Meningkatkan Upaya Pelindungan Data Pribadi

Kemajuan teknologi telah membuat distribusi informasi menjadi semakin cepat dan mudah. Akan tetapi, kemajuan ini diiringi dengan risiko yang tidak kalah besar, salah satunya adalah pencurian dan penyalahgunaan data pribadi. Pencurian data pribadi dapat berdampak serius terhadap kehidupan seseorang, mulai dari kerugian finansial akibat penyalahgunaan identitas hingga keamanan pribadi dan keluarga. Oleh karena itu, upaya pelindungan data pribadi merupakan hal penting yang harus diatur dan dijamin oleh negara.

Sayangnya, kasus kebocoran dan pencurian data pribadi masih kerap terjadi di Indonesia. Hal ini menunjukkan betapa masih lemahnya sistem keamanan dan perlindungan data di ruang digital.

Kebocoran dan Pelanggaran Data Pribadi

Pada awal Mei 2025, Kementerian Komunikasi dan Digital (Komdigi) membekukan sementara layanan aplikasi kripto bernama Worldcoin dan World ID. Aplikasi ini sempat ramai dibicarakan karena proses pendaftarannya yang mengharuskan pengguna untuk melakukan verifikasi diri dengan memindai iris mata. Proses verifikasi pendaftaran tersebut pun menuai banyak kontroversi, antara lain karena pemindaian iris mata berarti memberikan data pribadi, khususnya biometrik pengguna, kepada pihak ketiga sehingga rawan disalahgunakan.

Berdasarkan pernyataan Komdigi, aplikasi WorldCoin sudah beroperasi sejak tahun 2021 dan telah memindai lebih dari 500 ribu retina dari pengguna Indonesia. Dalam teknologi biometrik, identifikasi dengan karakteristik fisik dan perilaku membuat pengguna tidak mungkin  mendapatkan karakteristik biometrik baru ketika datanya dicuri. Padahal, saat ini biometrik telah digunakan secara luas, mulai dari keperluan administrasi kependudukan hingga layanan keuangan digital.

Kasus WorldCoin hanyalah satu dari sekian kasus pelanggaran privasi dan hak data pribadi. Hampir setiap tahun, kasus kebocoran data dan kejahatan siber terjadi, baik dari badan publik maupun swasta.

Pada tahun 2021, salah satu situs jual beli daring mengalami peretasan dan mengalami kebocoran data hingga 91 juta penggunanya. Pada tahun selanjutnya, data dalam BPJS Kesehatan juga bocor dan berdampak pada informasi pribadi 279 juta warga Indonesia. Tahun 2022, data pribadi yang termuat dalam 1,3 miliar nomor kartu SIM dijual di forum darkweb. Sementara pada tahun 2023, peretasan dilakukan terhadap 200 juta data penduduk dari situs KPU sekaligus terhadap 15 juta data nasabah sebuah bank BUMN.

Kasus-kasus tersebut memperlihatkan bahwa pelindungan terhadap data pribadi masih belum memadai meski telah diatur dalam undang-undang. Apalagi, banyak di antara kasus kebocoran data berakhir tanpa pertanggungjawaban yang jelas atau penyelesaian yang tuntas.

UU Pelindungan Data Pribadi dan Celahnya

Pelindungan data pribadi sebenarnya telah diatur dalam UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) yang telah berlaku sejak tahun 2022. UU ini menjamin bahwa setiap individu berhak atas kejelasan informasi tentang permintaan dan penggunaan data pribadi. Peraturan ini juga menyebutkan bahwa setiap pemrosesan data harus disertai dengan persetujuan yang sah secara eksplisit dan memastikan keamanan serta kerahasiaan data pribadi. Data pribadi juga wajib dihapus apabila sudah tidak diperlukan lagi untuk pencapaian tujuan pemrosesan, persetujuan ditarik kembali oleh pengguna, permintaan khusus dari pengguna, atau jika data pribadi diperoleh dan diproses dengan cara melawan hukum.

Selain itu, UU PDP juga mengamanatkan peran lembaga yang bertanggung jawab kepada Presiden untuk menetapkan kebijakan dan strategi, melakukan pengawasan, penegakan hukum terhadap penyelenggaraan pelindungan data pribadi.

Namun, masih banyak celah dalam implementasi dan praktik pelindungan data pribadi. Berdasarkan catatan ELSAM, rentetan kasus kebocoran data pribadi dari badan publik menunjukan kurangnya langkah-langkah untuk memastikan adanya pengaman dalam pemrosesan data. Hal ini juga diperparah dengan kesalahpahaman dalam menafsirkan ketentuan peralihan dan penutup UU PDP dengan menyatakan bahwa peraturan ini baru berlaku dua tahun setelah diundangkan. Akibatnya, dugaan kebocoran data yang terjadi sebelum tahun 2024 seringkali direspons dengan tidak layak dan insiden pun terus berulang.

