Locopath.id

Loco LAB

Perlindungan Data Pribadi di Era Digital

locopath.id

Oleh: Tim Penyusun, Diupdate 10 Januari 2026

Perlindungan data pribadi telah menjadi hak asasi fundamental di era digital yang tidak dapat ditawar (non-negotiable). Esai ini menganalisis kerangka regulasi perlindungan data pribadi Indonesia melalui Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) dengan membandingkannya dengan standar internasional, khususnya General Data Protection Regulation (GDPR) Uni Eropa. Penelitian ini mencakup: (1) konsep dasar privasi sebagai hak asasi manusia dengan analisis terhadap empat dimensi privasi (information, communication, territorial, bodily privacy); (2) definisi dan tipologi data pribadi (umum vs. spesifik/sensitif); (3) mapping terhadap 9 hak subjek data pribadi dalam UU PDP dan perbandingan dengan GDPR; (4) analisis terhadap kewajiban pengendali data dan prosesor data dalam pemrosesan data pribadi; (5) study kasus pelanggaran data pribadi di Indonesia (khususnya Tokopedia breach 2020, serangan ransomware Pusat Data Nasional 2024, dan kasus BSI Bank); (6) gap analysis antara UU PDP dengan implementasi praktis berdasarkan putusan pengadilan 2024-2025; dan (7) rekomendasi untuk penguatan enforcement dan capacity building. Penelitian menunjukkan bahwa meskipun UU PDP mengadopsi banyak prinsip dari GDPR, terdapat kesenjangan signifikan dalam kapasitas implementasi, mekanisme penegakan hukum, dan koordinasi antar pemangku kepentingan. Tantangan utama meliputi: keterbatasan kesadaran tentang hak subjek data, penegakan hukum yang lemah terhadap pelanggaran, kesenjangan dalam kapasitas teknis untuk kepatuhan perlindungan data, dan ketegangan antara perlindungan data dengan kepentingan ekonomi. Esai ini menyimpulkan bahwa implementasi sukses dari UU PDP memerlukan: program capacity building yang komprehensif, mekanisme penegakan hukum yang lebih kuat, koordinasi antar lembaga yang ditingkatkan, pembentukan lembaga pengawas independen, serta mekanisme kompensasi korban yang kuat.

1. Pendahuluan: Privasi sebagai Hak Asasi Fundamental di Era Digital

Privasi, yang pada era tradisional sering dikaitkan dengan konsep “being left alone” sebagaimana dirumuskan oleh Warren & Brandeis pada tahun 1890,[1] telah berkembang dalam era digital menjadi isu yang jauh lebih kompleks dan multifaset. Transformasi ini dipicu oleh beberapa faktor fundamental yang mengubah lanskap perlindungan data pribadi secara global.

Pertama, Ubiquity of Data Collection: Dalam konteks pra-digital, pengumpulan data tentang individu terbatas pada lembaga pemerintah atau institusi tertentu. Namun, di era digital, pengumpulan data dilakukan oleh berbagai aktor: perusahaan teknologi, platform e-commerce, media sosial, institusi keuangan, penyedia layanan kesehatan, lembaga pemerintah, dan berbagai entitas lainnya.[2] Fenomena ini menciptakan jejak digital (digital footprint) yang masif dan permanen.

Kedua, Volume dan Granularity of Data: Tidak hanya volume data yang meningkat secara eksponensial (big data phenomenon), tetapi juga tingkat detail tentang kehidupan individu. Dari informasi demografis sederhana, kini pengumpulan data mencakup: pola perilaku, data lokasi real-time, informasi kesehatan, transaksi keuangan, komunikasi, interaksi digital, dan bahkan data inferensial (data yang diturunkan dari analisis perilaku individu).[3]

Ketiga, Interconnectedness dan Data Analytics: Di era digital, data dari berbagai sumber dapat diintegrasikan dan dianalisis menggunakan analitik lanjutan, machine learning, dan kecerdasan buatan untuk menghasilkan insights tentang individu yang sebelumnya tidak mungkin. Hal ini menciptakan fenomena “secondary use” atau “re-purposing” data—data yang awalnya dikumpulkan untuk satu tujuan kemudian digunakan untuk tujuan yang sama sekali berbeda tanpa sepengetahuan subjek data.[4]

Keempat, Power Asymmetry: Individu memiliki visibilitas dan kontrol yang terbatas atas bagaimana data pribadi mereka dikumpulkan, digunakan, dan dibagikan. Sebaliknya, organisasi yang mengumpulkan dan menggunakan data memiliki kekuatan signifikan dalam menentukan bagaimana data digunakan, dengan siapa dibagikan, dan bagaimana dilindungi.[5]

Dalam konteks Indonesia, transformasi ini sangat akut mengingat pertumbuhan pesat ekonomi digital, adopsi tinggi media sosial dan aplikasi messaging, pengalaman historis terbatas dengan legislasi perlindungan data, dan kekhawatiran tentang bagaimana pemerintah dapat menggunakan data untuk pengawasan dan kontrol.[6]

Statistik Ancaman Siber Indonesia 2024:

Berdasarkan laporan SOCRadar Indonesia Threat Landscape Report 2024, Indonesia menghadapi ancaman siber yang signifikan dengan 89 aktor ancaman aktif menargetkan perusahaan Indonesia, dengan 12,74% berfokus pada industri Informasi.[7] Insiden ransomware melonjak dengan 130 serangan unik, termasuk 24 kasus di mana Indonesia menjadi target utama.[8] Data Stealer Logs mengkompromikan data ribuan pengguna, dan 4.046 serangan phishing menargetkan sektor Layanan Informasi. Selain itu, serangan DDoS mencapai 693 Gbps, menunjukkan eskalasi ancaman siber.[9]

Data Kaspersky menunjukkan bahwa pada tahun 2024, Indonesia mengalami 19,2 juta serangan berbasis web, meskipun turun 34,85% dari tahun sebelumnya.[10] Sementara itu, SAFEnet melaporkan 330 kasus serangan digital pada tahun 2024, meningkat dari 323 kasus di tahun 2023.[11] Di kuartal pertama 2024 saja, Indonesia menghadapi 5,86 juta ancaman online dan 10,09 juta ancaman lokal.[12]

Dalam perspektif global, Indonesia menduduki peringkat ke-8 dunia dalam jumlah pelanggaran data pada tahun 2023.[13] Pada paruh pertama 2024, lebih dari 315.000 kredensial Indonesia dikompromikan, dengan rata-rata lebih dari 60 kredensial setiap jam.[14] Lebih dari 660 juta rekaman dan lebih dari 1 terabyte data telah dilanggar dalam periode yang sama.[15]

Insiden Pelanggaran Data Mayor:

Pada Mei 2020, Tokopedia mengalami pelanggaran data masif yang mengekspos 91 juta akun pengguna. Data yang dikompromikan termasuk 71 juta alamat email unik, nama, jenis kelamin, tanggal lahir, password (disimpan sebagai hash SHA2-384), dan nomor telepon.[16] Database tersebut dijual di dark web seharga $5.000 USD, menunjukkan nilai ekonomi dari data pribadi yang dicuri.[17]

Pada Juni 2024, Pusat Data Nasional (PDN) Indonesia mengalami serangan ransomware yang mengganggu layanan pemerintah dengan tuntutan tebusan sebesar $8 juta.[18] Insiden ini mengekspos kerentanan infrastruktur keamanan siber nasional dan menimbulkan pertanyaan kritis mengenai tanggung jawab negara dalam melindungi data pribadi berdasarkan hukum domestik dan internasional.[19]

Pada Agustus 2024, Badan Kepegawaian Negara (BKN) mengalami pelanggaran data yang mengkompromikan lebih dari 4,7 juta rekaman pegawai negeri sipil, termasuk nama, nomor telepon, dan alamat email, menimbulkan kekhawatiran serius tentang pencurian identitas dan aktivitas berbahaya lainnya yang menargetkan segmen populasi besar ini.[20]

2. Konsep Dasar Privasi: Dari Hak Asasi ke Data Protection

2.1 Privasi sebagai Hak Asasi Manusia

Privasi bukan hanya hak hukum tetapi juga hak asasi manusia fundamental yang diakui oleh instrumen internasional.[21]

2.1.1 Pengakuan Internasional

Universal Declaration of Human Rights (UDHR) Pasal 12:

No one should be subjected to arbitrary interference with his privacy, family, home or correspondence, or to attacks on his honor and reputation. Everyone has the right to the protection of the law against such interference or attacks.[22]

European Convention on Human Rights (ECHR) Pasal 8 (1950):

Menetapkan hak untuk menghormati kehidupan pribadi dan keluarga, rumah, dan korespondensi, dengan caveat bahwa interferensi dapat dibenarkan dalam masyarakat demokratis untuk tujuan seperti keamanan nasional, keselamatan publik, atau pencegahan kejahatan.[23]

International Covenant on Civil and Political Rights (ICCPR):

Indonesia memiliki kewajiban untuk melindungi data pribadi berdasarkan ICCPR dan Responsibility of States for Internationally Wrongful Acts (RSIWA 2001).[24] Namun, kesenjangan dalam implementasi, kurangnya koordinasi kelembagaan, dan infrastruktur keamanan siber yang tidak memadai terus menghambat perlindungan yang efektif.

