Menggugat Janji UU Perlindungan Data Pribadi
Senin, 08 Desember 2025 - 09:03 WIB
loading...
Firman Tendry Masengi, Advokat/Direktur Eksekutif RECHT Institute. Foto/Dok. SindoNews
A
A
A
Firman Tendry Masengi
Advokat/Direktur Eksekutif RECHT Institute
Research and Education Center for Humanitarian Transparency Law
SAAT data pribadi — termasuk data kesehatan, identitas resmi (NIK), riwayat medis, hingga kontak personal — milik ratusan juta warga Indonesia dilaporkan bocor dan diperjualbelikan secara bebas di pasar gelap digital (dark web), negara tampak terperangah dan gagal bertindak. Insiden kebocoran data yang dikelola lembaga pemerintah, badan usaha digital, dan penyelenggara layanan publik terjadi berulang tanpa adanya pertanggungjawaban hukum yang sebanding.
Implikasinya, privasi warga seolah kehilangan nilai, arah, dan perlindungan nyata. Kebocoran data di lembaga negara seperti Dukcapil, Ditjen Imigrasi, KPU, hingga sistem e-HAC Kemkes menjadi bukti bahwa problem keamanan digital bukan hanya kesalahan teknis sektor privat, melainkan kegagalan struktural tata kelola negara dalam menjaga hak fundamental warga.
Latar sejarah kelam inilah yang mendorong lahirnya Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP)—bukan bermula dari kemewahan diskursus akademik atau kejeniusan legislasi, melainkan dari tekanan publik dan kegentingan nasional yang mendesak. Indonesia tertinggal lebih dari satu dekade dibanding yurisdiksi lain yang telah menerapkan standar ketat seperti General Data Protection Regulation (GDPR) Uni Eropa.
Ruang digital nasional selama ini dibiarkan tanpa regulasi memadai, menjadikan warga sebagai objek eksploitasi data secara sistematis, baik oleh korporasi maupun entitas negara. Oleh karena itu, UU PDP menjadi tonggak sejarah baru yang secara eksplisit mengakui privasi sebagai hak asasi manusia fundamental dan data sebagai aset strategis kedaulatan digital.
Efektivitas Hukum: Transisi dari Insiden Menuju Pelanggaran
UU PDP diundangkan pada 17 Oktober 2022 dan menetapkan masa transisi dua tahun untuk penyesuaian infrastruktur dan tata kelola sistem, sehingga berlaku efektif penuh pada 17 Oktober 2024. Sejak tanggal tersebut, setiap insiden kebocoran atau pemrosesan data secara ilegal tidak lagi dapat dikategorikan sebagai kesalahan teknis semata, melainkan telah dikonstitusikan sebagai pelanggaran hukum dengan konsekuensi pidana dan perdata yang mengikat. Era toleransi dan impunitas telah berakhir. Era akuntabilitas sistemik dimulai.
UU ITE (UU 11/2008 jo UU 19/2016) sebenarnya sudah lebih dulu mengatur sejumlah norma yang relevan terkait akses ilegal, intersepsi, manipulasi data elektronik, dan distribusi data pribadi tanpa hak. Namun, UU ITE tidak memberikan definisi komprehensif soal “data pribadi”, tidak mengatur hak subjek data, dan tidak menyediakan mekanisme ganti rugi langsung.
Karena itu, UU ITE hanya menjadi penal umbrella (payung pidana), sedangkan UU PDP menjadi lex specialis yang mengisi kekosongan ruang perlindungan warga. Sejak 2024, kedua UU ini bergerak sinergis: UU PDP mengatur proses, UU ITE mengatur penyalahgunaan dan perbuatan melawan hukumnya.
UU PDP memuat empat tujuan utama yang menjadi penentu orientasi peradaban digital Indonesia. Pertama, menjamin kedaulatan individu atas kendali data pribadinya. Kedua, memberikan kepastian dan perlindungan hukum atas seluruh aktivitas pemrosesan data. Ketiga, mendorong ekosistem pengelolaan data yang etis dan berkeadilan. Keempat, menjaga kepentingan publik dan kepentingan nasional dalam arsitektur digital.
Di tengah dominasi kecerdasan buatan dan algoritma, data adalah manifestasi identitas dan kekuasaan. Tanpa pengendalian terhadap data pribadi, individu berisiko direduksi menjadi objek komodifikasi algoritmik.
