Ilustrasi Data Pribadi. Sumber: pexels.comPelindungan data pribadi seharusnya menjadi salah satu indikator paling nyata kehadiran negara di era digital. Di tengah semakin luasnya pemanfaatan teknologi, hampir seluruh aktivitas masyarakat kini terhubung dengan sistem elektronik. Mulai dari layanan keuangan, kesehatan, pendidikan, hingga administrasi pemerintahan. Setiap aktivitas tersebut menghasilkan data yang tidak hanya bersifat administratif, tetapi juga merekam identitas dan kehidupan pribadi warga negara. Dalam konteks demikian, pelindungan data pribadi tidak lagi dapat dipandang sebagai isu teknis semata. Ia telah berkembang menjadi bagian dari perlindungan hak dasar warga negara. Di Indonesia sendiri, kesadaran terhadap urgensi pelindungan data pribadi baru tampak dengan disahkannya Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) pada tanggal 17 Oktober 2022. Kehadiran undang-undang tersebut disambut sebagai langkah penting dalam memperkuat tata kelola data khususnya data pribadi di Indonesia. Sebuah output legislasi yang diharapkan mampu memberikan kepastian hukum sekaligus meningkatkan kepercayaan masyarakat terhadap ekosistem digital.REALITA PAHITSayangnya hingga saat ini Undang-Undang Pelindungan Data Pribadi belum mampu menunjukkan tajinya. Alih-alih memberikan rasa aman, publik justru harus menerima kenyataan bahwa data pribadi mereka berkali-kali bocor di ruang publik. Pada tahun 2023 lalu misalnya. Publik dikejutkan dengan bocornya kurang lebih 204 juta data pemilih dari sistem milik Komisi Pemilihan Umum yang mana merupakan lembaga pemerintah. Data pemilih yang bocor tersebut diduga memuat informasi seperti nama, nomor induk kependudukan, tanggal lahir, hingga alamat pemilih yang mana sesuai dengan Pasal 4 ayat (3) Undang-Undang Pelindungan Data Pribadi terklasifikasi sebagai data pribadi yang wajib dilindungi. Insiden serupa kembali muncul pada tahun 2024 dengan bocornya 6,6 juta data NPWP yang mencakup pelbagai data pribadi seperti Nomor Induk Kependudukan, NPWP, nama, alamat, nomor telepon, dan alamat pos-el (email). Terakhir dan baru-baru ini terjadi adalah insiden dijadikannya kertas rekam medis pasien AIDS yang dijadikan pembungkus gorengan. Sebuah kertas yang notabene memuat informasi mengenai nama serta data dan informasi kesehatan yang menurut Pasal 4 ayat (3) Undang-Undang Pelindungan Data Pribadi terklasifikasi sebagai data pribadi yang bersifat spesifik yang juga wajib dilindungi.Serangkaian peristiwa tersebut memperlihatkan bahwa tantangan pelindungan data di Indonesia tidak bisa dianggap sepele. Undang-Undang Pelindungan Data Pribadi belum bertransformasi menjadi perlindungan yang nyata.Ilustrasi Kebocoran Data Pribadi. Sumber: pexels.comTITIK LEMAHSalah satu titik lemah dari rezim hukum pelindungan data pribadi di Indonesia saat ini adalah nirhadirnya lembaga yang ditugaskan untuk mengimplementasikan Undang-Undang Pelindungan Data Pribadi tersebut. Padahal Pasal 58 Undang-Undang 27 Tahun 2022 menegaskan bahwa pelaksanaan pelindungan data pribadi dilakukan sebuah lembaga yang dibentuk oleh Presiden dan bertanggung jawab kepada Presiden. Ini membuktikan bahwa pembentuk undang-undang sejak awal menyadari bahwa keberadaan lembaga ini merupakan kunci bagi efektifnya implementasi regulasi ini. Dalam praktik internasional, hampir semua rezim pelindungan data memiliki otoritas yang kuat. Beberapa contoh diantaranya adalah Singapura dengan Personal Data Protection Commission Singapore, Malaysia dengan Pesuruhjaya