2.1.2 Konstitusionalisasi di Indonesia

Dalam konteks Indonesia, hak atas privasi dikonstitutsionalisasikan melalui UUD 1945 Pasal 28G ayat (1):

Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat dan harta benda di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman takut untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.[25]

Pasal ini mengakui bahwa perlindungan privasi adalah masalah martabat manusia dan kebebasan fundamental—bukan hanya masalah praktis keamanan data.

2.2 Dimensi-Dimensi Privasi: Taxonomy untuk Era Digital

Literatur akademik internasional mengidentifikasi empat dimensi privasi yang memerlukan perlindungan:

2.2.1 Information Privacy (Privasi atas Informasi)

Definisi: Proteksi terhadap data pribadi yang mencerminkan aspek kehidupan dan karakteristik individu.[26]

Cakupan: Riwayat kredit, catatan medis, informasi keuangan, catatan pendidikan, riwayat pekerjaan, catatan kriminal, dan informasi serupa yang sensitif karena pengungkapannya dapat merugikan individu atau digunakan untuk diskriminasi atau eksploitasi.

Mekanisme Proteksi: – Kontrol akses: Akses terbatas ke informasi melalui autentikasi (passwords, biometrik, autentikasi multi-faktor) – Minimalisasi data: Mengumpulkan hanya data yang diperlukan untuk tujuan yang dinyatakan – Pembatasan tujuan: Menggunakan data hanya untuk tujuan spesifik yang diungkapkan – Agensi individual: Memungkinkan individu untuk mengakses, mengoreksi, dan menghapus informasi pribadi – Kepatuhan hukum: Memastikan pemrosesan data mematuhi hukum yang berlaku

Tantangan dalam Era Digital:

Proliferasi sumber data membuat tidak mungkin bagi individu untuk sepenuhnya melacak bagaimana data mereka digunakan. Data inferensial (data yang diturunkan dari analisis perilaku) menciptakan kekhawatiran privasi baru yang tidak sepenuhnya diatasi oleh mekanisme perlindungan tradisional. Aliran data lintas batas memperumit penegakan proteksi privasi.[27]

2.2.2 Communication Privacy (Privasi atas Komunikasi)

Definisi: Proteksi terhadap konten komunikasi dari intersepsi, penggunaan tidak sah, dan pengungkapan.[28]

Cakupan: Surat, percakapan telepon, email, pesan instan, komunikasi video, dan bentuk komunikasi digital serupa.

Kerangka Hukum: – Amerika Serikat: Electronic Communications Privacy Act (ECPA, 1986), Cable Communications Policy Act, Telecommunications Act, Video Privacy Protection Act – Indonesia: UU No. 36 Tahun 1999 tentang Telekomunikasi; ketentuan dalam UU ITE tentang intersepsi[29]

Mekanisme Proteksi: – Enkripsi: Mengonversi komunikasi ke bentuk yang tidak dapat dibaca tanpa kunci dekripsi yang tepat – Persyaratan surat perintah: Mengharuskan lembaga pemerintah untuk mendapatkan otorisasi hukum sebelum mengintersepi komunikasi – Kewajiban ISP/penyedia: Mengharuskan penyedia layanan untuk melindungi kerahasiaan komunikasi

Tantangan:

Dilema enkripsi end-to-end: Sementara enkripsi E2E melindungi privasi, pemerintah berpendapat hal ini menghambat investigasi penegakan hukum. Pengumpulan metadata: Bahkan komunikasi terenkripsi mengungkapkan metadata (siapa berkomunikasi dengan siapa, kapan, dari mana) yang dapat mengungkapkan informasi sensitif. Program pengawasan pemerintah: Skandal seperti pengungkapan Snowden menunjukkan lembaga pemerintah melakukan pengawasan massal yang jauh melebihi otoritas hukum.[30]

2.2.3 Territorial Privacy (Privasi atas Wilayah)

Definisi: Proteksi terhadap intrusi ke ruang pribadi (rumah, tempat kerja, dll.) dan aktivitas pribadi.[31]

Cakupan: – Ruang fisik: Rumah, kantor pribadi, kendaraan pribadi – Aktivitas: Gerakan di ruang publik (sehingga terkait dengan privasi lokasi), penggeledahan orang/properti, aktivitas pengawasan – Konsep wilayah: Wilayah terlampir (attached territories – tubuh), wilayah pusat (central territories – rumah), wilayah pendukung (supporting territories – mobil, kantor), wilayah periferal (peripheral territories – ruang publik yang sering dikunjungi individu)

Mekanisme Proteksi: – Persyaratan surat perintah: Penegakan hukum memerlukan otorisasi yudisial untuk penggeledahan atau pengawasan – Tes ekspektasi privasi yang wajar: Menentukan apakah individu memiliki ekspektasi privasi yang wajar di lokasi tertentu – Pembatasan teknologi pengawasan: Regulasi tentang penempatan CCTV, penggunaan drone untuk pengawasan, dll.

Komplikasi Era Digital:

Pelacakan lokasi: Perangkat mobile terus menghasilkan data lokasi yang dapat mengungkapkan informasi rinci tentang pergerakan dan kebiasaan individu. Geofencing: Teknologi yang memungkinkan penargetan individu ketika mereka berada di lokasi tertentu. Pengawasan jarak jauh: Kamera, mikrofon, dan perangkat serupa dapat diakses dari jarak jauh untuk melakukan pengawasan.[32]

2.2.4 Bodily Privacy (Privasi atas Tubuh)

Definisi: Proteksi terhadap tubuh fisik dari prosedur invasif dan akses tidak sah.[33]

Cakupan: – Prosedur medis: Tes darah, sinar-X, tes genetik, pemeriksaan medis – Penggeledahan tubuh: Penggeledahan orang, penggeledahan telanjang – Modifikasi tubuh: Tato, piercing, prosedur kosmetik – Hak reproduksi: Aborsi, kontrasepsi, pilihan reproduksi – Spesimen biologis: Sampel DNA, sampel darah, sampel jaringan

Kekhawatiran Etis dalam Era Digital:

Data genetik: Sementara informasi genetik dapat memberikan insights kesehatan yang berharga, penyalahgunaan data genetik dapat menyebabkan diskriminasi (pekerjaan, asuransi, kencan) atau pengawasan yang tidak diinginkan. Identifikasi biometrik: Sidik jari, pengenalan wajah, scan iris memberikan identifikasi akurat tetapi juga memungkinkan pengawasan massal. Data kesehatan: Catatan medis mengandung informasi sensitif yang ingin dijaga kerahasiaannya oleh individu.[34]

3. Data Pribadi: Definisi, Tipologi, dan Perlindungan dalam UU PDP

3.1 Definisi Data Pribadi: Komparatif dengan Standar Internasional

3.1.1 Definisi dalam Berbagai Regulasi

EC Directive 95/46:

Any information relating to an identified or identifiable natural person (data subject); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity[35]

OECD Guidelines 1980:

Personal data means any information relating to an identified or identifiable individual (data subject).[36]

UK Data Protection Act 1998:

Data which relate to a living individual who can be identified: (a) from those data, or (b) from those data or other information, which is in the possession of the data controller, and includes any expression of opinion about the individual and any indication of the intentions of the data controller or any other person in respect of the individual[37]

EU GDPR:

Personal data means any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person[38]

UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (Indonesia):

Data Pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.[39]

3.1.2 Analisis Komparatif: Key Distinctions

Semua definisi mengakui orang yang dapat diidentifikasi (identifiable persons) sebagai subjek perlindungan data, bukan hanya orang yang teridentifikasi. Berbagai definisi secara eksplisit mengakui identifikasi tidak langsung (misalnya, melalui pengidentifikasi, informasi kontekstual). GDPR dan UU PDP memiliki cakupan yang lebih luas (termasuk informasi faktual dan opini tentang orang). UU PDP secara eksplisit mengakui bentuk elektronik dan non-elektronik dari data. UU PDP dan GDPR mengakui bahwa kombinasi informasi dapat membuat orang dapat diidentifikasi.[40]

Key Insight: Definisi modern dari “personal data” sengaja dibuat luas—mencakup tidak hanya informasi yang secara eksplisit mengidentifikasi tetapi juga informasi yang melalui kombinasi dengan informasi lain dapat mengungkapkan identitas. Hal ini penting untuk mencegah pengelakan perlindungan data melalui anonimisasi atau pseudonimisasi yang dapat dengan mudah dibalik.

