Jakarta, Beritasatu.com – Dalam beberapa tahun terakhir, publik Indonesia terus dikejutkan oleh berbagai kasus kebocoran data pribadi, mulai dari informasi pengguna kartu SIM hingga akses ke layanan digital milik pemerintah.
Setiap insiden memicu pertanyaan besar di kalangan masyarakat, sejauh mana Kementerian Komunikasi dan Digital (Kemenkomdigi) bertanggung jawab terhadap pelanggaran tersebut?
Sebagai penyelenggara sistem elektronik (PSE) sektor publik, Kemenkomdigi, yang sebelumnya dikenal sebagai Kemenkominfo, memiliki peran penting dalam sistem pengawasan data nasional. Namun, memahami batasan dan kewenangannya perlu merujuk pada dasar hukum yang berlaku, khususnya Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).
Peran Kemenkomdigi dalam UU Perlindungan Data Pribadi
Dalam Pasal 1 ayat 4 UU PDP, pemerintah, termasuk kementerian, diklasifikasikan sebagai pengendali data pribadi. Hal ini menandakan bahwa Kemenkomdigi wajib menerapkan prinsip-prinsip perlindungan data, termasuk menjaga kerahasiaan informasi pribadi dan memberikan pemberitahuan dalam waktu maksimal 3×24 jam apabila terjadi insiden kebocoran.
Jika kewajiban tersebut tidak dipenuhi, Kemenkomdigi maupun PSE terkait dapat dikenakan sanksi administratif, seperti teguran tertulis, penghentian sementara proses, pemutusan akses sistem, hingga denda administratif maksimal 2% dari pendapatan tahunan.
Penanganan Kasus oleh Kemenkomdigi
Berdasarkan data resmi, Kemenkomdigi telah menangani 94 kasus kebocoran data pribadi sejak 2019 hingga pertengahan 2023. Dari jumlah tersebut 62 kasus melibatkan PSE swasta, 32 kasus berkaitan dengan PSE pemerintah, 25 kasus telah memperoleh usulan perbaikan, dan 19 kasus mendapatkan teguran administratif resmi.
Langkah-langkah tersebut menunjukkan Kemenkomdigi menjalankan peran administratifnya sesuai mandat regulasi. Namun, proses ini belum menyentuh aspek investigasi forensik atau penegakan hukum yang bersifat pidana.
Jika akar penyebab kebocoran adalah serangan siber, kewenangan investigasi secara teknis tidak berada di tangan Kemenkomdigi. Tugas tersebut menjadi tanggung jawab Badan Siber dan Sandi Negara (BSSN).
Dalam struktur nasional, BSSN berwenang menangani insiden siber secara teknis, sementara Kemenkomdigi berperan sebagai pengelola sistem dan penyampai informasi publik, serta kepolisian dan kejaksaan menangani aspek hukum pidana dan perdata.
Dengan demikian, peran Kemenkomdigi terbatas pada pemberian sanksi administratif dan penyampaian notifikasi kepada publik, bukan pada pemidanaan pelaku.
Kemenkomdigi tidak memiliki kewenangan menetapkan sanksi pidana terhadap pelanggar data. Berdasarkan UU PDP dan Peraturan Pemerintah Nomor 71 Tahun 2019, kementerian hanya dapat memberikan teguran, melakukan pemblokiran sementara, menghentikan akses sistem, dan menyampaikan laporan ke publik.
Sementara itu, penyidikan, penahanan, dan penuntutan hukum terhadap pelaku kebocoran, baik dalam aspek kriminal maupun perdata merupakan domain dari Polri, kejaksaan, atau pihak yang merasa dirugikan secara langsung. Landasan hukum yang digunakan termasuk Pasal 26 UU ITE dan Pasal 1365 KUHPerdata tentang perbuatan melawan hukum.
Di samping UU PDP dan PP Nomor 71/2019, terdapat aturan tambahan, seperti UU Informasi dan Transaksi Elektronik (ITE), PP Nomor 80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik.
Regulasi tersebut mewajibkan semua penyelenggara sistem, termasuk pemerintah, untuk menerapkan prinsip kehati-hatian dan akuntabilitas. Namun, hingga pertengahan 2025, belum ada PP atau Perpres yang secara khusus mengatur mekanisme ganti rugi dan jalur penyelesaian sengketa bagi korban kebocoran data.
Akibatnya, terjadi kekosongan hukum dalam implementasi hak-hak korban, yang membuat banyak kasus berakhir tanpa kepastian ganti rugi. Situasi ini mempertegas perlunya pembentukan lembaga perlindungan data pribadi yang independen, seperti yang disarankan dalam beleid UU PDP.
Dalam konteks kebocoran data pribadi, penting dipahami Kemenkomdigi hanya memiliki fungsi administratif, bukan fungsi penegakan hukum. Tanggung jawab mereka mencakup edukasi dan sosialisasi perlindungan data, pemberian teguran administratif, pemblokiran sistem yang bermasalah, dan penyampaian informasi publik kepada masyarakat.
Namun, penegakan hukum pidana, investigasi teknis mendalam, dan pengenaan ganti rugi berada di tangan lembaga lain, seperti BSSN, kepolisian, dan kejaksaan.
Untuk menciptakan sistem yang adil dan akuntabel, regulator utama yang dibutuhkan ke depan adalah badan independen pelindung data pribadi yang memiliki wewenang penuh atas investigasi, penindakan, dan kompensasi. Hanya dengan kerangka hukum yang lengkap, hak atas privasi dan keamanan digital rakyat Indonesia dapat terlindungi secara menyeluruh.