Sanksi Administratif Menurut Pasal 57 UU PDP
Pasal 57 UU PDP menetapkan empat kategori sanksi administratif yang dapat dijatuhkan oleh LPDP terhadap organisasi yang melanggar kewajiban UU PDP. Kategori pertama adalah peringatan tertulis (teguran), yang merupakan sanksi paling ringan. Peringatan tertulis biasanya diberikan untuk pelanggaran teknis atau minor yang tidak menimbulkan risiko signifikan kepada subjek data — misalnya, privacy policy yang tidak lengkap atau tidak diperbarui, atau dokumentasi compliance yang incomplete. Peringatan tertulis adalah kesempatan "second chance" bagi organisasi untuk memperbaiki kepatuhan dalam jangka waktu yang ditentukan oleh LPDP (biasanya 30-90 hari).
Kategori kedua adalah penghentian sementara kegiatan pemrosesan data pribadi. Sanksi ini dapat dikenakan jika pemrosesan data terus berlanjut menimbulkan risiko serius kepada hak dan kebebasan subjek data. Contoh: jika organisasi terus memproses data tanpa basis hukum yang sah, atau terus memproses data sensitif tanpa consent yang jelas dari subjek, LPDP dapat memerintahkan penghentian sementara sampai masalah diperbaiki. Penghentian sementara adalah drastic remedy dan mengganggu operasi bisnis, sehingga LPDP biasanya hanya menggunakan ini sebagai last resort setelah upaya persuasif lainnya gagal.
Kategori ketiga adalah penghapusan atau pemusnahan data pribadi. Sanksi ini dapat dijatuhkan jika organisasi melakukan pemrosesan yang sangat melanggar UU PDP — misalnya, mengumpulkan data pribadi untuk tujuan yang jelas-jelas illegal atau tidak transparan, atau terus menyimpan data yang seharusnya sudah dihapus sesuai dengan Pasal 17 tentang retention. LPDP dapat memerintahkan organisasi untuk menghapus atau menghancurkan data dalam jangka waktu tertentu, dengan verifikasi follow-up untuk memastikan penghapusan benar-benar dilakukan.
Kategori keempat adalah denda administratif, yang merupakan sanksi finansial. Pasal 57(4) mengatur bahwa denda administratif dapat dijatuhkan "hingga 2% (dua persen) dari pendapatan tahunan" organisasi. Interpretasi "pendapatan tahunan" adalah pendapatan kotor (gross revenue) dari organisasi dalam tahun fiskal terakhir, bukan profit. Untuk organisasi multinasional, LPDP mungkin akan menggunakan pendapatan global jika organisasi melayani subjek data di Indonesia secara signifikan.
Perhitungan Denda Administratif: Metodologi dan Faktor Mitigasi
Meskipun Pasal 57(4) menetapkan maksimum denda pada 2% dari pendapatan tahunan, LPDP masih memiliki discretion untuk menentukan amount actual denda berdasarkan severity pelanggaran, magnitude dampak kepada subjek data, dan itikad organisasi. Metodologi yang digunakan LPDP mungkin serupa dengan pendekatan GDPR:
(1) determine the category of violation (administrative vs. individual right violation);
(2) assess severity factors (number of affected individuals, duration of violation, sensitivity of data, whether violation was intentional or negligent);
(3) calculate preliminary fine amount as % of annual revenue;
(4) apply mitigating or aggravating factors.
Faktor mitigasi yang dapat mengurangi denda termasuk:
(1) cooperative stance organisasi terhadap investigasi LPDP;
(2) voluntary disclosure dari organisasi tentang pelanggaran sebelum LPDP mengetahui;
(3) prompt remediation setelah pelanggaran ditemukan;
(4) demonstrasi dari compliance program yang bona fide sebelum pelanggaran terjadi;
(5) organisasi kecil atau menengah dengan resources terbatas (though tidak menghilangkan kewajiban);
(6) prior compliance record yang baik tanpa pelanggaran sebelumnya.