Perlindungan Data Pribadi Malaysia, dan Inggris dengan Information Commissioner’s Office. Lembaga tersebut bertugas membuat kebijakan teknis terkait pelindungan data pribadi, mengawasi kepatuhan pengelola data pribadi, menerima pengaduan masyarakat, melakukan investigasi, hingga menjatuhkan sanksi terhadap pelanggaran. Tanpa otoritas pelindungan data pribadi yang jelas, aturan pelindungan data pribadi akan sulit ditegakkan. Dengan kata lain, lembaga pelaksana Undang-Undang Pelindungan Data Pribadi merupakan jantung dari sistem pelindungan data pribadi. Ia menjadi penghubung antara norma hukum dan praktik di lapangan. Melalui lembaga inilah negara memastikan bahwa setiap pengendali data pribadi dan prosesor data pribadi mematuhi prinsip-prinsip pelindungan data pribadi yang telah diatur undang-undang.Masalahnya, hingga kini lembaga yang diamanatkan oleh undang-undang tersebut belum juga terlihat hilalnya. Bahkan dalam masa transisi sebelum lembaga itu dibentuk, pemerintah pun juga tidak secara tegas dan tertulis menunjuk kementerian atau lembaga tertentu untuk menjalankan fungsi sementara dari lembaga tersebut. Alih-alih menihilkan kekosongan otoritas tersebut, pemerintah justru kerap menghadirkan wacana pembentukan lembaga-lembaga baru di sektor lain yang tidak jarang beririsan dengan fungsi yang sudah ada. Fenomena ini menghadirkan sebuah paradoks.Di satu sisi terjadi penambahan struktur kelembagaan, tetapi di sisi lain justru terjadi kekosongan pada sektor yang paling krusial yaitu pelindungan data pribadi. Akibatnya, pelaksanaan pelindungan data pribadi berjalan layaknya ayam tanpa kepala. Eksesnya pun tidak main-main. Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi bak macan ompong. Terlihat kuat di atas kertas, tetapi loyo dalam pelaksanaan.SAMPAI KAPAN?Pembentukan lembaga pelaksana Undang-Undang Pelindungan Data Pribadi idealnya menjadi prioritas bagi eksekutif saat ini. Lembaga ini bukan sekadar struktur birokrasi tambahan, melainkan instrumen penting untuk memastikan bahwa prinsip-prinsip pelindungan data pribadi benar-benar dijalankan. Lebih jauh lagi, pelindungan data pribadi kini juga berkaitan dengan posisi suatu negara dalam ekonomi digital global. Banyak negara dan perusahaan internasional semakin memperhatikan standar pelindungan data sebelum melakukan kerja sama teknologi atau pertukaran data lintas negara. Negara yang memiliki sistem pelindungan data pribadi yang kuat biasanya lebih dipercaya dalam ekosistem digital tersebut. Karena itu, ketidakjelasan arah kelembagaan pelindungan data pribadi bukan sekadar persoalan administratif. Ia juga menyangkut reputasi Indonesia dalam tata kelola ekonomi digital. Pada titik ini, pemerintah sebenarnya masih memiliki kesempatan untuk memperbaiki arah kebijakan mengenai pelindungan data pribadi. Amanat undang-undang perlu segera diwujudkan. Salah satunya melalui pembentukan lembaga pelaksana Undang-Undang Pelindungan Data Pribadi tersebut. Dalam masa transisi, pemerintah juga perlu gerak cepat untuk menunjuk kementerian atau lembaga tertentu untuk menjalankan fungsi penyelenggaraan pelindungan data pribadi sesuai dengan Undang-Undang Nomor 27 Tahun 2022 agar tidak terjadi kekosongan otoritas.Pada akhirnya, pelindungan data pribadi merupakan bagian dari komitmen negara dalam melindungi hak-hak warganya di era digital. Tanpa keseriusan dalam membangun kelembagaan yang kuat, Undang-Undang 27 Tahun 2022 tentang Pelindungan Data Pribadi hanyalah tumpukan kertas tebal namun kosong tanpa makna. (AHM)