PERLINDUNGAN HUKUM DATA PRIBADI PENGGUNA LAYANAN AKSES

PERIZINAN ONLINE SINGLE SUBMISSION (OSS) DITINJAU

BERDASARKAN UNDANG-UNDANG NOMOR 27 TAHUN 2022 TENTANG
PERLINDUNGAN DATA PRIBADI

Anggarda Giri Rajati, Moch. Zairul Alam, Ranintya Ganindha

Fakultas Hukum Universitas Brawijaya
Jl. MT. Haryono No. 169 Malang
e-mail : nabilasyahrani@student.ub.ac.id

ABSTRAK
OSS merupakan sebuah awal upaya pemerintah dalam melakukan sinkronisasi dan
penyederhanaan layanan perizinan dalam berusaha, yakni dengan melakukan pemangkasan
birokrasi sektor pengurusan perizinan yang ditandai sejak dikeluarkannya Peraturan Presiden
Nomor 91 Tahun 2017 tentang Percepatan Pelaksanaan Berusaha. Selain itu, melalui
Peraturan Pemerintah Nomor 24 Tahun 2018 tentang pelayanan Perizinan Berusaha
Terintegrasi Secara Elektronik menjadi terobosan kebijakan karena dalam pelaksanaannya
akan banyak menggunakan teknologi seperti layanan sistem elektronik yang terintegrasi atau
Online Single Submission (OSS). Pada penelitian ini, penulis mengangkat permasalahan
tentang Perlindungan Hukum Data Pribadi Pengguna dalam Layanan Akses Perizinan Berbasis
Elektronik Online Single Submission (OSS) Ditinjau Berdasarkan Undang-Undang Nomor 27
Tahun 2022 tentang Perlindungan Data Pribadi, dimana dalam pelaksanaan layanan pada
sistem OSS terdapat potensi pelanggaranhukum keamanan dalam penggunaan data pribadi
pengguna. Metode Penelitian yang digunakan adalah Yuridis Normatif, dengan Pendekatan
Konseptual (conceptual approach) dan Pendekаtаn Perundаng-undаngаn (stаtue аpproаch).
Kemudian diperoleh hasil dari penelitian bahwa dalam penyelenggaraan layanan akses
perizinan berbasis sistem elektronik seperti OSS, dari segi keamanan perlindungan data
pribadi masih memiliki ketidaklengkapan pengaturan hukum perlindungan data pribadi
terhadap penggunanya. Adapun hal ini dilakukan guna memberikan kepastian hukum bagi
Pengguna layanan OSS juga memperbaiki kekosongan hukum dalam perlindungan data
pribadi dalam penyelenggaraan sistem OSS.
Kata Kunci : Perlindungan Hukum, Data Pribadi, Online Single Submission.
 ABSTRACT
OSS is the beginning of the government's efforts to synchronize and simplify licensing services
in business, namely by trimming the bureaucracy in the licensing administration sector which
has been marked since the issuance of Presidential Regulation Number 91 of 2017 concerning
the Acceleration of Business Implementation. In addition, through Government Regulation
Number 24 of 2018 concerning Electronically Integrated Business Licensing services it is a
policy breakthrough because in its implementation it will use a lot of technology such as
integrated electronic system services or Online Single Submission (OSS). In this study, the
authors raised the issue of Legal Protection of Users' Personal Data in Online Single Submission
(OSS) Electronic-Based Licensing Access Services based on Law Number 27 of 2022 concerning
Protection of Personal Data, where in the implementation of services on the OSS system there
is a potential for violations of security laws in the use of user personal data. The research
method used is Normative Juridical, with a Conceptual Approach and a Statute Approach. The
results that are obtained from the research implied that the implementation of licensing access
services based on electronic systems such as OSS, from a security perspective, personal data
protection still has incomplete legal arrangements for personal data protection for its users.
This is cardinal in order to provide legal certainty for OSS service users as well as improve the
legal vacuum in protecting personal data in the implementation of the OSS system.
Keywords: Legal Protection, Data Privacy, Online Single Submission.
Latar Belakang
Makna pembangunan dapat diartikan sebagai seperangkat usaha manusia untuk
mengarahkan perubahan sosial dan kebudayaan yang disesuaikan dengan tujuan kehidupan
berbangsa dan bernegara. Kemajuan pembangunan suatu negara niscaya bergerak apabila
pembangunan ekonomi turut bergerak. Dengan adanya pembangunan ekonomi niscaya kualitas
masyarakat yang sejahtera, adil dan makmur akan terwujud. Maka dalam rangka
mewujudkannya, pemerintah sebagai penyelenggara negara memiliki peran penting dalam
menentukan optimalisasi kebijakan yang tepat yang nantinya akan menentukan arah ekonomi
suatu negara akan dibawa. Berpangkal dari pembangunan ekonomi suatu negara, investasi
dipandang menjadi salah satu corong yang diyakini dapat meningkatkan nilai ekonomi suatu
negara, hal itu tidak dapat dipungkiri karena kegiatannya secara tepat akan menyerap tenaga
kerja dan berimplikasi pada peningkatan produk domestik bruto (PDB) negara secara
eksponensial. Maka tidak berlebihan apabila banyak sekali dorongan dari berbagai kalangan
yang secara terus-menerus menginginkan berkembangnya iklim investasi di Indonesia. Selain
itu, tuntutan dari masyarakat terhadap pemerintah dalam pembangunan perekonomian
faktanya telah bergulir sejak terjadinya krisis ekonomi yang dialami Indonesia, dimana
masyarakat telah berhasil menghantarkan pemerintah untuk melakukan perubahan dan
reformasi multidimensi dalam rangka terwujudnya kesejahteraan rakyat pasca itu. 1
Memasuki era pemerintahan Presiden Jokowi, dalam hal pembangunan ekonomi ia
memiliki beberapa misi yang salah satunya memangkas hambatan investasi dan mereformasi
birokrasi dimana poin pentingnya yakni terkait percepatan pelayanan dalam penerbitan
perizinan berusaha. Dapat dikatakan secara objektif bahwa beberapa hal yang menjadikan misi
tersebut ada adalah faktor-faktor penghambat investasi seperti tumpang tindihnya regulasi,
perizinan pada birokrasi yang rumit dan berbelit-belit, biaya mahal, dan indikasi pungutan liar
yang terjadi dalam pengurusan perizinan berusaha. Hal tersebut menjadi wajar pada akhirnya
pemerintah membuat suatu kebijakan yang bersifat memudahkan terutama dalam dunia usaha
dan investasi.
Secara kontekstual kemudahan yang dimaksud yakni perizinan sebagai instrumen
penting, dimana perizinan merupakan kebijakan pemerintah yang diciptakan untuk melakukan
pengendalian atas eksternalitas negatif yang mungkin timbul akibat aktivitas berusaha, selain
itu perizinan menjadi instrumen dalam perlindungan hukum atas kepemilikan atau
1
Riris Katharina, “Pelayanan Publik & Pemerintahan Digital Indonesia”, Yayasan Pustaka Obor
Indonesia, Jakarta, 2020, hlm 57.
penyelenggaraan suatu kegiatan usaha. Sebagai diskursus kebijakan, awal dimulainya
kemudahan berusaha dan pemangkasan birokrasi sektor pengurusan perizinan ini telah ada
sejak dikeluarkannya Peraturan Presiden Nomor 91 Tahun 2017 tentang Percepatan
Pelaksanaan Berusaha. Selain itu dengan menimbang perkembangan teknologi, pelayanan
perizinan yang semula bersifat manual/offline, kini dilakukan berbasis online dengan
memanfaatkan sistem elektronik. Sebagai implementasinya hal tersebut diatur dalam Peraturan
Pemerintah Nomor 24 Tahun 2018 tentang Pelayanan Perizinan Berusaha Terintegrasi Secara
Elektronik. Kemudian dalam tataran pelaksananya, pemerintah membentuk lembaga OSS untuk
dan atas nama birokrasi terkait seperti Menteri, pimpinan lembaga, gubernur ataupun
bupati/walikota melalui suatu sistem web atau aplikasi elektronik yaitu Online Single Submission
yang umum kita sebut sebagai OSS. Layanan digital OSS dalam penyelenggaraannya
diharapkan dapat menciptakan cara kerja ( new fashion) dan arah kebijakan (new regime) baru
dalam reformasi layanan perizinan usaha di negeri ini. 2 Namun, disamping membawa efisiensi
tidak menutup kemungkinan terjadi pelanggaran terhadap perbuatan-perbuatan yang dilarang
dalam penggunaan data masyarakat (pengguna) dalam sistem elektronik OSS ini, adapun
dalam hal ini pelanggaran yang dimaksud dapat dikatakan sebagai kejahatan siber. 3 Seiring
dengan kecenderungan berkembangnya teknologi dan informasi yang membawa berbagai
kemudahan namun memiliki sejumlah peluang kejahatan seperti kejahatan siber, pemerintah
mengupayakan antisipasi perlindungan hukum yang sebelumnya sudah direalisasikan melalui
Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE)
yang kemudian diperbaharui dengan Undang-Undang Nomor 19 Tahun 2016 4 dan Undang-
Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi
Lebih lanjut mengenai sistem elektronik pada OSS, umumnya akan diminta untuk
melengkapi dan melampirkan sejumlah data persyaratan administrasi seperti data Identitas
pribadi (Nama, NIK, Alamat, Email) ataupun data perusahaan seperti Nomor Induk Berusaha
(NIB). Dalam hal ini data merupakan aset yang berharga terutama bagi subjek data baik
perseorangan maupun korporasi yang terus menerus mengumpulkan, bertukar, mengolah,
menyimpan data.5 Kemudian pengendali data dalam sistem OSS sendiri hanya beberapa pihak

