Analisis Sanksi Pidana dalam Undang-Undang Perlindungan Data Pribadi (UU PDP) No. 27 Tahun 2022

Perkembangan teknologi digital membuat data pribadi menjadi komoditas berharga, bahkan sering disalahgunakan oleh pihak-pihak tidak bertanggung jawab. Maraknya kasus kebocoran data dan penyalahgunaan identitas digital mendorong negara hadir dengan UU Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).

Selain mengatur hak-hak subjek data, UU ini juga memuat ketentuan pidana yang tegas bagi pelaku pelanggaran. Tujuannya jelas: memberikan efek jera dan memastikan perlindungan nyata atas data pribadi warga negara.

Jenis Sanksi Pidana dalam UU PDP

UU PDP membedakan dua jenis sanksi: pidana pokok dan pidana tambahan.

1. Sanksi Pidana Pokok

Berdasarkan Pasal 67–70 UU PDP, beberapa bentuk tindak pidana dan ancaman hukumannya adalah:

Pasal 67 ayat (1):

Setiap orang yang secara melawan hukum mengumpulkan atau menggunakan data pribadi milik orang lain.

👉 Pidana penjara paling lama 5 tahun dan/atau denda paling banyak Rp5 miliar.

Pasal 67 ayat (2):

Menyebarkan data pribadi yang bukan miliknya untuk menguntungkan diri sendiri atau orang lain.

👉 Pidana penjara paling lama 6 tahun dan/atau denda paling banyak Rp6 miliar.

Pasal 68:

Membuat data pribadi palsu atau memalsukan data pribadi untuk keuntungan tertentu.

👉 Pidana penjara paling lama 6 tahun dan/atau denda paling banyak Rp6 miliar.

Pasal 69:

Setiap pengendali data yang dengan sengaja tidak memenuhi kewajiban untuk melindungi data pribadi.

👉 Pidana penjara paling lama 4 tahun dan/atau denda paling banyak Rp4 miliar.

2. Sanksi Pidana Tambahan

Selain hukuman pokok, Pasal 71 UU PDP memungkinkan pemberian sanksi tambahan seperti:

- Perampasan keuntungan yang diperoleh dari tindak pidana,

- Pembayaran ganti kerugian kepada korban,

- Penghentian sementara kegiatan atau pembubaran korporasi (bagi pelaku badan usaha).

Analisis Kritis

Walaupun sanksi dalam UU PDP tergolong berat, tantangan utama ada di penegakan hukumnya. Beberapa masalah yang perlu diperhatikan:

1. Pembuktian digital yang kompleks.

Menelusuri sumber kebocoran data membutuhkan keahlian forensik siber, yang belum merata di semua instansi penegak hukum.

2. Tanggung jawab korporasi.

Banyak kasus kebocoran terjadi karena kelalaian perusahaan (data breach), tapi pembuktiannya sering terhambat karena mereka menyembunyikan insiden keamanan.

3. Belum adanya otoritas independen.

Sampai saat ini, lembaga pengawas perlindungan data (Data Protection Authority) belum sepenuhnya aktif, padahal lembaga ini penting untuk investigasi dan sanksi administratif.

4. Sinkronisasi regulasi.

UU PDP masih perlu diselaraskan dengan UU ITE dan UU Telekomunikasi agar tidak terjadi tumpang tindih dalam proses penegakan hukum.

Contoh Kasus Aktual

Kasus dugaan kebocoran data KPU tahun 2024, di mana data ratusan juta pemilih dijual di forum gelap, menjadi cerminan nyata lemahnya perlindungan data publik. Jika terbukti ada kelalaian pengendali data (instansi penyelenggara), maka dapat dikenakan Pasal 69 UU PDP dengan ancaman pidana penjara hingga 4 tahun.

Kasus ini sekaligus menjadi ujian pertama penerapan UU PDP terhadap lembaga publik yang menyimpan data besar.

Kesimpulan

UU PDP 2022 membawa harapan baru dalam perlindungan data pribadi di Indonesia. Namun, agar sanksi pidana yang diatur dapat efektif, perlu langkah nyata:

- Penguatan kapasitas aparat penegak hukum digital,

- Pembentukan otoritas independen,

- Kewajiban pelaporan insiden kebocoran data secara transparan.

Tanpa itu, ancaman pidana hanya akan menjadi “macan kertas” — tajam di atas teks, tapi tumpul di praktiknya.

Sumber Resmi

Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi

UU PDP dan Sanksi bagi Pelanggar Data Pribadi