Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi mengamanatkan adanya lembaga pengawas pelindungan data. Namun, setelah tiga tahun, lembaga itu belum juga terbentuk. Berbagai pihak pun menanti kehadiran lembaga ini di tengah potensi kebocoran data.
UU No 27/2022 tentang Pelindungan Data Pribadi (PDP) telah ditetapkan sejak 17 Oktober 2022. Regulasi itu, antara lain, mengatur terbentuknya lembaga pengawas pelindungan data pribadi sesuai pasal 58. Lembaga yang ditetapkan oleh presiden ini memiliki 15 kewenangan.
Sesuai pasal 60, lembaga pengawas pelindungan data pribadi berwenang menetapkan kebijakan, mengawasi kepatuhan pengendali data pribadi, menerima aduan pelanggaran, hingga memberikan sanksi administratif. Ketentuan teknis akan diatur dalam Peraturan Pemerintah (PP).
Namun, hingga kini, PP dan lembaga pengawas pelindungan data pribadi belum juga terbentuk. Isu ini pun mengemuka dalam Rapat Dengar Pendapat Panitia Kerja Ruang Digital dengan Kementerian Komunikasi dan Digital, di Gedung DPR RI, Jakarta, Rabu (4/2/2026).
Sohibul Iman, anggota Komisi I DPR RI, menilai, penyusunan rancangan peraturan pemerintah (RPP) sebagai turunan UU PDP sudah berlarut-larut hingga tiga tahun. Menurut dia, untuk sebuah peraturan pemerintah yang merupakan turunan UU, hal ini memakan waktu begitu lama.
“Padahal, ruang digital sudah bergerak sangat luar biasa. Saya sangat khawatir kalau kita terus seperti ini, bagaimana kita bisa melakukan sesuatu sesuai perkembangan zaman?” ujar Iman dalam rapat yang disiarkan via daring. Saat ini saja, terdapat berbagai modus pencurian data.
Modusnya dari phishing (penipuan dengan menyamar agar korban memberikan datanya) hingga penggunaan akal imitasi untuk memanipulasi foto, audio, dan video (deepfake) saat mencuri data korban. “Jadi, ini mendesak adanya lembaga pengawas pelindungan data pribadi,” ujar Iman.
Politisi Partai Keadilan Sejahtera ini pun mendorong pemerintah segera membuat PP, termasuk lembaga pengawas pelindungan data pribadi. Iman juga berharap agar Kementerian Komdigi dapat melibatkan anggota DPR agar aturan turunan tersebut tidak melenceng dari UU PDP.
Junico Siahaan, anggota Komisi I DPR RI Fraksi PDI-Perjuangan, mengingatkan, dalam Pasal 58 UU PDP, lembaga pengawas pelindungan data pribadi dibentuk oleh presiden, bukan kementerian. Pertanggungjawabannya pun langsung kepada presiden, bukan Kemen Komdigi.
Jika berada langsung di bawah presiden, menurut dia, lembaga pengawas bisa lebih independen dalam menjalankan perannya. “Mudah-mudahan (aturan nanti) masih (mengatur) badan yang sama. Kita ingin sekali badan ini kuat dalam melakukan pelindungan data pribadi,” ujar Junico.
Secara terpisah, Direktur Eksekutif Communication and Information System Security Research Centre (CISSRec) Pratama Persadha menilai, lembaga pengawas pelindungan data wajib independen. Lembaga ini bukan hanya simbol komitmen negara terhadap keamanan data warga.
“Lembaga ini berperan sebagai otoritas pengawas yang memiliki kewenangan investigasi, penegakan hukum administratif, serta pemberian sanksi,” ujar Pratama. Di banyak negara, katanya, otoritas pelindungan data harus memastikan kepatuhan keamanan data lintas sektor.
“Tanpa lembaga tersebut, penegakan aturan cenderung tersebar dan tidak terkoordinasi. Konflik kepentingan pun berpotensi muncul apabila pengawasan dilakukan oleh institusi yang sekaligus menjadi operator atau pembuat kebijakan teknis,” ungkap Pratama.
Ketiadaan lembaga pengawas pelindungan data pribadi juga dapat memperlemah posisi Indonesia dalam menghadapi tantangan ekonomi digital. “Hal ini terutama dalam konteks data lintas negara yang mensyaratkan standar pelindungan yang memadai,” ujarnya.
