Di tengah lanskap bisnis digital tahun 2025, setelah berakhirnya masa penyesuaian selama dua tahun yang diamanatkan oleh Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), satu pertanyaan fundamental menggema di ruang-ruang dewan direksi: "Bisakah saya, sebagai direktur, dipidana penjara jika perusahaan mengalami kebocoran data?" Pertanyaan ini wajar, mengingat UU PDP tidak hanya memperkenalkan rezim sanksi administratif yang berat, tetapi juga memuat ancaman pidana penjara yang nyata. Jawaban atas pertanyaan ini tidak sederhana "ya" atau "tidak", melainkan terletak pada pemahaman mendalam mengenai kapan suatu pelanggaran data berevolusi dari kelalaian administratif menjadi sebuah tindak pidana, serta bagaimana hukum membedakan antara pertanggungjawaban korporasi dan pertanggungjawaban personal para pengurusnya. Artikel ini akan membedah secara tuntas garis demarkasi tersebut dengan merujuk langsung pada pasal-pasal relevan dalam UU PDP untuk mengklarifikasi risiko dan menyajikan strategi mitigasi bagi para pemimpin perusahaan.
Kehadiran UU PDP lahir dari kesadaran bahwa pelindungan data pribadi merupakan salah satu hak asasi manusia yang perlu dilindungi oleh landasan hukum yang kuat untuk memberikan keamanan. Kehadiran undang-undang ini menandai sebuah pergeseran fundamental dalam cara pandang hukum terhadap data pribadi di Indonesia. Data pribadi tidak lagi dianggap sebagai komoditas bebas, melainkan sebagai hak fundamental individu yang melekat pada dirinya dan wajib dilindungi dalam setiap rangkaian pemrosesannya. Dengan berakhirnya masa transisi pada Oktober 2024, seluruh entitas bisnis yang memproses data pribadi warga negara Indonesia—dari perusahaan rintisan hingga korporasi multinasional—kini secara penuh terikat pada serangkaian kewajiban hukum. Kewajiban ini mencakup keharusan memiliki dasar hukum yang sah untuk setiap pemrosesan data, seperti persetujuan eksplisit dari Subjek Data Pribadi , serta menghormati berbagai hak yang dimiliki oleh individu, antara lain hak untuk mengakses, memperbaiki, dan menghapus data mereka.
Membedah Anatomi Tindak Pidana dalam UU PDP
Ancaman pidana dalam UU PDP tidak menyasar pada setiap insiden "kegagalan pelindungan data pribadi", yang didefinisikan sebagai kegagalan melindungi kerahasiaan, integritas, dan ketersediaan data. Kegagalan semacam itu, jika disebabkan kelalaian dalam memenuhi kewajiban (misalnya kegagalan menerapkan sistem keamanan yang memadai sesuai Pasal 35), pada umumnya akan jatuh ke dalam ranah
sanksi administratif seperti peringatan tertulis, penghentian sementara kegiatan pemrosesan data, atau denda administratif. Ancaman pidana lahir dari
perbuatan aktif yang dilakukan secara melawan hukum sebagaimana dirumuskan secara spesifik dalam Bab XIII dan XIV UU PDP.
Untuk menganalisisnya, kita perlu memahami subjek dan objek dari tindak pidana ini. Objek yang dilindungi adalah
Data Pribadi, yang didefinisikan sebagai "data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya". Pasal 4 UU PDP membaginya menjadi data bersifat umum (contoh: nama lengkap, jenis kelamin, kewarganegaraan ) dan data bersifat spesifik (contoh: data kesehatan, data biometrik, catatan kejahatan, dan data keuangan pribadi ).
Subjek hukum yang dapat melakukan tindak pidana ini, sesuai definisi "Setiap Orang" dalam Pasal 1 angka 7, mencakup Orang Perseorangan dan Korporasi.
Pertanggungjawaban Pidana Korporasi: Ketika Entitas Bisnis Menjadi Terpidana
UU PDP secara tegas mengadopsi prinsip pertanggungjawaban pidana korporasi.
