Usai perjalanan panjang, Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) resmi diundangkan pada 17 Oktober 2022. Pelindungan Data Pribadi (PDP) oleh pemerintah merupakan amanat yang telah tertuang pada Pasal 28G ayat (1) Undang-Undang Dasar Negara Republik Indonesia Tahun 1945. Dengan demikian, dapat dikatakan, kehadiran UU PDP merupakan jaminan pengakuan, penghormatan, dan pelindungan atas hak dasar warga negara Indonesia.
Namun, Associate di Bahar Law Firm, Jinan Raidangi mengungkapkan, setahun sejak diterbitkannya UU PDP tersebut, Indonesia masih kerap mengalami kasus kebocoran data yang signifikan, baik di sektor swasta maupun instansi pemerintahan. Pihak Badan Siber dan Sandi Negara (BSSN), menyatakan, 55% kebocoran data di sepanjang tahun 2023 terjadi pada sektor administrasi pemerintah. Dilansir dari CNN Indonesia, BSSN menemukan adanya 207 dugaan pelanggaran basis data sepanjang tahun 2023. Beberapa kasus yang cukup menyita perhatian publik, antara lain yakni kebocoran data yang dialami oleh Dukcapil Kementerian Dalam Negeri yang terjadi pada Juli 2023, di mana 337 juta data warga dan kependudukan Indonesia bocor dan dijual secara bebas di darkweb. Data tersebut, dikutip dari laman dpr.go.id, mencakup nomor induk kependudukan (NIK), nama lengkap, tanggal lahir, nomor akta lahir, golongan darah, agama alamat, nama ibu, nama ayah, dan jenis informasi penting lainnya. Ada pula kasus terbaru yakni dugaan kebocoran data pemilih tetap (DPT) milik Komisi Pemilihan Umum sebanyak lebih dari 250 juta data warga yang diklaim berupa NIK, tanggal lahir, hingga alamat.
Kebocoran data pribadi pun turut terjadi pada sektor swasta. Direktur Jenderal Aplikasi dan Informatika Kementerian Komunikasi dan Informatika mencatat adanya kenaikan kasus yang bertahap dari waktu ke waktu. Terdapat 20 kasus kebocoran data perusahaan di tahun 2022 dan 15 kasus pada pertengahan tahun 2023. Salah satu kasus misalnya terjadi pada salah satu bank di Indonesia yang mengalami kebocoran data dengan besaran 1,5 TB. Data tersebut mencakup data pribadi nasabah, informasi pinjaman, data pengguna hingga password untuk akses internal.
“Kebocoran data yang terjadi berulang kali di lembaga-lembaga pengelola data milik pemerintah maupun swasta menunjukkan bahwa titik kelemahan server data milik pengendali data di Indonesia dapat dengan mudah ditemukan. Seharusnya, perlu dilakukan upaya serius dari berbagai pihak untuk mencegah terjadinya kebocoran data lainnya di kemudian hari,” kata Jinan.
Hal ini ditambah, lanjut Jinan, mayoritas pihak menolak untuk mengakui dan bertanggung jawab atas kebocoran data yang terjadi. Kemenkominfo pun menyatakan, belum ada satu pihak pun yang diberi sanksi denda akibat kasus kebocoran data pribadi. Seluruh Penyelenggara Sistem Elektronik (PSE) yang mengalami kebocoran data hanya diberikan teguran dan rekomendasi. Sebagaimana disebutkan oleh Kemenkominfo, penjatuhan sanksi berupa denda administratif baru dapat diterapkan pada Oktober 2024.
“Hal ini patut untuk mendapatkan perhatian lebih di Indonesia mengingat di satu sisi bahwa Indonesia telah memiliki payung hukum penegakan PDP. Namun, di sisi lainnya, kebocoran data sudah marak terjadi di Indonesia dari tahun-tahun sebelumnya bahkan hingga saat ini, satu tahun setelah UU PDP disahkan,” Jinan menambahkan.
Peraturan Turunan UU PDP
Detail teknis dalam implementasi ketentuan UU PDP memang akan diperjelas lebih lanjut dalam beberapa peraturan turunan dari undang-undang tersebut. Terdapat dua jenis peraturan turunan yang diamanatkan oleh UU PDP, yaitu peraturan presiden dan peraturan pemerintah.