Defrina Chalista MumpuniArtikel ini ditulis oleh Defrina Chalista Mumpuni, Maria Yosefa Amorita Nathanasha & Cahaya Pertiwi Putri Hamid.
PENDAHULUAN
Transformasi teknologi digital yang berlangsung masif dalam satu dekade terakhir telah mendorong masyarakat memasuki fase transisi menuju era digital. Peran dan penggunaan teknologi informasi dalam kegiatan sehari-hari sangat mempermudah kehidupan masyarakat yang lebih efisien dan dinamis, serta menyebabkan dunia menjadi tanpa batas (borderless).1 Namun di balik perkembangan tersebut, terdapat dinamika problematik yang menjadi perhatian, yakni semakin intensifnya praktik pengumpulan dan pemrosesan data pribadi dari berbagai platform digital tanpa adanya standar pelindungan yang memadai. Digitalisasi layanan serta ketergantungan masyarakat terhadap berbagai ekosistem digital telah menempatkan data pribadi sebagai unsur fundamental di dalamnya. Dalam hal ini, risiko penyalahgunaan data pribadi telah menjadi fenomena dalam berbagai peristiwa pelanggaran data di Indonesia.
Hasil survei Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) tahun 2025 menunjukkan bahwa tingkat penetrasi internet Indonesia mencapai 60,66% atau sekitar 229 juta pengguna, dengan mayoritas memanfaatkan layanan media sosial dan platform berbasis data.2 Angka tersebut merupakan indikator akan besarnya volume data pribadi yang beredar dan dikelola oleh berbagai pihak. Dengan pertumbuhan pengguna yang terus meningkat setiap tahun, risiko kebocoran data pun ikut bertambah. Situasi ini akan menjadi masalah ketika mekanisme perlindungan data tidak berjalan secara memadai.
Fakta akan lemahnya pelindungan data pribadi di Indonesia kian terang terlihat dari berbagai insiden kebocoran data yang terjadi dalam beberapa tahun terakhir. Salah satu contoh peristiwa pembobolan data adalah kasus pembobolan data peserta Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan pada bulan Mei 2021 yang mana sebanyak 279 juta data penduduk diretas dan dibobol meliputi beberapa data pribadi dari peserta BPJS seperti Nomor Induk Kependudukan (NIK), nomor telepon, hingga informasi gaji yang menyebabkan kerugian materiil mencapai 600 triliun Rupiah.3 Peristiwa-peristiwa tersebut merupakan wujud nyata adanya defisit pada tata kelola data nasional. Fenomena inilah yang melatarbelakangi lahirnya Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Undang-undang ini dirancang sebagai langkah preventif dan represif untuk menjawab ancaman terhadap privasi digital masyarakat. Dalam kerangka UU PDP, pembentukan lembaga pengawas pelindungan data pribadi merupakan elemen normatif yang menjadi kunci efektivitas keseluruhan rezim PDP.
Absennya lembaga pengawas PDP saat ini menjadi sangat penting, karena hal ini menciptakan fenomena kosongnya kontrol dalam UU PDP. Kekosongan kelembagaan ini menunjukkan bahwa keberadaan otoritas yang independen bukan hanya pelengkap administratif, melainkan prasyarat struktural untuk tegaknya sistem pelindungan data pribadi yang efektif. Berkaca pada kondisi tersebut, tulisan ini dibuat untuk mengkaji secara mendalam sejauh mana urgensi akan pembentukan lembaga PDP untuk memberikan pelindungan data pribadi individu yang merupakan bagian dari hak asasi manusia di era digital. Selain itu perlu dilihat bagaimana dampak dari kekosongan lembaga PDP pada masyarakat, mengingat perkembangan teknologi yang kian pesat dan risiko cyber-crime yang semakin sering dijumpai.