Korelasi UU ITE dalam Fondasi Normatif
UU ITE mempertegas orientasi ini melalui Pasal 26 yang mengakui perlindungan data pribadi sebagai bagian dari hak privasi. Pasal tersebut juga mengatur bahwa setiap pihak dilarang menggunakan, memanfaatkan, atau mengubah data seseorang tanpa izin. Dengan hadirnya UU PDP, Pasal 26 UU ITE mendapatkan instrumen implementatif yang jauh lebih kuat, terukur, dan dapat dieksekusi secara hukum.
UU PDP mentransformasi status subjek data dari objek pasif menjadi entitas yang berdaulat, dengan rincian hak dan kewajiban sebagai berikut. Pertama, hak subjek data meliputi hak memperoleh informasi, hak perbaikan, hak penghapusan (right to be forgotten), hak menolak profiling, dan hak menarik kembali persetujuan (consent).
Kedua, kewajiban pengendali data adalah meminta persetujuan eksplisit, menjaga keamanan sistem, dan melaporkan insiden kebocoran maksimal dalam 3 × 24 jam.
Korelasi UU ITE terhadap Perubahan Paradigma
UU ITE sebelumnya hanya menyediakan hak untuk dilupakan (right to be forgotten) pada Pasal 26 ayat (3)–(5). UU PDP memperluas dan memperdalam hak ini, sehingga penghapusan data menjadi kewajiban hukum yang konkret, tidak lagi sekadar norma umum yang sulit dieksekusi. UU PDP juga menutup celah abu-abu yang tidak terjangkau oleh UU ITE, seperti pemrosesan data sensitif, profiling berbasis data, dan pemindahan data lintas batas.
UU PDP menetapkan sanksi keras bagi pelanggaran. Sanksi pidana penjara maksimal 6 tahun dan denda maksimal Rp6 miliar bagi pelaku yang mengungkapkan atau memperjualbelikan data tanpa hak. Sanksi perdata dan administratif, gugatan ganti rugi oleh subjek data, denda administratif hingga 2% pendapatan tahunan (revenue) korporasi, serta pembekuan kegiatan usaha. Kerangka ini menegaskan prinsip sekaligus fungsi deterrent effect dan pemulihan hak korban.
UU ITE melalui Pasal 30–32 memberikan dasar kriminalisasi terhadap akses ilegal, penyadapan,
pencurian data, manipulasi, perusakan data elektronik, distribusi data pribadi.
Dalam konteks penegakan, Pasal 45 UU ITE memperkuat sanksi pidana UU PDP, sehingga rezim hukumnya menjadi terpadu: UU ITE menghukum perilaku kejahatannya, UU PDP menghukum pelanggaran terhadap sistem pemrosesan datanya.
Kasus-kasus kebocoran data masif seperti BPJS Kesehatan (279 juta data) dan Tokopedia (91 juta akun) membuktikan bahwa kerangka hukum saat itu tidak memadai untuk melindungi publik dan memproses pelaku secara adil. Kedua kasus memperlihatkan lemahnya standar keamanan digital nasional dan ketiadaan mekanisme pertanggungjawaban yang efektif.
Lebih ironis lagi, ketika lembaga pemerintah seperti Kemendagri, KPU, dan Ditjen Imigrasi menjadi sumber kebocoran, publik tidak memperoleh pemulihan maupun kejelasan akuntabilitas. Di sinilah urgensi pembentukan Badan Penyelesaian Sengketa Data Pribadi menjadi vital—sebagai mekanisme penyelesaian sengketa cepat, independen, dan berbasis keadilan korban sebagaimana diperintahkan UU PDP.
Setelah UU PDP efektif, yurisprudensi seperti Putusan PN Karanganyar No. 5/Pid.Sus/2023/PN Krg menunjukkan babak baru penegakan hukum. Putusan ini menjadi preseden penting bahwa pelanggaran data bukan lagi peristiwa teknis, melainkan tindak pidana yang dapat dihukum.
Namun, putusan tersebut sekaligus mengungkap tantangan serius: rendahnya literasi aparat, ketiadaan pedoman teknis yang kuat, dan belum terujinya pertanggungjawaban korporasi raksasa dalam kasus pelanggaran data. Masa depan penegakan UU PDP akan sangat ditentukan oleh konsistensi yurisprudensi berikutnya dan keberanian menangani pelaku skala besar.
Korelasi UU ITE di Ranah Yurisprudensi
Sebelum UU PDP efektif, hampir seluruh penindakan kasus kebocoran data bertumpu pada Pasal 30–32 UU ITE. Namun, putusan-putusan tersebut minim menyentuh tanggung jawab korporasi selaku pengendali data. Dengan kehadiran UU PDP, hakim kini memiliki dua instrumen sekaligus: UU ITE untuk memproses pelaku teknis, UU PDP untuk memproses korporasi dan pengendali data secara struktural. Inilah fondasi yurisprudensi yang sebelumnya hilang.