2
Ibid.
3
Maskun, S.H., LL.M., “Kejahatan Siber (Cyber Crime) Suatu Pengantar”, Prenada Media, Jakarta,
2014, hlm 21.
4
Ramli, A. M., Dinamika Konvergensi Hukum Telematika dalam Sistem Hukum Nasional. Jurnal
Legislasi Indonesia, 5(4), 2018, hlm 1-11.
5
Suisno, A. D. N., Urgensi Hukum Telematika Dalam Perlindungan Data Pribadi, Jurnal
Independent, 8(1), 2020, hlm 265-272.
yang diberikan akses sebagai pengelola data terhadap OSS ini, di antaranya yakni BKPM (Badan
Koordinasi Penanaman Modal) yang dikhususkan Pemerintah Pusat dan DPMPTSP (Dinas
Penanaman Modal dan Pelayanan Terpadu Satu Pintu) yang dikhususkan Pemerintah Daerah
baik provinsi maupun kabupaten dan kota. Namun yang menjadi permasalahan adalah
bagaimana perlindungan hukum data pribadi terhadap pengguna layanan OSS ini? Karena
dalam aturan pelaksananya yakni Peraturan Pemerintah Nomor 24 Tahun 2018 tentang
Pelayanan Perizinan Berusaha Terintegrasi Secara Elektronik dan Peraturan Pemerintah Nomor
5 Tahun 2021 tentang Penyelenggaraan Perizinan Berusaha Berbasis Resiko (OSS RBA) tidak
diatur mengenai perlindungan data pribadi penggunanya dalam sistem tersebut. Disamping itu
dalam pelaksanaan elektronik secara tegas Undang-Undang Nomor 19 Tahun 2016 tentang
Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi
Elektronik (UU ITE) mengatur perbuatan-perbuatan yang dilarang dalam penggunaan data
pribadi terutama sistem elektronik. Lebih lanjut dalam Pasal 3 Peraturan Pemerintah Nomor 71
Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, dimana suatu
penyelenggara sistem elektronik setidaknya memiliki syarat dalam menyelenggarakan sistem
elektroniknya yakni Andal, Aman dan Bertanggungjawab.
Mengulas hukum perlindungan data pribadi di Indonesia, terdapat dalam bagian
penjelasan Pasal 26 UU ITE bahwa yang dimaksud dengan perlindungan data pribadi dalam
kaitannya pemanfaatan teknologi informasi, dimana data pribadi merupakan salah satu bagian
dari hak pribadi yang mengandung pengertian hak untuk menikmati kehidupan pribadi dan
bebas dari segala macam gangguan, hak untuk berkomunikasi dengan orang lain tanpa
tindakan memata-matai dan hak untuk mengawasi akses informasi tentang kehidupan dan data
seseorang.6 Lebih lanjut beberapa pelanggaran dalam penggunaan data pribadi tersebut diatur
dan dijelaskan dalam beberapa pasal UU ITE yang diantara lain sebagai berikut: 7
Pasal 30 ayat (2) dan (3) UU ITE
(2) “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses
Komputer dan/atau Sistem Elektronik dengan cara apapun dengan tujuan untuk
memperoleh Informasi Elektronik dan/atau Dokumen Elektronik.”
(3) “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses
Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan melanggar,
menerobos, melampaui, atau menjebol sistem pengamanan.”

6
Shinta Dewi, CyberLaw: Aspek Data Privasi Menurut Hukum Internasional, Regional dan
Nasional, Refika Aditama, Bandung, 2015, hlm 1.
7
Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan Atas Undang-Undang Nomor 11 Tahun 2008
Tentang Informasi dan Transaksi Elektronik (UU ITE), Pasal 30 ayat (2) dan (3).
 Konstruksi Pasal 30 menjelaskan bahwa tindak illegal yang dilakukan seseorang
terhadap sistem elektronik orang lain dengan tujuan untuk memperoleh informasi/dokumen
elektronik dan/atau upaya pembobolan, penerobosan dan penjebolan melampaui sistem
pengamanan adalah suatu tindakan dilarang. Selain itu hal tersebut terdapat kaitannya dalam
Pasal 32 dan Pasal 33 yang diantaranya berbunyi sebagai berikut:
Pasal 32 UU ITE
(1) “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun
mengubah, menambah, mengurangi, melakukan transmisi, merusak menghilangkan,
memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik
milik Orang lain atau milik publik.”
(2) “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun
memindahkan atau mentransfer Informasi Elektronik dan/atau Dokumen Elektronik kepada
Sistem Elektronik Orang lain yang tidak berhak.”
(3) “Terhadap perbuatan sebagaimana dimaksud pada ayat (1) yang mengakibatkan
terbukanya suatu Informasi Elektronik dan/atau Dokumen Elektronik yang bersifat rahasia
menjadi dapat diakses oleh publik dengan keutuhan data yang tidak sebagaimana
mestinya.