URGENSI PEMBENTUKAN LEMBAGA PDP
Dengan diberlakukannya Undang-Undang Perlindungan Data Pribadi (UU PDP), Indonesia secara normatif telah memiliki payung hukum yang menjadi landasan penting bagi penegakan hak privasi masyarakat. Namun, efektivitas penerapan undang-undang tersebut sangat bergantung pada keberadaan lembaga pengawas yang mampu memastikan seluruh mandat UU PDP dijalankan secara konsisten. Karena itu, pembentukan Lembaga PDP menjadi kebutuhan mendesak. Beberapa urgensi yang menguatkan perlunya lembaga ini antara lain:
Pertama, praktik internasional menunjukkan bahwa hampir seluruh yurisdiksi yang menerapkan regulasi perlindungan data secara komprehensif selalu memiliki otoritas pengawas independen. Uni Eropa, melalui General Data Protection Regulation (GDPR), membentuk Data Protection Authorities (DPA) untuk menangani pengaduan, melakukan investigasi, serta menjatuhkan sanksi. Inggris memiliki Information Commissioner’s Office (ICO); Korea Selatan mengoperasikan Personal Information Protection Commission (PIPC); Singapura membentuk Personal Data Protection Commission (PDPC); dan Prancis dengan Commission Nationale de l’Informatique et des Libertés (CNIL).4 Bahkan, UN Guidelines for the Regulation of Computerized Personal Data Files (1990) memasukkan keberadaan lembaga pengawas independen sebagai salah satu prinsip jaminan minimum dalam perlindungan data.5
Menurut pedoman resmi European Data Protection Board, salah satu aspek penting dalam menilai apakah suatu negara dianggap memiliki perlindungan data yang memadai adalah keberadaan dan berfungsinya otoritas perlindungan data yang independen. Standar internasional juga mensyaratkan adanya jaminan bahwa negara penerima data memiliki pengawasan yang independen serta tingkat perlindungan yang memadai.6 Negara yang tidak memiliki lembaga pengawas setara seringkali dipandang memiliki tingkat pelindungan yang lebih rendah, sehingga menimbulkan keraguan mitra internasional terkait keamanan dan akuntabilitas pengelolaan data. Konsekuensinya dapat mempengaruhi kelancaran aliran data lintas negara, investasi digital, serta partisipasi Indonesia dalam kerja sama ekonomi berbasis data.
Kedua, dalam konteks hukum nasional, pembentukan Lembaga Pelindungan Data Pribadi telah secara tegas diamanatkan dalam Pasal 58–60 Bab IX UU PDP, yang menempatkan lembaga ini sebagai penyelenggara pelindungan data pribadi dan bertanggung jawab langsung kepada Presiden. Dalam perspektif negara hukum, keberadaan lembaga tersebut merupakan syarat penting agar norma UU PDP dapat bekerja secara efektif, karena hukum tidak mungkin berjalan tanpa organ pelaksana yang memiliki kewenangan untuk menegakkannya.7 Hal ini sejalan dengan pandangan Mochtar Kusumaatmadja yang menegaskan bahwa hukum tidak hanya terdiri dari kaidah atau asas, tetapi juga mencakup lembaga serta proses yang memastikan kaidah tersebut berfungsi dalam kehidupan masyarakat.8 Tanpa lembaga yang menjalankan dan menegakkan norma, hukum kehilangan efektivitas dalam penerapannya.
Namun hingga kini, Lembaga PDP belum dibentuk sehingga mandat dalam Pasal 59 mulai dari perumusan kebijakan nasional, pengawasan pemrosesan data pribadi, penegakan hukum administratif, hingga penyelesaian sengketa tidak dapat dijalankan secara optimal. Padahal, Pasal 60 telah memberikan kewenangan strategis kepada lembaga ini, termasuk untuk menerima dan memeriksa aduan, melakukan investigasi, menjatuhkan sanksi administratif, dan menyediakan mekanisme penyelesaian sengketa nonlitigasi seperti konsultasi, mediasi, konsiliasi, arbitrase, atau penilaian ahli.9 Selama lembaga ini belum ada, seluruh kewenangan tersebut tertunda implementasinya, sehingga efektivitas rezim pelindungan data pribadi tetap terbatas pada tataran normatif.
