JAKARTA, KOMPAS.com - Undang-Undang Pelindungan Data Pribadi (UU PDP) yang baru disahkan Dewan Perwakilan Rakyat (DPR) dinilai tidak imbang dalam memberikan sanksi kepada lembaga publik atau korporasi yang menyalahi aturan pengumpulan, pengelolaan, dan pemrosesan data pribadi.
Hal itu diungkap Lembaga Studi Arus Informasi (ELSAM) dalam keterangan pers pada Selasa (21/9/2022).
"Kondisi tersebut makin problematis dengan ‘ketidaksetaraan’ rumusan sanksi yang dapat diterapkan terhadap sektor publik dan sektor privat, ketika melakukan pelanggaran," Direktur Eksekutif ELSAM Wahyudi Djafar dalam keterangan pers.
Baca juga: Menkominfo: UU PDP Belum Tentu Sempurna, Akan Terus Disempurnakan
Wahyudi mengatakan, dalam UU PDP diatur jika pelanggaran dilakukan oleh lembaga publik maka hanya mungkin dikenakan sanksi administrasi (Pasal 57 ayat (2)).
Sedangkan pada sektor privat, ucap Wahyudi, selain dapat dikenakan sanksi administrasi, juga dapat diancam denda administrasi sampai dengan 2 persen dari total pendapatan tahunan (Pasal 57 ayat (3)), bahkan dapat dikenakan hukuman pidana denda mengacu pada Pasal 67, 68, 69, 70.
"Dengan rumusan demikian, meski disebutkan undang-undang ini berlaku mengikat bagi sektor publik dan privat, dalam kapasitas yang sama sebagai pengendali/pemroses data. Namun, dalam penerapannya, akan lebih bertaji pada korporasi, tumpul terhadap badan publik," ujar Wahyudi.
Dalam Ayat (1) Pasal 57 UU PDP disebutkan, sanksi administratif diberikan kepada setiap orang, badan publik, dan organisasi internasional yang melanggar sejumlah pasal.
Baca juga: Lembaga Publik yang Langgar UU PDP Hanya Disanksi Administratif
Sanksi administratif itu berlaku jika para pihak yang disebutkan melanggar ketentuan Pasal 20 ayat (1), Pasal 21, Pasal 24, Pasal 25 ayat (2), Pasal 26 ayat (3), Pasal 27, Pasal 28, Pasal 29, Pasal 30, Pasal 31, Pasal 32 ayat (1), Pasal 33, Pasal 34 ayat (1), Pasal 35, Pasal 36, Pasal 37, Pasal 38, Pasal 39 ayat (1), Pasal 40 ayat (1), Pasal 41 ayat (1) dan ayat (3), Pasal 42 ayat (1), Pasal 43 ayat (1), Pasal 44 ayat (1), Pasal 45, Pasal 46 ayat (1) dan ayat (3), Pasal 47, Pasal 48 ayat (1), Pasal 49, Pasal 51 ayat (1) dan ayat (5), Pasal 52, Pasal 53 ayat (1), Pasal 55 ayat (2), dan Pasal 56 ayat (2) sampai dengan ayat (4).
Selanjutnya, dalam Ayat (2) Pasal 57 UU PDP disebutkan, sanksi administratif sebagaimana dimaksud pada ayat (1) berupa:
Sanksi administratif berupa denda administratif sebagaimana dimaksud pada ayat (2) huruf d paling tinggi 2 persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran, seperti tercantum dalam Ayat (3) Pasal 57 UU PDP.
Dalam Ayat (4) Pasal 57 disebutkan, penjatuhan sanksi administratif sebagaimana dimaksud pada ayat (2) diberikan oleh lembaga.
Baca juga: Korporasi yang Curi atau Ungkap Data Pribadi Diancam Ganti Rugi hingga Dibubarkan
Sedangkan dalam Ayat (5) Pasal 57 UU PDP menyatakan, ketentuan lebih lanjut mengenai tata cara pengenaan sanksi administratif sebagaimana dimaksud pada ayat (3) diatur dalam Peraturan Pemerintah.
Sedangkan ancaman hukuman bagi korporasi atau sektor privat yang mengumpulkan, mengungkapkan, atau menyalahgunakan data pribadi yang bukan miliknya untuk menguntungkan diri sendiri dan merugikan subjek data lebih berat ketimbang lembaga publik.
Sanksi pidana bagi korporasi yang melakukan pencurian atau penyalahgunaan data pribadi diatur dalam Pasal 70 UU PDP.
Dalam Ayat (1) Pasal 70 UU PDP disebutkan: Dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 dilakukan oleh Korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau Korporasi.
Baca juga: ELSAM: Ada Pasal Karet dalam UU PDP, Berpotensi Mengkriminalisasi Seseorang