Era teknologi informasi dan komunikasi yang terus berkembang pesat juga memiliki dampak negatif, salah satunya berupa penyalahgunaan data pribadi. Beberapa kasus kebocoran data pribadi yang terjadi di Tanah Air telah berdampak terhadap menurunnya kepercayaan publik dalam beberapa tahun terakhir. Pelanggaran data pribadi tersebut dapat dialami orang dan/ atau badan hukum dan menimbulkan kerugian materiel dan nonmateriel. Kondisi ini tentu menimbulkan keprihatinan dari berbagai kalangan, sehingga kehadiran UU yang mengatur tentang pelindungan data pribadi sangat dibutuhkan.
Pada hakikatnya, pelindungan data pribadi merupakan salah bentuk pelindungan terhadap HAM. Selain itu, Pasal 28G ayat (1) Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 juga menyatakan bahwa, "Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan pelindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi".
Dengan berlakunya UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi sejak tanggal 17 Oktober 2022 yang lalu, maka UU PDP menjadi landasan hukum untuk memberikan keamanan atas data pribadi di Indonesia. Pelindungan data pribadi dalam UU ini adalah keseluruhan upaya untuk melindungi data pribadi dalam rangkaian pemrosesan data pribadi guna menjamin hak konstitusional subjek data pribadi.
Lantas, siapa yang menjadi subjek data pribadi dalam UU PDP? Subjek yang dimaksud adalah orang perseorangan yang pada dirinya melekat data pribadi (Pasal 1 angka 6). Sementara itu, data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik (Pasal 1 angka 1).
Jika sanksi administratif diatur dalam Bab VIII UU ini, maka sanksi pidana diatur dalam Bab XIV tentang Ketentuan Pidana yang terdiri dari 7 pasal. Pasal 67 dengan tegas menyebutkan bahwa setiap orang yang dengan sengaja dan melawan hukum:
- memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).
- mengungkapkan data pribadi yang bukan miliknya dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp4.000.000.000,00 (empat miliar rupiah).
- menggunakan data pribadi yang bukan miliknya dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).
Selain itu, dalam Pasal 68 juga disebutkan bahwa, "Setiap orang dilarang membuat data pribadi palsu atau memalsukan data pribadi dengan maksud untuk diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau pidana denda paling banyak Rp6.000. 000.000,00 (enam miliar rupiah)".
Tidak hanya itu, setiap orang yang melanggar Pasal 67 dan Pasal 68 juga dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/ atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian. Berdasarkan Pasal 1 angka 7, frasa "setiap orang" yang dimaksud dalam UU ini adalah orang perseorangan atau korporasi. Dalam UU ini yang dimaksud dengan korporasi adalah kumpulan orang dan/ atau kekayaan yang terorganisasi baik yang berbadan hukum maupun tidak berbadan hukum.
Bila tindak pidana dilakukan oleh korporasi, Pasal 70 ayat (1) menyebutkan bahwa pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/ atau korporasi. Namun, dalam ayat (2) disebutkan pula bahwa pidana yang dijatuhkan hanya pidana denda. Selanjutnya, ayat (3) menyebutkan bahwa pidana tersebut paling banyak 10 (sepuluh) kali dari maksimal pidana denda yang diancamkan.
Pidana tambahan bagi korporasi juga diatur dalam UU PDP. Pasal 70 ayat (4) menyebutkan bahwa pidana tambahan tersebut berupa:
- perampasan keuntungan dan/ atau harta kekayaan yang diperoleh atau hasil dari tindak pidana;
- pembekuan seluruh atau sebagian usaha korporasi;
- pelarangan permanen melakukan perbuatan tertentu;
- penutupan seluruh atau sebagian tempat usaha dan/ atau kegiatan korporasi;
- melaksanakan kewajiban yang telah dilalaikan;
- pembayaran ganti kerugian;
- pencabutan izin; dan/atau
- pembubaran korporasi.
Hadirnya sanksi pidana yang tegas dalam UU PDP tentu ini diharapkan dapat meningkatkan kembali kepercayaan masyarakat dalam hal menyediakan data pribadi. Untuk mendukung penerapan UU ini, masyarakat juga diharapkan dapat berperan melalui pendidikan pendidikan, pelatihan, advokasi, sosialisasi, dan/ atau pengawasan sesuai dengan ketentuan peraturan perundang-undangan.