Pasal 33 UU ITE
“Setiap Orang dengan sengaja dan tanpa hak tau melawan hukum melakukan tindakan apa
pun yang berakibat terganggunya Sistem Elektronik dan/atau mengakibatkan Sistem
Elektronik menjadi tidak bekerja sebagaimana mestinya.”

Melihat aturan terkait seperti dalam Pasal 32 dan 33 artinya perlindungan terhadap
suatu informasi dan/atau dokumen elektronik baik milik orang lain maupun milik publik akan
bersifat rahasia (confidential) dan tindak terhadap penerobosan atau pembobolan suatu sistem
elektronik merupakan tindakan yang dilarang. Kemudian mengacu pada peraturan yang lebih
khusus mengatur terkait perlindungan data pribadi yakni Undang-Undang Nomor 27 Tahun
2022 tentang Perlindungan Data Pribadi, dalam Pasal 65 memperjelas dan mengatur secara
khusus bentuk perbuatan dilarang dalam penggunaan data pribadi seperti memperoleh atau
mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri
sendiri atau orang lain yang dapat mengakibatkan kerugian, mengungkapkan Data Pribadi yang
bukan miliknya ataupun menggunakan Data Pribadi yang bukan miliknya. 8
Lebih dari itu, karakteristik sistem elektronik seperti OSS ini yakni satu pintu atau satu
jaringan apabila dalam kasus pencuri data, pembobolan dan penerobosan keamanan tentu
dalam konteks tersebut apabila terjadinya kebocoran pada satu data maka dimungkinkan juga

8
Ditafsirkan penulis berdasarkan dari Pasal 65 Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan
Data Pribadi.
data tersebut akan membuka akses-akses lainnya yang terdapat di dalam sistem OSS dengan
mudah. Berkaitan dengan kebocoran dan pembobolan data apabila disatu waktu pencuri data
menyalahgunakan data yang ia dapatkan dari sistem OSS, maka hal tersebut merupakan
pelanggaran yang berkaitan dengan perlindungan hukum data pribadi yang telah digariskan
dalam Pasal 35 UU ITE dan Pasal 65 UU PDP yakni terkait tanpa hak dan melawan hukum
melakukan manipulasi, penciptaan, perubahan, penghilangan dan pengrusakan informasi
elektronik/dokumen elektronik adalah perbuatan melawan hukum. Namun sayangnya dalam
penerapan norma yang dimaksud akan sangat sulit ditegakan bahkan pada
pertanggungjawabnya mengingat karakteristik suatu sistem OSS yakni suatu sistem terpadu
satu pintu yang mengatasnamakan berbagai Lembaga sebagai pihak ketiga dalam layanan
publik (business to governance).
Terkait dengan kasus pelanggaran penggunaan data pribadi di Indonesia, menurut data
yang diperoleh oleh perusahaan keamanan siber Surfshark, menyatakan bahwa Indonesia
menempati urutan ke-3 sebagai negara dengan jumlah kasus kebocoran data terbanyak di
dunia. Hal ini tercatat dengan jumlah kasus pada sektor pemerintahan, dimana kebocoran
terjadi dan beredar adanya 279 juta data penduduk Indonesia mencakup NIK, Slip Gaji, Nomor
Telepon, Alamat dan Email pengguna dari BPJS Kesehatan. 9 Namun jauh sebelum hadirnya isu
peretasan dan pembobolan data pribadi, UU PDP telah diinisiasi sejak 2016. Mengacu pada
penjelasan sebelumnya bahwa pelaksanaan sistem elektronik dan perlindungan hukum data
pribadi dalam penggunaannya kini akan mengacu pada peraturan hukum yang mengatur
perlindungan data pribadi yakni Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan
Data Pribadi (UU PDP) yang baru saja disahkan tertanggal 17 Oktober 2022 yang hadir atas
respon berbagai insiden pelanggaran data yang terjadi di Indonesia.
Dari paparan yang telah dijelaskan sebelumnya, maka hal tersebut tentunya akan
menimbulkan terjadinya permasalahan hukum di kemudian hari terkait dengan banyak
kekurangan perlindungan hukum data pribadi dan potensi pelanggaran penggunaan data
pribadi pengguna dalam layanan akses perizinan berbasis elektronik pada OSS yang perlu
segera dibenahi demi memberikan kepastian hukum terhadap pengguna dalam
penyelenggaraan OSS di Indonesia.
Pengaturan Hukum Penggunaan Data Pribadi Pengguna Dalam Penyelenggaraan