3.2 Tipologi Data Pribadi: Umum vs. Spesifik (Sensitif)

3.2.1 Data Pribadi yang Bersifat Umum (General Personal Data)

Menurut Pasal 4 ayat (3) UU PDP, data pribadi yang bersifat umum meliputi:[41] – Nama lengkap – Jenis kelamin – Kewarganegaraan – Agama – Status perkawinan – Data pribadi yang dikombinasikan untuk mengidentifikasi seseorang

Karakteristik: Data ini umumnya kurang sensitif karena pengungkapannya, ketika berdiri sendiri, tidak selalu menyebabkan kerugian signifikan. Namun, kombinasi dari titik data umum dapat memungkinkan identifikasi dan berpotensi memungkinkan penargetan untuk tujuan jahat (misalnya, social engineering).

3.2.2 Data Pribadi yang Bersifat Spesifik/Sensitif (Special Categories)

Menurut Pasal 4 ayat (2) UU PDP, data pribadi spesifik meliputi:[42] – Data dan informasi kesehatan – Data biometrik – Data genetika – Catatan kejahatan – Data anak – Data keuangan pribadi – Data lainnya sesuai dengan ketentuan peraturan perundang-undangan

Karakteristik: Data ini memerlukan perlindungan yang lebih tinggi karena pengungkapan atau penyalahgunaan dapat: – Memungkinkan diskriminasi (misalnya, berdasarkan status kesehatan, predisposisi genetik) – Melanggar martabat (misalnya, orientasi seksual, keyakinan agama) – Memungkinkan eksploitasi (misalnya, informasi keuangan dapat digunakan untuk penipuan) – Menimbulkan risiko fisik (misalnya, data lokasi dapat memungkinkan stalking atau pelecehan)

3.2.3 Perbandingan dengan GDPR Special Categories (Pasal 9)

GDPR mengidentifikasi kategori spesifik yang memerlukan perlindungan yang lebih tinggi:[43] – Data pribadi yang mengungkapkan asal ras atau etnis – Opini politik – Keyakinan agama atau filosofis – Keanggotaan serikat pekerja – Data genetik dan data biometrik untuk tujuan identifikasi – Data tentang kesehatan – Data tentang kehidupan seks atau orientasi seksual

Perbedaan Kunci:

Berbeda dengan GDPR, UU PDP tidak secara eksplisit mengklasifikasikan asal ras atau etnis, opini politik, keyakinan agama atau filosofis, keanggotaan serikat pekerja, dan informasi terkait seks sebagai data sensitif.[44] Namun, UU PDP memberikan ruang untuk klasifikasi tambahan berdasarkan hukum dan peraturan lain.

Sebaliknya, GDPR tidak secara eksplisit mengkategorikan catatan kriminal, data keuangan, dan data anak sebagai kategori khusus data pribadi, meskipun pemrosesan data tentang anak tunduk pada persyaratan khusus berdasarkan GDPR.[45]

3.3 Pemrosesan Data Pribadi: Principles dan Safeguards dalam UU PDP

3.3.1 Prinsip-Prinsip Pemrosesan (Pasal 3)

UU PDP menetapkan delapan prinsip untuk memandu perlindungan data:[46]

  1. Pelindungan (Protection): Memastikan data dilindungi dari akses, modifikasi, penghancuran yang tidak sah
  2. Kepastian Hukum (Legal Certainty): Pemrosesan data transparan dan mengikuti kerangka hukum
  3. Kepentingan Umum (Public Interest): Pemrosesan data dapat dibenarkan untuk melayani kepentingan publik
  4. Kemanfaatan (Utility/Benefit): Pemrosesan data harus menghasilkan manfaat bagi individu atau masyarakat
  5. Kehati-hatian (Prudence): Pengendali data harus melakukan due diligence dalam melindungi data
  6. Keseimbangan (Balance): Menyeimbangkan antara kepentingan pengendali data dengan hak subjek data
  7. Pertanggungjawaban (Accountability): Pengendali data harus bertanggung jawab atas kepatuhan
  8. Kerahasiaan (Confidentiality): Informasi pribadi harus dijaga sebagai rahasia

3.3.2 Aktivitas Pemrosesan (Pasal 16)

Pemrosesan data pribadi (sebagaimana didefinisikan dalam Pasal 16) mencakup:[47] – Pemerolehan dan pengumpulan (acquisition dan collection) – Pengolahan dan penganalisisan (processing dan analysis) – Penyimpanan (storage) – Perbaikan dan pembaruan (correction dan updating) – Penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan (display, announcement, transfer, dissemination, atau disclosure) – Penghapusan atau pemusnahan (deletion atau destruction)

3.3.3 Data Protection Safeguards (Pasal 16 ayat 2)

Untuk pemrosesan yang sah, pengendali data harus memastikan:[48]

a. Pengumpulan Terbatas dan Transparan:

Pengumpulan data harus: – Terbatas (limited) pada data yang diperlukan – Spesifik (specific) dalam tujuan – Sah secara hukum (lawful) – Transparan (transparent) kepada subjek data

b. Keselarasan Tujuan:

Pemrosesan data harus selaras dengan tujuan yang telah dikomunikasikan kepada subjek data. Penggunaan sekunder untuk tujuan berbeda memerlukan persetujuan tambahan atau dasar hukum.

c. Penghormatan Hak Subjek Data:

Pemrosesan harus dilakukan dengan tetap menghormati hak subjek data (misalnya, hak akses, hak keberatan, hak penghapusan).

d. Kualitas Data:

Data harus: – Akurat (accurate) – Lengkap (complete) – Tidak menyesatkan (not misleading) – Mutakhir (current/up-to-date) – Dapat dipertanggungjawabkan (accountable)

e. Langkah-Langkah Keamanan:

Data harus dilindungi dari: – Pengaksesan yang tidak sah (unauthorized access) – Pengungkapan yang tidak sah (unauthorized disclosure) – Pengubahan yang tidak sah (unauthorized modification) – Penyalahgunaan (misuse) – Perusakan (destruction) – Penghilangan (loss)

f. Notifikasi:

Pengendali data harus memberitahukan kepada subjek data tentang: – Tujuan pemrosesan – Aktivitas dalam pemrosesan – Kegagalan dalam melindungi data (breach notification)

g. Retensi Data:

Data harus: – Dimusnahkan (destroyed) atau dihapus (deleted) setelah periode retensi berakhir – Atau berdasarkan permintaan dari subjek data – Kecuali jika ditentukan lain oleh hukum yang berlaku

h. Accountability:

Pemrosesan harus: – Dilakukan secara bertanggung jawab (responsibly) – Dapat dibuktikan secara jelas (demonstrable)

4. Hak Subjek Data Pribadi dan Kewajiban Pengendali Data

4.1 Hak Subjek Data Pribadi: Comprehensive Analysis

UU PDP menetapkan 9 hak fundamental untuk subjek data pribadi (Pasal 5-13):[49]

4.1.1 Hak untuk Mendapatkan Informasi (Pasal 5)

Subjek data berhak untuk mendapatkan informasi tentang:[50] – Kejelasan identitas: Mengidentifikasi entitas yang bertanggung jawab untuk pemrosesan data – Dasar kepentingan hukum: Dasar hukum untuk mengapa pemrosesan data dilakukan – Tujuan permintaan: Tujuan spesifik untuk mana data diminta – Penggunaan data pribadi: Bagaimana data pribadi akan digunakan – Akuntabilitas: Bagaimana pengendali data akan dimintai pertanggungjawaban atas kepatuhan

Implementasi Praktis: – Pemberitahuan privasi atau kebijakan privasi yang jelas dan dapat diakses – Sebelum memperoleh data, menginformasikan individu tentang tujuan dan penggunaan – Menyediakan informasi kontak untuk pertanyaan tentang pemrosesan data

4.1.2 Hak untuk Mengakses Data (Pasal 7)

Subjek data berhak untuk:[51] – Mengakses: Mengakses data pribadi tentang diri mereka – Memperoleh salinan: Mendapatkan salinan data pribadi dalam format yang dapat diakses

Cakupan: Termasuk: – Akses ke data yang disimpan – Akses ke metadata tentang pemrosesan data (tujuan, penerima, periode retensi) – Akses dalam format yang dapat dibaca mesin untuk memungkinkan portabilitas

Pengecualian dalam UU PDP (Pasal 15):

Hak ini dapat dikecualikan untuk:[52] – Kepentingan keamanan nasional – Tujuan penegakan hukum – Kepentingan publik dalam tata kelola – Pengawasan sektor keuangan – Statistik dan penelitian ilmiah

4.1.3 Hak untuk Melengkapi, Memperbarui, dan Memperbaiki Data (Pasal 6)

Subjek data berhak untuk:[53] – Memperbaiki: Mengoreksi data yang tidak akurat atau tidak lengkap – Memperbarui: Memperbarui informasi yang sudah usang – Melengkapi: Menambahkan informasi yang hilang

Signifikansi: Memastikan kualitas data dan mencegah kerugian yang dihasilkan dari informasi yang tidak akurat.

