JAKARTA (RIAUPOS.CO) - Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) akhirnya disahkan menjadi Undang-Undang (UU) dalam rapat paripurna DPR RI, Selasa (20/9). Namun, ada sejumlah hal yang tidak diatur dalam peraturan baru itu. Salah satunya, tidak adanya sanksi bagi lembaga pemerintah yang melakukan pelanggaran.
Dalam rapat pengesahan UU itu, Wakil Ketua Komisi I DPR Abdul Kharis Almasyhari mengatakan, UU baru tersebut menjadi payung hukum bagi warga negara dalam perlindungan data pribadi. "UU PDP benar-benar jadi landasan hukum yang kuat dan memastikan bahwa negara menjamin dan memastikan perlindungan data pribadi warganya," papar Kharis, Selasa (20/9).
Dia mengatakan, UU PDP terdiri dari 16 bab dan 76 pasal. Yaitu, Bab I Ketentuan Umum, Bab 2 Asas, Bab 3 Jenis Data Pribadi, Bab 4 Hak subjek data pribadi, Bab 5 Pemrosesan Data Pribadi, Bab 6 Kewajiban Pengendalian Data Pribadi dan Prosesor Data Pribadi Dalam Pemrosesan Data Pribadi, Bab 7 Transfer Data Pribadi, Bab 8 Sanksi Administatif dan Bab 9 Kelembagaan, Bab 10 Kerja Sama Internasional, dan Bab 11 Partisipasi Masyarakat.
Selanjutnya, Bab 12 Penyelesaian Sengketa dan Hukum Acara, Bab 13 Larangan Dalam Penggunaan Data Pribadi, Bab 14 Ketentuan Pidana, Bab 15 Ketentuan Peralihan, dan terakhir Bab 16 Ketentuan Penutup. "Selama dua tahun lebih Komisi I DPR berusaha keras melakukan pembahasan intensif dan berhasil menyepakati aspek-aspek substantif atas RUU PDP," terangnya.
Setelah penyampaian laporan dari pimpinan Komisi I, Wakil Ketua DPR RI Lodewijk F Paulus yang memimpin rapat menanyakan kepada setiap fraksi di DPR apakah setuju untuk mengesahkan RUU PDP menjadi UU PDP. "Apakah Rancangan Undang-Undang tentang Perlindungan Data Pribadi dapat disetujui untuk disahkan menjadi undang undang?" kata Lodewijk. Peserta rapat secara kompak menjawab setuju. Palu pun diketok sebagai tanda pengesahan RUU PDPD menjadi UU.
UU PDP mengatur banyak hal terkait perlindungan data pribadi. Pasal 19 menyebutkan tiga pengendali dan prosesor data pribadi. Yaitu, setiap orang, badan publik, dan organisasi internasional. Kemudian Pasal 27 menyebutkan, pengendali data pribadi wajib melakukan pemrosesan data pribadi secara terbatas dan spesifik, sah secara hukum, dan transparan.
Selanjutnya, Pasal 35 menerangkan, pengendali data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya. "Lembaga pemerintah juga termasuk pengendali dan prosesor data pribadi," terang Kharis.
UU PDP juga mengatur lembaga yang bertanggung jawab dalam perlindungan data pribadi. Pasal 58 ayat (2) menyatakan, penyelenggaraan perlindungan data pribadi dilaksanakan oleh lembaga. Berikutnya ayat (3) menerangkan bahwa lembaga ditetapkan oleh presiden. Dan ayat (4) menegaskan, lembaga bertanggung jawab kepada presiden.
Anggota Komisi I DPR RI Dave Akbarshah Fikarno mengatakan, penetapan lembaga perlindungan data pribadi akan diatur dalam peraturan presiden. Menurutnya, Presiden yang mempunyai kewenangan untuk menetapkannya. "Lembaga perlindungan data pribadi tidak harus lembaga baru," ucapnya.
Lembaga perlindungan data pribadi bisa memanfaatkan lembaga yang sudah ada, sehingga tidak perlu membentuk lembaga baru. Misalnya, Badan Siber dan Sandi Negara (BSSN). Namun, pihaknya menyerahkan sepenuhnya kepada Presiden seperti yang tercantum dalam UU PDP.
UU PDP juga mengatur terkait sanksi. Pasal 67 ayat (1) menyebutkan, setiap orang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subyek data pribadi dipidana dengan pidana penjara paling lama lima tahun dan/atau pidana denda paling banyak Rp5 miliar.
Korporasi yang menyalahgunakan data pribadi juga tidak luput dari sanksi. Dalam Pasal 70 ayat (1) diterangkan bahwa jika pelanggaran itu dilakukan korporasi, maka pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi.
Namun, UU PDP tidak menyebutkan sanksi untuk lembaga pemerintah yang melakukan penyalahgunakan data pribadi. Padahal, lembaga pemerintah merupakan pengendali dan prosesor data pribadi.
Dave mengatakan, sanksi bagi lembaga pemerintah yang melakukan pelanggaran akan diatur dalam aturan turunan. Politisi Partai Golkar itu menegaskan, tidak boleh ada pasal karet dalam UU PDP. Aturan turunan harus mengatur secara rinci hal-hal yang belum jelas dalam UU PDP. "Yang pasti jangan ada pasal karet," tandasnya.
Sementara itu Menteri Kominfo Johnny G. Plate menyambut baik disahkannnya UU PDP. Dia mengatakan, UU tersebut ditunggu para lembaga negara, penegak hukum, sektor usaha, ekosistem digital, hingga platform media sosial. "Disahkannya RUU PDP menjadi UU PDP menandai era baru tata kelola data pribadi di Indonesia. Khususnya di ranah digital," katanya di DPR.
Politisi Partai Nasdem itu mengatakan, UU PDP memperkuat peran dan kewenangan pemerintah dalam menegakkan dan mengawasi kepatuhan seluruh pihak dalam memproses data pribadi. Baik itu oleh lembaga swasta maupun pemerintahan atau publik.
Dia menuturkan dengan UU PDP tersebut, mengamanatkan kewajiban pengendali data pribadi di mata hukum. Johnny berharap dengan adanya UU tersebut, mendorong terjadinya reformasi dalam praktik proses pengolahan data pribadi di seluruh instansi pengendali data pribadi. "Menghormati hak subjek data pribadi. Mematuhi ketentuan perlindungan data pribadi. Memenuhi syarat-syarat pemrosesan data pribadi," tuturnya.