9
Ibeth Nurbaiti, 2022, “Daftar Kebocoran Data Indonesia Sektor Pemerintah Juara?”,
https://bisnisindonesia.id/article/daftar-kasus-kebocoran-data-indonesia-sektor-pemerintah-juara, diakses pada 20
Oktober 2022.
Layanan Perizinan Sistem Elektronik Online Single Submission di Indonesia.
Mengiringi kemajuan teknologi komunikasi dan informasi, salah satu langkah
pemerintah memanfaatkan kemajuan teknologi dengan mengikuti perkembangan era digital
saat ini. Tak heran banyak perubahan yang ditimbulkan hingga mempengaruhi cara
masyarakat dalam menjalankan bisnis dan/atau melakukan transaksinya dengan media sistem
elektronik, dengan demikian maka bermunculan transaksi-transaksi yang dikenal dengan
sebutan e-commerce. Indonesia kini tengah berada dalam era ekonomi digital, dimana hal
tersebut menuntut pemerintah untuk mengatur hukum yang berlaku sejalan dengan kemajuan
yang ada, demi mewujudkan hal tersebut pemerintah membuat salah satu terobosan
kebijakan yakni dengan mengeluarkan Peraturan Pemerintah Nomor 24 Tahun 2018 tentang
Pelayanan Perizinan Berusaha Terintegrasi Secara Elektronik, dimana pada tataran
pelaksananya pemerintah akan memanfaatkan teknologi seperti layanan sistem elektronik
terintegrasi satu pintu “Online Single Submission” (OSS), maka layanan digital OSS dalam
penyelenggaraannya diharapkan dapat menciptakan cara kerja ( new fashion) dan arah
kebijakan (new regime) baru dalam reformasi layanan perizinan usaha di negeri ini. Secara
sederhana, OSS dikendalikan oleh Lembaga OSS dan pembentukkan sistem OSS tentunya
dimaksudkan untuk memangkas birokrasi dalam pelayanan perizinan di Indonesia.
Berdasarkan pengaturan tersebut, lembaga OSS berperan untuk dan atas nama birokrasi
terkait seperti Menteri, Pimpinan Lembaga, Gubernus ataupun Bupati/Walikota.
Namun, disamping membawa efisiensi dan kepraktisan dari sistem OSS ini berjalan
bukan tanpa hambatan oleh karena itu perlu kiranya memperhatikan beberapa celah yang
dapat menjadi peluang tindak kejahatan oleh pihak-pihak yang tidak bertanggungjawab. Tentu
dalam pelaksanaannya terdapat potensi tindak kejahatan terutama penyalahgunaan
penggunaan data pribadi dan tidak menutup kemungkinan terjadinya pelanggaran tersebut
dalam sistem elektronik OSS dapat terjadi. Hal penting yang perlu diperhatikan dalam sistem
OSS yakni penghimpunan data pengguna baik perorangan maupun badan usaha termasuk di
dalamnya data pribadi para pengurus dan pemegang saham yang diwajibkan diunggah
sebagai bagian dari persyaratan administrasi pengurusan perizinan suatu usaha.10
Pada dasarnya di dalam Peraturan Pemerintah Nomor 24 Tahun 2018 tentang Pelayanan
Perizinan Berusaha Terintegrasi Secara Elektronik tidak dijelaskan dan tidak diatur mengenai
bagaimana bentuk perlindungan data pribadi pengguna sistem elektronik pada OSS, hal
10
Agung, H. P. A., Perlindungan Data Pribadi Dalam Proses Pengurusan Perizinan Perusahaan
Berbasis Elektronik Online Single Submission (OSS). Jurnal Ilmiah Galuh Justisi, 9(1), 2021, hlm 62-75.
 tersebut demikian dengan Peraturan Pemerintah Nomor 5 Tahun 2021 tentang Perizinan
Berusaha Berbasis Resiko yang khusus mengatur mengenai OSS RBA. Karakteristik dari sistem
OSS yakni sistem elektronik terintegrasi satu pintu dimana pada dasarnya satu data cukup
untuk menvalidasi semua akses yang ada dalam berbagai layanan pengurusan perizinan dalam
sistem OSS. Tentu dari segi resiko keamanan penggunaan satu data pada sistem OSS
dilaksanakan simplikasinya apabila didapati satu data bocor, maka semua data dapat
membuka akses pada berbagai layanan dalam sistem OSS dan tidak menutup kemungkinan
terjadinya pelanggaran terhadap larangan penggunaan data pribadi oleh pihak-pihak yang
tidak bertanggungjawab untuk disalahgunakan.
Penulis mengkaji beberapa proses tahapan sistem OSS yang dimulai pada tahap
validasi sistem OSS sendiri. Dalam hal validasi, bagaimana kemudian menjamin keandalan,
keamanan, dan tanggungjawab operasinya sistem elektronik dengan pihak ketiga yang
mengintegrasikan data dalam beberapa Lembaga yang diatasnamakan untuk keperluan
pengurusan perizinan satu pintu sistem OSS? Diketahui dalam sistem OSS sendiri
menggunakan sistem Automatical Approval, yang berarti tidak ada lagi review atas data yang
diajukan sepanjang memenuhi syarat-syarat administrasi yang telah ditetapkan, namun
persoalan lain timbul karena bagaimana menjamin orisinalitas data/dokumen elektronik yang
dilampirkan pengguna? Beberapa hal yang perlu diperhatikan dalam penerapan sistem
Automatical Approval pada sistem OSS terutama pertama, sistem seperti itu hanya dapat
digunakan untuk proses persetujuan yang bersifat rutin dan sesuai dengan standar yang telah
ditetapkan. Proses persetujuan yang kompleks dan membutuhkan keputusan yang
berdasarkan pertimbangan manusia tidak dapat dilakukan dengan sistem ini. Kedua,
diperlukan pengawasan yang ketat terhadap sistem ini untuk mencegah kekeliruan dan
penyalahgunaannya.11 Hal tersebut tentunya berdasar pada Pasal 3 PP No.71/2019 tentang
Penyelenggaraan Sistem dan Transaksi Elektronik, dimana suatu penyelenggara setidaknya
memiliki syarat dalam menyelenggarakan sistem elektronik secara Andal, Aman dan
Bertanggungjawab. Selain itu dari segi pemrosesan data dimana Lembaga OSS berperan
sebagai pengendali data sekaligus pihak ketiga yang mengatasnamakan beberapa Lembaga
dan/atau birokrasi nantinya akan cukup sulit menentukan siapa yang memiliki tanggung jawab
bila terjadinya penyalahgunaan atas penggunaan data pribadi penggunanya oleh
Lembaga/birokrasi yang diatasnamakan? Dalam hal ini pihak birokrasi yang diatasnamakan
11
Geraghty, J., “How Automated Approval Sistems Work”,
https://www.investopedia.com/terms/a/automated-approval-sistems.asp, diakses pada 15 Februari 2023, 2021.
 bisa saja memiliki tujuan berbeda yang tidak sesuai dalam tujuan pemrosesan data diawal
ataupun terdapat tindakan yang tidak sah yang dilakukan oleh pihak luar dalam layanan sistem
OSS. Hal tersebut tentunya menimbulkan pertanyaan mendasar bahwa apakah
Lembaga/birokrasi yang diatasnamakan memiliki kewenangan atau bahkan akses terhadap
data yang dikumpulkan Lembaga OSS? Ataupun bagaimana perlindungan hukum jika terdapat
pihak luar yang tidak sah melakukan pelanggaran atas larangan penggunaan data pribadi
pengguna dalam sistem OSS?
Membahas mengenai penyalahguunaan data dalam sistem OSS yang telah diuraikan
diatas, pada dasarnya dalam pelaksanaan sistem elektronik secara garis besar Undang-Undang
Nomor 19 Tahun 2016 tentang Perubahan Atas Undang-Undang Nomor 11 Tahun 2008
tentang Informasi dan Transaksi Elektronik (UU ITE) mengatur perbuatan-perbuatan yang
dilarang di dunia digital yang salah satunya perlindungan data pribadi pada sistem elektonik.
Adapun penulis merangkum terkait beberapa perbuatan-perbuatan yang dilarang beberapa
pasal UU ITE yang kemudian ditujukkan dalam pelaksanaan sistem elektronik dan dapat
diuraikan sebagai berikut:12
Pasal 30 ayat (2) dan (3) UU ITE
(2) “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses
Komputer dan/atau Sistem Elektronik dengan cara apapun dengan tujuan untuk
memperoleh Informasi Elektronik dan/atau Dokumen Elektronik.”

(3) “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses
Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan melanggar,
menerobos, melampaui, atau menjebol sistem pengamanan.”

Konstruksi Pasal 30 menjelaskan bahwa tindak illegal yang dilakukan seseorang terhadap
sistem elektronik orang lain dengan tujuan untuk memperoleh informasi/dokumen elektronik
dan/atau upaya pembobolan, penerobosan dan penjebolan melampaui sistem pengamanan
adalah suatu tindakan dilarang. Selain itu, hal ini dapat dikaitkan dalam Pasal 32 dan Pasal 33
yang diantaranya berbunyi sebagai berikut:13
Pasal 32 UU ITE
(1) “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan
cara apa pun mengubah, menambah, mengurangi, melakukan transmisi,
merusak menghilangkan, memindahkan, menyembunyikan suatu Informasi
Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik.”
12
Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik, Loc.Cit., Pasal 30 ayat (2)
dan (3)
13
Ibid., Pasal 32 dan 33
 (2) “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan
cara apa pun memindahkan atau mentransfer Informasi Elektronik dan/atau
Dokumen Elektronik kepada Sistem Elektronik Orang lain yang tidak berhak.
(3) “Terhadap perbuatan sebagaimana dimaksud pada ayat (1) yang
mengakibatkan terbukanya suatu Informasi Elektronik dan/atau Dokumen
Elektronik yang bersifat rahasia menjadi dapat diakses oleh publik dengan
keutuhan data yang tidak sebagaimana mestinya.”