4.1.4 Hak untuk Menghapus/Memusnahkan Data (Pasal 8)

Subjek data berhak untuk:[54] – Mengakhiri pemrosesan: Menghentikan pengendali data dari pemrosesan data pribadi – Menghapus data: Menghapus secara permanen data dari sistem pengendali data – Memusnahkan data: Menghancurkan data dengan cara yang tidak dapat dipulihkan

Dasar Hukum untuk Penghapusan: – Data tidak lagi diperlukan untuk tujuan yang dinyatakan – Subjek data menarik persetujuan – Subjek data keberatan terhadap pemrosesan – Pemrosesan data melanggar hukum yang berlaku – Periode retensi telah berakhir

Pengecualian (Pasal 15):

Penghapusan dapat ditolak ketika pemrosesan data diperlukan untuk:[55] – Memenuhi kewajiban hukum – Melaksanakan hak hukum – Tujuan penegakan hukum – Kepentingan publik dalam tata kelola – Statistik atau penelitian ilmiah

4.1.5 Hak untuk Menarik Persetujuan (Pasal 9)

Subjek data dapat:[56] – Menarik persetujuan: Setiap saat, mencabut persetujuan yang sebelumnya diberikan untuk pemrosesan data – Tanpa konsekuensi negatif: Penarikan tidak dapat mengakibatkan penalti atau perlakuan negatif

Pentingnya: Mengakui otonomi individu dan hak untuk mengubah pikiran tentang berbagi data.

4.1.6 Hak untuk Menolak Pemrosesan Otomatis dan Profiling (Pasal 10)

Subjek data dapat:[57] – Keberatan: Keberatan terhadap pengambilan keputusan otomatis yang semata-mata berdasarkan pemrosesan otomatis – Efek: Terutama jika keputusan memiliki efek hukum atau berdampak signifikan pada subjek

Cakupan: – Pengambilan keputusan otomatis (keputusan dibuat tanpa intervensi manusia) – Profiling (membuat profil tentang individu berdasarkan pola perilaku) – Analitik prediktif (menggunakan perilaku masa lalu untuk memprediksi perilaku masa depan)

Hak untuk Penjelasan: Sementara UU PDP tidak secara eksplisit menyatakan, prinsip transparansi menyiratkan subjek data dapat menuntut penjelasan tentang keputusan otomatis.

4.1.7 Hak untuk Mengajukan Keberatan dan Gugatan (Pasal 12)

Subjek data dapat:[58] – Menggugat: Mengajukan gugatan perdata terhadap pengendali data untuk pelanggaran – Ganti rugi: Mencari kompensasi untuk kerugian yang diderita – Injunctive relief: Mencari perintah pengadilan untuk menghentikan pelanggaran

Dasar Hukum: – Pelanggaran ketentuan UU PDP – Kelalaian dalam perlindungan data – Kerugian yang disengaja

Beban Pembuktian: Biasanya jatuh pada subjek data untuk membuktikan pelanggaran dan kerusakan yang dihasilkan.

4.1.8 Hak untuk Menunda atau Membatasi Pemrosesan (Pasal 11)

Subjek data dapat:[59] – Meminta: Menunda (suspend) atau membatasi (limit) pemrosesan data pribadi – Dasar: Ketika ada sengketa tentang akurasi atau legalitas pemrosesan – Proporsional: Pembatasan harus proporsional dengan tujuan

4.1.9 Hak untuk Portabilitas Data (Pasal 13)

Subjek data dapat:[60] – Memperoleh: Menerima data pribadi dalam format terstruktur, umum digunakan, dapat dibaca mesin – Mentransfer: Mentransfer data ke pengendali data lain – Persyaratan: Sistem harus interoperabel untuk memungkinkan transfer yang mulus

Signifikansi: Memungkinkan individu untuk beralih antara penyedia layanan tanpa kehilangan akses ke data pribadi.

4.2 Kewajiban Pengendali Data Pribadi

4.2.1 Kewajiban Dasar Pemrosesan (Pasal 20-24)

Dasar Pemrosesan (Pasal 20):

Pengendali data harus memiliki dasar hukum yang valid untuk setiap pemrosesan data pribadi. Dasar hukum yang valid meliputi:[61]

  1. Persetujuan yang sah secara eksplisit (Explicit Consent):
    1. Dari subjek data
    1. Untuk satu atau beberapa tujuan tertentu yang spesifik
    1. Jelas dan tidak ambigu
    1. Dapat dicabut (revocable) setiap saat
  2. Pemenuhan Kontrak (Contract Performance):
    1. Pemrosesan data diperlukan untuk melaksanakan atau mengambil langkah atas permintaan subjek data untuk memasuki kontrak
  3. Pemenuhan Kewajiban Hukum (Legal Obligation):
    1. Kepatuhan dengan hukum yang berlaku
    1. Misalnya, pelaporan pajak, kepatuhan regulasi
  4. Perlindungan Kepentingan Vital (Vital Interest Protection):
    1. Melindungi kepentingan vital subjek data atau orang lain
    1. Misalnya, situasi kesehatan darurat
  5. Kepentingan Umum (Public Interest):
    1. Pelaksanaan tugas untuk kepentingan publik
    1. Atau pelaksanaan kewenangan resmi pengendali data
  6. Kepentingan Sah (Legitimate Interest):
    1. Mengejar kepentingan sah pengendali data atau pihak ketiga
    1. Tunduk pada penyeimbangan dengan kepentingan atau hak fundamental subjek data

4.2.2 Transparansi dan Notifikasi (Pasal 21-22)

Pengendali data wajib menyampaikan informasi kepada subjek data tentang:[62] – Legalitas pemrosesan data – Tujuan pemrosesan – Jenis dan relevansi data yang akan diproses – Periode retensi untuk dokumen yang berisi data pribadi – Detail tentang informasi yang dikumpulkan – Periode retensi untuk pemrosesan – Hak-hak subjek data

Bentuk Persetujuan: – Tertulis (written) atau terekam (recorded) – Elektronik atau non-elektronik – Sama kekuatan hukumnya

Persyaratan Persetujuan untuk Berbagai Tujuan:

Jika persetujuan mencakup berbagai tujuan:[63] – Dapat dibedakan secara jelas dari hal-hal lainnya – Format yang dapat dipahami dan mudah diakses – Bahasa yang sederhana dan jelas – Persetujuan yang tidak patuh adalah batal demi hukum

4.2.3 Transfer Data (Pasal 55-56)

Transfer dalam Wilayah Indonesia:

Pengendali data dapat mentransfer data kepada pengendali data lainnya di Indonesia asalkan:[64] – Kedua belah pihak mematuhi persyaratan perlindungan

Transfer ke Luar Wilayah Indonesia:

Transfer memerlukan:[65] – Jaminan bahwa negara/organisasi penerima memiliki standar perlindungan yang: – Setara atau lebih tinggi dari Indonesia – Atau memiliki safeguards yang memadai – Atau persetujuan eksplisit dari subjek data jika standar tidak terpenuhi

4.2.4 Penunjukan Data Protection Officer (DPO) / PPDP (Pasal 53-54)

Kewajiban Penunjukan:

Penunjukan DPO adalah kewajiban bagi pengendali data pribadi dan prosesor data pribadi apabila:[66]

  1. Data pribadi diproses untuk kepentingan pelayanan publik
  2. Kegiatan inti pengendali data memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas data pribadi dengan skala besar
  3. Kegiatan inti pengendali data terdiri dari pemrosesan data pribadi dalam skala besar untuk data yang bersifat spesifik dan/atau data pribadi yang berkaitan dengan tindak pidana

Empat Fungsi Inti DPO (Pasal 54):[67]

  1. Menginformasikan dan memberikan saran kepada pengendali data pribadi atau prosesor data pribadi agar mematuhi ketentuan dalam Undang-Undang
  2. Memantau dan memastikan kepatuhan terhadap Undang-Undang dan kebijakan pengendali data pribadi atau prosesor data pribadi
  3. Memberikan saran mengenai penilaian dampak pelindungan data pribadi dan memantau kinerja pengendali data pribadi dan prosesor data pribadi
  4. Berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan data pribadi

Pentingnya Peran DPO:

Bagi masyarakat, kehadiran DPO menjadi jaminan bahwa seluruh kegiatan yang menggunakan data pribadi miliknya berlangsung secara aman dan sesuai dengan ketentuan peraturan perundang-undangan yang berlaku. Sementara itu bagi para entitas yang menggunakan dan memproses data pribadi, DPO membantu mereka untuk memahami kewajiban yang dibebankan kepada mereka sebagai pengendali dan prosesor data pribadi sehingga risiko pelanggaran dan penyalahgunaan dapat dihindari.[68]

Kebutuhan Pasar:

Kementerian Digital dan Informatika memperkirakan kebutuhan sekitar 140.917 individu untuk menjadi Certified DPO.[69] Hal ini menciptakan peluang profesi baru di Indonesia dalam bidang perlindungan data pribadi.

