Penulis : Rexy Hernando Hutabarat, S.H. – Commercial and Corporate Lawyer
Pemerintah Indonesia melalui Dewan Perwakilan Rakyat (DPR) akhirnya mengesahkan Rancangan Undang-Undang tentang Perlindungan Data Pribadi menjadi Undang-Undang melalui pembicaraan tingkat II Rapat Paripurna ke-5 pada tanggal 20 September 2022 lalu. Setelah penantian Panjang, akhirnya Indonesia memiliki Undang-Undang yang mengatur tentang Perlindungan Data Pribadi (“UU PDP”).
Seiring bertambah dan bertumbuhnya Perusahaan berbasis teknologi dan data di Indonesia, secara langsung memberikan dampak urgensi bagi Indonesia untuk segera memiliki regulasi yang melindungi data pribadi.
Berdasarkan pengamatan sekilas dari RUU PDP yang diunggah pada laman DPR RI. berikut 6 (enam) hal yang dapat disoroti dari UU PDP,
1. KATEGORI DATA PRIBADI
Sebelum UU PDP ini disahkan, tidak ada satu peraturan perundang-undangan pun di Indonesia yang menjelaskan apa saja kategori data pribadi. Namun, UU PDP mengklasifikasikan 2 (dua) kategori Data Pribadi diantaranya sebagai berikut,
a. Data Pribadi bersifat spesifik; dan
b. Data Pribadi bersifat umum
Dengan demikian semakin jelasnya objek dari Data Pribadi, sehingga segala bentuk penyalahgunaan Data Pribadi dapat diberikan sanksi yang sesuai dengan kategori Data Pribadi tersebut.
2. PENGENDALI DATA PRIBADI DAN KEWAJIBANNYA
Subjek hukum yang disebut sebagai Pengendali Data Pribadi adalah orang, badan publik dan organisasi internasional yang menentukan tujuan dan melakukan kendali Pemrosesan Data Pribadi. Adapun dalam UU PDP telah diatur secara tegas mengenai kewajiban Pengendali Data Pribadi pada saat akan melakukan pemrosesan data pribadi.
Hal ini termasuk kewajiban untuk memastikan bahwa apabila ada Data Pribadi dari Indonesia yang dikirim keluar negeri, maka Pengendali Data Pribadi pengirim data wajib memastikan bahwa negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima transfer Data Pribadi memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi dari yang diatur dalam UU PDP ini.
3. PEMROSESAN DATA PRIBADI WAJIB DIMUAT DALAM PERJANJIAN
Pemrosesan data pribadi wajib dituangkan melalui perjanjian tertulis yang salah satunya berisi persetujuan eksplisit dari Pemberi Data Pribadi kepada Pengendali Data Pribadi mengenai tujuan pemrosesan data pribadi tersebut (Pasal 23 UU PDP). Tidak adanya Perjanjian membuat tindakan pemrosesan Data Pribadi batal demi hukum karena dianggap tidak memenuhi syarat objektif dari syarat sahnya perjanjian sebagaimana diatur dalam Pasal 1820 KUH Perdata.
Pembuatan perjanjian ini sebenarnya bukan hal yang baru dilaksanakan oleh pelaku usaha. Pelaku usaha biasanya memasukkan klausul berkaitan dengan ini dalam bagian Kerahasiaan dan/atau secara khusus dalam Perjanjian Kerahasiaan (Non-Disclosure Agreement).
Pencantuman perjanjian sebagai suatu kewajiban merupakan langkah hukum yang patut di apresiasi untuk memberikan kepastian hukum bagi pemberi Data Pribadi pada saat diminta untuk menyerahkan data pribadinya.
4. PEMBENTUKAN LEMBAGA PENYELENGGARA DATA PRIBADI
Lembaga Penyelenggara Data Pribadi dibentuk melalui Peraturan Presiden dan bertanggung-jawab langsung kepada Presiden (Pasal 58-60 UU PDP). Lembaga ini dibentuk untuk bertindak sebagai perumus kebijakan Data Pribadi, pengawas Pengedali Data Pribadi, pemberi sanksi administrasi dan tugas lain yang diatur dalam UU PDP.
5. KEWAJIBAN PENYESUAIAN PELINDUNGAN DATA PRIBADI
Oleh karena secara hukum telah berlakuUU PDP ini, maka setiap Subjek Hukum (orang/badan hukum) yang berkaitan dengan Pemrosesan Data Pribadi wajib menyesuaikan syarat dan ketentuan yang dimuat dalam UU PDP paling lambat 2 (dua) tahun sejak UU PDP diundangkan.
6. LARANGAN HUKUM PENGGUNAAN DATA PRIBADI
Hal yang tidak kalah penting untuk diperhatikan dalam UU PDP ini adalah berkaitan dengan larangan dalam penggunaan data pribadi diantaranya sebagai berikut,
- Dilarang mengumpulkan data pribadi yang bukan miliknya demi kepantingan tertentu hingga menyebabkan kerugian;
- Dilarang mengungkapkan data pribadi yang bukan miliknya;
- Dilarang menggunakan data pribadi yang bukan miliknya; dan
- Dilarang Membuat data pribadi palsu demi kepentingan tertentu hingga menyebabkan kerugian.
Pihak yang melakukan pelanggaran tersebut diatas akan dikenakan sanksi pidana berupa Pidana Penjara dan/atau Denda. Tidak hanya itu, ada pula saksi tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh sebagai bentuk ganti kerugian.
Sanksi tersebut bukan hanya berlaku untuk individu/perorangan saja, melaikan juga berlaku bagi badan hukum termasuk Korporasi. Korporasi yang melakukan pelanggaran atas larangan tersebut diatas dapat dikenakan sanksi berupa pembekuan bahkan penutupan Korporasi (baik sebagian maupun seluruhnya), serta pencabutan izin hingga pembubaran korporasi.
Demikian artikel ini di buat berdasarkan pengamatan sekilas, dibuat terbatas untuk kepentingan ilmu pengetahuan dan dengan pemahaman bahwa masih banyak hal yang dapat di eksplor lebih dalam pada UU PDP. Dengan pengesahan UU PDP ini, maka diharapkan dapat memberikan kepastian hukum berkaitan dengan pengaturan dan sanksi terhadap pelanggaran penggunaan dan pemrosesan data Pribadi.
Silahkan hubungi kami untuk melakukan konsultasi hukum berkaitan dengan artikel ini!