Pasal 33 UU ITE
“Setiap Orang dengan sengaja dan tanpa haka tau melawan hukum melakukan
tindakan apa pun yang berakibat terganggunya Sistem Elektronik dan/atau
mengakibatkan Sistem Elektronik menjadi tidak bekerja sebagaimana mestinya.”

Melihat aturan terkait seperti dalam Pasal 32 dan 33 artinya perlindungan terhadap
suatu informasi dan/atau dokumen elektronik baik milik orang lain maupun milik publik akan
bersifat rahasia (confidential) dan tindak terhadap penerobosan atau pembobolan suatu
sistem elektronik merupakan tindakan yang dilarang. Sejalan dengan aturan pada UU ITE
terkait perbuatan yang dilarang dalam penggunaan data pribadi, mengacu pada aturan lebih
khusus yakni UU PDP mengatur juga bentuk larangan dalam penggunaan data pribadi yang
terdapat dalam Pasal 65 dan diantaranya yakni sebagai berikut: 14
Pasal 65 UU PDP
(1) “Setiap Orang dilarang secara melawan hukum memperoleh atau
mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk
menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan
kerugian.”
(2) “Setiap Orang dilarang secara melawan hukum mengungkapkan Data Pribadi
yang bukan miliknya.”
(3) “Setiap Orang dilarang secara melawan hukum menggunakan Data Pribadi
yang bukan miliknya.”

Berdasarkan uraian Pasal 65 UU PDP tersebut telah memperjelas dan mengatur secara
khusus bentuk perbuatan dilarang dalam penggunaan data pribadi. Maka berdasarkan
paparan analisis pengaturan penggunaan data pribadi pengguna dalam layanan akses
perizinan berbasis elektronik pada OSS dalam penyelenggaraannya masih memiliki peluang
tindak kejahatan dan masih menimbulkan pertanyaan bagaimana perlindungan data pribadi
dalam sistem OSS. Sebagaimana diatur dalam UU ITE dan UU PDP sebagai aturan khusus
perlindungan data pribadi, pelanggaran dalam penggunaan data pribadi tersebut
dicontohkan seperti pembobolan, penerobosan, penjebolan dan penyalahgunaan data baik

14
Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi, Loc.Cit., Pasal 65.
 terhadap pengguna layanannya termasuk data perusahaan yang kemudian akan
dimungkinkan juga disalah gunakan demi kepentingan atau tindak illegal lainnya.

Perlindungan Hukum Data Pribadi Pengguna Online Single Submission Atas

Penyalahgunaan Data Ditinjau Berdasarkan Undang-Undang Nomor 27 Tahun 2022
tentang Perlindungan Data Pribadi.
Sebelum membahas lebih lanjut mengenai perlindungan data pribadi pengguna layanan
perizinan berbasis sistem elektronik pada OSS, maka lebih dahulu perlu dilakukan pemisahan
kedudukan diantara Lembaga OSS sebagai penyedia layanan dengan penggunanya. Mengacu
pada Pasal 1 angka 4 Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data
Pribadi disebutkan bahwa15 “Pengendali Data Pribadi adalah setiap orang, badan publik, dan
organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan
tujuan dan melakukan kendali pemrosesan Data Pribadi” berdasarkan definisi tersebut jika
disikronkan dengan pengertian Lembaga OSS maka dapat dikatakan Lembaga OSS bertindak
sebagai Pengendali Data. Hal tersebut karena kedudukan lembaga OSS sebagai badan publik
yang bertugas untuk dan atas nama birokrasi terkait seperti Menteri, pimpinan lembaga,
gubernur ataupun bupati/walikota melalui suatu sistem atau aplikasi dalam menyediakan
layanan perizinan, dimana layanan tersebut akan membutuhkan data penggunanya. Sedangkan
kedudukan pengguna sistem OSS dalam hal ini sejalan dengan Pasal 1 angka 6 UU PDP yang
menyebutkan bahwa16 “Subjek Data Pribadi adalah orang perseorangan yang pada dirinya
melekat Data Pribadi” maka dapat dikatakan pengguna sistem OSS merupakan subjek Data
Pribadi karena dalam pemanfaatan sistem elektronik seperti OSS pada umumnya pengguna
akan diminta untuk melengkapi dan melampirkan sejumlah persyaratan administrasi seperti
data Identitas pribadi yang ditujukkan untuk menunjang kepentingan transaksi elektronik bagi
layanan OSS.
Setelah memisahkan kedudukan diantara Lembaga OSS yang ditempatkan sebagai
pengendali data pribadi dan Penggunanya yakni sebagai subjek data pribadi, maka dapat
diketahui beberapa hak dan kewajibannya, dimana hak dan kewajibn tersebut merupakan
bentuk perlindungan data pribadi dalam sistem elektronik seperti OSS yang kemudian dalam hal
ini penulis akan mensinkronkan dengan sub bab sebelumnya yang didasarkan pada Undang-
Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi. Adapun perlindungan data

15
Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi., loc.cit., Pasal 1 angka 4
16
Ibid., Pasal 1 angka 6.
pribadi pengguna layanan sistem OSS penulis akan menguraikan dan membaginya dalam
beberapa proses yang diantaranya sebagai berikut:
1. Perolehan dan Pengumpulan Data Pribadi
Dalam proses perolehan dan pengumpulan data pribadi oleh Lembaga OSS sendiri,
terlebih dahulu pihak penyelenggara tentunya memiliki batasan pada informasi data yang
relevan dengan tujuannya dimana penyelenggara sistem elektronik harus menghormati data
pribadi penggunanya yang bersifat rahasia atau privasi. 17 Hal tersebut tentunya perlu dilakukan
sebagaimana diatur dalam Pasal 20 UU PDP, dimana pengendali data pribadi wajib memiliki
dasar pemrosesan data pribadi. Lembaga OSS tentunya memiliki tujuan dalam melakukan
perolehan dan pengumpulan data pribadi karena kedudukannya yang dibentuk sebagai pihak
ketiga yang mengatasnamakan berbagai lembaga birokrasi untuk mengurusi layananan
perizinan agar lebih mudah. Adapun informasi data pengguna yang dimintakan oleh Lembaga
OSS ini dapat diklasifikasikan menjadi dua, yakni Informasi Registrasi yang didalamnya memuat
NIK KTP, Nomor Pengesahan Badan Usaha dan Dasar hukum pembentukan, kemudian
informasi data perangkat yang memuat informasi atau data akses seperti Akun, akses kamera,
galeri dan dokumen pengguna.
Kemudian hasil perolehan dan pengumpulan data pribadi ini dilakukan berdasarkan
persetujuan pemilik data pribadi hal ini didasarkan pada Pasal 24 UU PDP, dimana pengendali
data pribadi wajib menunjukkan bukti persetujuan yang telah diberikan oleh subjek data
pribadi. Sejalan dengan itu Lembaga OSS menerapkan dalam sistem elektroniknya yakni syarat
dan ketentuan serta kebijakan privasi bagi pengguna sebagai bentuk persetujuan pengguna
dalam menggunakan layanan dalam OSS dan apabila Pengguna memberikan pernyataan,
informasi atau data pribadi yang tidak benar, tidak jelas, tidak akurat, atau tidak lengkap,
maka OSS berhak menolak permohonan pembuatan Akun OSS dan menangguhkan atau
memberhentikan sebagian atau seluruh Layanan OSS yang diberikan kepada Pengguna.
2. Pengolahan dan Penganalisisan Data Pribadi
Proses pengolahan dan penganalisisan data pribadi ini baru bisa dilakukan setelah
tujuan penyelenggara sistem elektronik yakni Lembaga OSS sesuai dalam tujuan perolehan dan
pengumpulan data pribadi. Hal tersebut secara jelas telah dinyatakan saat perolehan dan
pengumpulan data pengguna dalam sistem OSS dan Lembaga OSS akan mengolah dan

