Definisi
Sanksi UU PDP adalah ketentuan hukuman yang dikenakan terhadap pelanggaran perlindungan data pribadi sebagaimana diatur dalam UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi. UU PDP mengatur dua jenis sanksi: sanksi administratif dan sanksi pidana.
Sanksi administratif dijatuhkan oleh lembaga yang berwenang dan meliputi peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, serta denda administratif paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan perusahaan. Sanksi administratif ditujukan terutama kepada pengendali data dan prosesor data yang lalai dalam memenuhi kewajiban perlindungan data.
Sanksi pidana dikenakan terhadap perbuatan yang dilakukan dengan sengaja dan melawan hukum, meliputi: memperoleh atau mengumpulkan data pribadi bukan miliknya (pidana penjara maksimal 5 tahun dan/atau denda Rp5 miliar), mengungkapkan data pribadi bukan miliknya (pidana penjara maksimal 4 tahun dan/atau denda Rp4 miliar), menggunakan data pribadi bukan miliknya (pidana penjara maksimal 5 tahun dan/atau denda Rp5 miliar), serta membuat data pribadi palsu (pidana penjara maksimal 6 tahun dan/atau denda Rp6 miliar). Badan hukum yang melakukan tindak pidana dapat dikenakan pidana denda hingga 10 kali lipat dari pidana denda perorangan.
Contoh Kasus
Seorang karyawan perusahaan telekomunikasi terbukti menjual data pribadi pelanggan berupa nama, nomor KTP, alamat, dan nomor telepon kepada pihak ketiga yang menggunakannya untuk kegiatan telemarketing ilegal. Berdasarkan Pasal 67 ayat (2) UU PDP, karyawan tersebut dijerat sanksi pidana karena dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya. Sementara itu, perusahaan telekomunikasi selaku pengendali data juga dikenakan sanksi administratif berupa denda karena gagal menerapkan sistem keamanan data yang memadai untuk mencegah akses tidak sah oleh karyawannya.