Sudah Ada UU PDP, Mengapa Data Kita Masih Terus Bocor?

Perbesar

Pernahkah kamu iseng mencari nama lengkap Anda di Google? Cobalah. Kamu mungkin akan terkejut menemukan file PDF berisi nama, Nomor Induk Kependudukan (NIK), bahkan nomor telepon kamu terpampang bebas, sering kali dari dokumen pengumuman kelulusan universitas atau daftar peserta kegiatan instansi pemerintah. Inilah mirisnya pengelolaan informasi di Indonesia saat ini: data pribadi dianggap sepele, diobral secara cuma-cuma, dan pada akhirnya, menjadi amunisi bagi praktik jahat seperti doxing.

Fenomena doxing, praktik menyebarkan informasi pribadi seseorang secara daring tanpa izin untuk tujuan melecehkan atau mengintimidasi, kini semakin merajalela. Terutama bagi mereka yang vokal menyuarakan kritik terhadap pemerintah atau kebijakan publik. Dalam sekejap, data pribadi mereka, mulai dari alamat rumah, nomor telepon anggota keluarga, hingga riwayat pendidikan, disebar oleh para buzzer di media sosial. Pertanyaannya, dari mana para pelaku ini mendapatkan data tersebut dengan begitu mudah? Jawabannya sering kali lebih dekat dari yang kita duga, yaitu dari kelalaian institusi yang seharusnya melindungi data kita.

Ironisnya, Indonesia telah memiliki Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Sebuah payung hukum yang kita harapkan menjadi benteng kokoh. Namun, tiga tahun setelah disahkan, benteng itu terasa lebih mirip seperti pagar kawat berduri yang bolong di sana-sini. Data kita masih terus bocor, dan para pemangku kepentingan seolah tak tersentuh.

Badan Siber dan Sandi Negara (BSSN) secara konsisten melaporkan ratusan juta anomali trafik dan serangan siber setiap tahunnya. Sepanjang tahun 2024 saja, terdeteksi lebih dari 500 juta serangan, sebuah angka yang menunjukkan betapa masifnya ancaman di ruang digital kita. Namun, angka-angka ini sering kali hanya menjadi statistik di laporan tahunan, tanpa diikuti perubahan fundamental dalam cara kita mengelola data.

Ingat kembali lumpuhnya Pusat Data Nasional Sementara (PDNS) 2 akibat serangan ransomware pada pertengahan 2024? Insiden itu bukan hanya soal gangguan layanan imigrasi, melainkan sebuah pertunjukan kegagalan manajerial tingkat tinggi dalam mengamankan infrastruktur digital yang vital. Data jutaan warga negara menjadi komoditas tawar-menawar para peretas.

Sebelumnya, kita juga menyaksikan serangkaian kebocoran data raksasa seperti data pemilih KPU pada 2023, jutaan data nasabah perbankan, hingga data pengguna BPJS Ketenagakerjaan. Rentetan ini seolah menjadi "hal yang biasa", dinormalisasi oleh respons pejabat yang sering kali defensif atau sekadar berjanji akan "melakukan investigasi".

Pangkal dari semua masalah ini adalah persoalan manajerial yang kurang berkompeten, para pemimpin lembaga dan institusi, baik di sektor publik maupun swasta, sering kali tidak menganggap keamanan data sebagai prioritas. Mereka memandang investasi untuk keamanan siber sebagai cost center (pusat biaya), bukan sebagai investasi vital untuk menjaga kepercayaan publik dan keberlangsungan institusi.

Sikap abai ini paling nyata terlihat di lingkungan pendidikan. Banyak universitas dan sekolah tanpa sadar menjadi "distributor" data pribadi. Pengumuman hasil seleksi, daftar wisudawan, hingga jadwal kuliah sering kali diunggah dalam format file yang dapat diunduh bebas, lengkap dengan nama, nomor induk mahasiswa/siswa, dan terkadang informasi kontak. Niatnya mungkin baik, untuk transparansi. Namun, dalam praktiknya, ini adalah sebuah kelalaian fatal.

Data yang disebar dengan sengaja, meski tanpa niat jahat, ini menjadi tambang emas bagi para pelaku doxing dan penipu. Mereka tidak perlu meretas sistem yang rumit; cukup dengan beberapa kali klik, mereka sudah bisa menyusun profil targetnya. Inilah mengapa, ketika seorang aktivis atau jurnalis kritis "diserang" buzzer, data-data personalnya bisa muncul dengan sangat cepat dan akurat.

Lalu, di mana peran UU PDP? Undang-undang ini yang harusnya sangat komprehensif melindungi data. Ia mengatur hak pemilik data (kita semua) dan kewajiban pengendali data (lembaga/institusi). Ada ancaman sanksi yang tidak main-main, mulai dari teguran tertulis hingga denda administratif mencapai 2% dari pendapatan tahunan perusahaan.

Masalahnya, penegakan hukumnya masih sangat lemah. Sampai hari ini, kita jarang sekali mendengar ada institusi yang dijatuhi sanksi berat karena lalai menjaga data. Proses investigasi sering berjalan senyap dan hasilnya tidak pernah diumumkan secara transparan ke publik.

Selain itu, amanat UU PDP untuk membentuk lembaga pengawas pelindungan data pribadi yang independen masih berjalan di tempat. Tanpa adanya lembaga yang berfungsi sebagai "polisi data", yang proaktif mengaudit, menginvestigasi, dan menjatuhkan sanksi, UU PDP tak akan lebih dari sekadar dokumen hukum yang indah di atas kertas. Ia punya taring, tapi tak pernah diizinkan untuk menggigit.

Melindungi data pribadi bukanlah sekadar pemenuhan kewajiban regulasi. Ini adalah tentang membangun fondasi kepercayaan di era digital. Kepercayaan adalah mata uang paling berharga, dan sekali hilang, akan sangat sulit untuk membangunnya kembali.

Langkah perbaikan harus dimulai dari puncak kepemimpinan. Para rektor, direktur, kepala dinas, dan CEO harus mengubah paradigma. Anggaran keamanan siber harus dilihat setara dengan anggaran untuk membangun gedung atau mengembangkan produk. Pelatihan kesadaran privasi bagi seluruh karyawan harus menjadi program wajib, bukan sekadar formalitas.

Di sektor pendidikan, praktik mempublikasikan data pribadi secara terbuka (open source) harus segera dihentikan. Pengumuman bisa dilakukan melalui portal mahasiswa yang aman dan memerlukan login, bukan melalui file PDF yang bisa diakses siapa saja.

Bagi kita, masyarakat umum, sudah saatnya lebih vokal menuntut hak privasi kita. Tanyakan pada sekolah, kampus, lembaga pemerintah, bank, atau aplikasi yang kita gunakan: "Bagaimana Anda melindungi data saya? Apa yang Anda lakukan untuk mematuhi UU PDP?"

Jika tidak ada tekanan dari bawah dan kesadaran dari atas, kita hanya akan terus berputar dalam siklus yang sama: data bocor, publik heboh sesaat, pejabat berjanji, lalu semua kembali senyap sedia kala. Sampai kebocoran data berikutnya yang lebih besar terjadi. Jangan sampai kita baru benar-benar peduli ketika data pribadi kita sendiri yang menjadi korban.