Ketiga, absennya Lembaga PDP menciptakan kekosongan otoritas yang berdampak langsung pada kualitas pelindungan data pribadi di Indonesia. Melihat dari sudut pandang good governance, penyelesaian pelanggaran Pelindungan Data Pribadi tidak ideal jika sepenuhnya diserahkan kepada mekanisme internal pengendali data, karena hal tersebut berisiko menimbulkan konflik kepentingan, di mana pihak yang diduga melanggar justru menilai dirinya sendiri. Dalam tata kelola yang baik, akuntabilitas, transparansi, dan independensi harus dijaga.10 Karena itu, mekanisme internal saja tidak cukup untuk memastikan penanganan pelanggaran yang adil. Situasi ini menunjukkan perlunya Lembaga PDP yang benar-benar independen untuk mengawasi kepatuhan, menerima aduan, dan melindungi hak subjek data.
Selain itu, dari perspektif hak asasi manusia, ketiadaan lembaga independen juga melemahkan perlindungan hak atas privasi, yang merupakan bagian dari hak konstitusional warga negara sebagaimana ditegaskan dalam UUD 1945. Penjelasan Pasal 51 ayat (1) Undang-Undang Mahkamah Konstitusi menyatakan bahwa hak konstitusional adalah hak-hak yang diatur dalam UUD 1945, sementara Pasal 28G ayat (1) menjamin perlindungan terhadap diri pribadi, kehormatan, dan martabat seseorang. Oleh karena itu, keberadaan lembaga yang independen dan berwenang dalam pelindungan data pribadi menjadi elemen penting untuk memastikan hak konstitusional tersebut terlindungi secara efektif.
Dalam masyarakat digital saat ini, hampir seluruh aktivitas publik mulai dari layanan keuangan, pendidikan, kesehatan, hingga transportasi semuanya bergantung pada pemrosesan data pribadi. Lemahnya pengawasan negara dapat menimbulkan rasa tidak aman dan menurunkan kepercayaan masyarakat terhadap layanan digital maupun penegakan hukumnya. Ketika kepercayaan ini hilang, partisipasi dalam ekonomi digital pun ikut terhambat. Karena itu, pembentukan Lembaga PDP tidak hanya penting karena amanat UU PDP atau standar internasional, tetapi juga sebagai kebutuhan nyata untuk menjaga keamanan digital, melindungi hak privasi sebagai hak fundamental, dan memastikan ekosistem digital Indonesia dapat berkembang secara aman dan terpercaya.
DAMPAK NYATA KEKOSONGAN LEMBAGA PDP
Mengutip dari Sibermate.com pada tengah tahun silam, sebanyak 184 juta kredensial online bocor dari berbagai platform sosial besar seperti Apple, Google, dan Facebook. Fenomena kebocoran password ini tidak hanya berdampak pada keamanan akun pribadi, namun juga membuka banyak celah serangan pencurian data pribadi yang tersimpan dalam akun penggunanya.11 Ketiga platform tersebut merupakan platform media sosial yang berkedudukan di luar Indonesia sehingga telah terjadi transfer data pribadi lintas negara dalam jumlah yang besar dan perlu pengawasan yang ketat.
Keberadaan Lembaga PDP ini diharapkan dapat mengisi celah penegakan dan kepatuhan terhadap pelindungan data pribadi masyarakat Indonesia. Perannya dirancang untuk mengawasi kepatuhan kebijakan, menyelesaikan sengketa kegagalan pelindungan data pribadi, dan juga merumuskan peraturan yang nantinya menjadi pedoman bagi pengendali dan prosesor data pribadi dalam rangka pengelolaan data, baik dari individu, lembaga publik, maupun badan privat.
Namun, meskipun UU PDP telah disahkan sejak 17 Oktober 2022 dan telah melewati masa transisi dua tahun yang berakhir pada 17 Oktober 2024, pembentukan Lembaga PDP tak kunjung terealisasi. Kondisi ini menciptakan dinamika kekosongan hukum yang berdampak serius terhadap perlindungan data pribadi masyarakat Indonesia. Tanpa adanya kekuatan otoritas dari lembaga independen, UU PDP hanyalah sebuah norma tertulis di atas kertas tanpa penegakan yang tegas. Absennya otoritas pengawas ini telah memperlihatkan dampak nyata melalui beberapa kasus kebocoran data masif yang terjadi di Indonesia, baik dalam sektor swasta, pemerintah maupun perbankan.