Google memprediksi, nilai ekonomi digital Indonesia tahun 2025 mencapai 130 miliar dollar AS atau Rp 2,2 kuadriliun. Namun, kerugian akibat kejahatan siber, termasuk pencurian data, mencapai Rp 14,5 triliun per tahun. Kamar Dagang dan Industri Indonesia serta US-ASEAN juga memperkirakan, kerugian pada 2028 sebesar 4,79 miliar dollar AS atau Rp 77 triliun (Kompas.id, 17/7/2025).
Dalam perspektif keamanan siber, kumpulan data seperti nomor induk kependudukan, alamat, atau nomor telepon memiliki nilai ekonomi tinggi di pasar gelap digital dan dapat dimanfaatkan untuk berbagai kejahatan.
Terkait kebocoran data, Lembaga Studi dan Advokasi Masyarakat (Elsam) pada Januari 2024 mencatat, sedikitnya 668 juta data pribadi tersebar dari enam platform digital besar. Data yang bocor mencakup nomor identitas, nomor kartu keluarga, riwayat transaksi, hingga data biometrik.
“Dalam perspektif keamanan siber, kumpulan data seperti nomor induk kependudukan, alamat, atau nomor telepon memiliki nilai ekonomi tinggi di pasar gelap digital dan dapat dimanfaatkan untuk berbagai kejahatan mulai dari penipuan berbasis deepfake atau pencurian data identitas,” ujarnya.
Direktur Konvergensi Digital Indonesia Sinergi Inovatif (Kondisi) Damar Juniarto juga menyoroti pentingnya lembaga pengawasan pelindungan data pribadi dalam penegakan hukum. Apalagi, rumusan penerapan sanksi menurut UU PDP belum setara antara pemerintah dan swasta.
Berdasarkan Pasal 57, pemerintah dalam hal ini pejabat atau petugas yang melaksanakan fungsi pelindungan data pribadi hanya dikenai sanksi administratif jika melanggar aturan. Adapun korporasi atau swasta dapat dikenai sanksi administratif hingga pidana apabila melanggar aturan.
“Otoritas pelindungan data pribadi (lembaga pengawas) diperlukan agar penegakan hukum PDP tidak lagi tumpang tindih dan tumpul ke atas,” ungkap Damar. Ia pun mendorong agar Presiden Prabowo Subianto segera membentuk lembaga pengawas pelindungan data pribadi.
Damar juga mengingatkan agar semua warga negara meningkatkan langkah-langkah keamanan ekstra untuk melindungi data-data pribadi. “Karena, tantangan ke depan akan penyalahgunaan data pribadi akan semakin kompleks dan mengkhawatirkan,” ucap Damar.
Apalagi, penetrasi internet di Indonesia pada 2025, sesuai survei Asosiasi Penyelenggara Jasa Internet Indonesia, mencapai 80,66 persen terhadap total penduduk. Lebih dari 229 juta pengguna ini dapat menjadi target pencurian data.
Dalam rapat dengan Komisi I DPR, Sekretaris Jenderal Kementerian Komdigi Ismail mengatakan, PP sebagKementerian pun sudah mengajukan draf PP, yang mengatur lembaga pengawas, ke Sekretariat Negara.
“Jadi, (draf PP) tinggal menunggu tanda tangan presiden. Prosesnya juga sudah sangat terbuka, ada konsultasi publik,” ucap Ismail. Terkait dengan pembentukan lembaga pengawas pelindungan data pribadi, pihaknya menunggu Kementerian Pendayagunaan Aparatur Negara dan Reformasi Publik.
Sampai saat ini Kementerian Komdigi tetap konsisten menyuarakan roh dari UU PDP agar badan atau lembaga PDP ini bersifat independen dan langsung di bawah presiden
“Sampai saat ini Kementerian Komdigi tetap konsisten menyuarakan roh dari UU PDP agar badan atau lembaga PDP ini bersifat independen dan langsung di bawah presiden,” kata Ismail. Namun, perangkat lembaga, seperti administratif perkantoran hingga anggaran akan dibahas pada tahap selanjutnya.
Berbagai pihak kini menanti aturan turunan dari UU PDP, termasuk pembentukan lembaga pengawas pelindungan data pribadi. Jangan sampai, pencurian dan kebocoran data bergerak cepat dan tidak diimbangi oleh regulasi yang ada.