Sebagai tindak lanjut dari UU PDP, pemerintah telah menyusun Rancangan Peraturan Pemerintah Tentang Pelaksanaan UU 27/2022 (RPP PDP). Akan tetapi, ELSAM mencatat bahwa RPP PDP ini masih menyisakan banyak celah, seperti pengulangan pasal-pasal yang sudah ada dalam regulasi terdahulu, belum mengakomodir beberapa isu krusial terkait pemrosesan data pribadi yang beririsan dengan pemenuhan hak asasi manusia, serta cenderung mengutamakan pelibatan sektor privat alih-alih publik.

UU PDP juga masih lemah dalam hal implementasi penegakan hukumnya. Misalnya, UU ini belum memberikan langkah-langkah yang lebih tegas yang mampu menimbulkan efek jera. Terbatasnya kapasitas penegakan hukum dan kurangnya mekanisme pengawasan yang independen dan terstruktur termasuk di antara beberapa faktor utama. Akibatnya, banyak institusi, baik publik maupun swasta, yang tidak menganggap serius risiko pelanggaran data pribadi dan tidak membenahi sistem keamanan data untuk mencegah kejadian serupa terulang kembali.

Rendahnya Kesadaran dan Literasi

Selain implementasi regulasi yang lemah, kurangnya kesadaran publik akan hak privasinya juga menjadi tantangan dalam upaya pelindungan data pribadi. Hal ini salah satunya tercermin dari tingkat literasi digital yang cenderung rendah sehingga masyarakat dengan mudah memberikan informasi pribadi yang sensitif.

Berdasarkan data Komdigi, aspek keamanan digital (digital safety) masih menjadi indikator literasi digital yang paling rendah pada tahun 2022. Mayoritas indeks dalam keamanan digital mendapat skor di bawah 3, yang berarti masuk dalam kategori buruk. Hal ini menunjukkan kurangnya kesadaran dalam mengadopsi praktik-praktik keamanan digital, yang membuat masyarakat rentan terhadap berbagai risiko di ruang digital dan kejahatan siber.

Padahal, literasi digital yang baik penting bagi tiap individu untuk memahami hak-hak terkait data pribadi dan menimbang risiko dalam membagikan informasi. Literasi digital juga penting untuk membantu mengetahui regulasi yang ada sehingga masyarakat dapat lebih paham tentang apa saja yang menjadi haknya.

Namun, rendahnya literasi digital merupakan faktor yang tidak bisa diatasi secara parsial. Kesenjangan dalam akses informasi melalui teknologi digital serta tingkat pendidikan yang rendah turut berkontribusi dalam menyebabkan rendahnya literasi digital. Akibatnya, masih banyak kelompok masyarakat yang belum mampu menggunakan internet atau teknologi digital dengan baik sehingga lebih rentan terhadap kejahatan siber.

Meningkatkan Sistem Keamanan Digital

Pemerintah dan seluruh pemangku kepentingan utama harus meningkatkan keseriusan, komitmen, dan upaya dalam melindungi data pribadi setiap orang. Selain itu, seluruh pihak juga harus berperan dalam memperkuat sistem keamanan data dengan berkaca pada kasus-kasus pelanggaran terdahulu. Hal ini dapat dilakukan salah satunya dengan memastikan infrastruktur digital dengan sistem pengamanan siber yang mutakhir.

Tidak kalah penting, setiap institusi juga harus menjamin pertanggungjawaban terbuka terhadap publik apabila terdapat kasus kebocoran data pribadi. Hal ini juga harus dibarengi dengan sistem pemulihan yang responsif agar tidak ada kerugian lebih jauh. Dalam konteks yang lebih besar, pemerintah harus dapat mewujudkan transformasi digital yang inklusif agar semua kelompok dapat memperoleh akses yang sama terhadap teknologi digital sembari hak-haknya tetap terlindungi.

Editor: Abul Muamar

Terima kasih telah membaca!
Berlangganan GNA Indonesia untuk mendapatkan akses tanpa batas ke semua konten yang didesain khusus untuk membawakan wawasan lintas sektor tentang isu-isu keberlanjutan (sustainability) dan pembangunan berkelanjutan (sustainable development) di Indonesia dan dunia.

Berlangganan Sekarang