UU PDP berkedudukan sebagai lex specialis yang secara teknis mengatur pemrosesan data dan hak subjek data, sekaligus melengkapi KUHP yang mengatur tindak pidana umum dalam kejahatan digital. Sinergi ini memperkuat keamanan siber nasional dan menegaskan bahwa pelanggaran privasi bukan sekadar pelanggaran administratif, melainkan pelanggaran terhadap martabat warga negara.
UU ITE berfungsi sebagai jembatan antara tindak pidana digital dalam KUHP dan tindak pelanggaran pemrosesan data dalam UU PDP. Dengan demikian, struktur penegakannya menjadi tiga lapis. Pertama, UU PDP --pelanggaran pemrosesan dan tanggung jawab pengendali data. Kedua, UU ITE --kejahatan digital, akses ilegal, distribusi data. Ketiga, KUHP --tindak pidana umum yang relevan. Sinergi tiga lapis ini mempertegas bahwa hukum siber Indonesia tidak lagi bergerak dalam ruang vakum normatif.
UU PDP adalah janji konstitusional negara, tetapi hanya memiliki daya paksa melalui keberanian penegakan hukum. Pengalaman masa lalu membuktikan bahwa regulasi kerap dilemahkan oleh praktik di lapangan. Pertanyaan esensial pun muncul . Apakah negara memiliki kemauan politik untuk menindak tegas pelanggar data terbesar — bahkan jika pelakunya adalah lembaga negara atau korporasi multinasional?
Urgensi pembentukan Badan Penyelesaian Sengketa Data Pribadi sebagai amanat UU PDP menjadi indikator paling konkret apakah negara sungguh-sungguh melindungi warga atau sekadar membiarkan hukum menjadi dekorasi normatif. Tanpa lembaga independen ini, hak ganti rugi korban hanyalah ilusi dan penegakan UU PDP akan ompong secara struktural. Dan sayang nya hingga saat ini, Badan tersebut belum ada tanda-tanda akan dibentuk.
Sejak 17 Oktober 2024, tidak ada lagi ruang bagi kelalaian untuk berlindung di balik justifikasi kesalahan teknis. Privasi warga adalah batas kedaulatan yang tidak boleh dilanggar. Indonesia sedang memasuki persimpangan jalan: menjadi negara yang berdaulat digital atau tetap menjadi entitas yang terkolonisasi oleh kekuasaan data global.
Advokat/Direktur Eksekutif RECHT Institute
Research and Education Center for Humanitarian Transparency Law
SAAT data pribadi — termasuk data kesehatan, identitas resmi (NIK), riwayat medis, hingga kontak personal — milik ratusan juta warga Indonesia dilaporkan bocor dan diperjualbelikan secara bebas di pasar gelap digital (dark web), negara tampak terperangah dan gagal bertindak. Insiden kebocoran data yang dikelola lembaga pemerintah, badan usaha digital, dan penyelenggara layanan publik terjadi berulang tanpa adanya pertanggungjawaban hukum yang sebanding.
Implikasinya, privasi warga seolah kehilangan nilai, arah, dan perlindungan nyata. Kebocoran data di lembaga negara seperti Dukcapil, Ditjen Imigrasi, KPU, hingga sistem e-HAC Kemkes menjadi bukti bahwa problem keamanan digital bukan hanya kesalahan teknis sektor privat, melainkan kegagalan struktural tata kelola negara dalam menjaga hak fundamental warga.
Latar sejarah kelam inilah yang mendorong lahirnya Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP)—bukan bermula dari kemewahan diskursus akademik atau kejeniusan legislasi, melainkan dari tekanan publik dan kegentingan nasional yang mendesak. Indonesia tertinggal lebih dari satu dekade dibanding yurisdiksi lain yang telah menerapkan standar ketat seperti General Data Protection Regulation (GDPR) Uni Eropa.
Ruang digital nasional selama ini dibiarkan tanpa regulasi memadai, menjadikan warga sebagai objek eksploitasi data secara sistematis, baik oleh korporasi maupun entitas negara. Oleh karena itu, UU PDP menjadi tonggak sejarah baru yang secara eksplisit mengakui privasi sebagai hak asasi manusia fundamental dan data sebagai aset strategis kedaulatan digital.