Pada Mei 2023 silam, Bank Syariah Indonesia (BSI) menjadi korban serangan ransomware oleh kelompok peretas LockBit 3.0 yang mengakibatkan seluruh layanan tidak dapat beroperasi selama kurang lebih empat hari. Kelompok peretas tersebut mengklaim telah mencuri 15 juta data nasabah serta karyawan BSI, meliputi nomor telepon, alamat, nama, dokumen finansial, dan password akses bank BSI.12
Tidak berhenti di sektor perbankan, ancaman serupa juga menimpa infrastruktur data pemerintah. Pada Juni 2024, Pusat Data Nasional Sementara (PDNS) di Surabaya mengalami serangan ransomware Brain Cipher, varian dari LockBit 3.0 yang mengakibatkan gangguan signifikan pada layanan publik, termasuk layanan imigrasi dan pendaftaran online siswa baru.13 Serangan ini berlangsung selama kurang lebih tiga hari, berhasil menonaktifkan fitur-fitur keamanan milik PDNS, dan membuka akses ilegal terhadap data yang tersimpan. Tentunya data-data tersebut sifatnya sangat rahasia karena meliputi Nomor Induk Kependudukan (NIK), Kartu Tanda Penduduk (KTP), nomor ponsel, dan data penting lainnya.
Kasus-kasus tersebut secara nyata membuktikan bahwa ketiadaan Lembaga PDP sebagai otoritas independen telah menciptakan kekosongan hukum dalam pelindungan data pribadi masyarakat Indonesia. Tanpa pengawasan yang ketat dan penegakan hukum yang memadai, baik sektor privat, perbankan, maupun instansi pemerintah akan menjadi sasaran empuk bagi pelaku serangan siber. Dampak dari kekosongan lembaga pengawas ini tidak hanya terbatas pada kerugian materiil, namun juga mengakibatkan menurunnya kepercayaan publik terhadap sistem pelindungan data di Indonesia.
Keberadaan Lembaga PDP diharapkan dapat menjadi tonggak hukum bagi upaya penanggulangan tindak cybercrime yang sedang marak terjadi. Ditambah lagi, mengingat kejahatan cybercrime bersifat lintas batas yurisdiksi, keberadaan Lembaga PDP sebagai otoritas pengawasan dan penegakan hukum menjadi sangat krusial. Mengenai latar belakang keterlambatan pembentukan lembaga ini pun kurang jelas. Hingga pertengahan tahun 2025, belum ada Peraturan Presiden yang mengarahkan pembentukan Lembaga PDP, meskipun rancangan Perpres dikabarkan telah dalam tahap harmonisasi di Kementerian Hukum dan HAM.14 Ketidakjelasan ini semakin mempertegas urgensi segera dibentuknya Lembaga PDP yang independen, efektif, dan memiliki kewenangan penuh untuk menjamin perlindungan data pribadi seluruh masyarakat Indonesia di tengah maraknya ancaman kejahatan siber yang terus berkembang. Pembentukan Lembaga PDP bukan lagi sekedar kewajiban konstitusional, melainkan kebutuhan mendesak untuk menyelamatkan kedaulatan data nasional dan memulihkan kepercayaan publik terhadap sistem perlindungan data di Indonesia.
