BONA NEWS. Jakarta, Indonesia. — Setelah melalui masa transisi selama dua tahun, Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) kini resmi berlaku penuh sejak 17 Oktober 2024. Regulasi ini menjadi tonggak penting dalam tata kelola ruang digital Indonesia, sekaligus menandai era baru perlindungan hak privasi warga negara.
Pemerintah dan Dewan Perwakilan Rakyat (DPR) memastikan bahwa penerapan UU PDP akan disertai dengan pengawasan ketat terhadap lembaga publik maupun sektor swasta yang mengelola data pribadi masyarakat.
Rancangan Undang-Undang Perlindungan Data Pribadi dibahas DPR sejak 2016, dipicu oleh meningkatnya kasus kebocoran data dan penyalahgunaan informasi pribadi. Setelah melalui 16 kali rapat kerja lintas kementerian dan tujuh kali pembahasan di Panitia Kerja, DPR akhirnya mengesahkan RUU tersebut pada Selasa, 20 September 2022.
Dalam sidang paripurna itu, Wakil Ketua DPR RI Lodewijk F. Paulus yang memimpin rapat menyebut UU PDP sebagai tonggak sejarah hukum digital nasional.
“Ini langkah maju dalam memastikan kedaulatan data di tangan rakyat dan negara,” ujar Lodewijk dalam sidang paripurna DPR, 20 September 2022.
UU ini diundangkan secara resmi pada 17 Oktober 2022, memberi masa transisi dua tahun bagi seluruh pengendali data untuk menyesuaikan kebijakan dan sistemnya sebelum aturan diberlakukan penuh pada Oktober 2024.
Isi Pokok dan Tujuan UU PDP
UU PDP berisi 16 bab dan 76 pasal yang mengatur hak-hak pemilik data, kewajiban pengendali data, serta sanksi bagi pelanggar. Intinya, undang-undang ini menempatkan individu sebagai pemilik sah data pribadinya.
Menteri Komunikasi dan Informatika (Menkominfo) saat itu, Johnny G. Plate, dalam pernyataannya pada 20 September 2022, menjelaskan bahwa UU PDP hadir untuk menyeimbangkan antara perlindungan hak warga dan inovasi digital.
“Kehadiran undang-undang ini menjadi wujud kehadiran negara dalam melindungi data pribadi masyarakat, sekaligus mendorong pertumbuhan ekonomi digital yang sehat,” kata Johnny.
UU PDP mengatur bahwa setiap pengumpulan, penyimpanan, atau pemrosesan data pribadi harus dilakukan dengan persetujuan eksplisit pemilik data. Pengendali data juga wajib menjaga keamanan, memberikan pemberitahuan jika terjadi kebocoran, serta menghentikan pemrosesan bila pemilik data mencabut izin.
Salah satu aspek paling disorot dalam UU PDP adalah sanksinya yang tegas. Regulasi ini mengenakan dua jenis sanksi bagi pelanggar: administratif dan pidana.
Sanksi administratif dapat berupa peringatan tertulis, penghentian sementara aktivitas pemrosesan data, penghapusan data, hingga denda maksimal dua persen dari pendapatan tahunan perusahaan yang bersangkutan.
Sementara itu, sanksi pidana dikenakan untuk pelanggaran berat yang dilakukan dengan sengaja dan melawan hukum. Contohnya, mengumpulkan atau mengungkapkan data pribadi tanpa izin dapat dipidana penjara hingga enam tahun dan denda maksimal enam miliar rupiah.
Direktur Jenderal Aplikasi Informatika (Dirjen Aptika) Kementerian Kominfo, Semuel A. Pangerapan, dalam konferensi pers di Jakarta, 17 Oktober 2024, menegaskan bahwa penerapan sanksi akan dilakukan secara bertahap dan proporsional.
