Denda untuk Perusahaan Pengumbar Data Pribadi Pengguna

Pemerintah Indonesia sedang menyiapkan hukuman denda kepada perusahaan-perusahaan yang tak merahasiakan data pribadi penggunanya, antara lain nama, nomor ponsel, alamat email, alamat tinggal, dan nomor kartu identitas.

Di Eropa, regulasi perlindungan data pribadi dikenal dengan nama General Data Protection Regulation atau GDPR. Selain informasi mendasar yang telah disebutkan, GDPR juga mencakup IP adress, cookie ID, dan advertising ID pada gawai pengguna sebagai data pribadi yang harus dilindungi. Bila terbukti mengumbar data tersebut, untuk kepentingan apa pun, perusahaan dapat dikenai denda sebesar 10-20 juta euro (Rp160 miliar-Rp320 miliar) atau 2-4% dari pendapatan globalnya.

Meski terinspirasi GDPR, menurut Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar, aturan denda UU Perlindungan Data Pribadi (PDP) tidak akan mengikuti Eropa, melainkan disesuaikan dengan situasi dalam negeri. ELSAM adalah bagian dari Koalisi Advokasi yang mendesak pengesahan rancangan undang-undang tersebut.

Berbeda dari GDPR yang menetapkan besaran denda berdasarkan presentase pendapatan, UU PDP akan mematok nilai minimum dan maksimum tetap. “Kan, sudah jadi rahasia umum bahwa startup yang baru berkembang itu belum dapat keuntungan. Mereka masih menggunakan uang investor. Bahasa umumnya, ya, bakar uang,” kata Direktur Jenderal Aplikasi Informatika (Aptika) Kemkominfo Semuel Pangerapan di Jakarta, Rabu (15/5) malam.

Mekanisme denda berdasarkan persentase pendapatan, dengan demikian, justru akan mempersulit penegakan hukum.

“Kalau terjadi kegagalan perlindungan data pribadi, perusahaan akan dikenakan denda dengan mekanisme fixed. Misalnya Rp200 juta, Rp400 juta, atau Rp1 miliar,” ujar Semuel.