Tim Penulis: Akhmad Safik, Arbain, Anna Saraswati | FH Universitas Al-Azhar Indonesia
Jakarta, Suaranusantara.co – Indonesia merupakan negara dengan status darurat kebocoran data pribadi. Laporan Surfshark menyebutkan bahwa selama Januari 2020 hingga Januari 2024, Indonesia merupakan negara dengan kebocoran data ke-8 terbesar di dunia (94,22 juta akun). Ironisnya, hingga awal tahun 2025, peraturan pelaksana atas Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) tak kunjung terbentuk. Padahal Pasal 74 UU PDP menyatakan bahwa pada saat Undang-Undang ini mulai berlaku, Pengendali Data Pribadi, Prosesor Data Pribadi, dan pihak lain yang terkait dengan pemrosesan Data Pribadi, wajib menyesuaikan dengan ketentuan pemrosesan data pribadi berdasarkan UU PDP paling lama dua tahun sejak UU ini diundangkan. Sebagaimana diketahui, UU PDP telah diundangkan sejak tanggal 17 Oktober 2022. Artinya, pada 18 Oktober 2022, ketentuan Pasal 74 UU PDP tersebut telah berlaku.
Tak dapat dipungkiri, bahwa ketentuan di atas mustahil dapat dilaksanakan dengan baik tanpa pembentukan peraturan pelaksananya. UU PDP mengamanatkan 9 (sembilan) peraturan pelaksana, yaitu Peraturan Pemerintah mengenai pemrosesan Data Pribadi; Peraturan Pemerintah mengenai penilaian dampak Pelindungan Data Pribadi; Peraturan Pemerintah mengenai pelanggaran pemrosesan Data Pribadi dan tata cara pengenaan ganti rugi; Peraturan Pemerintah mengenai hak Subjek Data Pribadi untuk menggunakan dan Data Pribadi; Peraturan Pemerintah mengenai tata cara pemberitahuan pengalihan Data Pribadi kepada Subjek Data Pribadi dalam hal Pengendali Data Pribadi melakukan penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran badan hukum; Peraturan Pemerintah mengenai transfer Data Pribadi; Peraturan Pemerintah mengenai tata cara pengenaan sanksi administratif; Peraturan Pemerintah mengenai tata cara pelaksanaan wewenang lembaga; dan Peraturan Presiden mengenai lembaga Penyelenggara Pelindungan Data Pribadi.
Pengabaian atas amanat dari UU PDP ini tentu sangat disayangkan. Pelindungan data pribadi, selain sebagai hak asasi manusia (HAM), juga erat kaitannya dengan aspek bisnis, hubungan antar negara, dan pertumbuhan ekonomi. Pelindungan data pribadi yang bersifat khusus akan memperkuat posisi Indonesia sebagai pusat bisnis dan investasi tepercaya dan menciptakan lingkungan yang kondusif untuk pertumbuhan manajemen data global dan industri pengolahan data seperti komputasi awan untuk berkembang di Indonesia.
Ketiadaan hukum mengenai pelindungan data pribadi yang bersifat umum di Indonesia dapat dilihat sebagai suatu kelemahan yang menyebabkan beberapa perusahaan tidak memilih Indonesia sebagai lokasi untuk pusat penyimpanan datanya. Padahal, perkembangan pengaturan pelindungan data pribadi akan mendukung pembangunan masa depan Indonesia sebagai pusat data global (Naskah Akademik RUU PDP, hal 58).
J.P. Morgan memperkirakan pengeluaran untuk pusat data dapat meningkatkan Produk Domestik Bruto (PDB) Amerika Serikat sebesar 10 hingga 20 basis poin (0,1% hingga 0,2%) pada tahun 2025-2026 (reuters, 21 Jan 2025). Hal ini didorong oleh investasi besar-besaran dalam infrastruktur pusat data, peningkatan efisiensi operasional melalui teknologi berbasis data, dan manfaat ekonomi dari pertumbuhan layanan berbasis data dan artificial intelligent (AI). Kontribusi secara tidak langsung UU PDP pada sektor ekonomi dilihat dari perannya untuk meminimalisasi efek spillover ekonomi atas kebocoran data.
Misalnya, pelanggaran data pada sektor perbankan dapat merusak reputasi seluruh ekosistem keuangan, menurunkan kepercayaan terhadap institusi keuangan lainnya, dan menyebabkan penurunan aktivitas ekonomi seperti pengurangan investasi atau konsumsi. Kondisi ini akan berimbas pada berkurangnya penerimaan pajak negara, mengingat profitabilitas perusahaan yang terdampak ikut tertekan. Dengan demikian, pelanggaran data pribadi tidak hanya menjadi masalah bagi perusahaan bersangkutan, tetapi juga ancaman yang signifikan terhadap stabilitas ekonomi secara keseluruhan.