Efektivitas Hukum: Transisi dari Insiden Menuju Pelanggaran
UU PDP diundangkan pada 17 Oktober 2022 dan menetapkan masa transisi dua tahun untuk penyesuaian infrastruktur dan tata kelola sistem, sehingga berlaku efektif penuh pada 17 Oktober 2024. Sejak tanggal tersebut, setiap insiden kebocoran atau pemrosesan data secara ilegal tidak lagi dapat dikategorikan sebagai kesalahan teknis semata, melainkan telah dikonstitusikan sebagai pelanggaran hukum dengan konsekuensi pidana dan perdata yang mengikat. Era toleransi dan impunitas telah berakhir. Era akuntabilitas sistemik dimulai.
UU ITE (UU 11/2008 jo UU 19/2016) sebenarnya sudah lebih dulu mengatur sejumlah norma yang relevan terkait akses ilegal, intersepsi, manipulasi data elektronik, dan distribusi data pribadi tanpa hak. Namun, UU ITE tidak memberikan definisi komprehensif soal “data pribadi”, tidak mengatur hak subjek data, dan tidak menyediakan mekanisme ganti rugi langsung.
Karena itu, UU ITE hanya menjadi penal umbrella (payung pidana), sedangkan UU PDP menjadi lex specialis yang mengisi kekosongan ruang perlindungan warga. Sejak 2024, kedua UU ini bergerak sinergis: UU PDP mengatur proses, UU ITE mengatur penyalahgunaan dan perbuatan melawan hukumnya.
UU PDP memuat empat tujuan utama yang menjadi penentu orientasi peradaban digital Indonesia. Pertama, menjamin kedaulatan individu atas kendali data pribadinya. Kedua, memberikan kepastian dan perlindungan hukum atas seluruh aktivitas pemrosesan data. Ketiga, mendorong ekosistem pengelolaan data yang etis dan berkeadilan. Keempat, menjaga kepentingan publik dan kepentingan nasional dalam arsitektur digital.
Di tengah dominasi kecerdasan buatan dan algoritma, data adalah manifestasi identitas dan kekuasaan. Tanpa pengendalian terhadap data pribadi, individu berisiko direduksi menjadi objek komodifikasi algoritmik.
Korelasi UU ITE dalam Fondasi Normatif
UU ITE mempertegas orientasi ini melalui Pasal 26 yang mengakui perlindungan data pribadi sebagai bagian dari hak privasi. Pasal tersebut juga mengatur bahwa setiap pihak dilarang menggunakan, memanfaatkan, atau mengubah data seseorang tanpa izin. Dengan hadirnya UU PDP, Pasal 26 UU ITE mendapatkan instrumen implementatif yang jauh lebih kuat, terukur, dan dapat dieksekusi secara hukum.
UU PDP mentransformasi status subjek data dari objek pasif menjadi entitas yang berdaulat, dengan rincian hak dan kewajiban sebagai berikut. Pertama, hak subjek data meliputi hak memperoleh informasi, hak perbaikan, hak penghapusan (right to be forgotten), hak menolak profiling, dan hak menarik kembali persetujuan (consent).
Kedua, kewajiban pengendali data adalah meminta persetujuan eksplisit, menjaga keamanan sistem, dan melaporkan insiden kebocoran maksimal dalam 3 × 24 jam.
Korelasi UU ITE terhadap Perubahan Paradigma
UU ITE sebelumnya hanya menyediakan hak untuk dilupakan (right to be forgotten) pada Pasal 26 ayat (3)–(5). UU PDP memperluas dan memperdalam hak ini, sehingga penghapusan data menjadi kewajiban hukum yang konkret, tidak lagi sekadar norma umum yang sulit dieksekusi. UU PDP juga menutup celah abu-abu yang tidak terjangkau oleh UU ITE, seperti pemrosesan data sensitif, profiling berbasis data, dan pemindahan data lintas batas.
UU PDP menetapkan sanksi keras bagi pelanggaran. Sanksi pidana penjara maksimal 6 tahun dan denda maksimal Rp6 miliar bagi pelaku yang mengungkapkan atau memperjualbelikan data tanpa hak. Sanksi perdata dan administratif, gugatan ganti rugi oleh subjek data, denda administratif hingga 2% pendapatan tahunan (revenue) korporasi, serta pembekuan kegiatan usaha. Kerangka ini menegaskan prinsip sekaligus fungsi deterrent effect dan pemulihan hak korban.
UU ITE melalui Pasal 30–32 memberikan dasar kriminalisasi terhadap akses ilegal, penyadapan,
pencurian data, manipulasi, perusakan data elektronik, distribusi data pribadi.
Dalam konteks penegakan, Pasal 45 UU ITE memperkuat sanksi pidana UU PDP, sehingga rezim hukumnya menjadi terpadu: UU ITE menghukum perilaku kejahatannya, UU PDP menghukum pelanggaran terhadap sistem pemrosesan datanya.
