Pasal 1 angka 1 Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi menyatakan bahwa data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.

Pelaku pencurian data pribadi pengguna sistem elektronik biasanya menggunakan teknik peretasan (hacking) untuk mengakses secara ilegal database sistem elektronik. Setelah berhasil memperoleh data pribadi seperti username, NIP, nomor kartu keluarga, tempat dan tanggal lahir, nomor HP, serta nama-nama anggota keluarga pengguna sistem elektronik, pelaku kemudian memperjualbelikan data-data tersebut. Praktik jual beli data pribadi ini sangat berisiko disalahgunakan untuk berbagai tindakan yang dapat merugikan pemilik data.

Apa saja yang termasuk dalam data pribadi?

  1. Data pribadi yang bersifat spesifik, meliputi data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.
  2. Data pribadi yang bersifat umum, meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang. 

Sanksi Pidana Pencurian Data Pribadi

Pada umumnya proses peradilan suatu tindak pidana didasarkan pada KUHAP sebagai hukum acara yang berisi tata tertib proses penyelesaian atau penanganan perkara pidana yang dimuat dalam KUHP, mulai dari penyelidikan, penyidikan, penuntutan, peradilan, acara pemeriksaan, upaya hukum banding, kasasi, dan peninjauan kembali. KUHAP dan KUHP sendiri merupakan lex generali dalam hukum pidana. Artinya apabila terdapat undang-undang lain di luar KUHAP dan KUHP yang memiliki hukum acara khusus dan sanksi pidana yang spesifik, maka ketentuan tersebut berlaku secara lex specialis.

Sanski pidana dalam Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi diatur untuk perbuatan sebagai berikut:

  1. Setiap orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi dipidana penjara paling lama 5 tahun dan/atau pidana denda paling banyak Rp5 miliar. (Pasal 67 ayat (1) UU PDP)
  2. Setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya dipidana penjara paling lama 4 tahun dan/atau pidana denda paling banyak Rp4 miliar. (Pasal 67 ayat (2) UU PDP)
  3. Setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya dipidana penjara paling lama 5 tahun dan/atau pidana denda paling banyak Rp5 miliar. (Pasal 67 ayat (3) UU PDP)
  4. Setiap orang yang dengan sengaja membuat data pribadi palsu atau memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain dipidana penjara paling lama 6 tahun dan/atau pidana denda paling banyak Rp6 miliar. (Pasal 68 UU PDP)

Selain itu, berdasarkan Pasal 26 ayat (1) dan (2) Unang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana diubah dengan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik, Korban bisa mengajukan gugatan perdata di mana ketentuan terkait menegaskan sebagai berikut.

  1. Kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan
  2. Setiap Orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan Undang-Undang ini.

Gugatan ganti rugi terhadap pihak yang menyalahgunakan data pribadi adalah berupa gugatan perbuatan melawan hukum berdasarkan Pasal 1365 KUH Perdata.