17
Indira Sarah Lumbanraja., Hukum Perseroan Terbatas “Perlindungan Data Pribadi Dalam Sistem
Elektronik”, https://www.hukumperseroanterbatas.com/articles/perlindungan-data-pribadi-dalam-sistem-
elektronik/., diakses pada 11 Januari 2023.
menganalisis Data Pengguna untuk memberikan layanan single reference agar dapat
memberikan informasi kepada pengguna dalam mendapatkan perizinan usahanya.
Proses ini tentu dimaksudkan untuk menjaga keakuratan dari informasi data yang
diperoleh Lembaga OSS yang kemudian diatur dalam Pasal 27 dan Pasal 29 ayat (1) UU PDP,
dimana pengendali data diwajibkan melakukan pemrosesan secara terbatas, spesifik, sah
secara hukum dan transparan, serta pengendali data pribadi diwajibkan untuk memastikan
akurasi, kelengkapan dan konsistensi data pribadi sesuai dengan ketentuan peraturan
perundang-undangan.
3. Penyimpanan Data Pribadi
Dalam proses penyimpanan data pribadi ini tentunya berlaku bagi data pribadi yang
telah diverifikasi keakuratannya. Data pribadi pengguna wajib disimpan dalam sistem elektronik
OSS, sesuai dalam Pasal 31 dan Pasal 32 ayat (1) UU PDP mengatur bahwa pengendali data
pribadi wajib melakukan suatu perekaman terhadap seluruh kegiatan pemrosesan data pribadi
serta memberikan akses kepada subjek data pribadi terhadap data pribadinya yang telah
diproses. Kemudian dalam proses penyimpanan data pribadi ini, pihak penyelenggara
diwajibkan memiliki Pusat Data yang berguna untuk keperluan penempatan, penyimpanan dan
pengolahan data. Berkaitan dengan hal tersebut Lembaga OSS menyerahkan kepada PT
Telekomunikasi Indonesia Tbk untuk mengoperasikan dan mengembangkan sistem OSS.
Proses penyimpanan data pribadi disertakan jejak dari pemrosesan data pribadi sesuai
jangka waktu penyimpanan data pribadi yang kemudian dilaksanakan oleh Lembaga OSS
dengan jangka waktu 5 (lima) tahun.
4. Penampilan, Pengumuman, Penyebarluasan dan/ atau pembukaan akses
Dalam proses ini dapat dilakukan apabila pengendali data terlebih dahulu memastikan
bahwa penampilan, pengumuman, penyebarluasan dan/atau pembukaan akses tersebut
dilakukan atas persetujuan pengguna, dimana hal ini dapat dikecualikan jika diatur oleh
ketentuan-ketentuan perundang-undangan lain. Namun selebihnya dalam hal pengiriman data
pribadi yang dikelola penyelenggara sistem elektronik pada instansi pemerintahan seperti
Lembaga OSS juga perlu dilakukan atas koordinasi dengan Lembaga setingkat menteri atau
penjabat/lembaga yang berwenang untuk itu. Hal tersebut tentunya didasarkan pada Pasal 37
UU PDP, dimana pengendali data wajib melakukan pengawasan terhadap setiap pihak yang
terlibat dalam pemrosesan data pribadi di bawah kendali pengendali data pribadi.
 Sesuai dengan kebijakan privasi yang dikeluarkan Lembaga OSS, data pengguna tidak
akan dikirim atau disebarluaskan kepada pihak lain kecuali pihak yang ditunjuk oleh Pemerintah
atas permintaan yang sah dari aparat penegak hukum berdasarkan peraturan perundang-
undangan. Kemudian Lembaga OSS pun akan meminta persetujuan kepada pengguna sebelum
melakukan pengiriman atas informasi data penggunannya. 18
5. Pemusnahan
Berdasarkan Pasal 39 ayat (1) UU PDP, dimana pengendali data diwajibkan mencegah
data pribadi diakses secara tidak sah. Sejalan dengan itu Pasal 47 UU PDP pun mewajibkan
pengendali data bertanggungjawab atas pemrosesan data pribadi dan menunjukkan
pertanggungjawaban dalam kewajiban pelaksanaan perlindungan data pribadi. Secara teknis
pertanggungjawaban tersebut diatur dalam Pasal 46 ayat (1) dan (2) dimana apabila didapati
kegagalan perlindungan data pribadi maka pengendali data diwajibkan memberikan
pemberitahuan secara tertulis yang setidak-tidaknya memuat data pribadi yang terungkap,
kapan dan bagaimana data pribadi terungkap serta upaya penanganannya.
Pemusnahan atas data pribadi dalam sistem elektronik OSS dapat dilakukan jika telah
melewati jangka waktu penyimpanan data pribadi, dimana dalam hal ini Lembaga OSS
menerapkan jangka waktu selama 5 tahun apabila akun pengguna tidak beroperasi, atau
dengan permintaan subjek data pribadi dalam hal ini pengguna OSS dapat menyampaikan
permohonannya melalui email Lembaga OSS.
Adapun dalam melaksanakan tanggungjawab ataupun hak dan kewajiban para pihak
diantara Lembaga OSS dan Pengguna jika terjadi suatu pelanggaran maka dapat diajukan suatu
pengaduan atau penyelesaian sengketa hal tersebut sesuai dengan Pasal 64 ayat (1) UU PDP
disebutkan penyelesaian sengketa perlindungan data pribadi dilakukan melalui arbitrase,
pengadilan, atau Lembaga penyelesaian sengketa alternatif lainnya. Lembaga OSS dalam syarat
dan ketentuannya mengatur bahwa para pihak sepakat untuk menyelesaikan perselisihan dalam
pelaksanaan syara penggunaan sistem OSS secara musyawarah dan mufakat. Kemudian apabila
musyawarah dan mufakat tidak tercapai dalam waktu 30 (tiga puluh) atau suatu jangka waktu
lainnya sebagaimana disepakati, maka para pihak dapat menyelesaikan perselisihan tersebut
melalui pengadilan. Berdasar dengan hal itu di dalam proses musyawarah untuk menyelesaikan
perselisihan antara para pihak, berdasarkan UU PDP dalam BAB VIII mengenai Sanksi
Administratif jika didapati terdapat pelanggaran terhadap hak dan kewajiban antara pengendali

