Data pribadi bocor kini bukan lagi isu teknis, melainkan masalah sehari-hari. Daftar sekolah pakai NIK, belanja cukup dengan nomor ponsel, banyak aplikasi meminta foto KTP. Tanpa terasa, data pribadi kita tersebar di mana-mana. Pertanyaannya sederhana, tetapi penting: jika data pribadi bocor, kita harus lapor ke mana?
Jawabannya belum selalu jelas. Padahal, kebocoran data bisa berujung pada penipuan, pemerasan, pencurian identitas, hingga manipulasi sosial. Seseorang bisa kehilangan uang, reputasi, bahkan rasa aman, tanpa pernah tahu dari mana kebocoran itu bermula.
Yang membuat resah, kasus kebocoran data di Indonesia bukan lagi kejadian langka. Dari layanan digital hingga situs lembaga, jutaan data warga pernah tersebar. Setiap kali itu terjadi, publik bertanya: siapa yang bertanggung jawab, dan ke mana masyarakat melapor jika data pribadi bocor?
Sering kali jawabannya, “sedang ditelusuri.” Terjemahan bebasnya, harap bersabar, kami juga lagi cari kabelnya di mana.
Data pribadi milik siapa?Pernahkah kita bertanya, dari mana perusahaan asuransi, pinjaman online, atau tawaran kartu kredit mendapatkan nomor kita? Mengapa mereka tahu nama, umur, bahkan tempat kerja? Siapa yang pertama kali menyimpan data itu, siapa yang memindahkannya, dan atas dasar apa?
Secara hukum, data pribadi adalah milik subjek data, yaitu kita sebagai warga. Namun dalam praktik, data sering diperlakukan seperti brosur gratisan, siapa saja boleh ambil, asal lewat.
Padahal, Indonesia sudah memiliki Undang-Undang Perlindungan Data Pribadi (UU PDP No. 27 Tahun 2022). Undang-undang ini memberi hak kepada warga untuk mengetahui penggunaan data, meminta perbaikan, bahkan meminta penghapusan. Perusahaan dan instansi dilarang mengumpulkan dan menggunakan data secara sembarangan. Ada sanksi bagi pelanggaran. Secara aturan, Indonesia sudah maju.
Masalahnya bukan pada keberadaan aturan, melainkan pada penegakan dan pengawasan.
Jika data pribadi bocor, lapor ke mana?UU PDP mengamanatkan pembentukan lembaga pengawas perlindungan data pribadi yang bertugas mengawasi, menerima pengaduan masyarakat, dan menindak pelanggaran. Namun hingga kini, banyak warga masih bertanya: “kalau data saya bocor, saya lapor ke mana?”
Banyak orang mengira bahwa ketika data pribadi bocor, langkah paling tepat adalah melapor ke polisi. Padahal, kebocoran data pada dasarnya bukan semata-mata tindak pidana, melainkan persoalan tata kelola dan perlindungan data. Polisi baru relevan ketika kebocoran itu sudah berujung pada kejahatan seperti penipuan, pemerasan, atau pencurian identitas.
Jika belum sampai tahap itu, laporan sering mentok karena tidak ada unsur pidana yang bisa diproses. Inilah celah yang membuat korban bingung: datanya jelas bocor, risikonya nyata, tetapi belum ada pintu pengaduan yang tepat. Tanpa otoritas khusus perlindungan data yang aktif, masyarakat seperti disuruh memadamkan kebakaran dengan ember bocor.
Di saat yang sama, aturan teknis tentang bagaimana organisasi harus melindungi data secara praktis juga belum sepenuhnya seragam. Akibatnya, banyak institusi tahu mereka “harus patuh”, tetapi bingung harus patuh seperti apa. Banyak yang berhenti di formalitas: membuat kebijakan privasi, meminta pengguna menekan tombol “setuju”, lalu merasa tugas selesai.
Ibarat rambu lalu lintas sudah dipasang, tetapi polisi dan kameranya belum ada. Kendaraannya pun melaju bebas, asal tidak ketahuan.
Lebih mengkhawatirkan lagi, banyak lembaga belum memiliki peta data yang jelas: data apa yang dikumpulkan, disimpan di mana, siapa yang boleh mengakses, apa prosedur jika terjadi kebocoran data pribadi, dan bagaimana mengelola data dari vendor. Padahal, UU PDP memuat sanksi yang tidak ringan. Denda administratif dapat mencapai persentase tertentu dari omzet. Satu insiden saja bisa berdampak pada keuangan, reputasi, bahkan kelangsungan usaha.
Ironisnya, masih banyak organisasi berprinsip, “asal belum kejadian di kantor saya, berarti aman.” Seperti menolak beli asuransi karena merasa belum pernah sakit.
