IND | ENG
RUU PDP Belum Adopsi Sanksi Denda Perihal Kebocoran Data

Ilustrasi | Foto: freepik.com

RUU PDP Belum Adopsi Sanksi Denda Perihal Kebocoran Data
Oktarina Paramitha Sandy Diposting : Kamis, 07 Mei 2020 - 10:35 WIB

Jakarta, Cyberthreat.id – Pemerintah disarankan untuk memasukkan mekanisme sanksi denda dalam Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP), khususnya terkait dengan kebocoran data di penyelenggara sistem elektronik (PSE).

Jika mengacu kepada regulasi perlindungan data pribadi Eropa (General Data Protectuon Regulation/GDPR), setiap terjadi kebocoran data, perusahaan akan dikenai denda yang sangat besar.

"Sejauh ini saya belum menemukan perundang-undangan di Indonesia yang spesifik mengatur perihal kebocoran data ini," ujar Eryk Budi Pratama, praktisi keamanan siber di salah satu perusahaan konsultan global (Big Four Auditors), saat berbincang dengan Cyberthreat.id, Rabu (6 Mei 2020).

Oleh karenanya, menurut dia, jika tak ada mekanisme denda, pemerintah sulit menjerat PSE untuk dimintai pertanggungjawaban hukum.

Ada tujuh poin dalam ketentuan pidana RUU PDP, menurut Eryk, platform e-commerce sulit dikenai sanksi denda. Alasannya, kebocoran data dianggap sebagai sesuatu hal yang tidak disengaja, tidak dimaksudkan untuk melawan hukum, tidak untuk memalsukan data pribadi, dan tidak untuk menjual atau membeli data pribadi.


Berita Terkait:


“Justru, pihak yang akan dikenai denda adalah pihak yang menjual dan membeli data tersebut,” tutur mantan Cybersecurity dan IT Advisory di PwC, perusahaan konsultan dan audit asal Inggris.

Tujua poin yang dimaksud tertutama pada Pasal 61 hingga Pasal 64, seperti berikut ini:

  • Sengaja memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain secara melawan hukum atau dapat mengakibatkan kerugian. – Pasal 61 ayat 1.
  • Sengaja dan melawan hukum mengungkapkan Data Pribadi yang bukan miliknya. – Pasal 61 ayat 2
  • Sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya. – Pasal 61 ayat 3
  • Sengaja dan melawan hukum memasang dan/atau mengoperasikan alat pemroses atau pengolah data visual. – Pasal 62
  • Sengaja dan melawan hukum menggunakan alat pemroses atau pengolah data visual yang dipasang di tempat umum dan/atau fasilitas pelayanan publik. – Pasal 63
  • Sengaja memalsukan Data Pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain atau yang dapat mengakibatkan kerugian bagi orang lain. – Pasal 64 ayat 1
  • Sengaja menjual atau membeli Data Pribadi. – Pasal 64 ayat2

Berita Terkait:


Hak Menuntut

Namun, kata Eryk, dalam draf RUU PDP yaitu Pasal 13 mengatur tentang hak penuntutan bagi pengguna atau konsumen.

Konsumen dari pelaku e-commerce berhak untuk menuntut dan menerima ganti rugi atas pelanggaran data yang terjadi, salah satunya jika terjadi kebocoran data.

Oleh karenanya, ia mendorong agar RUU PDP perlu diperkuat perihal pengenaan sanksi bagi perusahaan yang gagal untuk melindungi data pribadi.

“Tetapi yang menjadi tantangan adalah bagaimana menentukan penyebab dari kelalaian tersebut,” ujar dia.

Menurut dia, sebaiknya pemberian sanksi denda juga perlu dibuat tingkatan. Sebab, antara perusahaan yang menerapkan keamanan informasi sesuai standar ISO 27001 juga memiliki sumber daya keamanan cukup, tentu saja, sangat berbeda dengan perusahaan yang tak memiliki kapabilitas menjaga keamanan data.

Semua tetap dikenai sanksi, tapi dengan tingkat yang berbeda, ujar Eryk.


Berita Terkait:


Celah PP 72/2019

Eryk juga menyoroti Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE).

Sebetulnya, kata dia, dalam PP ini telah diatur tentang data pribadi hingga data residency (penempatan data). PP juga mengatur perihal proses pengumpulan dan pemrosesan data, serta kewajiban data controller terkait permintaan penghapusan data pribadi dari sistem elektronik.

Hanya, Eryk menyayangkan ada “kelonggaran” pada regulasi tersebut, terutama penempatan data untuk PSE sektor privat.

Jika PSE sektor publik diwajibkan menyimpan data di Indonesia, sedangkan sektor privat diperbolehkan menyimpan data di luar Indonesia.

"Ketika terjadi pelanggaran data, penegakan hukumnya akan kesulitan jika penyedia layanan cloud atau data center berada di luar negeri," kata Eryk.[]


Berita Terkait:


Redaktur: Andi Nugroho

#ruupdp   #perlindungandatapribadi   #datapribadi   #ruukks   #bssn   #kemenkominfo   #pse   #pste   #pp712019

Share:

BACA JUGA
Akun Twitter Pengumbar Data Pribadi Denny Siregar Menghilang
Setelah Datanya Disebar, Denny Siregar Sebut Anaknya Diancam Bunuh
Pasal ‘Hak untuk Dilupakan’ di RUU PDP Perlu Parameter yang Jelas
Anggota Komisi I: Kalau Pemerintah dan DPR Ngotot, RUU PDP Cepat Selesai
Yuk, Simak Tips BSSN dalam Melindungi Data Pribadi