Jakarta, Gatra.com – Direktur Eksekutif Hukum Lembaga Penjamin Simpanan (LPS), Ary Zulfikar, mengingatkan, perusahaan atau lembaga harus menjamin keamanan data pribadi pelanggan. Jika tidak, bakal berhadapan dengan masalah hukum dan denda yang besar.

"Setiap kehilangan privasi data akan mengakibatkan masalah hukum dengan denda yang besar," kata Ary dalam webinar bertajuk "RUU Perlindungan Data Pribadi, Siapkah Organisasi Menghadapinya?" pada akhir pekan ini.

Karena itu, lanjut Ary, privasi data yang berkaitan dengan perlindungan identitas pelanggan, merupakan prioritas utama bagi semua perusahaan, lembaga atau pihak-pihak tertentu yang melakukan kegiatan mengumpulkan dan pengelolaan data.

Perusahaan atau lembagai maupun pihak-pihak tertentu itu harus memastikan bahwa informasi pribadi tidak disalahgunakan. Pemilik data pribadi atau konsumen tidak boleh dirugikan akibat penyalahgunaan data.

Ary mengungkapkan, pengelolaan data pribadi ini berawal dari pengumpulan dari pelanggan oleh perusahaan yang berhubungan, antara lain dengan transaksi perbankan, asuransi, layanan keuangan, ritel, e-commerce, telco, dan jejaring sosial.

Menurutnya, perusahaan memiliki tanggung jawab untuk menjamin penggunaan data pribadi. Sedangkan pemilik data atau konsumen memiliki hak atas perlindungan data pribadinya. Di Indonesia, banyaknya kasus kebocoran data, seperti kasus kebocoran 91 juta data pengguna Tokopedia mendorong pemerintah untuk segera mengesahkan Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi (PDP).

"Pertanyaanya adalah, apabila RUU PDP akan diundangkan dalam waktu dekat, siapkah organisasi kita, di lingkungan Bapak dan Ibu, siapkah kita atas hak dan tanggung jawab serta konsekuensi hukum dari pelaksanaan UU PDP?" ujar Ary.

Direktur Utama (Dirut) PT Data Privasi Indonesia (PT DPI), Yudianta Medio Simbolon, menyampaikan, sebelum ada RUU PDP, peraturan tentang perlindungan data pribadi di Indonesia tidak ditemukan dalam satu peraturan yang komprehensif.

Menurutnya, peraturan terkait data pribadi ditemukan terpencar di sejumlah sektor, seperti UU Perbankan, UU Perlindungan Konsumen, UU Telekomunikasi, UU Informasi dan Transaksi Elektonik (ITE), dan sebagainya.

Karena itu, lanjut Yudianta, RUU PDP merupakan inisiatif untuk mewujudkan satu peraturan tentang perlindungan data pribadi yang komprehensif. RUU PDP terdiri dari 15 Bab dan 72 Pasal.

Dalam Pasal 1 RUU PDP, Data Pribadi didefinisikan setiap data tentang seseorang baik yang teridentifikasi dan atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan atau non-elektronik.

"UU ini berlaku untuk setiap orang, badan publik, dan organisasi atau institusi yang melakukan perbuatan hukum sebagaimana diatur dalam RUU PDP. Sedangkan pihak-pihak yang diatur dalam RUU PDP adalah pemilik data pribadi, pengendali data pribadi, dan prosesor data pribadi," kata Yudianta.

Dalam RUU PDP juga dijelaskan hak dan kewajiban yang dimiliki oleh tiga pihak tersebut. Pemilik data pribadi memiliki 11 hak, pengendali data pribadi ada 20 kewajiban, dan prosesor data pribadi 7 kewajiban.

Selain itu, RUU PDP juga memiliki sejumlah larangan dalam penggunaan Data Pribadi sebagaimana diatur dalam RUU PDP dalam kentuan Pasal 51–54. Di antaranya, Setiap Orang dilarang memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain secara melawan hukum atau dapat mengakibatkan kerugian Pemilik Data Pribadi, dilarang secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya, dilarang secara melawan hukum menggunakan Data Pribadi yang bukan miliknya.

“Kemudian, setiap orang dilarang memalsukan data pribadi dengan maksud menguntungkan diri sendiri dan mengakibatkan kerugian bagi orang lain, setiap orang juga dilarang menjual dan membeli data pribadi," ujar Yudianta.

Direktur PT DPI, Defrizal Djamaris, menyampaikan, RUU PDP sudah termasuk peraturan yang ideal karena mencakup perlindungan data elektronik dan nonelektronik. Sebab, kalau dilihat di UU ITE dan Permen Kominfo, data ini masih parsial karena mengatur perlindungan data pribadi hanya untuk elektronik.

RUU PDP ini juga telah mengatur sejumlah sanksi administratif, ketentuan pidana dan denda bagi pihak-pihak yang melanggar aturan. Menurut Defrizal sanksi yang diatur cukup berat.

"Sanksi ini cukup besar tapi mungkin untuk efek jera. Misalnya pada Pasal 64 Ayat (1), setiap orang yang dengan sengaja memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain atau yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 54 Ayat 1 dipidana dengan pidana penjara paling lama 6 tahun atau pidana denda paling banyak Rp60 miliar,” ujar Defrizal.

Bahkan, dalam RUU PDP ini, memungkinkan sebuah perusahaan mendapatkan denda paling banyak tiga kali dari maksimal pidana denda yang diancamkan. Selain dijatuhi pidana denda, perusahaan juga dapat dijatuhi pidana tambahan berupa pembekuan perusahaan, pelarangan permanen melakukan tindakan tertentu, penutupan seluruh atau sebagian kegiatan perusahaan, pembayaran ganti rugi, dan sebagainya.

"Karena itu, perusahaan-perusahaan harus benar hati-hati. Meski hanya karena kelalaian itu akan merugikan perusahaan," ujarnya.

Sementara itu, Adjunct Professor University of Indonesia dan International Islamic University of Malaysia, Prof. Abu Bakar Munir, menyebut bahwa isi RUU PDP yang dimiliki Indonesia sudah sesuai dengan standar EU General Data Protection Regulation (EU GDPR).

Advisor PT DPI ini menjelaskan, EU GDPR merupakan peraturan perlindungan data pribadi internasional yang dianggap memiliki standar tinggi dan sering dijadikan pedoman oleh sejumlah negara di dunia. RUU PDP Indonesia memiliki sejumlah kesamaan dengan EU GDPR.

Adapun kesamaannya, seperti memiliki prinsip melindungi data pribadi, menjamin hak privasi, jika ada kebocoran data pribadi perusahaan wajib melaporkan kepada pemilik data pribadi.

“Berbeda dengan Malaysia dan Singapura, sektor publik atau pemerintah dikecualikan dalam UU Perlindungan Data Pribadi," ujarnya.

Karena itu, Munir berpendapat bahwa ketentuan Malaysia dan Singapura tidak cocok dengan standar internasional karena tidak mencakup semua. Ia menghargai RUU PDP Indonesia juga tidak memberikan pengecualian untuk sektor publik.