Sertifikasi DPO:

Lembaga Pelatihan dan Sertifikasi (LPKS) Gerbang PDP Indonesia resmi mendapatkan perizinan untuk menyelenggarakan Pelatihan Profesi dan Sertifikasi Data Protection Officer (DPO) / PPDP sejak tanggal 25 Januari 2024 sebagai lembaga pertama di Indonesia.[70] Pelatihan ini disusun berdasarkan SKKNI Nomor 103 tahun 2023 dan disertai dengan beberapa materi pelengkap yang bertujuan untuk mencetak DPO atau PPDP andal, kompeten dan solutif di dalam memberikan saran dan rekomendasi strategis di era digital.[71]

Selain itu, LSP PDP Indonesia (LSP PDPI) saat ini menjadi pelopor dalam penyelenggaraan sertifikasi bagi kandidat Certified DPO, dengan fokus pada jaminan kompetensi, pemeliharaan standar tinggi, dan menyiapkan tenaga profesional yang kompeten.[72]

5. Kasus Praktis: Pelanggaran Data Pribadi di Indonesia

5.1 Kasus Tokopedia (2020)

5.1.1 Fakta Kasus

Pada Mei 2020, platform e-commerce terbesar Indonesia, Tokopedia, mengalami pelanggaran data masif:[73]

Cakupan Pelanggaran: – Klaim Awal: Hacker bernama “Shining Hunters” mengklaim telah meretas 91 juta akun Tokopedia – Pengungkapan Kemudian: Perusahaan keamanan siber menemukan 71 juta alamat email unik – Data Tambahan: 15 juta baris dari database Tokopedia diposting ke forum peretas dark web – Ditawarkan untuk Dijual: Database dijual di dark web seharga $5.000 USD

Data yang Dikompromikan: – Alamat email (71 juta unik) – Nama – Jenis kelamin – Tanggal lahir – Password (disimpan sebagai hash SHA2-384, terenkripsi) – Nomor telepon – Kemungkinan data keuangan (sejauh mana tidak jelas, meskipun Tokopedia menyatakan data keuangan “aman”)

5.1.2 Modus Operandi: SQL Injection

Vektor Serangan Teknis:Hacker menggunakan SQL Injection – Menargetkan sistem berbasis cloud Tokopedia – Mengeksploitasi kerentanan dalam aplikasi web yang memungkinkan akses database tanpa autentikasi

Mengapa SQL Injection Berhasil:

Aplikasi web menerima input pengguna untuk membangun kueri SQL. Jika input tidak dibersihkan/divalidasi dengan benar, penyerang dapat menyuntikkan kode SQL. Kode yang disuntikkan dapat memanipulasi kueri untuk mengakses data yang tidak sah.[74]

5.1.3 Implikasi Hukum dan Regulasi

Pelanggaran UU ITE:

Meskipun pelanggaran terjadi sebelum UU PDP efektif (berlaku November 2023), ketentuan UU ITE berlaku:[75]

Pasal 30 (Akses Ilegal):

Hacker melakukan akses tidak sah ke sistem komputer Tokopedia: “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan.

Potensi Pertanggungjawaban Pidana: Penjara maksimum 10 tahun dan denda Rp1,5 miliar.

Pasal 32 (Manipulasi Data):

Sebagaimana relevan jika hacker tidak hanya mengakses tetapi juga memodifikasi atau menghapus data: “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik…

Potensi Pertanggungjawaban Pidana: Penjara maksimum 12 tahun dan denda Rp2 miliar.

Pelanggaran UU PDP (Prospektif):

Jika pelanggaran terjadi setelah UU PDP efektif:[76]

Pengumpulan Data Tanpa Izin (Pasal 65 ayat 1):

Setiap Orang dilarang secara melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi.

Pengungkapan Tanpa Izin (Pasal 65 ayat 2):

Setiap Orang dilarang secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya.

Potensi Sanksi Administratif: – Denda hingga Rp5 miliar (untuk individu) – Denda hingga Rp50 miliar (untuk perusahaan) – Plus tindakan korektif (penghentian operasi, audit sistem)

Pertanggungjawaban Organisasi Tokopedia:

Di luar pertanggungjawaban pidana dari hacker, Tokopedia berpotensi menghadapi:[77]

Kegagalan Menerapkan Keamanan yang Memadai (Pasal 32 UU ITE, Pasal 16-17 UU PDP): – Langkah-langkah keamanan yang tidak memadai memungkinkan akses tidak sah – Kegagalan untuk mendeteksi dan merespons pelanggaran dengan cepat – Protokol enkripsi yang tidak memadai (password di-hash tetapi insiden menunjukkan data lain dalam cleartext)

Kegagalan Notifikasi Pelanggaran: – Penundaan dalam memberitahu pengguna yang terkena dampak – Pengungkapan yang tidak memadai tentang cakupan pelanggaran – ELSAM (organisasi hak digital Indonesia) mencatat penundaan dalam pemberitahuan tertulis kepada konsumen

Manajemen Persetujuan Pengguna yang Tidak Memadai: – Data pribadi pengguna terekspos tanpa kemungkinan individu untuk menjalankan hak – Pelanggaran mencegah individu dari mengendalikan data mereka sendiri

5.1.4 Dampak dan Pelajaran yang Dipetik

Dampak Langsung:

Pada Individu yang Terkena Dampak:

Alamat email dan nama yang terekspos dapat digunakan untuk:[78] – Kampanye phishing – Serangan social engineering – Pencurian identitas – Spam – Pelecehan yang ditargetkan

Pada Bisnis Tokopedia: – Kehilangan kepercayaan konsumen – Pengawasan regulasi – Potensi kewajiban keuangan (kompensasi kepada pengguna yang terkena dampak) – Kerusakan reputasi

Pada Ekonomi Digital Indonesia: – Peningkatan kekhawatiran tentang keamanan online di kalangan konsumen – Potensi perlambatan dalam adopsi e-commerce – Seruan untuk regulasi perlindungan data yang lebih kuat (berkontribusi pada momentum untuk meloloskan UU PDP)

Pelajaran Regulasi:

Ketidakcukupan Kerangka yang Ada (Pra-UU PDP):

Pelanggaran menyoroti kesenjangan dalam cakupan regulasi sebelum UU PDP. Ketentuan perlindungan data tersebar di berbagai hukum. Kurangnya otoritas penegakan khusus. Hak pengguna terbatas untuk mencari kompensasi.[79]

Peran dalam Mengadvokasi UU PDP:

Pelanggaran Tokopedia menjadi case study untuk pentingnya hukum perlindungan data yang komprehensif. Kelompok advokasi menunjuk pada pelanggaran sebagai bukti kebutuhan mendesak untuk UU PDP. Pemerintah mempercepat proses legislatif sebagian sebagai respons terhadap pelanggaran.[80]

Pelajaran Teknis dan Organisasi:

Praktik Terbaik Keamanan yang Harus Diimplementasikan:[81]

  1. Validasi Input: Membersihkan semua input pengguna untuk mencegah SQL injection
  2. Hak Istimewa Terkecil: Membatasi izin akses database ke minimum yang diperlukan
  3. Enkripsi: Mengenkripsi data sensitif baik dalam transit maupun saat istirahat
  4. Pemantauan: Menerapkan sistem deteksi intrusi untuk mengidentifikasi kueri database yang tidak biasa
  5. Incident Response: Memiliki prosedur deteksi pelanggaran dan respons yang cepat
  6. Audit Reguler: Melakukan audit keamanan reguler dan penetration testing