18
Ibid.
data pribadi yakni Lembaga OSS dan subjek data pribadi yakni pengguna OSS itu, maka dapat
dijatuhkan sanksi administratif seperti yang sudah dijelaskan pada sub bab sebelumnya yakni
berupa Peringatan tertulis; Penghentian sementara kegiatan pemrosesan data pribadi;
Penghapusan atau pemusnahan data pribadi; dan/atau Denda administratif.
Pada pengajuan perselisihan melalui pengadilan apabila didapati suatu pelanggaran
terhadap pengendali data, pengguna yakni Lembaga OSS atau pihak ketiga terhadap informasi
data, maka dapat dilakukan gugatan perdata berdasar Pasal 1365 KUHPerdata sebagai
Perbuatan Melawan Hukum (PMH). Secara perdata, adapun gugatan gugatan yang dimaksud
dapat didasarkan pada:19
Pasal 65 UU PDP
(1) “Setiap Orang dilarang secara melawan hukum memperoleh atau mengumpulkan Data
Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang
lain yang dapat mengakibatkan kerugian Subjek Data Pribadi.”
(2) “Setiap Orang dilarang secara melawan hukum mengungkapkan Data Pribadi yang bukan
miliknya.”
(3) “Setiap Orang dilarang secara melawan hukum menggunakan Data Pribadi yang bukan
miliknya.”
Pasal 66 UU PDP
“Setiap Orang dilarang membuat Data Pribadi palsu atau memalsukan Data Pribadi
dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan
kerugian bagi orang lain.”

Selain gugatan perdata yang disebutkan diatas, UU PDP mengakomodir ketentuan

pidana apabila terjadi bentuk-bentuk pelanggaran dalam penggunaan data pribadi seperti
mencuri, menyebarkan, menggunakan data pribadi yang bukan miliknya yang didalamnya juga
termasuk pemalsuan, maka dapat dikenakan sanksi pidana yang diantaranya sebagai berikut: 20
Pasal 67 UU PDP
(1) “Setiap Orang yang dengan sengaja dan melawan hukum memperoleh atau
mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan
diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi
sebagaimana dimaksud dalam Pasal 65 ayat (1) dipidana dengan pidana penjara paling
lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000 (lima miliar
rupiah).”
(2) “Setiap Orang yang dengan sengaja dan melawan hukum mengungkapkan Data Pribadi
yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (2) dipidana dengan
pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak
Rp4.000.000.000 (empat miliar rupiah).”

19
Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi, Loc.cit., Pasal 65 dan Pasal 66
20
Ibid., Pasal 67, Pasal 68 dan Pasal 69
(3) “Setiap Orang yang dengan sengaja dan melawan hukum menggunakan Data Pribadi yang
bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (3) dipidana dengan pidana
penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000
(lima miliar rupiah).”

Pasal 68 UU PDP
“Setiap Orang yang dengan sengaja membuat Data Pribadi palsu atau memalsukan Data Pribadi
dengan maksud untuk menguntungkan diri sendiri atau orang lain sebagaimana dimaksud
dalam Pasal 66 dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/ata pidana
paling banyak Rp6.000.000.000 (enam miliar rupiah).”

Pasal 69 UU PDP
“Selain dijatuhi pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 juga dapat dijatuhi
pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh
atau hasil dari tindak pidana dan pembayaran ganti kerugian.”

