By AdminArtikel ini ditulis oleh Nur Aisyah Mehulina Siregar & Agusmidah
Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) lahir sebagai jawaban atas maraknya kasus kebocoran dan penyalahgunaan data pribadi di Indonesia, mulai dari kebocoran data layanan kesehatan, data pelanggan telekomunikasi, hingga dugaan kebocoran data pemilih pemilu. Pembentukan UU ini menunjukkan pengakuan negara bahwa data pribadi adalah bagian dari hak asasi manusia yang wajib dilindungi, sekaligus aset strategis dalam era ekonomi digital. Namun, di balik tujuan mulia tersebut, politik hukum yang mewarnai pembentukannya menyisakan pertanyaan serius tentang potensi penyalahgunaan akses data dan informasi digital oleh pihak-pihak yang memiliki otoritas, baik negara maupun korporasi besar.
Secara normatif, UU PDP mengatur prinsip-prinsip dasar pemrosesan data pribadi, hak-hak subjek data, kewajiban pengendali dan prosesor data, serta sanksi administratif, perdata, dan pidana bagi pelanggar. Data pribadi diklasifikasikan menjadi data umum dan data spesifik yang sensitif, seperti data kesehatan, biometrik, genetika, kehidupan seksual, pandangan politik, dan catatan kejahatan, yang seharusnya menikmati perlindungan lebih ketat. Dalam praktik, klasifikasi ini justru membuka ruang perdebatan: sejauh mana data yang dianggap “diperlukan” oleh negara atau pelaku usaha dapat diproses dengan alasan kepentingan umum, keamanan nasional, atau pelayanan publik, tanpa berujung pada pengawasan berlebihan terhadap warga negara.
Dari perspektif politik hukum, UU PDP tidak lahir dalam ruang hampa, tetapi dalam konteks meningkatnya ketergantungan pemerintah dan dunia usaha pada big data, artificial intelligence, dan infrastruktur digital lainnya. Negara memiliki kepentingan ganda: di satu sisi dituntut melindungi hak privasi warga, di sisi lain ingin mengakses, mengintegrasikan, dan memanfaatkan data untuk kebijakan publik, penegakan hukum, serta pengendalian sosial. Tarik-menarik kepentingan ini tampak dari lamanya proses pembahasan RUU PDP yang dimulai sejak sekitar 2016 dan baru disahkan pada 2022, setelah melewati sejumlah perdebatan kelompok masyarakat sipil yang mengkhawatirkan dominasi negara dalam pengelolaan data.
Potensi penyalahgunaan akses data terlihat jelas ketika UU memberikan sejumlah pengecualian pemrosesan data untuk kepentingan tertentu, misalnya penegakan hukum, pertahanan dan keamanan, serta kepentingan layanan publik. Secara teori, pengecualian ini lazim dan diperlukan agar negara tetap dapat berfungsi efektif, namun tanpa mekanisme pengawasan yang kuat dan independen, pengecualian tersebut dapat berubah menjadi pintu masuk penyadapan, profiling, dan pemantauan massal yang tidak proporsional. Dalam konteks politik elektoral, misalnya, penguasaan basis data kependudukan dan data digital warga dapat menggoda aktor politik untuk menggunakannya sebagai instrumen micro-targeting kampanye atau mobilisasi dukungan, di luar kendali dan pengetahuan pemilik data.
Sejumlah kasus kebocoran data sebelum dan setelah lahirnya UU PDP memperlihatkan bahwa masalah utama bukan hanya kekosongan hukum, tetapi juga lemahnya tata kelola dan standar keamanan data di institusi publik dan privat. Kebocoran data eHAC yang melibatkan lebih dari satu juta data perjalanan dan kesehatan pengguna menunjukkan infrastruktur keamanan yang sangat rapuh, mulai dari tidak adanya enkripsi, lemahnya kontrol akses, hingga tidak jelasnya tanggung jawab pengendali data. Beberapa laporan lain juga menyebut berbagai insiden kebocoran data pelanggan operator seluler, marketplace, maupun lembaga keuangan, yang memunculkan keraguan publik terhadap kemampuan negara memaksa korporasi patuh pada prinsip keamanan data by design dan by default.
UU PDP sesungguhnya telah memuat kewajiban bagi pengendali data untuk menerapkan langkah-langkah teknis dan organisasi guna melindungi data dari akses tidak sah, kebocoran, dan pemrosesan yang melampaui tujuan awal. Di atas kertas, sanksi administratif berupa denda, penghentian sementara kegiatan, hingga penghapusan data sudah diatur, bahkan terdapat ancaman pidana dan denda yang cukup besar bagi pelanggaran tertentu, termasuk pengungkapan data tanpa persetujuan. Namun, politik penegakan hukumnya sering kali tidak sekeras teks hukumnya: lembaga penegak hukum cenderung berhati-hati, terutama ketika pelanggaran melibatkan institusi negara atau korporasi strategis yang mempunyai kekuatan politik dan ekonomi.