5.2 Serangan Ransomware Pusat Data Nasional (Juni 2024)

5.2.1 Fakta Kasus

Pada 20 Juni 2024, Pusat Data Nasional (PDN) Indonesia mengalami serangan ransomware yang mengakibatkan:[82]

Dampak: – Kebocoran data pribadi warga negara – Gangguan layanan publik – Tuntutan tebusan sebesar $8 juta

Kritik Publik: – Insiden ini memicu kritik publik yang luas dan tuntutan untuk langkah-langkah perlindungan data yang lebih kuat – Menyoroti sistem keamanan siber nasional Indonesia yang lemah

5.2.2 Analisis Hukum

Tanggung Jawab Negara:

Dari perspektif hukum domestik, Indonesia telah memberlakukan UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi, namun penegakan hukumnya masih lemah, meninggalkan warga rentan terhadap ancaman siber.[83]

Dari perspektif hukum internasional, Indonesia berkewajiban untuk melindungi data pribadi berdasarkan kerangka seperti International Covenant on Civil and Political Rights (ICCPR) dan Responsibility of States for Internationally Wrongful Acts (RSIWA 2001).[84]

Kesenjangan Implementasi:

Temuan menunjukkan bahwa meskipun Indonesia telah memberlakukan UU PDP, kesenjangan dalam implementasi, kurangnya koordinasi kelembagaan, dan infrastruktur keamanan siber yang tidak memadai terus menghambat perlindungan yang efektif.[85] Insiden PDN ini menjadi bukti konkret dari kelemahan sistemik dalam tata kelola keamanan siber Indonesia.

5.3 Pelanggaran Data BSI Bank

5.3.1 Fakta Kasus

Bank Syariah Indonesia (BSI) mengalami pelanggaran data yang mengekspos data nasabah karena peretasan.[86] Data pelanggan yang terekspos menimbulkan kekhawatiran serius tentang kerahasiaan dan keamanan informasi keuangan pribadi.

5.3.2 Analisis Tanggung Jawab

Tanggung Jawab Bank:

Berdasarkan teori perlindungan hukum domestik, bank, sebagai pengendali data, harus meningkatkan sistem keamanannya.[87] Meskipun kerangka hukum yang kuat (UU Perbankan No. 10/1998 Pasal 40 dan UU PDP No. 27/2022 Pasal 28), implementasi masih memiliki kelemahan, terutama terhadap ancaman siber yang terus berkembang.

Rekomendasi:

Perlindungan hukum memerlukan tidak hanya sanksi tetapi peningkatan keamanan proaktif oleh bank. Karena teknologi perbankan berkembang, hal ini harus diimbangi dengan perlindungan data yang lebih kuat untuk memastikan kepercayaan publik. Penelitian merekomendasikan bank fokus pada peningkatan teknologi dan kepatuhan regulasi untuk melindungi data pelanggan dan mencegah pelanggaran di masa depan.[88]

5.4 Kasus-Kasus Pelanggaran Data Lainnya

5.4.1 Kasus KPU dan E-Commerce (2023-2024)

Penelitian menunjukkan bahwa pelanggaran data pribadi dalam konteks KPU (Komisi Pemilihan Umum) dan platform e-commerce selama periode 2023-2024 mengungkapkan:[89]

Temuan: – Penegakan hukum yang lemah dalam konteks KPU dan e-commerce – Kurangnya akuntabilitas dari institusi – Kesadaran publik yang tidak memadai tentang hak – Keterbatasan UU ITE: Kurang spesifik dalam menangani kelalaian institusional dan tanggung jawab korporat – Tantangan UU PDP: Ketentuan komprehensif tetapi menghadapi tantangan penegakan karena kapasitas kelembagaan terbatas dan yurisdiksi yang tumpang tindih

Kesimpulan:

Perlindungan data pribadi yang efektif di Indonesia memerlukan harmonisasi hukum antara UU ITE dan UU PDP, pembentukan otoritas pengawas khusus, dan peningkatan kapasitas kelembagaan dan publik untuk memastikan kepatuhan dan akuntabilitas.[90]

5.4.2 Kasus SIPOL – KPU Kota Serang (2024)

Penelitian mengkaji akuntabilitas KPU Kota Serang dalam mengatasi penyalahgunaan data pribadi warga secara ilegal oleh partai politik melalui Sistem Informasi Partai Politik (SIPOL) selama pemilihan daerah 2024.[91]

Problem yang Diidentifikasi: – Kelemahan dalam sistem perlindungan data – Kurangnya tindakan hukum terhadap pelanggaran – Hambatan koordinasi antara KPU dan partai politik – Kewenangan terbatas KPU lokal dalam menangani penyalahgunaan data – Pelanggaran hak privasi dengan dampak negatif pada hak politik dan kegiatan masyarakat, khususnya dalam bidang ketenagakerjaan

Implikasi:

Integritas pemilu dan demokrasi terancam. Oleh karena itu, diperlukan reformasi komprehensif dalam tata kelola data, penguatan kewenangan KPU, dan penegakan hukum berdasarkan UU PDP. Sinergi di antara institusi terkait dalam menjaga integritas demokratis dan kepercayaan publik menjelang pemilihan yang transparan dan akuntabel sangat diperlukan.[92]

5.4.3 Kasus Doxing (2024-2025)

Penelitian mengkaji praktik doxing di Indonesia yang digunakan sebagai instrumen untuk membungkam aktivis dan merusak kebebasan digital, serta menganalisis respons hukum melalui UU ITE No. 1 Tahun 2024 dan UU PDP No. 27 Tahun 2022.[93]

**Doxing, yang merupakan publikasi data pribadi tanpa izin untuk tujuan intimidasi, telah menciptakan chilling effect serius bagi suara kritis. Kasus terhadap aktivis menunjukkan bahwa ancaman ini nyata dan memerlukan tindakan hukum yang efektif untuk menjaga keamanan sipil.

Temuan Analisis:

Meskipun UU ITE No. 1/2024 dan UU PDP No. 27/2022 telah memberikan dasar hukum, regulasi tersebut tidak memadai karena tidak secara khusus merumuskan doxing sebagai kejahatan siber, sehingga menciptakan celah hukum.[94]

Kesimpulan:

Kesenjangan hukum ini menyebabkan penegakan hukum yang tidak efektif dan perlindungan yang tidak memadai untuk hak korban atas rehabilitasi dan kompensasi. Oleh karena itu, perlu sinkronisasi hukum, peningkatan kompetensi aparat, dan penguatan perlindungan korban secara lebih komprehensif.[95]

6. Implementasi UU PDP: Gap Analysis dan Tantangan Praktis

6.1 Status Implementasi UU PDP (2024-2025)

6.1.1 Timeline Penegakan

UU PDP resmi berlaku penuh pada 17 Oktober 2024 setelah periode transisi 2 tahun.[96] Kementerian Kominfo (Dirjen Aptika Hokky Situngkir) mengonfirmasi penegakan hukum penuh.[97] Masa transisi sejak disahkan (Oktober 2022) telah berakhir, dan saat ini seluruh organisasi diharapkan telah memasuki fase implementasi penuh dan siap menjalankan seluruh ketentuan hukum yang diatur dalam UU tersebut.[98]

6.1.2 Tantangan Utama dalam Implementasi

1. Lembaga Pengawas Belum Terbentuk

Kesenjangan Kritis: Hingga saat ini lembaga pengawas PDP belum terbentuk meski UU sudah berlaku penuh.[99] UU PDP mengamanatkan pembentukan lembaga yang ditugaskan oleh Presiden (Pasal 58) untuk bertindak sebagai regulator, supervisor, dan eksekutor dalam masalah perlindungan data.[100]

Solusi Sementara: Kementerian Kominfo sementara mengambil alih fungsi pengawasan.[101] Berdasarkan Peraturan Kementerian Komunikasi dan Digital Nomor 1/2025 tentang Organisasi dan Tata Kerja, masalah terkait perlindungan data pribadi saat ini berada di bawah kewenangan Direktorat Jenderal Pengawasan Ruang Digital.[102]

Tertunda: Peraturan Presiden tentang pembentukan lembaga pengawas masih dalam proses harmonisasi dengan Kementerian Hukum dan HAM.[103] Sementara telah ada upaya untuk mempercepat pembentukan Otoritas Perlindungan Data, otoritas ini belum terbentuk. Menteri Komunikasi dan Digital saat ini menyatakan melalui publikasi berita bahwa Otoritas Perlindungan Data dimaksudkan untuk dibentuk sesegera mungkin.[104]

2. Peraturan Turunan Belum Lengkap

Dua aturan turunan krusial masih dalam proses:[105] – Peraturan Presiden tentang pembentukan lembaga pengawas – Peraturan Pemerintah pelaksana UU PDP (Draft GR PDP)