Mengacu pada penjelasan diatas, UU PDP telah menjadi awal lingkup hukum
perlindungan data pribadi di Indonesia untuk mendapatkan kepastian hukumnya secara khusus.
Dalam uraian yang penulis sampaikan UU PDP mampu menjawab persoalan yang dikhawatirkan
dalam sistem OSS seperti perolehan, pengumpulan, pemrosesan, penyimpanan,
penyebarluasan, dan pemusnahan data pribadi pengguna. Namun meski begitu, nyatanya UU
PDP masih perlu melakukan masa transisi atau penyesuaiannya dengan beberapa ketentuan
perlindungan data pribadi yang sebelumnya masih berlaku. 21 Kemudian dalam hal ini penulis
menyampaikan juga bahwa penggunaan satu data yang ditujukkan untuk semua akses layanan
seperti OSS akan sangat rentan terjadinya pelanggaran terhadap perbuatan dilarang dalam
penggunaan data pribadi penggunanya. Jika OSS mengalami kebocoran data, bukan tidak
mungkin akses terhadap informasi data-data layanan yang ada di dalamnya akan terungkap
dan disalahgunakan oleh pihak-pihak yang tidak bertanggungjawab. Tentu dalam hal ini data
yang dikumpulkan akan sinkron terhadap semua akses layanan yang sifatnya tersentral.
Simplikasinya yakni satu data bocor, semua data dan akses pada berbagai layanan dalam
sistem OSS akan bocor juga. Selain itu, proses eksekusi dalam pembuktian bentuk kesalahan
akan cukup sulit karena OSS merupakan Lembaga yang dibentuk untuk menyediakan berbagai
layanan perizinan dengan mengatasnamakan berbagai Lembaga/birokrasi terkait. Faktanya
Lembaga OSS masih menggunakan pihak ketiga yakni PT Telekomunikasi Tbk sebagai
pengendali dan pengembang sistem OSS. Muncul suatu pertanyaan mendasar, apakah
21
Novina Putri Bestari, CNBC Indonesia., “RUU PDP Bakal Disahkan tapi berlaku 2 tahun lagi”
https://www.cnbcindonesia.com/tech/ruu-pdp-bakal-disahkan-tapi-berlaku-penuh-2-tahun-lagi, 2022, diakses pada
12 Januari 2023.
pengendali data dalam sistem OSS merupakan Lembaga OSS itu sendiri atau kah PT
Telekomunikasi Tbk sebagai pihak yang ditunjuk oleh Lembaga OSS sebagai pengendali dan
pengembang sistem OSS, lalu siapa yang memiliki tanggungjawab terhadap penggunaan data
pribadi pengguna dalam sistem OSS?
Terdapat beberapa kekurangan tambahan terutama yang didapati penulis dalam
penggunaan data pribadi pada sistem OSS, seperti penggunaan sistem Automatical Approval
yang tidak dapat menjamin keandalan sistem dalam mengolah akurasi data dan pengguna
sistem seperti itu hanya dapat digunakan untuk proses persetujuan yang bersifat rutin dan
sesuai dengan standar yang telah ditetapkan. Proses persetujuan yang kompleks dan
membutuhkan keputusan yang berdasarkan pertimbangan manusia tidak dapat dilakukan
dengan sistem ini. Kedua, diperlukan pengawasan yang ketat terhadap sistem ini untuk
mencegah kekeliruan dan penyalahgunaannya, sebagaimana dijelaskan dalam Pasal 29 ayat (1)
UU PDP dimana pengendali data wajib memastikan akurasi, kelengkapan, dan konsistensi data
pribadi subjek data pribadi. Kemudian dari segi pertanggungjawaban apabila terjadi kegagalan
perlindungan data pribadi, OSS belum memberikan kepastian hukum bentuk
pertanggungjawaban yang harus dipenuhi apabila didapati kegagalan perlindungan data pribadi
sebagaimana Pasal 46 ayat (1) dan (2) serta Pasal 47 UU PDP menggariskan bahwa
pengendali data bertanggungjawaban atas pemrosesan data pribadi pemberitahuan secara
tertulis yang setidak-tidaknya memuat data pribadi yang terungkap, kapan dan bagaimana data
pribadi terungkap serta upaya penanganannya.
Kesimpulan
1. Disamping membawa efisiensi dan kepraktisan dari sistem OSS ini berjalan bukan tanpa
hambatan karena dari segi resiko keamanan data pribadi masih didapati potensi
pelanggaran terhadap penggunaan data pribadi penggunannya yang dimungkinkan dapat
terjadi. Kemudian karakteristik dari sistem OSS dengan penggunaan satu pintu untuk
memvalidasi semua akses yang ada dalam berbagai layanan pengurusan perizinannya,
tentu dari segi resiko keamanan penggunaan satu data pada sistem OSS apabila
dilaksanakan maka simplikasinya satu data bocor, semua data dan akses pada berbagai
layanan sistem OSS akan bocor. Tidak menutup kemungkinan data dan akses tersebut
akan disalahgunakan oleh pihak-pihak yang tidak bertanggungjawab. Oleh karena itu,
dalam pelaksanaannya Lembaga OSS sebagai penyelenggara sistem elektronik haruslah
Andal, Aman dan Bertanggungjawab.
2. Berdasarkan Undang-Undang Nomor 27 Tahun 2022 (UU PDP) pengendali data dalam hal
ini Lembaga OSS dan subjek data pribadi yakni pengguna OSS. UU PDP menjamin
perlindungan hukum dalam setiap proses penggunaan data pribadi pada sistem elektronik
semacam sistem OSS di setiap proses penggunaan data pribadi. Dalam UU PDP diatur
bagaimana kemudian penyelesaian sengketa yang terlebih dahulu dilakukan secara
musyawarah dan mufakat. Namun, apabila dalam musyawarah tersebut tidak dapat
ditemukan solusi maka berlaku suatu sanksi yakni berupa sanksi administratif dan dapat
dilayangkan gugatan secara perdata dengan berdasar pada 1365 KUHPerdata dengan Pasal
65 UU PDP sebagai dasar gugatan Perbuatan Melawan Hukum (PMH). Selain itu, UU PDP
memuat sebuah sanksi pidana yang termaktub dalam Pasal 67, Pasal 68 dan Pasal 69 yang
dapat dijatuhkan apabila terjadi bentuk-bentuk pelanggaran dalam penggunaan data pribadi
seperti mencuri, menyebarkan, menggunakan data pribadi yang bukan miliknya yang
didalamnya juga termasuk pemalsuan terhadap data pribadi. Namun tantangan baru terdapat
pada tahap proses eksekusi pembuktian bentuk kesalahan yang akan cukup sulit karena OSS
merupakan Lembaga yang dibentuk untuk menyediakan berbagai layanan perizinan dengan
mengatasnamakan berbagai Lembaga/birokrasi terkait. Faktanya Lembaga OSS masih
menggunakan pihak ketiga yakni PT Telekomunikasi Tbk sebagai pengendali dan
pengembang sistem OSS. Selain itu Terdapat beberapa kekurangan tambahan terutama
penggunaan data pribadi pada sistem OSS, seperti penggunaan sistem Automatical
Approval, tentu penggunaan sistem tersebut tidak dapat menjamin keandalan sistem dalam
mengolah akurasi data pengguna, sebagaimana dijelaskan dalam Pasal 29 ayat (1) UU PDP
dimana pengendali data wajib memastikan akurasi, kelengkapan, dan konsistensi data
pribadi subjek data pribadi. Kemudian dari segi pertanggungjawaban apabila terjadi
kegagalan perlindungan data pribadi, OSS belum memberikan kepastian hukum bentuk
pertanggungjawaban yang harus dipenuhi apabila didapati kegagalan perlindungan data
pribadi sebagaimana Pasal 46 ayat (1) dan (2) serta Pasal 47 UU PDP yang menggariskan
bahwa pengendali data bertanggungjawaban atas pemrosesan data pribadi pemberitahuan
secara tertulis yang setidak-tidaknya memuat data pribadi yang terungkap, kapan dan
bagaimana data pribadi terungkap serta upaya penanganannya.
 DAFTAR PUSTAKA

Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan Atas Undang-Undang Nomor

11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik.
Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi
Riris Katharina, “Pelayanan Publik & Pemerintahan Digital Indonesia”, Yayasan
Pustaka Obor Indonesia, Jakarta, 2020.
Maskun, S.H., LL.M., “Kejahatan Siber (Cyber Crime) Suatu Pengantar”, Prenada
Media, Jakarta, 2014.
Ramli, A. M., Dinamika Konvergensi Hukum Telematika dalam Sistem Hukum
Nasional. Jurnal Legislasi Indonesia, 5(4), 2018.
Suisno, A. D. N., Urgensi Hukum Telematika Dalam Perlindungan Data Pribadi,
Jurnal Independent, 8(1), 2020.
Shinta Dewi, CyberLaw: Aspek Data Privasi Menurut Hukum Internasional,
Regional dan Nasional, Refika Aditama, Bandung, 2015.
Agung, H. P. A., Perlindungan Data Pribadi Dalam Proses Pengurusan Perizinan
Perusahaan Berbasis Elektronik Online Single Submission (OSS). Jurnal Ilmiah Galuh
Justisi, 9(1), 2021.
Ibeth Nurbaiti, 2022, “Daftar Kebocoran Data Indonesia Sektor Pemerintah
Juara?”, https://bisnisindonesia.id/article/daftar-kasus-kebocoran-data-indonesia-sektor-
pemerintah-juara, diakses pada 20 Oktober 2022.
Geraghty, J., “How Automated Approval Sistems Work”,
https://www.investopedia.com/terms/a/automated-approval-sistems.asp, diakses pada 15
Februari 2023.
Indira Sarah Lumbanraja., Hukum Perseroan Terbatas “Perlindungan Data Pribadi
Dalam Sistem Elektronik”, https://www.hukumperseroanterbatas.com/articles/perlindungan-
data-pribadi-dalam-sistem-elektronik/., diakses pada 11 Januari 2023
Novina Putri Bestari, CNBC Indonesia., “RUU PDP Bakal Disahkan tapi berlaku 2
tahun lagi” https://www.cnbcindonesia.com/tech/ruu-pdp-bakal-disahkan-tapi-berlaku-penuh-
2-tahun-lagi, 2022, diakses pada 12 Januari 2023.
 Indira Sarah Lumbanraja., Hukum Perseroan Terbatas “Perlindungan Data Pribadi
Dalam Sistem Elektronik”, https://www.hukumperseroanterbatas.com/articles/perlindungan-
data-pribadi-dalam-sistem-elektronik/., diakses pada 11 Januari 2023.