Belajar dari negara lain soal perlindungan dataDi Uni Eropa, perlindungan data pribadi diperlakukan sebagai hak dasar warga. Otoritas pengawas aktif, organisasi wajib menjelaskan data apa yang dikumpulkan, untuk apa, disimpan berapa lama, dan siapa yang mengakses. Jika terjadi kebocoran, laporan harus cepat. Sanksinya besar dan nyata. Bank, rumah sakit, hingga perusahaan teknologi memiliki petugas khusus perlindungan data dan audit rutin.
Di Singapura, Personal Data Protection Commission (PDPC) berfungsi sebagai otoritas pengawas. Pelanggaran bukan hanya didenda, tetapi juga diumumkan ke publik, sehingga berdampak langsung pada reputasi bisnis. Akses data dicatat, vendor diwajibkan tunduk pada standar, dan warga memiliki kanal pengaduan yang jelas.
Di Jepang dan Korea Selatan, pengawasan ketat berlaku di sektor kesehatan, keuangan, dan layanan publik. Akses terhadap data tercatat, penggunaan untuk analisis dilakukan dengan anonimisasi, dan penyalahgunaan dapat berujung sanksi pidana. Data warga diperlakukan sebagai titipan, bukan milik kantor.
Polanya sama: perlindungan data yang efektif membutuhkan ekosistem, bukan sekadar undang-undang. Ada pengawas aktif, aturan teknis yang jelas, industri yang disiplin, pemerintah yang memberi contoh, dan warga yang sadar haknya.
Perlindungan data di Indonesia masih di permukaanDi Indonesia, kesadaran akan keamanan data pribadi mulai tumbuh. Namun sering kali berhenti di permukaan. Yang seharusnya dilakukan bukan hanya menulis kebijakan, melainkan membangun tata kelola nyata: memetakan data, membatasi akses, menyiapkan prosedur kebocoran, dan mengelola risiko dari mitra atau vendor.
Tanpa pengawasan yang tegas, insentifnya sederhana: yang penting terlihat patuh. Padahal, dengan ancaman sanksi finansial yang besar, ketidakseriusan justru menjadi bumerang. Ibarat mengunci pintu rumah hanya saat ada tamu. Aman di foto, rawan di dunia nyata.
Masyarakat pun masih memandang data pribadi sebagai urusan administrasi belaka. Kita sering mengirim foto KTP, mengisi NIK, atau menekan “setuju” tanpa membaca apa pun. Data pribadi terasa murah, sampai suatu hari disalahgunakan. Saat itu terjadi, kita sering tidak tahu harus mengadu ke mana. Seperti kehilangan dompet di tengah kota, tetapi tidak tahu kantor polisi yang buka.
Dampak kebocoran data bagi warga dan lembagaBagi warga, kebocoran data pribadi berarti risiko penipuan, pemerasan, pencurian identitas, dan hilangnya rasa aman.
Bagi lembaga, kebocoran berarti hilangnya kepercayaan publik, biaya pemulihan yang besar, serta ancaman sanksi hukum dan finansial.
Dalam ekonomi digital, tata kelola data juga menjadi syarat kerja sama dan investasi lintas negara. Jika kita tertinggal dalam perlindungan data pribadi, kita juga tertinggal dalam daya saing. Di era ini, kebocoran data bukan sekadar gangguan IT, melainkan krisis kepercayaan.
Apa yang harus dilakukan sekarang?Pertama, lembaga pengawas perlindungan data pribadi harus benar-benar hadir dan bekerja. Masyarakat perlu tahu dengan jelas: jika data pribadi bocor, lapor ke mana dan bagaimana prosesnya.
Kedua, aturan teknis harus tegas dan operasional, mencakup standar penyimpanan, kewajiban pelaporan kebocoran, pengelolaan data pihak ketiga, serta prinsip “kumpulkan seperlunya”.
Ketiga, di level organisasi, ini harus diterjemahkan menjadi roadmap nyata, bukan sekadar dokumen formal.
Dan bagi kita sebagai warga, mulai lebih kritis. Tanyakan untuk apa data diminta, siapa yang menyimpan, dan bagaimana keamanannya. Data pribadi bukan bonus administrasi, melainkan hak warga.
Yah memang kita perlu apresiasi pemerintah Indonesia karena sudah memiliki UU Perlindungan Data Pribadi yang baik. Namun sistem pengawasan dan kesiapan banyak lembaga belum sepenuhnya matang. Data pribadi hari ini adalah kepercayaan warga sekaligus risiko hukum dan finansial bagi organisasi. Negara lain menunjukkan bahwa ketika aturan didukung pengawas yang kuat dan disiplin industri, perlindungan data bisa menjadi kebiasaan.
Aturannya sudah ada. Sekarang yang kita butuhkan adalah pengawas yang tegas, sistem yang jelas, dan langkah nyata, agar perlindungan data tidak hanya terdengar indah, tetapi benar-benar terasa. Dan semoga, suatu hari nanti, menekan tombol “setuju” tidak lagi berarti: ya sudah, pasrah saja.