“Kita tidak ingin UU PDP hanya menjadi macan kertas. Setiap pelanggaran serius akan diproses, tapi pendekatan awal tetap edukatif bagi para pelaku usaha yang belum sepenuhnya paham,” ujar Semuel.
Ia menambahkan, sanksi maksimal yang beredar di publik, seperti denda hingga Rp50 miliar dan pidana tujuh tahun, bukan berasal dari teks final undang-undang, melainkan dari draf awal yang telah direvisi.
“Yang benar, denda maksimal diatur sebesar enam miliar rupiah untuk pelanggaran berat. Jadi masyarakat perlu memahami batasan hukum yang sebenarnya,” kata Semuel.
Pembentukan Lembaga Pengawas Data
Untuk memastikan pelaksanaan UU berjalan efektif, pemerintah tengah menyiapkan Lembaga Pelindungan Data Pribadi (LPDP) — badan independen yang akan bertugas mengawasi kepatuhan pengendali data di sektor publik dan swasta.
Menteri Komunikasi dan Informatika Budi Arie Setiadi, dalam rapat kerja bersama Komisi I DPR pada Selasa, 28 Mei 2024, mengatakan lembaga ini akan mulai beroperasi secara resmi pada akhir 2025.
“Struktur dan kewenangan lembaga pengawas ini sedang disiapkan bersama Kemenpan RB dan Kemenkeu. Targetnya tahun depan sudah bisa menjalankan fungsi pengawasan penuh,” jelas Budi Arie.
Lembaga tersebut nantinya berwenang memberikan sanksi administratif, melakukan audit keamanan data, serta memediasi sengketa antara pemilik data dan pengendali. DPR menekankan pentingnya independensi lembaga ini agar tidak tumpang tindih dengan fungsi penegak hukum lain.
Anggota Komisi I DPR Meutya Hafid menegaskan pada 30 Mei 2024 bahwa pembentukan lembaga ini harus menjadi prioritas nasional.
“Kebocoran data pribadi bukan lagi isu teknis, tapi isu kepercayaan publik. Kita butuh lembaga independen agar pelaksanaannya tidak politis,” ujar Meutya.
Selama masa transisi dua tahun, Indonesia mengalami sejumlah insiden kebocoran data besar, seperti pada platform e-commerce dan lembaga publik. Hal itu mempercepat dorongan masyarakat agar pemerintah menegakkan aturan secara nyata.
Salah satu kasus besar terjadi pada Agustus 2024, ketika jutaan data pelanggan layanan transportasi daring bocor di forum gelap. Meski perusahaan terkait telah meminta maaf, kasus itu memicu kritik luas karena tidak adanya sanksi yang jelas.
Pakar keamanan siber dari Universitas Padjadjaran, Prof. Sinta Dewi Rosadi, menilai penerapan UU PDP harus diiringi peningkatan kapasitas penegak hukum. Dalam seminar nasional di Bandung pada Rabu, 5 Februari 2025, ia menyatakan:
“UU PDP adalah kemajuan besar, tapi tanpa kesiapan aparat dan lembaga pengawas, hukum ini bisa mandek. Penegakan harus cermat karena tak semua kebocoran data bersifat pidana.”
Menurutnya, pemerintah juga perlu memastikan masyarakat memahami hak-hak mereka sebagai pemilik data pribadi.
“Edukasi publik menjadi kunci. Banyak orang masih belum tahu bahwa mereka berhak meminta penghapusan data atau penjelasan tentang penggunaan datanya,” tambahnya.
Dalam konferensi pers bersama di Kompleks Parlemen, Senayan, 17 Oktober 2024, Ketua Komisi I DPR Abdul Kharis Almasyhari menilai UU PDP adalah pijakan hukum yang akan memperkuat kedaulatan digital nasional.
“Kedaulatan data adalah kedaulatan bangsa. DPR akan memastikan pengawasan terhadap pemerintah dan sektor swasta berjalan seimbang,” katanya.
