Bisnis.com, JAKARTA — Hampir 3 tahun Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) disahkan, aturan turunan dan lembaga pengawas yang diamanatkan undang-undang itu tak kunjung terbentuk.
Padahal keberadaan aturan turunan dan lembaga pengawas sangat penting. Kekosongan dua komponen tersebut membuat UU PDP kurang bertaji dan pelindungan data masyarakat dikembalikan kepada masing-masing individu.
Pengamat teknologi informasi (IT) dan keamanan siber dari Vaksin.com, Alfons Tanujaya, menilai efektivitas UU PDP dalam mengurangi risiko kebocoran data akan sangat bergantung pada bagaimana lembaga pelindungan data pribadi yang dibentuk nantinya menjalankan pengawasan dan penegakan hukum.
“Sejauh mana UU PDP dapat mengurangi resiko kebocoran data, itu tergantung dari bagaimana badan PDP yang dibentuk ini menjalankan pengawasan dan melakukan penegakan hukum atas pelanggaran yang terjadi,” kata Alfons kepada Bisnis pada Rabu (24/9/2025).
Alfons menilai tanpa adanya tindakan tegas dan konsisten terhadap pelanggaran, UU PDP hanya akan bernasib sama seperti aturan lalu lintas yang kerap dilanggar. Menurutnya, meski rambu sudah jelas, banyak pengguna jalan tetap melanggar karena tidak ada kesadaran mengikuti aturan, memilih jalan mudah, serta lemahnya penegakan hukum.
Alfons menambahkan, posisi Indonesia masih lemah dari sisi kekuatan cyber army, meski potensinya besar mengingat jumlah pengguna internet di Tanah Air menduduki peringkat keempat dunia.
Menurutnya, potensi ini seharusnya dapat dikelola pemerintah agar talenta digital dalam negeri tidak memilih berkiprah di luar negeri.
“Jika UU PDP tidak diterapkan dengan optimal maka hal ini tidak akan meningkatkan kesadaran kualitas pengelolaan data dan hal ini akan berakibat buruk bagi perkembangan dunia digital Indonesia karena pengelolaan data yang buruk akan mengakibatkan eksploitasi baik karena kebocoran atau hal lainnya,” katanya.
Ilustrasi hacker
Hal tersebut menurutnya akan menurunkan kepercayaan masyarakat kepada kanal digital khususnya lembaga yang kerap mengalami kebocoran data dan secara tidak langsung akan memperlambat atau menghambat perkembangan di dunia digital. Lebih lanjut, Alfons menegaskan perlunya penegakan aturan yang tegas, adil, dan transparan.
“Bukan macan ompong yang hanya bisa menggertak tanpa ada usaha persuasif dan tindakan tegas tidak akan mendorong kesadaran pengelolaan data yang baik,” imbuhnya .
Dia juga menyinggung lambannya proses pembentukan lembaga PDP. Menurutnya, perjalanan UU PDP sejak perumusan hingga pengesahan sudah memakan waktu lama, dan setelah diundangkan pun lembaga pelaksananya belum terbentuk.
Meski begitu, dia tetap berharap lembaga PDP segera terbentuk dan mampi menjalankan tugasnya dengan baik dan mengawal pelindungan data pribadi dari pengguna layanan digital di Indonesia.
“Dan akan sangat menggembirakan jika aturan UU PDP tersebut dijalankan dengan konsisten dan tidak pandang bulu,” ungkap Alfons.
Dia menekankan, penerapan konsisten UU PDP akan meningkatkan kesadaran pengelola data untuk bertanggung jawab serta memperlakukan data pribadi masyarakat sebagai amanah yang wajib dijaga, bukan semata objek yang bisa dieksploitasi.
“Harapannya UU PDP akan meningkatkan kesadaran pengelola data agar dapat bertanggungjawab dalam pengelolaan data dan memperlakukan data itu sebagai amanah yang harus dijaga dan bukan hanya sebagai obyek yang dapat dieksploitasi tanpa mempedulikan pemilik data [masyarakat],” tutupnya.
