Jakarta, CNBC Indonesia - Pembentukan Badan Pelindungan Data Pribadi yang diperintahkan undang-undang untuk melindungi warga RI sudah molor nyaris 1 tahun. Ironisnya, UU PDP justru beberapa kali digunakan untuk menyeret warga biasa dalam kasus pidana.
Meskipun Indonesia sudah 4 tahun memiliki Undang-Undang Pelindungan Data Pribadi, upaya mencegah dan menghukum peristiwa kebocoran data milik warga RI masih tersendat karena pemerintah belum juga melaksanakan perintah UU untuk membentuk badan pengawas.
Seharusnya badan pengawas terbentuk 1 tahun setelah UU no. 27 tahun 2022 tentang PDP diterbitkan. UU PDP diundangkan pada 17 Oktober 2022. Oleh karena itu, badan pengawas seharusnya sudah berdiri sejak 17 Oktober 2024.
Peneliti Lembaga Studi & Advokasi Masyarakat (ELSAM), Parasurama Pamungkas menjelaskan fungsi PDP untuk menghukum keteledoran lembaga dan perusahaan dalam mengelola data pribadi bergantung kepada badan pengawas.
Karena badan pengawas tidak ada, UU PDP belum juga bisa digunakan untuk menjatuhkan sanksi administratif atau menggugat secara perdata.
"Belum-belum, itu problemnya, jadi memang belum ada tuh exercise penggunaan undang-undang PDP untuk kasus-kasus kebocoran data pribadi dalam 3 tahun terakhir," kata Parasurama kepada CNBC Indonesia, Selasa (14/10/2025).
Kasus hukum yang sudah menggunakan pidana dalam UU PDP cenderung pada kejahatan yang ringan. Namun, aparat menggunakan hukuman dengan pidana yang maksimal.
"Ada, misalnya yang soal SIM card gitu ya, dia meminjam SIM card, mendaftarkan SIM card atas nama orang lain Kemudian ada juga yang dia jual-beli akun rekening, itu juga ada beberapa kayak gitu. Jadi sebenarnya kasus-kasusnya kecil gitu ya, tetapi ternyata aparat penegak hukum menggunakannya secara maksimal," dia menuturkan.
Di sisi lain, kasus kebocoran data besar belum ada yang menggunakan aturan ini termasuk yang melibatkan perusahaan besar hingga platform digital.
Fakta ini, dia mengatakan sangat disayangkan. Karena tak ingin UU PDP pada akhirnya semacam UU ITE dengan batasan hukuman pidananya tidak begitu jelas.
"Jadi akan baik ketika mekanisme-mekanisme administratif serta perdata yang diamanatkan di undang-undang PDP digunakan untuk menyelesaikan kasus kebocoran selama 3 tahun ini," jelasnya.
Pakar Keamanan Siber dari Vaksincom, Alfons Tanujaya menyoroti perbedaan perlakuan dalam UU PDP antara perusahaan dan lembaga pemerintah. Institusi swasta diberikan hukuman yang cukup berat termasuk terkait finansial, sedangkan hukuman untuk sesama badan publik ringan.
"Kalau yang swasta atau yang asing kan ada hukumannya gitu. Hukuman denda finansial atau berat," kata Alfons kepada CNBC Indonesia, Selasa (14/10/2025).
Ini juga yang membuat banyak perusahaan swasta lebih berbenah dalam hal pelindungan data pribadi sebab mereka dibebankan sanksi yang berat jika melanggar.
"Itu akan mengubah. Tapi akan lebih banyak mengubah swasta daripada pemerintah," ujarnya.
Dia mengatakan hal ini jadi kritik yang perlu diperhatikan. Jangan sampai pemerintah membuat aturan yang adil dan tidak memberatkan pihak lain.
Salah satu sanksi yang diberikan termasuk sanksi administratif. Dalam Pasal 57 ayat (3) disebutkan bisa dibebankan paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan pada variabel pelanggaran.
Pasal 70 juga mengatur pelanggaran pada korporasi berupa denda sebanyak 10 kali dari maksimal pidana denda. Selain itu, juga ada pidana tambahan seperti perampasan keuntungan, pembayaran ganti rugi, hingga mencabut izin dan membubarkannya.
Aturan pidana dalam UU PDP
Ada sejumlah pasal yang mengatur soal hukuman pidana hingga denda pada para pelanggar UU PDP. Berikut pasal yang mengatur hal tersebut:
Pasal 67 ayat (1)
Setiap Orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkandiri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 65 ayat (1) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).
Pasal 67 ayat (2)
Setiap Orang yang dengan sengaja dan melawan hukum mengunglapkan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (2) dipidana dengan pidana penjara paling lama 4 (empat) tahun
dan/atau pidana denda paling banyak Rp4.000.000.000,00 (empat miliar rupiah).
Pasal 67 ayat (3)
Setiap Orang yang dengan senqaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (3) dipidana dengan pidana penjara paling lama 5 (lima) tahun
dan/atau pidana denda paling banyak Rp5.00O.OOO.000,00 (lima miliar rupiah).
Pasal 68
Setiap Orang yang dengan sengaja membuat Data Pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 66 dengan pidana penjara paling lama 6 (enam) tahun dan/atau pidana denda paling
banyak Rp6.0OO.000.000,00 (enam miliar rupiah).
(dem/dem)
[Gambas:Video CNBC]
Next Article Dunia Dibuat Kaget! 16 Miliar Password Bocor, Terbesar Dalam Sejarah
:strip_icc():format(jpeg)/kly-media-production/medias/5257485/original/093970800_1750315211-SnapInsta.to_509987172_18520150999003019_1972201869004420483_n.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5259164/original/023302000_1750413583-0L5A2372.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5255848/original/_In_love.______Wedding_planner___organizer-__wxypartymaker__amore8816_Entertainment-__yenechrizDecoration-__rustiquedecorationFoto___video-__imagenicMUA-__jhoenatanmakeupHair_do-__fahrizalirfanAtt.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5261110/original/009040100_1750657306-Screen_Shot_2025-06-23_at_12.31.58.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5258219/original/051582200_1750344816-SnapInsta.to_499382847_18510195613020815_9046972706019899310_n.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5260533/original/007663800_1750586750-Screen_Shot_2025-06-22_at_16.39.49.jpg)