Ia juga meminta pemerintah mempercepat penyusunan peraturan turunan agar tidak terjadi kekosongan hukum. Hingga Oktober 2025, Kementerian Kominfo tercatat masih menyiapkan dua peraturan pemerintah dan satu peraturan presiden sebagai pelaksana UU PDP.
Sementara itu, Menteri Koordinator Bidang Politik, Hukum, dan Keamanan Hadi Tjahjanto, pada Senin, 30 September 2024, menegaskan bahwa penegakan hukum terhadap pelanggaran data akan menjadi prioritas nasional.
“Negara tidak akan mentolerir penyalahgunaan data pribadi. Pelaku akan ditindak sesuai UU PDP, baik individu maupun korporasi,” tegas Hadi.
Meski UU PDP sudah berlaku penuh, penerapannya tidak mudah. Tantangan terbesar datang dari tiga aspek utama: kesiapan teknis, kesadaran publik, dan penegakan hukum.
Pertama, banyak instansi dan perusahaan belum memiliki sistem keamanan data yang sesuai standar internasional. Kepala Badan Siber dan Sandi Negara (BSSN) Hinsa Siburian pada 18 Oktober 2024 menyebutkan bahwa dari hasil audit nasional, lebih dari 60 persen lembaga publik belum memenuhi protokol dasar perlindungan data.
“Banyak institusi masih menyimpan data dalam sistem lama tanpa enkripsi. Ini yang harus kita benahi segera,” kata Hinsa.
Kedua, masih rendahnya literasi digital masyarakat membuat sebagian warga tidak sadar ketika data pribadinya disalahgunakan.
Direktur Eksekutif SAFEnet Damar Juniarto, dalam diskusi publik pada 12 Januari 2025, menilai UU PDP harus diikuti dengan kampanye edukasi masif.
“Jangan hanya menegakkan hukum di atas kertas. Publik perlu tahu haknya, terutama soal persetujuan dan penghapusan data,” ujarnya.
Ketiga, aparat penegak hukum masih belajar menangani perkara digital secara efektif. Banyak kasus kebocoran data sulit ditelusuri karena bukti elektronik yang tersebar lintas negara.
Pemerintah berjanji menyiapkan mekanisme pelaporan terpadu bagi masyarakat yang merasa datanya disalahgunakan. Aplikasi khusus pengaduan pelanggaran data pribadi sedang dikembangkan oleh Kementerian Kominfo dan direncanakan diluncurkan pada awal 2026.
Menkominfo Budi Arie Setiadi menegaskan bahwa fokus pemerintah bukan hanya pada sanksi, tapi juga pencegahan.
“Kita ingin menanamkan budaya privasi di semua lini, bukan sekadar menakut-nakuti pelaku usaha. Kesadaran adalah benteng pertama perlindungan data,” ujarnya dalam rapat kerja, 28 Mei 2024.
Di sisi lain, masyarakat diimbau untuk lebih berhati-hati membagikan data pribadi di internet, terutama melalui platform media sosial atau aplikasi yang belum jelas reputasinya. Kesadaran pengguna menjadi unsur vital dalam menegakkan prinsip perlindungan data digital.
Dua tahun setelah disahkan, UU Perlindungan Data Pribadi kini resmi menjadi dasar hukum utama bagi kedaulatan digital Indonesia. Dengan sanksi yang tegas dan pengawasan yang lebih terarah, regulasi ini diharapkan mampu menekan penyalahgunaan data serta memperkuat kepercayaan publik terhadap ekosistem digital.
Namun, sebagaimana diingatkan para ahli, hukum ini bukanlah akhir, melainkan awal dari perjalanan panjang membangun tata kelola data yang transparan, adil, dan aman bagi seluruh warga negara.
“UU PDP akan sukses jika kita menegakkannya bersama—negara, pelaku usaha, dan masyarakat,” kata Prof. Sinta Dewi dalam forum akademik di Bandung, Februari 2025.