Pengamat telekomunikasi dari Institut Teknologi Bandung (ITB), Agung Harsoyo mengatakan absennya dua instrumen penting itu membuat pelaksanaan UU PDP masih jauh dari harapan.
“Pelaksanaan UU PDP belum akan optimal selagi butir 1 [PP] dan 2 [LPPDP] belum ada,” katanya.
Sebelumnya, Kementerian Komunikasi dan Digital (Komdigi) mengungkap pembentukan LPPDP masih dalam tahap harmonisasi. Wakil Menteri Komunikasi dan Digital (Wamenkomdigi) Nezar Patria menjelaskan, proses pembahasan masih berjalan lantaran kompleksitas substansi pasal-pasal dalam UU PDP.
“Lembaga PDP lagi diharmonisasi ya, lagi dibahas terus karena pasalnya banyak, lebih dari 200 ya jadi harus dilihat satu per satu pasal-pasal itu dan kami harapkan bisa segera selesai,” kata Nezar di Kantor Komdigi, Senin (28/7/2025).
Dia menargetkan proses harmonisasi rampung pada Agustus agar kejelasan institusi pelindung data pribadi segera tercapai, khususnya dalam konteks kerja sama internasional.
“Kalau bisa seperti ini jadi kami bisa speed up prosesnya sehingga kejelasan yang diminta itu kami bisa berikan,” lanjutnya.
Ilustrasi hacker mencuri data pribadi
Sejalan dengan itu, Komdigi juga menyebut aturan turunan dari UU PDP masih dalam tahap pembahasan. Direktur Jenderal Pengawasan Ruang Digital Komdigi, Brigjen Pol Alexander, mengatakan rancangan peraturan pemerintah dari UU PDP terus dibahas secara rutin.
“Itu [turunan UU PDP] ada 200-an pasal 200. Itu pembahasannya hampir tiap minggu, dan baru sampai pasal 90-an. Jadi masih berproses, semoga bisa segera,” kata Alexander di Komdigi, Jumat (9/5/2025).
Sebelumnya, Presiden Joko Widodo secara resmi menandatangani berlakunya UU PDP pada 17 Oktober 2022. Undang-undang ini diyakini menjadi tonggak penting untuk menjamin keamanan data pribadi masyarakat dari pencurian maupun pemalsuan, sekaligus mengawal transformasi digital Indonesia menuju era Industri 5.0.
Sebagai produk legislasi lex specialis, UU PDP memiliki kedudukan yang lebih kuat dibanding regulasi lain jika terjadi konflik pengaturan. Artinya, jika ada pertentangan dengan aturan lain, maka UU PDP menjadi rujukan utama.
UU PDP juga mengatur detail terkait pengendalian data yang dilakukan individu, badan publik, hingga organisasi internasional.
Selain itu, undang-undang ini mengamanatkan pembentukan lembaga pelindungan data pribadi yang bertanggung jawab langsung kepada presiden, dengan kewenangan antara lain merumuskan kebijakan, melakukan pengawasan kepatuhan, hingga menjatuhkan sanksi administratif.
Meski UU PDP telah berlaku hampir tiga tahun, Indonesia masih masuk daftar negara dengan jumlah kebocoran data tertinggi di dunia.
Riset white paper bertajuk Where’s The Fraud: Protecting Indonesian Business from AI-Generated Digital Fraud yang dipublikasikan PT Indonesia Digital Identity (VIDA) menunjukkan, Indonesia menempati peringkat ke-13 global sekaligus tertinggi di Asia Tenggara dalam kasus kebocoran data.
“Indonesia berada di peringkat ke-13 secara global untuk kebocoran data, tertinggi di Asia Tenggara, menurut Statistik Pelanggaran Data Global Surfshark [2004−2024],” demikian kutipan riset tersebut.
Jumlah kebocoran data di Indonesia mencapai 157.053.913 kasus, jauh lebih tinggi dibandingkan Malaysia (52.030.140 kasus), Thailand (48.924.923 kasus), dan Singapura (34.731.337 kasus).