bisnis setelah UU itu terbit.
“Aturan ini sangat penting dan relavan, karena kehidupan global dan nasional ekonomi telah bertransformasi ke era digital," ujar Johnny dalam konferensi pers di kantornya, Selasa (28/1).
(Baca: Sudah Diteken Jokowi, Salahgunakan Data Pengguna Akan Didenda Rp 70 M)
Apa saja poin-poin yang dijabarkan di dalam RUU PDP tersebut? Berikut ini poin-poin RUU PDP yang kami rangkum dari berbagai sumber.
1. Definisi data pribadi
Draf RUU PDP menyebutkan, definisi data pribadi adalah setiap data tentang seseorang, baik yang teridentifikasi dan dapat diidentifikasi tersendiri atau dikombinasikan dengan informasi lainnya, secara langsung maupun tidak langsung melalui sistem elektronik dan nonelektronik.
2. Jenis-jenis data pribadi
Ada dua jenis data pribadi, yakni data yang bersifat umum dan spesifik. Data dikategorikan data umum bila melalui akses pelayanan publik atau tercantum dalam identitas resmi. Misalnya, nama lengkap, jenis kelamin, kewarganegaraan, agama, dan data pribadi yang harus dikombinasikan sehingga memungkinkan untuk mengidentifikasi seseorang.
Adapun data yang spesifik adalah data yang bersifat sensitif terhadap keamanan dan kenyamanan kehidupan pemilik data pribadi, yaitu data dan informasi kesehatan, data biometrik, data genetika, data pandangan spesifik, dan data keuangan pribadi. Oleh karena itu, untuk mendapatkan data itu perlu persetujuan dari pemiliknya.
3. Penghapusan data pribadi
Pengendali data pribadi wajib memusnahkan informasi itu jika data sudah tidak memiliki nilai guna lagi atau habis retensinya. Jika pemilik data meminta datanya dihapus, pengendali harus menghapus informasi itu.
(Baca: Rawannya Data Pribadi di Era Digital)
4. Kegagalan perlindungan data pribadi
Dalam RUU PDP disebutkan, jika terjadi kegagalan perlindungan terhadap data pribadi, misalnya data bocor ke pihak-pihak lain, pengendali data wajib menyampaikan pemberitahuan tertulis paling lambat 3x24 jam kepada pemilik data dan menteri atau instansi pengawas. Pengumuman itu memuat data pribadi yang bocor, kapan dan kronologinya, serta upaya penanganan dan pemulihannya.
5. Sanksi pidana atas pelanggaran penggunaan data pribadi
RUU PDP juga mengenakan sanksi atas pelanggaran data pribadi. Pelaku yang mengungkapkan atau menggunakan data pribadi yang bukan miliknya secara melawan hukum akan dikenakan pidana penjara tujuh tahun atau denda maksimal Rp 70 miliar.
Direktur Jenderal Aplikasi Informatika Kominfo Semuel Pangerapan mengatakan, denda yang bisa diterapkan maksimal Rp 100 miliar. Namun, terkait perlindungan data pribadi ini ditetapkan Rp 70 miliar. “Kami harus menghitung dampak ekonominya,” katanya.
Selain dijatuhi pidana pokok, terdakwa juga dapat dijatuhi pidana tambahan berupa perampasan pendapatan dan harta kekayaan yang diperoleh atau hasil dari tindak pidana.
(Baca: Sri Mulyani, BI, OJK Sepakat Perlunya Aturan Perlindungan Data)
Perlindungan Data dan Perkembangan Teknologi
RUU PDP merupakan inisiatif pemerintah yang menjadi prioritas untuk dibahas di DPR. Sebelumnya, ada 32 undang-undang yang menyinggung pengaturan data pribadi warga negara, salah satunya UU Informasi dan Transaksi Elektronik (ITE).
UU ITE diatur lebih lanjut dalam Peraturan Menteri Kominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi di Dalam Sistem Elektronik. Namun, peraturan tersebut dirasa belum cukup untuk melindungi data pribadi masyarakat dan mengikuti perkembangan teknologi.
Masalah perlindungan data pribadi ini menjadi perhatian mengingat perkembangan teknologi membuat penyalahgunaan data semakin rentan. Hal ini akan dibahas dalam Indonesia Data and Economic Conference (IDE) 2020 yang diselenggarakan Katadata pada 30 Januari 2020 di Hotel Kempinski, Grand Indonesia, Jakarta.
Katadata akan menghadirkan Carole Cadwalladr, jurnalis The Observer dan The Guardian yang menjadi finalis Pulitzer Prize karena mengungkap skandal pencurian data pengguna Facebook oleh Cambridge Analytica. Ada juga sesi diskusi panel dengan tema Indonesia's Policy of Data Privacy, yang menghadirkan Dirjen Aptika Kominfo Semuel Abrijani Pangerapan, Dirjen Dukcapil Kemendagri Zudan Arif, Direktur Microsoft Ajar Edi, dan Staf Khusus Menristek Danang Rizki Ginanjar.
Reporter : Destya Galuh Ramadhani (Magang)