UU Perlindungan Data Pribadi: Siapa yang Bertanggung Jawab Saat Data Kita Bocor?

Apa Itu Data Pribadi dan Mengapa Penting?

UU PDP mendefinisikan data pribadi sebagai setiap data tentang seseorang yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasikan dengan informasi lainnya, baik secara langsung maupun tidak langsung (Pasal 1 angka 1). Contohnya meliputi nama lengkap, nomor KTP, alamat, nomor telepon, hingga informasi biometrik dan kesehatan.

Data pribadi memiliki nilai yang tinggi di dunia digital karena bisa digunakan untuk memprofilkan seseorang, menjangkau mereka untuk iklan, atau bahkan melakukan penipuan. Oleh karena itu, pengelolaan data pribadi harus dilakukan secara hati-hati dan sesuai prinsip keamanan informasi.

Siapa yang Bertanggung Jawab Saat Terjadi Kebocoran Data?

Menurut UU PDP, pihak yang paling bertanggung jawab atas pengelolaan data adalah Pengendali Data Pribadi (PDP) dan Prosesor Data Pribadi. Dalam praktiknya, ini bisa berupa:

• Pemerintah atau lembaga negara

• Perusahaan swasta (misalnya: e-commerce, perbankan, fintech)

• Organisasi atau individu yang mengumpulkan dan memproses data

Pasal 41 UU PDP menyebutkan bahwa pengendali data pribadi wajib memberitahukan secara tertulis kepada subjek data jika terjadi kegagalan perlindungan data pribadi miliknya. Pemberitahuan ini harus dilakukan selambat-lambatnya 3 x 24 jam sejak diketahuinya insiden kebocoran data.

Selain itu, mereka juga wajib:

• Menjelaskan dampak kebocoran

• Memberikan langkah penanggulangan

• Bertanggung jawab atas kerugian yang timbul

Jika pengendali data lalai dalam menjalankan kewajibannya, maka dapat dikenakan sanksi administratif, termasuk:

• Teguran tertulis

• Denda administratif

• Pembekuan aktivitas pengolahan data

• Penghapusan data pribadi

• Ganti rugi kepada subjek data

Apakah Korban Bisa Menuntut?

Ya. Subjek data (korban) memiliki hak untuk mendapatkan ganti rugi, mengajukan keberatan atas pemrosesan data, serta menuntut pertanggungjawaban hukum jika terjadi penyalahgunaan atau kebocoran data (Pasal 6–9 UU PDP).

Mekanisme penuntutan dapat melalui:

• Jalur pengaduan ke otoritas perlindungan data pribadi (yang kini dijalankan oleh Kementerian Kominfo hingga dibentuk lembaga pengawas independen)

• Gugatan perdata di pengadilan

• Laporan pidana jika terbukti adanya unsur kesengajaan dan kejahatan

Contoh Kasus dan Implementasi UU PDP

Beberapa insiden kebocoran data besar di Indonesia sempat mencuat ke publik, seperti:

• Kebocoran data eHAC Kemenkes (2021)

• Kebocoran 279 juta data BPJS Kesehatan (2021)

• Kebocoran 1,3 juta data registrasi SIM Card oleh hacker Bjorka (2022)

Meski UU PDP baru berlaku penuh sejak 2024 (diberikan masa transisi 2 tahun sejak diundangkan pada Oktober 2022), kasus-kasus ini menjadi alarm keras tentang lemahnya sistem keamanan data di berbagai institusi dan pentingnya penerapan prinsip akuntabilitas dan transparansi.

Penutup: Kesadaran Bersama

UU Perlindungan Data Pribadi adalah langkah maju bagi Indonesia dalam mengatur keamanan dan kerahasiaan informasi warga negaranya. Namun, efektivitasnya sangat bergantung pada:

• Komitmen pengendali data untuk mematuhi prinsip keamanan dan etika

• Kesiapan teknis dan infrastruktur digital

• Kesadaran masyarakat untuk menjaga informasi pribadinya

Data pribadi adalah hak yang melekat pada setiap individu. Maka, saat data kita bocor, kita berhak tahu siapa yang bertanggung jawab dan menuntut keadilan sesuai hukum yang berlaku.

Lungguhan Hamonangan Harahap, Mahasiswa Hukum Ekonomi Syariah Insitut SEBI