Target Penyelesaian: Target Juli 2024 tidak tercapai.[106] Hingga awal 2025, tidak ada timeline yang jelas untuk finalisasinya.[107] Pemerintah Indonesia telah bekerja pada Draft Implementing Regulation yang dimaksudkan untuk memberikan panduan lebih lanjut tentang implementasi dan penegakan Undang-Undang, tetapi belum diresmikan.[108]

Dampak: Menciptakan ketidakpastian bagi perusahaan terkait cara implementasi spesifik untuk kepatuhan UU PDP, standar teknis untuk portabilitas data, manajemen persetujuan, notifikasi pelanggaran, dan penilaian kecukupan untuk transfer lintas batas.[109]

3. Kesenjangan Kesadaran dan Pemahaman

UMKM/MSMEs:

Penelitian Institut Teknologi Sepuluh November menunjukkan bahwa 60%+ UMKM Indonesia belum mengimplementasikan langkah-langkah perlindungan data yang memadai untuk kepatuhan UU PDP.[110] Mereka memiliki pemahaman terbatas tentang persyaratan kepatuhan, kebingungan tentang dasar hukum, ketidakpastian prosedur persetujuan, dan kurangnya kesadaran tentang kewajiban notifikasi pelanggaran.

Masyarakat Umum:

Lebih dari 20% populasi pernah mengalami penyalahgunaan data pribadi dalam berbagai bentuk.[111] Mayoritas konsumen Indonesia memiliki pemahaman terbatas tentang data pribadi apa yang mereka miliki, hak apa yang mereka punya berdasarkan UU PDP, bagaimana data digunakan oleh perusahaan, dan apa yang dapat mereka lakukan jika hak dilanggar. Tingkat literasi rendah di Indonesia tentang hak digital berkontribusi pada masalah ini.[112]

Bisnis:

UU PDP menciptakan tantangan signifikan bagi perusahaan yang mempersiapkan kepatuhan.[113] Ketidakpastian teknis implementasi tanpa peraturan pelaksana yang jelas, terutama untuk UMKM yang menghadapi kendala anggaran, teknologi, dan sumber daya manusia.[114]

6.2 Penegakan Hukum: Sanksi Pidana dan Administratif

6.2.1 Struktur Sanksi Pidana (Pasal 67-68)

Meskipun masa transisi masih berlangsung untuk sanksi administratif, sanksi pidana sudah ditegakkan.[115] Penerapan sanksi pidana menegaskan komitmen pemerintah untuk memastikan kepatuhan terhadap ketentuan UU PDP.[116]

Tabel Sanksi Pidana:

PelanggaranSanksi PidanaDasar Hukum
Pengumpulan/pemerolehan tanpa izin data pribadiPenjara maks 5 tahun dan/atau denda Rp5 miliarPasal 67(1)[117]
Pengungkapan tanpa izin data pribadiPenjara maks 4 tahun dan/atau denda Rp4 miliarPasal 67(2)[118]
Penggunaan tanpa izin data pribadiPenjara maks 5 tahun dan/atau denda Rp5 miliarPasal 67(3)[119]
Pemalsuan data pribadiPenjara maks 6 tahun dan/atau denda Rp6 miliarPasal 68[120]
Jual-beli data pribadiPenjara maks 5 tahun atau denda Rp50 miliar[121]

Pidana Tambahan Korporasi (Pasal 69):[122] – Perampasan keuntungan dan/atau aset – Pembayaran kompensasi – Pembekuan seluruh atau sebagian usaha korporasi – Pembubaran korporasi

6.2.2 Struktur Sanksi Administratif (Pasal 57)

Jenis Sanksi Administratif:[123]

  1. Peringatan tertulis
  2. Penghentian sementara kegiatan pemrosesan data pribadi
  3. Penghapusan atau pemusnahan data pribadi
  4. Denda administratif: hingga 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran
  5. Pembekuan izin usaha atau pemrosesan data
  6. Pencabutan izin usaha

Catatan Penting: Sanksi administratif belum dapat dilaksanakan karena lembaga yang mengenakan sanksi administratif berdasarkan UU PDP, yakni Lembaga Pelindungan Data Pribadi, belum dibentuk.[124] Selama masa transisi, hanya sanksi pidana yang dapat ditegakkan. Risiko penegakan hukum akan meningkat setelah pemerintah berhasil membentuk Lembaga Pelindungan Data Pribadi yang berwenang secara khusus menerapkan sanksi administratif.[125]

6.2.3 Yurisprudensi Awal (2024-2025)

Putusan Pengadilan:

Penelitian mengkaji tiga putusan pengadilan tentang kasus penyalahgunaan data pribadi:[126]

  1. Putusan No. 77/Pid.Sus/2024/PN Tangerang
  2. Putusan No. 78/Pid.Sus/2024/PN Tangerang
  3. Putusan No. 5/Pid.Sus/2023/PN Karanganyar

Temuan:

Hakim telah mulai menginternalisasi paradigma perlindungan data pribadi melalui penerapan Pasal 67 dan 68 UU PDP, meskipun variasi dalam interpretasi dan implementasi masih berlangsung.[127] Praktik yudisial Indonesia sedang mengalami transisi bertahap menuju penegakan hukum privasi yang lebih konsisten, namun pengembangan lebih lanjut dari pedoman yurisprudensi dan peningkatan kapasitas yudisial masih penting untuk memperkuat perlindungan privasi di era digital.[128]

6.3 Perbandingan Indonesia vs. Malaysia dalam Penegakan PDP

Penelitian komparatif antara UU PDP Indonesia dan Personal Data Protection Act (PDPA) Malaysia 2010 menunjukkan:[129]

UU PDP Indonesia:

  1. Lebih komprehensif karena mencakup sektor publik dan swasta
  2. Mengatur prosedur formal untuk akses data, koreksi, penghapusan, dan penarikan persetujuan
  3. Didukung oleh sanksi administratif dan pidana yang ketat

PDPA Malaysia:

  1. Hanya berlaku untuk transaksi komersial
  2. Bergantung pada sanksi administratif yang lebih ringan
  3. Berpotensi meninggalkan kesenjangan dalam perlindungan data sektor publik

Berdasarkan pada penjelasan diatas, Kedua negara juga menghadapi tantangan terkait independensi badan pengawas. Malaysia telah memiliki Komisi Penasihat Perlindungan Data Pribadi, sementara Indonesia masih dalam proses pembentukan.[130] Aspek PDP di Indonesia masih cukup tertinggal penegakannya dibandingkan dengan Malaysia, sehingga dibutuhkan penyegeraan terhadap implementasi PDP.[131]

Rekomendasi:

Penelitian menyoroti perlunya reformasi kelembagaan dan penyesuaian regulasi sejalan dengan standar internasional untuk meningkatkan transparansi, akuntabilitas, dan kepastian hukum dalam perlindungan data pribadi di seluruh ASEAN.[132]

6.4 Tantangan Teknis Implementasi

6.4.1 Kompleksitas Manajemen Persetujuan

Tantangan: Menerapkan sistem manajemen persetujuan yang mematuhi persyaratan UU PDP:[133] – Persetujuan harus diberikan secara bebas, spesifik, terinformasi, tidak ambigu – Harus dapat dibedakan dengan jelas dari hal-hal lain – Harus menggunakan bahasa yang sederhana dan jelas – Harus memungkinkan penarikan yang mudah

Kesulitan Praktis:

Banyak situs web/aplikasi memiliki mekanisme persetujuan yang membingungkan. “Dark patterns” dalam desain UI sengaja membuat penarikan persetujuan sulit. Kotak persetujuan yang sudah dicentang sebelumnya (tidak sesuai dengan UU PDP).[134]

6.4.2 Minimalisasi Data dan Pembatasan Tujuan

Tantangan: Perusahaan mengumpulkan jauh lebih banyak data daripada yang diperlukan, membenarkannya di bawah ketentuan “kepentingan sah”.[135]

Masalah dengan Dasar Kepentingan Sah:

Konsep “kepentingan sah” fleksibel dan ditafsirkan secara luas. Tanpa pedoman yang jelas, perusahaan dapat membenarkan pengumpulan data yang luas. Tes penyeimbangan antara kepentingan perusahaan dan hak individu sering condong ke arah perusahaan (terutama jika perusahaan canggih dalam argumen hukum).[136]

6.4.3 Persyaratan Teknis Portabilitas Data

Tantangan: Menerapkan portabilitas data sejati sebagaimana dipersyaratkan oleh UU PDP (Pasal 13).[137]

Hambatan Teknis:

Data harus disediakan dalam “format terstruktur, umum digunakan, dapat dibaca mesin”. Persyaratan interoperabilitas sistem tidak layak untuk banyak operator yang lebih kecil. Standar untuk format yang dapat dibaca mesin belum mapan di Indonesia.[138]

6.4.4 Kompleksitas Transfer Data Lintas Batas

Tantangan 1: Ketidakpastian Penilaian Ekuivalensi

Menentukan apakah negara asing memiliki “tingkat memadai” perlindungan data. UU PDP tidak memberikan kriteria yang jelas untuk menilai kecukupan. Tidak ada mekanisme formal untuk pemerintah membuat penentuan kecukupan. Perusahaan tidak pasti tentang apakah transfer sesuai atau memerlukan safeguards alternatif.[139]

Tantangan 2: Keterbatasan Praktis Klausul Kontrak Standar

Menggunakan safeguards kontraktual untuk transfer ke yurisdiksi yang tidak memadai. Kontrak standar dapat sulit untuk ditegakkan jika perusahaan asing menolak kerja sama. Dalam praktiknya, kontrak mungkin tidak melindungi individu jika pemerintah asing menuntut akses data. Remedi terbatas untuk individu jika pihak asing melanggar kewajiban kontraktual.[140]

6.5 Kebutuhan Pembentukan Lembaga Pengawas Independen

Penelitian menganalisis urgensi pembentukan Lembaga Perlindungan Data Pribadi di Indonesia, mengevaluasi sanksi saat ini berdasarkan UU PDP, dan membandingkan mekanisme penegakan lembaga perlindungan data di Irlandia, Australia, dan Singapura.[141]

Temuan:

Lembaga-lembaga independen di negara-negara tersebut secara efektif menegakkan hukum perlindungan data dan sanksi administratif. Penelitian mengungkapkan kekurangan penegakan yang signifikan di Indonesia, menggarisbawahi perlunya otoritas khusus untuk mencegah pelanggaran dan melindungi hak data pribadi.[142]

Rekomendasi:

Dengan mengadopsi praktik terbaik dari Irlandia, Australia, dan Singapura, Indonesia dapat meningkatkan kerangka perlindungan datanya. Tindakan segera oleh Presiden untuk membentuk otoritas ini melalui Peraturan Presiden sangat penting untuk melindungi data pribadi di era digital.[143]

Tugas Lembaga Perlindungan Data:[144] 1. Formulasi kebijakan: Bertanggung jawab untuk membuat dan menegakkan kebijakan dan strategi yang melindungi data pribadi 2. Pengawasan dan pemantauan: Pengawasan reguler tentang bagaimana hukum perlindungan data pribadi diimplementasikan di berbagai sektor 3. Penegakan: Memiliki kewenangan untuk menegakkan hukum dan peraturan terkait pelanggaran perlindungan data pribadi 4. Penyelesaian sengketa: Memfasilitasi mekanisme penyelesaian sengketa alternatif untuk menangani sengketa perlindungan data di luar pengadilan

7. Perbandingan: UU PDP dan GDPR—Perbedaan Kunci dan Implikasi

7.1 Kerangka Komparatif

UU PDP sangat terinspirasi oleh GDPR, dengan struktur dan prinsip serupa seputar hak subjek data, persetujuan, dan penegakan.[145] Namun, terdapat perbedaan signifikan yang penting untuk dipahami:

Tabel Perbandingan Komprehensif:

AspekGDPRUU PDPImplikasi
Cakupan TeritorialSeluruh UE + ekstrateritorial (berlaku jika memproses data penduduk UE)Seluruh Indonesia, cakupan ekstrateritorial sedang berkembangGDPR memiliki jangkauan global yang jelas; cakupan UU PDP masih berkembang[146]
Persyaratan PersetujuanKetat (diberikan secara bebas, spesifik, terinformasi, tidak ambigu)Ketat dalam hukum tetapi implementasi bervariasiKeduanya memerlukan persetujuan aktif; penegakan lebih sulit dalam UU PDP[147]
Dasar Kepentingan SahYa, tetapi dengan tes penyeimbangan yang ketatYa, dengan interpretasi yang lebih fleksibelUU PDP memungkinkan lintang yang lebih luas untuk perusahaan[148]
Kategori KhususDaftar eksplisit dengan perlindungan yang lebih tinggiKategori implisit dengan perlindungan umumPendekatan GDPR lebih melindungi data sensitif[149]
DPA/OtoritasKuat, otoritas independen di setiap negara anggotaOtoritas sedang berkembang (implementasi tertunda)Penegakan GDPR lebih mapan[150]
Portabilitas DataHak eksplisit dengan persyaratan teknisHak eksplisit tetapi standar teknis tidak jelasImplementasi GDPR lebih matang[151]
Notifikasi PelanggaranWajib; 72 jam atau “tanpa penundaan yang tidak semestinya”Wajib tetapi timeline tidak jelas dari UU PDPGDPR memberikan kejelasan; UU PDP kurang spesifik[152]
Denda/SanksiHingga €20 juta atau 4% dari pendapatanHingga Rp50 miliar (untuk perusahaan)Denda GDPR secara signifikan lebih tinggi (berbasis persentase)[153]
Pembatasan Transfer DataPembatasan eksplisit; penentuan kecukupanPembatasan transfer tetapi mekanisme kurang jelasPendekatan GDPR lebih restriktif[154]
Waktu Respons untuk Permintaan Subjek Data1 bulan (dapat diperpanjang hingga 3 bulan)Tidak ada kerangka waktu spesifikGDPR memberikan kejelasan; UU PDP tidak spesifik[155]
YurisdiksiBerlaku untuk organisasi mana pun yang memproses data penduduk UETerutama beroperasi di dalam Indonesia (Pasal 2)GDPR ekstrateritorial; UU PDP lebih terbatas[156]
PengawasanMekanisme seragam di seluruh UE, berlaku untuk entitas asingTingkat nasional (Kominfo, BSSN), terbatas lintas batasGDPR penegakan konsisten[157]

7.2 Implikasi Strategis untuk Bisnis Indonesia

Untuk Perusahaan yang Beroperasi Secara Global:

Kepatuhan dengan GDPR lebih ketat dalam banyak hal. Mengikuti praktik terbaik GDPR umumnya akan memastikan kepatuhan UU PDP. Pengecualian: Beberapa persyaratan GDPR melebihi UU PDP (misalnya, struktur denda).[158]

Untuk Perusahaan yang Beroperasi Secara Lokal:

Kepatuhan UU PDP fokus utama. GDPR relevan hanya jika memproses data dari penduduk UE. Dapat mengadopsi langkah-langkah yang kurang ketat daripada yang diperlukan GDPR (meskipun persyaratan UU PDP masih menuntut).[159]

Peluang:

Perusahaan Indonesia yang mengadopsi praktik perlindungan data yang ketat dapat memasarkan kepatuhan sebagai keunggulan kompetitif. Dengan mengadopsi praktik terbaik dari Irlandia, Australia, dan Singapura, Indonesia dapat meningkatkan kerangka perlindungan datanya.[160]

7.3 Perbedaan Kunci dalam Kategori Khusus Data Pribadi

Tidak seperti GDPR, UU PDP tidak mengklasifikasikan asal ras atau etnis, opini politik, keyakinan agama atau filosofis, keanggotaan serikat pekerja, dan informasi terkait seks sebagai data sensitif.[161] Namun, UU PDP memberikan ruang untuk klasifikasi tambahan berdasarkan hukum dan peraturan lain.

Sebaliknya, GDPR tidak secara eksplisit mengkategorikan catatan kriminal, data keuangan, dan data anak sebagai kategori khusus data pribadi, meskipun pemrosesan data tentang anak tunduk pada persyaratan khusus berdasarkan GDPR.[162]

7.4 Perbedaan dalam Penegakan dan Sanksi

GDPR memberlakukan penalti substansial, mencapai hingga 10 hingga 20 juta euro atau 2 hingga 4 persen dari pendapatan tahunan global perusahaan. Sebagai perbandingan, UU PDP menetapkan sanksi, tetapi skala jauh lebih kecil.[163]

Dalam hal hak subjek data, GDPR memberikan hak ekstensif kepada individu, termasuk hak penghapusan dan portabilitas data, memperkuat kontrol pribadi atas data. UU PDP lebih fokus pada kewajiban pengendali data untuk mengamankan data dan menerapkan praktik manajemen yang tepat, sambil tetap mengakui hak tertentu dari subjek data.[164]

Tim Penyusun: Shinta Hadiyantina, Mohamad Rifan

bahan pembelajaran
opini ilmiah
video pembelajaran
Post Views: 23

,

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *