Pasal 58 ayat (1) Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi menyatakan bahwa “pemerintah berperan dalam mewujudkan penyelenggaraan perlindungan data pribadi sesuai dengan ketentuan undang-undang ini”. Selanjutnya, pada ayat (2) disebutkan bahwa “penyelenggaraan perlindungan data pribadi dilaksanakan oleh suatu lembaga”.
Pasal 59 menegaskan bahwa lembaga khusus diperlukan untuk merumuskan kebijakan, melakukan pengawasan, menegakkan hukum administratif, serta menyelesaikan sengketa di luar pengadilan.
Sepanjang tahun 2023, Indonesia menghadapi hampir satu juta data terdampak dari 103 insiden dugaan kebocoran, mayoritas di sektor pemerintahan. Kasus besar pun terjadi, seperti dugaan bocornya 19,56 juta data peserta BPJS Ketenagakerjaan. Situasi semakin mengkhawatirkan ketika pada Juni 2024 Pusat Data Nasional Sementara (PDNS) diserang ransomware Brain Cipher yang mengunci data di 282 kementerian/lembaga, disusul pada Agustus–September 2024 dugaan peretasan 6 juta data NPWP yang dijual di dark web seharga sekitar Rp 150 juta.
Ironisnya, semua ini terjadi di saat Indonesia sudah memiliki Undang-Undang Perlindungan Data Pribadi (UU PDP) yang disahkan pada tahun 2022. Pertanyaan besarnya, jika regulasi sudah ada, mengapa masyarakat masih merasa tidak terlindungi? Dimana peran negara dalam melindungi data pribadi kita? Dimana lembaga yang dijanjikan UU PDP itu?
Di era digital, data pribadi tidak lagi sekadar informasi biasa melainkan aset bernilai tinggi. Mulai dari nama, nomor telepon, alamat, hingga data biometrik memiliki harga mahal di pasar gelap. Jika data tersebut bocor, konsekuensinya tidak berhenti pada terganggunya privasi, tetapi juga berpotensi menimbulkan kerugian ekonomi dan risiko keamanan serius.
Kebocoran data menimbulkan ancaman yang bersifat berlapis. Pertama, hak privasi warga runtuh ketika informasi pribadi dipakai secara sepihak untuk kepentingan komersial. Kedua, aspek keamanan ekonomi ikut terancam karena data yang bocor bisa dimanfaatkan untuk membobol rekening mobile banking maupun dompet digital. Ketiga, kepercayaan masyarakat terhadap lembaga negara maupun swasta terkikis, menciptakan krisis legitimasi yang tidak bisa dianggap remeh.
Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi yang selanjutnya disebut UU PDP menjadi salah satu pencapaian penting dalam perkembangan hukum Indonesia. Regulasi ini memberikan kerangka yang cukup lengkap untuk menjamin hak-hak pemilik data, mulai dari hak untuk mengetahui dan mengakses informasi pribadi mereka, hingga hak melakukan perbaikan serta penghapusan data ketika diperlukan.
Di sisi lain, UU PDP juga mengatur kewajiban yang ketat bagi pengendali data, yaitu pihak yang menentukan tujuan dan cara pemrosesan data pribadi. Mereka wajib memperoleh persetujuan yang sah, menjamin keamanan data, dan melaporkan insiden kebocoran kepada otoritas yang berwenang.
Namun, karena lembaga tersebut belum terbentuk, mekanisme perlindungan masih bergantung pada Perkominfo 20 Tahun 2016. Dalam Pasal 29 ayat (1) menyebutkan tentang pengaduan atas kegagalan perlindungan kerahasiaan data pribadi. Artinya, secara normatif sudah ada mekanisme pengaduan melalui Kementerian Komunikasi dan Digital (komdigi). Meskipun memberikan ruang pengaduan, aturan ini masih bergantung penuh pada peran Komdigi, bukan lembaga independen sebagaimana diamanatkan oleh UU PDP. Ketergantungan ini menjadi problematis karena dalam berbagai kasus kebocoran data, penanganan oleh Komdigi sering dianggap tidak transparan.
Ketiadaan lembaga khusus perlindungan data pribadi sering menimbulkan perdebatan kewenangan. Penanganan insiden keamanan informasi terlalu melibatkan banyak pihak. Misalnya, Komdigi dan Kepolisian menangani ujaran kebencian, Polri melalui Unit Cybercrime bekerja sama dengan Kementerian Pertahanan lewat Cyber Operation Center, sementara kejahatan keuangan digital ditangani PPATK dan KPK. Banyaknya aktor membuat batas kewenangan tidak selalu jelas.
Berbeda dengan UU Perlindungan Saksi dan Korban maupun UU Perlindungan Anak yang secara tegas menyebutkan nama dan bentuk lembaga independennya, UU PDP justru tidak menentukan secara jelas lembaga pengawasnya. UU PDP menyerahkan sepenuhnya pembentukan lembaga PDP kepada Presiden. Akibatnya, aspek kelembagaan dalam UU PDP dinilai belum jelas dan kurang diperhatikan dibandingkan dengan undang-undang lain.
Ketiadaan kejelasan mengenai nama dan bentuk lembaga pengawas dalam UU PDP menimbulkan pertanyaan penting. Jika terjadi pelanggaran data pribadi, ke mana korban dapat meminta pemulihan haknya secara langsung? Kondisi ini berbeda dengan LPSK atau KPAI yang peran dan mekanismenya sudah jelas.
Kehadiran lembaga perlindungan data pribadi di Indonesia bukan hanya soal menjalankan amanat undang-undang, tetapi juga bagian dari pemenuhan HAM yang diakui secara universal. Jika melihat praktik di dunia internasional, banyak negara telah lebih dulu membentuk lembaga independen khusus untuk mengawasi perlindungan data. Indonesia justru masih tertinggal.
Kebocoran data bukan sekadar gangguan teknis, tetapi serangan langsung terhadap hak asasi warga negara. Setiap kali data bocor, yang hilang bukan hanya angka dan nama, melainkan rasa aman, kepercayaan, dan martabat publik. Negara tidak bisa terus bersembunyi di balik regulasi yang sekedar formalitas. UU PDP tanpa lembaga independen hanyalah instrumen hukum yang lumpuh.
Tiga tahun berlalu sejak UU PDP lahir. Pertanyaannya, berapa banyak lagi kebocoran yang harus terjadi, berapa banyak korban yang harus kehilangan hak, dan sampai kapan negara rela dipandang abai? Jika pemerintah terus menunda, hal ini menunjukkan bahwa negara tidak memiliki sense of urgency dalam melindungi rakyat dari kejahatan digital.
Penulis : Indah Sagala, Sylvia Theodora Naomi Sibarani, Rosmalinda, Annisa Hafizhah.
Tim penulis adalah Mahasiswa dan Dosen Fakultas Hukum USU