Pasal 70 ayat (1) menyatakan, "Dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 dilakukan oleh Korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau Korporasi". Ini berarti, korporasi tidak bisa lagi berlindung di balik argumen bahwa hanya individu yang bisa melakukan kejahatan. Ketika pertanggungjawaban pidana dijatuhkan pada korporasi, sanksi utamanya adalah pidana denda, bukan penjara. Besaran denda ini sangat signifikan, yaitu "paling banyak 10 (sepuluh) kali dari maksimal pidana denda yang diancamkan" untuk individu. Selain denda, korporasi juga dapat dijatuhi
pidana tambahan yang sangat merugikan, sebagaimana diatur dalam Pasal 70 ayat (4), yang mencakup perampasan keuntungan, pembekuan seluruh atau sebagian usaha, pelarangan permanen melakukan perbuatan tertentu, penutupan tempat usaha, pencabutan izin, hingga pembubaran Korporasi . Dalam fase ini, fokus hukuman adalah pada aset dan keberlangsungan hidup perusahaan.
Pasal 70 ayat (1) menyatakan, "Dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 dilakukan oleh Korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau Korporasi". Ini berarti, korporasi tidak bisa lagi berlindung di balik argumen bahwa hanya individu yang bisa melakukan kejahatan. Ketika pertanggungjawaban pidana dijatuhkan pada korporasi, sanksi utamanya adalah pidana denda, bukan penjara. Besaran denda ini sangat signifikan, yaitu "paling banyak 10 (sepuluh) kali dari maksimal pidana denda yang diancamkan" untuk individu. Selain denda, korporasi juga dapat dijatuhi
pidana tambahan yang sangat merugikan, sebagaimana diatur dalam Pasal 70 ayat (4), yang mencakup perampasan keuntungan, pembekuan seluruh atau sebagian usaha, pelarangan permanen melakukan perbuatan tertentu, penutupan tempat usaha, pencabutan izin, hingga pembubaran Korporasi . Dalam fase ini, fokus hukuman adalah pada aset dan keberlangsungan hidup perusahaan.
Pelaku (Pleger): Ia secara fisik dan langsung melakukan sendiri tindak pidana tersebut. Yang Menyuruh Lakukan
(Doenplegen): Ia menggunakan orang lain sebagai "alat" untuk melakukan tindak pidana. Contoh: Seorang direktur memerintahkan staf IT, yang tidak mengetahui ilegalitasnya, untuk mengekstrak data pelanggan dan menyerahkannya kepada pihak ketiga, melanggar Pasal 65 ayat (2).
Yang Turut Serta (Medeplegen): Ia bekerja sama secara sadar dengan pihak lain dalam melakukan tindak pidana. Contoh: Dewan direksi secara kolektif dalam sebuah rapat memutuskan untuk membeli database dari sumber ilegal demi meningkatkan penjualan. Semua yang setuju berpotensi menjadi pelaku turut serta dalam pelanggaran Pasal 65 ayat (1).
Penganjur (Uitlokking): Ia dengan sengaja membujuk atau menggerakkan orang lain untuk melakukan kejahatan melalui pemberian janji atau penyalahgunaan wewenang.
Dengan demikian, seorang direktur dapat dipenjara bukan karena perusahaannya diretas. Ia dapat dipenjara jika, misalnya, setelah peretasan, ia memerintahkan penjualan sisa data (melanggar Pasal 65 ayat 2), atau jika ia turut serta dalam keputusan untuk menggunakan data yang diperoleh secara ilegal sejak awal (melanggar Pasal 65 ayat 1 dan 3). Perbuatannya telah melintasi batas dari ranah administratif ke ranah pidana.
Jadi, bisakah direksi dipidana penjara karena kebocoran data? Jawabannya adalah: tidak secara langsung akibat dari kebocoran itu sendiri, namun sangat mungkin jika ia secara personal terlibat dalam perbuatan pidana yang diatur dalam Pasal 67 dan 68 UU PDP. Garis pemisah antara denda korporasi dan penjara personal terletak pada pembuktian unsur kesengajaan dan peran aktif individu direktur sebagai pelaku, penganjur, atau peserta dalam sebuah tindak pidana. Di era penegakan penuh UU PDP ini, kepatuhan yang komprehensif dan terdokumentasi bukan lagi sekadar praktik bisnis terbaik, melainkan sebuah polis asuransi esensial untuk melindungi keberlangsungan perusahaan dan kebebasan pribadi para pemimpinnya.
Melindungi perusahaan dari denda dan melindungi pimpinan dari ancaman pidana adalah dua sisi dari mata uang yang sama: implementasi kepatuhan UU PDP yang holistik. Kantor Hukum REINHARD WOWILING & Partners menyediakan layanan audit kepatuhan, penyusunan kerangka kerja tata kelola data, dan nasihat hukum strategis untuk dewan direksi guna memitigasi risiko pidana korporasi dan personal tersebut. Hubungi kami untuk diskusi lebih lanjut.