Poin-poin Penting RUU PDP: Bocorkan Data Bisa Dipenjara atau Denda Miliaran Rp
PerbesarADVERTISEMENT
ADVERTISEMENT
Dalam draf final yang didapat kumparan dikutip Senin (12/9), draf versi final RUU PDP terdiri dari 16 bab dan 76 pasal.
Apa saja poin-poin yang terkandung dalam RUU PDP final tersebut?
Berikut ini rangkuman informasi terbaru yang terkandung dalam RUU PDP.
1. Definisi Data Pribadi
Menurut Draf RUU PDP , data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau non-elektronik.
Pada pasal 4, data pribadi yang dilindungi dibagi menjadi dua, yakni data umum dan spesifik.
Data umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, perkawinan, dan data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
Sementara data spesifik meliputi informasi kesehatan, biometrik, genetika, catatan kejahatan, data anak, hingga keuangan pribadi.
ADVERTISEMENT
2. Pengendali, Prosesor dan Subjek Data Pribadi
Dalam Draf RUU PDP, pengendali data diartikan sebagai setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.
Sementara prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi.
Kemudian subjek data pribadi adalah orang perseorangan yang pada dirinya melekat data pribadi.
3. Data pribadi anak dan difabel
RUU PDP juga mengatur pemrosesan data pribadi milik anak dan juga difabel yang harus diselenggarakan dengan persetujuan wali.
Pada pasal 25, pengendali data wajib mendapat persetujuan dari orang tua anak dan/atau wali anak.
Sementara pasal 26 mewajibkan pemrosesan data pribadi penyandang disabilitas dilakukan melalui komunikasi tertentu dan wajib mendapat persetujuan dari penyandang disabilitas dan/atau wali penyandang disabilitas.
ADVERTISEMENT
4. Pencegahan kebocoran data pribadi
Dalam Pasal 20, pengendali data pribadi wajib mendapatkan persetujuan dari pemilik data pribadi secara eksplisit.
Kemudian dalam pasal 21, pengendali data pribadi juga wajib menyampaikan informasi mengenai legalitas dari pemrosesan data pribadi, tujuan pemrosesan hingga memenuhi semua hak-hak pemilik data pribadi.
5. Penghapusan data pribadi
Pada pasal 8, penduduk Indonesia dibolehkan untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
Dalam pasal 9, Penduduk Indonesia juga berhak menarik kembali persetujuan pemrosesan data pribadi yang telah diberikan kepada pengendali.
Penduduk Indonesia juga berhak mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis, termasuk yang menimbulkan akibat hukum dan dampak kepada pemilik data pribadi, sebagaimana diatur dalam pasal 10.
ADVERTISEMENT
6. Kegagalan perlindungan data pribadi
Pada pasal 46, apabila terjadi kegagalan perlindungan data pribadi, maka pengendali data wajib menyampaikan rincian kronologi, data apa saja yang terungkap, hingga upaya penanganan dan pemulihan paling lambat 3x24 jam secara tertulis kepada pemilik data tersebut.
Pada pasal yang sama, informasi terkait kegagalan perlindungan data pribadi untuk hal tertentu juga wajib disampaikan kepada masyarakat luas.
7. Menuntut ganti rugi
Pada pasal 12, apabila pengendali data pribadi tidak memenuhi hak-hak pemilik data pribadi, maka pemilik data pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran tersebut.
8. Denda maksimal Rp 6 miliar dan pidana maksimal 6 tahun terhadap perseorangan dan korporasi
RUU PDP juga memberikan sanksi atas pelanggaran data pribadi. Pelaku yang mengumpulkan, mengungkapkan atau menggunakan data pribadi orang lain secara melawan hukum akan dikenakan pidana paling lama 5 tahun dan denda maksimal Rp 5 miliar.
ADVERTISEMENT
Sementara pelaku yang membuat data palsu untuk keuntungan pribadi atau orang lain akan dikenakan pidana paling lama 6 tahun dengan denda maksimal Rp 6 miliar.
Namun sanksi dan denda pidana hanya ditujukan pada perseorangan. Sementara korporasi mendapat denda pidana dan badan publik dikenakan sanksi administratif.
Sanksi administratif berupa denda kepada badan publik atau lembaga negara paling tinggi 2 persen dari pendapatan tahunan atau penerimaan tahunan.
Selain hukuman pokok, pelaku juga dijatuhi pidana tambahan berupa perampasan kekayaan yang diperoleh dari tindak pidana.