KESIMPULAN
Pelindungan data pribadi dalam menjamin hak atas privasi masyarakat Indonesia saat ini belum berjalan maksimal. Hal tersebut ditunjukkan dengan masih maraknya kasus-kasus pelanggaran data pribadi. Walaupun saat ini Indonesia sudah memiliki regulasi khusus dalam pelindungan data pribadi, namun efektivitas dalam UU PDP masih menghadapi hambatan akibat ketiadaan lembaga pengawas di dalamnya. Apabila berkaca pada yurisdiksi internasional, keberadaan lembaga pengawas independen merupakan standar global dalam pelindungan data pribadi secara efektif. Uni Eropa melalui GDPR memiliki DPA sebagai lembaga berwenang yang menerima aduan, mengawasi kepatuhan, hingga menjatuhkan denda pada pelanggar PDP. Di Indonesia sendiri sebenarnya sudah diamanatkan akan pembentukan lembaga Perlindungan Data Pribadi yang secara eksplisit disebutkan dalam pasal 58-60 Bab IX UU PDP, namun hal tersebut masih belum direalisasikan sehingga menciptakan kekosongan institusional dalam implementasi UU PDP.
Keberadaan Lembaga PDP pada dasarnya diharapkan menjadi pilar utama dalam penanggulangan berbagai bentuk kejahatan siber yang semakin kompleks dan marak terjadi. Mengingat karakteristik cybercrime yang bersifat lintas batas yurisdiksi (cross-border), suatu otoritas pengawasan dan penegakan hukum yang memiliki kewenangan kuat menjadi kebutuhan mendesak untuk memastikan bahwa setiap pemrosesan data pribadi dapat diawasi secara efektif. Namun demikian, hingga pada pertengahan tahun 2025 pun pembentukan Lembaga PDP masih belum menunjukkan perkembangan signifikan. Melihat bagaimana peningkatan ancaman siber, penundaan pembentukan Lembaga PDP tidak hanya menghambat efektivitas penegakan hukum administratif saja tetapi dapat menurunkan kemampuan institusional negara dalam memastikan keamanan digital nasional.
SARAN
Berdasarkan analisis mengenai urgensi pembentukan Lembaga PDP, terdapat sejumlah saran strategis yang dapat dipertimbangkan. Saran-saran ini disusun untuk memperkuat pelindungan data pribadi untuk memastikan terpenuhinya hak atas privasi warga negara serta menciptakan ekosistem digital yang aman.
Pertama, Pemerintah perlu mempercepat penyelesaian dan menetapkan Peraturan Presiden yang mengatur pembentukan Lembaga Perlindungan Data Pribadi. Keterlambatan pembentukan lembaga ini telah menimbulkan kekosongan institusional yang berdampak signifikan terhadap kinerja penegakan UU PDP. Dengan terbitnya Peraturan Presiden, struktur, kewenangan, dan mekanisme operasional lembaga akan memperoleh dasar hukum yang jelas sehingga mampu menjalankan fungsi pengawasan, investigasi, dan penegakan sanksi secara independen. Realisasi ini penting untuk akhirnya mengakhiri praktik self-regulation yang selama ini menjadi sumber konflik kepentingan dan minim akuntabilitas, serta memberikan kepastian hukum bagi seluruh pemangku kepentingan dalam ekosistem digital Indonesia.
Kedua, diperlukan penguatan dan peningkatan dalam infrastruktur keamanan teknologi pada setiap pengelola data. Melihat meningkatnya intensitas serangan siber dalam beberapa tahun terakhir menunjukkan bahwa sistem keamanan yang ada belum memadai untuk menghadapi modus serangan yang semakin kompleks. Oleh karena itu, setiap pengendali dan prosesor data perlu menerapkan standar keamanan yang lebih tinggi, termasuk pembaruan sistem secara berkala, penguatan mekanisme proteksi terhadap pembobolan maupun pencurian data, serta pembangunan arsitektur keamanan yang berlapis. Apabila diperlukan, setiap pengelola data wajib menjalani audit keamanan secara berkala untuk memastikan kepatuhan terhadap standar perlindungan data yang berlaku secara nasional serta meminimalisir potensi terjadinya insiden siber di masa mendatang.
Ketiga, peningkatan literasi digital masyarakat perlu diperkuat secara sistematis. Kesadaran publik mengenai hak-haknya sebagai subjek data, risiko yang melekat dalam penggunaan layanan digital, serta prosedur pengaduan jika terjadi pelanggaran merupakan elemen penting dalam menciptakan budaya pelindungan data yang kuat. Tanpa literasi yang memadai, masyarakat akan tetap berada pada posisi rentan meskipun instrumen hukum telah tersedia. Program literasi dapat dilakukan melalui integrasi ke kurikulum pendidikan, kampanye nasional, dan kolaborasi antara pemerintah, platform digital, serta organisasi masyarakat sipil.
