Kepastian tersebut tercantum dalam Pasal 67 sampai Pasal 70. Secara garis besar pasal tersebut mengatur pihak yang bertanggung jawab atas kebocoran data. Hal itu bisa terjadi pada individu atau korporasi.
Sanksi bagi individu yang membocorkan atau memanfaatkan data pribadi orang lain beragam mulai dari penjara hingga denda sebanyak Rp. 5 miliar.
Sementara itu, jika korporasi yang membocorkan atau menyalahgunakan data tidak sebagaimana mestinya, maka hal itu dibebankan pada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau Korporasi.
Sementara itu, jika korporasi lalai atas kebocoran data maka dapat dijatuhkan denda sebagaimana diatur dalam Pasal 70 RUU PDP. Selain itu, korporasi juga bisa dikenakan sanksi tambahan seperti perampasan keuntungan, pencabutan ijin usaha, hingga pembubaran.
Tentu keberadaan pasal tersebut cukup untuk memberi kepastian bagi publik. Utamanya dalam menuntut pihak mana yang paling bertanggung jawab jika kasus kebocoran data kembali terjadi.
Lembaga pengawas
Salah satu hal yang membuat pembahasan RUU PDP mandeg adalah terkait posisi lembaga pengawas. Kominfo menegaskan jika lembaga pengawas data pribadi berada di bawah pemerintah.
Sementara DPR memiliki pandangan lain yakni lembaga pengawas data pribadi harus independen. Menurut hemat saya, sebaiknya lembaga pengawas data pribadi independen.
Hal itu karena dalam penerapannya lembaga independen juga diharapkan bisa mengawasi pengolaan data yang dilakukan kementerian atau lembaga lain.
Tentu yang menjadi pertanyaan adalah apakah RUU PDP ini juga mencakup pula data yang dikelola pemerintah atau tidak? Jika RUU PDP mencakup pula data yang dikelola pemerintah maka sebaiknya lembaga pengawas independen.
Hal itu karena untuk menimbulkan pandangan jika nantinya dalam memberi sanksi tidak pandang bulu. Misalnya jika kebocoran data terjadi di lingkungan pemerintahan, maka di sini akan terjadi kekhawatiran sanksi tidak maksimal.
Apalagi jika lembaga yang dijatuhi sanksi kedudukannya jauh lebih tinggi dibanding lembaga yang memberi sanksi. Untuk itu saya berharap lembaga pengawas data pribadi independen dan kedudukannya setara dengan lembaga lain.