Kebocoran data sebuah perusahaan dapat menyebabkan penurunan pendapatan, denda regulasi, atau anjloknya nilai saham, yang ujungnya mempengaruhi jumlah pajak yang disetorkan kepada negara. Misalnya, kasus kebocoran data ChoicePoint. Perusahaan asal Amerika Serikat ini terpaksa membayar denda $15 juta setelah secara tidak sengaja memungkinkan pihak luar mengakses lebih dari 163.000 laporan kredit konsumen. Jumlah ini cukup besar dibandingkan dengan pendapatan $143 juta mereka pada tahun 2005. Selain itu, harga saham ChoicePoint anjlok dari $46,01 menjadi $37,64 hanya dalam beberapa minggu setelah insiden tersebut.
Riset yang juga menarik dilakukan Alessandro Acquisti, Allan Friedman, Rahul Telang (2006) menemukan bahwa perusahaan ritel mengalami dampak yang lebih besar dan lebih parah dibandingkan dengan jenis perusahaan lainnya. Dalam studi mereka, diketahui perusahaan ritel dianggap lebih rentan terhadap dampak pelanggaran privasi. Pertama, karena biaya perpindahan konsumen rendah. Konsumen dengan cepat beralih dari satu toko online ke toko lain jika merasa data pribadinya tidak aman. Kedua, sensitivitas reputasi. Perusahaan ritel sangat bergantung pada kepercayaan konsumen. Ketiga, skala operasi dan volume Data. Perusahaan ritel biasanya mengelola data pelanggan dalam jumlah besar, termasuk informasi pribadi seperti nama, alamat, dan detail pembayaran. Hal ini menjadikan mereka target potensial bagi pelaku kejahatan siber.
Tanpa regulasi yang memadai, risiko pelanggaran data dapat menurunkan kepercayaan investor dan memperlambat pertumbuhan sektor teknologi di Indonesia.
Kini, kita menunggu kesungguhan Pemerintah menuntaskan sembilan peraturan pelaksana UU PDP. Kehadirannya akan berkontribusi positif pada sektor pertumbuhan ekonomi yang diidam-idamkan Presiden Prabowo Subianto. Sebagai contoh, Peraturan Pemerintah mengenai pemrosesan data pribadi, sangat dibutuhkan untuk memastikan data pribadi diproses secara sah.
Peraturan ini dapat meningkatkan kepercayaan masyarakat terhadap layanan digital. Contoh lain, Peraturan Pemerintah mengenai Penilaian Dampak Pelindungan Data Pribadi. PP ini memastikan bahwa risiko kebocoran data dapat dikelola dengan baik, sehingga mengurangi potensi kerugian yang ditimbulkan akibat pelanggaran data. Yang juga tak kalah penting adalah Peraturan Presiden mengenai lembaga Penyelenggara Pelindungan Data Pribadi. Lembaga ini akan memainkan peran penting dalam menjaga standar pelindungan data pribadi di seluruh sektor. Pelindungan yang kuat akan menarik investor di berbagai sektor seperti fintech, e-commerce, dan teknologi informasi yang merupakan motor penggerak ekonomi digital.
Pada dasarnya, seluruh peraturan pelaksana UU PDP berperan penting dalam menciptakan ekosistem yang aman dan terpercaya untuk pengelolaan data pribadi, yang pada gilirannya akan memperkuat ekonomi digital Indonesia. Dengan meningkatnya kepercayaan konsumen, kemudahan berbisnis, serta terbukanya peluang global, sektor-sektor seperti fintech, e-commerce, dan teknologi dapat berkembang pesat, memberikan kontribusi signifikan terhadap pertumbuhan ekonomi nasional.
Kita bisa belajar dari Singapura, keberadaan PDPA mendorong Singapura untuk memenuhi standar perlindungan data internasional, seperti General Data Protection Regulation (GDPR) di Uni Eropa. Ini memungkinkan perusahaan-perusahaan di Singapura untuk lebih mudah melakukan transfer data lintas batas dengan mitra internasional, yang penting bagi sektor seperti perdagangan, perbankan, dan logistik. Fleksibilitas dalam transfer data lintas negara juga meningkatkan daya saing Singapura di pasar global. Jika Indonesia berhasil membangun ekosistem pelindungan data dan menarik investasi di sektor pusat data dengan skala besar, ada kemungkinan dampak positifnya serupa bahkan lebih besar dari analisis J.P. Morgan untuk Amerika Serikat.