- Muhammad Saiful Rizal, “Perbandingan Perlindungan Data Pribadi Indonesia dan Malaysia”, Jurnal Cakrawala Hukum, Volume 10, Nomor. 2, 2019, hlm. 219. ↩︎
- APJII. Laporan Survei Penetrasi & Perilaku Pengguna Internet Indonesia 2025. APJII, 2025. ↩︎
- Muh Iqbal, “Bareskrim: Diduga Keras Data BPJS Bocor!,” CNBC Indonesia, 2021. ↩︎
- Lembaga Studi dan Advokasi Masyarakat (ELSAM), Pentingnya Otoritas Pengawas Independen dalam
Perlindungan Data Pribadi, Policy Brief 3, diakses melalui https://elsam.or.id/storage/files/2/Policy%20Brief%203%20Pentingnya%20Otoritas%20pengawas%20Independen.pdf. ↩︎ - Farah Naurah Khansa, Penguatan Hukum dan Urgensi Otoritas Pengawas Independen dalam Perlindungan Data Pribadi di Indonesia, Rewang Rencang: Jurnal Hukum Lex Generalis, Vol. 2 No. 8 (Agustus 2021), hlm. 649–662. ↩︎
- European Data Protection Board, ‘International Data Transfers’ https://www.edpb.europa.eu/sme-data-protection-guide/international-data-transfers_en diakses 25 November 2025. ↩︎
- Janpatar Simamora and Leonardo David Simatupang, ‘Penguatan Kedudukan dan Kewenangan Konstitusional Polri sebagai Alat Negara dalam Bidang Keamanan dan Ketertiban’ (2024) Fakultas Hukum Universitas HKBP Nommensen, diterima 21 April 2024, direvisi 2 Oktober 2024, diterbitkan 30 November 2024. ↩︎
- Bernard Simamora, ‘Mengenal Pemikiran Hukum Prof. Dr. Mochtar Kusumaatmadja S.H., LL.M.’ (bernardsimamora.com, dikunjungi 25 November 2025) https://bernardsimamora.com/mengenal-pemikiran-hukum-prof-dr-mochtar-kusumaatmadja-s-h-llm/ ↩︎
- Pasal 60 Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).Selama lembaga ini belum ada, seluruh kewenangan tersebut tertunda implementasinya, sehingga efektivitas rezim pelindungan data pribadi tetap terbatas pada tataran normatif. ↩︎
- UNESCAP, What is Good Governance? (United Nations Economic and Social Commission for Asia and the Pacific) https://www.unescap.org/sites/default/files/good-governance.pdf ↩︎
- Nur Rachmi Latifa, “184 Juta Password Bocor dari Apple & Google, Apa Sebab dan Solusinya?”, Sibermate.com, 11 Juni 2025, https://sibermate.com/hrmi/184-juta-password-bocor-dari-apple-google-apa-sebab-dan-solusinya. ↩︎
- Display UB, “Kebocoran Data BSI: Data Tercuri Tidak Dijamin Kembali”, 16 Mei 2023, https://display.ub.ac.id/news/kebocoran-data-bsi-data-tercuri-tidak-dijamin-kembali/ ↩︎
- BBC Indonesia, “PDNS: Pusat Data Nasional Sementara lumpuh akibat ransomware”, 26 Juni 2024,”Kronologis Diretasnya PDN Indonesia oleh Ransomware Brain Cipher”, 4 Juli 2024, https://www.primacs.co.id/post/kronologis-diretasnya-pdn-indonesia-oleh-ransomware-brain-cipher. ↩︎
- Hukum Online, “Kompleksitas Pembentukan Lembaga Pelindungan Data Pribadi”, 3 November 2024, https://www.hukumonline.com/stories/article/lt672952d5405b5/kompleksitas-pembentukan-lembaga-pelindungan-data-pribadi/ ↩︎
