Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi atau UU PDP mengatur mengenai Lembaga Perlindungan Data Pribadi (PDP). Selain itu juga diatur mengenai sanksi atau hukuman untuk pelanggaran UU PDP. Sanksi ini berlaku bagi penyelenggara sistem elektronik (PSE) baik pemerintah (publik), swasta (privat), perseorangan, maupun korporasi.
UU DPD mengamanatkan pembentukan Lembaga PDP di bawah Presiden dan bertanggung jawab kepada Presiden. Lembaga PDP diatur dalam Pasal 58 dan 60.
Lembaga ini memiliki sejumlah fungsi dan tugas, di antaranya, merumuskan dan menetapkan kebijakan serta strategi PDP, pengawasan penyelenggaraan PDP, penegakan hukum administratif terhadap pelanggaran UU PDP, dan memfasilitasi penyelesaian sengketa di luar pengadilan (out of court) terkait perlindungan data pribadi di ranah digital.
Dalam draf UU PDP, terdapat dua jenis sanksi bagi pelanggar data pribadi. Jenis pertama, bagi pengendali atau pemroses data pribadi jika melanggar ketentuan UU PDP. Di antaranya, tidak memproses data pribadi sesuai tujuannya dan tidak mencegah akses data tidak sah.
Sanksi hukum terdiri dari empat jenis, yaitu pertama, sanksi administratif dalam Pasal 57 UU PDP berupa peringatan tertulis; kedua, penghentian sementara kegiatan pemrosesan data pribadi; ketiga, penghapusan atau pemusnahan data pribadi; dan/atau keempat, denda administratif/paling tinggi dua persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.
Jenis kedua, bagi orang perseorangan atau korporasi yang melakukan perbuatan terlarang. Di antaranya, mengumpulkan data pribadi yang bukan miliknya untuk menguntungkan diri sendiri atau orang lain mengungkapkan data pribadi yang bukan miliknya dan memalsukan data pribadi untuk keuntungan yang mengakibatkan kerugian bagi orang lain dapat dikenakan Pasal 67 sampai dengan 73 UU PDP.
Adapun ketentuan pidana diatur dalam UU sebagai berikut pertama pidana denda maksimal Rp4 miliar hingga Rp6 miliar, dan kedua, pidana penjara maksimal 4 tahun hingga 6 tahun.
Selain sanksi yang sudah disebutkan di atas, Pasal 69 mengatur pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian. Jika tindak pidana dilakukan oleh korporasi, menurut Pasal 70 UU PDP, dapat dikenakan hukuman denda sebesar 10 kali lipat dari yang pidana asli beserta penjatuhan pidana tambahan tertentu lainnya.
Untuk pelanggaran UU PDP memalsukan data pribadi dapat dipidana 6 tahun dan atau denda sebesar Rp60 miliar. Jika menjual atau membeli data pribadi akan dipidana 5 tahun atau denda sebesar Rp50 miliar. Korporasi yang kedapatan melanggar undang-undang ini dapat dikenakan pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan/pembekuan seluruh atau sebagian usaha korporasi sampai dengan pembubaran korporasi.