Hak subjek data dalam UU PDP tampak progresif, seperti hak untuk mendapatkan informasi mengenai pemrosesan data, hak mengakses dan memperbaiki data, hak menghapus data, hak menarik persetujuan, hingga hak mengajukan keberatan dan memperoleh ganti rugi. Akan tetapi, dalam kenyataan sosial Indonesia yang ditandai kesenjangan literasi digital, banyak warga tidak memahami bahwa mereka memiliki hak-hak tersebut, apalagi mampu memanfaatkannya secara efektif. Hal ini berpotensi menciptakan “legal privilege” di mana hanya kelompok berpendidikan, melek hukum, atau punya sumber daya yang dapat memaksa pengendali data tunduk, sedangkan kelompok rentan tetap menjadi objek eksploitasi data.
Potensi penyalahgunaan akses data juga berkaitan erat dengan posisi kelembagaan otoritas pelindungan data. UU PDP mengamanatkan pembentukan lembaga pengawas yang memiliki kewenangan untuk mengawasi kepatuhan pengendali dan prosesor data, menerima pengaduan, melakukan pemeriksaan, dan menjatuhkan sanksi. Jika lembaga ini ditempatkan terlalu dekat di bawah eksekutif tanpa jaminan independensi, dikhawatirkan terjadi konflik kepentingan ketika pelanggaran berasal dari instansi pemerintah sendiri. Sebaliknya, jika terlalu lemah secara politik dan anggaran, lembaga pengawas akan kesulitan menegakkan standar keamanan dan akuntabilitas terhadap korporasi raksasa yang menguasai infrastruktur digital.
Dari sudut pandang politik hukum, desain sanksi dalam UU PDP juga memuat pesan yang ambivalen. Di satu sisi, ancaman pidana dan denda besar terhadap pelaku penyalahgunaan data menunjukkan keinginan negara mengirim sinyal tegas bahwa pelanggaran tidak akan ditoleransi. Di sisi lain, tanpa contoh penegakan yang konsisten, sanksi tersebut berpotensi menjadi “taring di atas kertas” yang hanya menakutkan di level normatif, tetapi tumpul ketika berhadapan dengan kepentingan ekonomi-politik yang kuat. Celah ini menciptakan ruang abu-abu di mana akses dan pemanfaatan data dapat dinegosiasikan secara informal antara pengendali data, birokrat, dan aktor politik.
Dalam konteks ekonomi digital, data pribadi telah berubah menjadi komoditas bernilai tinggi yang mendorong praktik pengumpulan data secara agresif oleh platform digital, e-commerce, aplikasi finansial, dan penyedia layanan berbasis teknologi lainnya. UU PDP memang mensyaratkan adanya dasar pemrosesan yang sah, termasuk persetujuan yang jelas, spesifik, dan terinformasi dari subjek data. Namun pola persetujuan di dunia digital sering kali berlangsung semu: formulir persetujuan yang panjang dan teknis, antarmuka yang mendorong pengguna meng-klik “setuju” tanpa membaca, serta bundling layanan yang memaksa pengguna menyerahkan lebih banyak data daripada yang wajar. Dalam situasi ini, akses pengendali data menjadi sangat luas, sementara kontrol pemilik data makin mengecil.
Dari sini tampak bahwa potensi penyalahgunaan akses data tidak hanya muncul dari tindakan melawan hukum secara terang-terangan, tetapi juga dari praktik yang secara formal sah namun materialnya merugikan subjek data. Misalnya, penyusunan profil perilaku konsumen yang sangat rinci untuk kepentingan iklan terarah atau penilaian kelayakan kredit, yang pada akhirnya dapat berujung pada diskriminasi harga, penolakan layanan, atau pengucilan digital bagi kelompok tertentu. UU PDP belum secara tegas mengatur batasan penggunaan profil otomatis dan pengambilan keputusan berbasis algoritma, sehingga memberi ruang bagi interpretasi yang dapat menguntungkan pelaku usaha besar.
Melihat konfigurasi tersebut, arah politik hukum ke depan seharusnya berfokus pada tiga penguatan utama. Pertama, penguatan independensi dan kapasitas lembaga pengawas perlindungan data, baik dari sisi kewenangan investigasi, penjatuhan sanksi, maupun transparansi kepada publik. Kedua, pengembangan standar teknis minimum yang wajib dipenuhi semua pengendali dan prosesor data, termasuk enkripsi, pembatasan akses berbasis peran, pencatatan log akses, dan kewajiban pelaporan insiden keamanan dalam jangka waktu ketat kepada otoritas dan subjek data. Ketiga, peningkatan literasi data dan kesadaran hukum masyarakat agar hak-hak dalam UU PDP tidak berhenti sebagai slogan, tetapi benar-benar dapat digunakan untuk menuntut akuntabilitas pengendali data di ruang digital.
Tanpa perubahan politik hukum yang sungguh-sungguh di tingkat kelembagaan, teknis, dan budaya hukum, UU PDP berisiko menjadi instrumen yang hanya menyajikan ilusi perlindungan. Pada permukaannya, regulasi tampak kuat dengan ancaman sanksi dan daftar hak yang panjang, namun di balik itu data pribadi tetap rentan dieksploitasi untuk kepentingan ekonomi dan politik melalui akses yang tidak transparan dan sulit diawasi. Tantangan terbesar Indonesia bukan sekadar memiliki undang-undang, melainkan memastikan bahwa tata kelola akses data dan informasi digital benar-benar berpihak pada martabat dan hak warga negara, bukan semata-mata pada kepentingan kekuasaan atas data.