Faktor aggravating yang dapat meningkatkan denda termasuk:
(1) pelanggaran dengan sengaja atau deliberately;
(2) repeat violation setelah LPDP sebelumnya memberikan warning;
(3) large scale violation mempengaruhi jutaan subjek data;
(4) violation menimbulkan kerugian finansial atau konsekuensi serius kepada subjek data;
(5) organisasi telah mengabaikan teguran atau peringatan dari LPDP.
| KONSEP KUNCI | LPDP akan melihat apakah organisasi memiliki compliance program yang genuine sebelum pelanggaran terjadi. Organisasi yang hanya "compliance theater" (membuat policies tetapi tidak mengimplementasikan) akan dihadapi dengan aggravated fines. Sebaliknya, organisasi yang demonstrably memiliki good faith compliance program tetapi masih membuat mistakes akan dihadapi dengan fines yang dikurangi. |
Sanksi Pidana Menurut Pasal 67-73 UU PDP
Pasal 57 merupakan sanksi administratif, yang dikenakan oleh LPDP melalui administrative process. Pasal 67-73 merupakan sanksi pidana, yang dapat dikenakan melalui criminal prosecution di pengadilan. Perbedaan penting:
(1) administrative sanctions dapat dikenakan oleh LPDP sendiri tanpa proses pengadilan;
(2) criminal sanctions hanya dapat dikenakan melalui criminal prosecution yang dimulai oleh kejaksaan dan dijatuhkan oleh pengadilan;
(3) criminal sanctions melibatkan hak asasi yang lebih besar dan prosedur acara yang lebih formal.
Pasal 67 UU PDP menetapkan pidana untuk tindakan pengumpulan data pribadi secara illegal. Siapa pun yang "dengan sengaja mengumpulkan atau memproses data pribadi dengan mengetahui atau sepatutnya mengetahui bahwa pengumpulan atau pemrosesan tersebut dilakukan dengan cara yang tidak sah atau bertentangan dengan peraturan perundang-undangan yang berlaku" dapat dijatuhkan pidana penjara maksimal 5 tahun dan denda maksimal Rp 5 miliar. Elemen "dengan sengaja" (mens rea) adalah penting: organisasi atau individu yang melakukan pelanggaran karena kealpaan atau negligence mungkin tidak termasuk dalam kategori ini, tetapi organisasi atau individu yang deliberately melanggar UU PDP akan dihadapi dengan criminal liability.
Pasal 68 menetapkan pidana untuk pengungkapan data pribadi tanpa otorisasi. Penjara maksimal 4 tahun dan denda maksimal Rp 4 miliar. Pasal 69 menetapkan pidana untuk penggunaan data pribadi untuk keuntungan pribadi atau pihak lain. Pasal 70 menetapkan pidana untuk pemalsuan data pribadi (misalnya, mengubah record) dengan penjara maksimal 6 tahun dan denda maksimal Rp 6 miliar. Pasal 71 menetapkan pidana untuk kerusakan atau kehilangan data pribadi karena kelalaian. Pasal 72 adalah critical: menetapkan bahwa "setiap orang yang memerintahkan melakukan perbuatan sebagaimana dimaksud dalam Pasal 67, Pasal 68, Pasal 69, Pasal 70, dan Pasal 71" juga dapat dikenakan pidana yang sama. Ini berarti bahwa direktur korporasi yang memerintahkan atau mengizinkan karyawan untuk melakukan pelanggaran dapat dipidana secara personal.
Tanggung Jawab Pidana Perseorangan dalam Organisasi
Pasal 72 UU PDP menetapkan prinsip vicarious liability bagi pejabat korporasi. Jika pelanggaran dilakukan oleh karyawan atas instruksi atau dengan pengetahuan/ketidakpedulian pejabat korporasi, pejabat tersebut dapat dikenakan pidana personal. Ini berarti bahwa: (1) CEO, COO, atau CFO dapat dipidana secara personal jika mereka memerintahkan atau mengizinkan pelanggaran; (2) direktur atau manajer yang memiliki oversight terhadap data processing dapat dipidana jika mereka gagal mengambil langkah untuk mencegah pelanggaran; (3) bahkan tidak ada instruksi eksplisit diperlukan — jika pejabat "sepatutnya mengetahui" bahwa pelanggaran sedang terjadi dan gagal mengambil tindakan, mereka masih dapat dipidana.
Dalam praktik, prosecutors mungkin akan focus pada "command responsibility" atau "corporate culture" yang memungkinkan atau mendorong pelanggaran. Jika organisasi memiliki documented compliance program, regular training, monitoring, dan controls, ini akan menunjukkan bahwa pejabat korporasi telah taken reasonable steps untuk prevent pelanggaran. Sebaliknya, jika organisasi tidak memiliki compliance program, tidak melakukan training, atau menunjukkan indifference terhadap compliance, ini akan menunjukkan bahwa pejabat korporasi telah failed dalam duty mereka.
Strategi Mitigasi Risiko Sanksi: Best Practices
Organisasi yang ingin meminimalkan risiko sanksi dari LPDP harus mengadopsi strategi proaktif:
(1) Implementasi comprehensive compliance program — dokumentasikan policies, conduct regular training, conduct internal audits, maintain compliance evidence;
(2) Voluntary self-disclosure — jika organisasi menemukan pelanggaran, disclosure sukarela kepada LPDP dapat mengurangi severity sanksi secara signifikan;
(3) Prompt remediation — setelah pelanggaran ditemukan, ambil tindakan segera untuk memperbaiki;
(4) Demonstrate good faith — ketika berinteraksi dengan LPDP, bersikap cooperative, transparent, dan responsive terhadap information requests;
(5) Engage qualified counsel — ketika menghadapi investigasi LPDP atau potential criminal liability, engage counsel yang memiliki expertise dalam UU PDP untuk advise dan represent;
(6) Build paper trail — dokumentasikan semua keputusan compliance, risk assessments, dan remediation actions sebagai evidence dari good faith efforts.
Untuk organisasi yang mengalami breach atau pelanggaran lainnya, disclosure voluntary kepada LPDP bahkan sebelum LPDP mengetahui dapat membuat perbedaan signifikan dalam severity dan amount dari sanksi. Namun, organisasi harus mempertimbangkan dengan hati-hati, dengan bantuan counsel, kapan dan bagaimana untuk melakukan disclosure untuk memaksimalkan mitigating factors tanpa creating additional legal liability.
| PENTING | Pejabat korporasi (CEO, COO, direktur) harus menyadari bahwa mereka dapat dipidana secara personal untuk pelanggaran UU PDP. Ini bukan hanya ancaman reputasi atau denda korporat; ini adalah ancaman criminal liability personal. Organisasi harus memastikan bahwa pejabat korporasi menerima training UU PDP dan memahami tanggung jawab mereka. |
Publikasi Sanksi oleh LPDP dan Dampak Reputasi
Ketika LPDP mengenakan sanksi, biasanya akan mempublikasikan keputusan secara terbuka (diumumkan dalam website LPDP, press release, atau media). Publikasi ini berdampak reputasi yang signifikan terhadap organisasi — customers, investors, dan partners mungkin akan meninggalkan organisasi setelah mengetahui tentang pelanggaran dan sanksi. Organisasi harus mempertimbangkan manajemen reputasi sebagai bagian dari strategi response terhadap potensi enforcement dari LPDP.
| Jenis Sanksi | Legal Basis | Maksimum Penalty | Yang Menjatuhkan | Proses |
|---|---|---|---|---|
| Peringatan Tertulis | Pasal 57(1) | None (administrative notice) | LPDP | Administrative |
| Penghentian Sementara | Pasal 57(2) | Duration determined by LPDP (typically 30-90 days) | LPDP | Administrative |
| Penghapusan Data | Pasal 57(3) | Complete deletion/destruction of data | LPDP | Administrative |
| Denda Administratif | Pasal 57(4) | 2% dari pendapatan tahunan | LPDP | Administrative |
| Pidana Penjara | Pasal 67-71 | 4-6 tahun penjara | Pengadilan Pidana | Criminal trial |
| Pidana Denda | Pasal 67-71 | Rp 4-6 miliar | Pengadilan Pidana | Criminal trial |
Tabel Perbandingan: Denda Administratif UU PDP vs. GDPR
Tabel di bawah membandingkan structure denda administratif antara UU PDP dan GDPR untuk memberikan konteks global.
| Aspek | UU PDP Pasal 57 | GDPR Pasal 83 | Catatan Komparatif |
|---|---|---|---|
| Denda Maksimum | 2% dari pendapatan tahunan | 4% dari global annual turnover | GDPR lebih berat secara proporsional |
| Kategori Violation | Tidak explicitly differentiated | Tier 1: max EUR 10M / 2%; Tier 2: max EUR 20M / 4% | GDPR lebih granular |
| Faktor Mitigasi | Implied (voluntary disclosure, good faith) | Explicit dalam Pasal 83(2) | GDPR lebih detailed dalam prescribed factors |
| Aggregation of Fines | Tidak ada clarity | Up to 4% of global turnover for aggregated violations | GDPR klarifikasi aggregation untuk repeat violations |
| Appeal Mechanism | Administrative court review (TUN) | Appeal to DPA or national court | Procedural differences |
| Publication Requirement | LPDP typically publishes decision | Public register required per GDPR | Both require transparency |