Kasus-kasus kebocoran data masif seperti BPJS Kesehatan (279 juta data) dan Tokopedia (91 juta akun) membuktikan bahwa kerangka hukum saat itu tidak memadai untuk melindungi publik dan memproses pelaku secara adil. Kedua kasus memperlihatkan lemahnya standar keamanan digital nasional dan ketiadaan mekanisme pertanggungjawaban yang efektif.
Lebih ironis lagi, ketika lembaga pemerintah seperti Kemendagri, KPU, dan Ditjen Imigrasi menjadi sumber kebocoran, publik tidak memperoleh pemulihan maupun kejelasan akuntabilitas. Di sinilah urgensi pembentukan Badan Penyelesaian Sengketa Data Pribadi menjadi vital—sebagai mekanisme penyelesaian sengketa cepat, independen, dan berbasis keadilan korban sebagaimana diperintahkan UU PDP.
Setelah UU PDP efektif, yurisprudensi seperti Putusan PN Karanganyar No. 5/Pid.Sus/2023/PN Krg menunjukkan babak baru penegakan hukum. Putusan ini menjadi preseden penting bahwa pelanggaran data bukan lagi peristiwa teknis, melainkan tindak pidana yang dapat dihukum.
Namun, putusan tersebut sekaligus mengungkap tantangan serius: rendahnya literasi aparat, ketiadaan pedoman teknis yang kuat, dan belum terujinya pertanggungjawaban korporasi raksasa dalam kasus pelanggaran data. Masa depan penegakan UU PDP akan sangat ditentukan oleh konsistensi yurisprudensi berikutnya dan keberanian menangani pelaku skala besar.
Korelasi UU ITE di Ranah Yurisprudensi
Sebelum UU PDP efektif, hampir seluruh penindakan kasus kebocoran data bertumpu pada Pasal 30–32 UU ITE. Namun, putusan-putusan tersebut minim menyentuh tanggung jawab korporasi selaku pengendali data. Dengan kehadiran UU PDP, hakim kini memiliki dua instrumen sekaligus: UU ITE untuk memproses pelaku teknis, UU PDP untuk memproses korporasi dan pengendali data secara struktural. Inilah fondasi yurisprudensi yang sebelumnya hilang.
UU PDP berkedudukan sebagai lex specialis yang secara teknis mengatur pemrosesan data dan hak subjek data, sekaligus melengkapi KUHP yang mengatur tindak pidana umum dalam kejahatan digital. Sinergi ini memperkuat keamanan siber nasional dan menegaskan bahwa pelanggaran privasi bukan sekadar pelanggaran administratif, melainkan pelanggaran terhadap martabat warga negara.
UU ITE berfungsi sebagai jembatan antara tindak pidana digital dalam KUHP dan tindak pelanggaran pemrosesan data dalam UU PDP. Dengan demikian, struktur penegakannya menjadi tiga lapis. Pertama, UU PDP --pelanggaran pemrosesan dan tanggung jawab pengendali data. Kedua, UU ITE --kejahatan digital, akses ilegal, distribusi data. Ketiga, KUHP --tindak pidana umum yang relevan. Sinergi tiga lapis ini mempertegas bahwa hukum siber Indonesia tidak lagi bergerak dalam ruang vakum normatif.
UU PDP adalah janji konstitusional negara, tetapi hanya memiliki daya paksa melalui keberanian penegakan hukum. Pengalaman masa lalu membuktikan bahwa regulasi kerap dilemahkan oleh praktik di lapangan. Pertanyaan esensial pun muncul . Apakah negara memiliki kemauan politik untuk menindak tegas pelanggar data terbesar — bahkan jika pelakunya adalah lembaga negara atau korporasi multinasional?
Urgensi pembentukan Badan Penyelesaian Sengketa Data Pribadi sebagai amanat UU PDP menjadi indikator paling konkret apakah negara sungguh-sungguh melindungi warga atau sekadar membiarkan hukum menjadi dekorasi normatif. Tanpa lembaga independen ini, hak ganti rugi korban hanyalah ilusi dan penegakan UU PDP akan ompong secara struktural. Dan sayang nya hingga saat ini, Badan tersebut belum ada tanda-tanda akan dibentuk.
Sejak 17 Oktober 2024, tidak ada lagi ruang bagi kelalaian untuk berlindung di balik justifikasi kesalahan teknis. Privasi warga adalah batas kedaulatan yang tidak boleh dilanggar. Indonesia sedang memasuki persimpangan jalan: menjadi negara yang berdaulat digital atau tetap menjadi entitas yang terkolonisasi oleh kekuasaan data global.
(poe)
Lihat Juga :
