Sanksi pidana ini berlaku untuk "setiap orang yang dengan sengaja memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain secara melawan hukum atau dapat mengakibatkan kerugian pemilik data pribadi."
Dalam rapat ini, Marwan mengusulkan agar ketentuan sanksi pidana ini dihapuskan. Menurut dia, RUU ini cukup mengatur sanksi administratif saja. Sebab, Undang-Undang Informasi dan Transaksi Elektronik atau UU ITE, dan Peraturan MA Nomor 13 Tahun 2016 tentang Tata Cara Penanganan Tindak Pidana oleh Korporasi, juga sudah mengatur hal tersebut.
Tak hanya itu. Pembentukan RUU ini menjadikan General Data Protection Regulation (GDPR) sebagai patokan. GDPR adalah regulasi pelindungan data pribadi di Uni Eropa. Di sana, kata Marwan, sanksi pidana juga belum diberlakukan. "Jadi agak dilematis," kata dia.
Serupa dengan Marwan, Wahyudi setuju ketentuan sanksi pidana dihapuskan. Tujuannya agar tidak terjadi tumpang tindih dengan regulasi lain yang sudah ada. "Cukup dirumuskan pengenaaan sanksi administrasi," kata dia.
Meski demikian, ketentuan sanksi administrasi dalam RUU ini juga tak lepas dari kritik. Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) menyoroti aturan di Pasal 27 yang mewajibkan pengendali data untuk memastikan keamanan data pribadi. Jika terjadi pelanggaran, maka perusahaan pengendali dikenai sanksi.
Ketua Umum APJII Jamalul Izza mengatakan ketentuan ini belum diatur secara jelas. Sehingga, peluang abuse of power akibat salah-tafsir menjadi terbuka. "Itu yang kami takutkan," kata dia.