Kemajuan teknologi informasi dan komunikasi yang pesat pada dasarnya telah menghasilkan

berbagai macam peluang dan kesulitan. Secara global, perilaku masyarakat dan peradaban manusia
telah berubah sebagai akibat langsung dari kemajuan teknologi informasi dan komunikasi.
Keterlibatan aktif yang terjadi antara individu dan penyedia layanan informasi merupakan salah satu
ranah yang akan terkena dampak dari perkembangan teknologi informasi. Ranah bisnis (termasuk e-
commerce), pariwisata, transportasi, pemerintahan, dan aktivitas komputasi awan adalah beberapa
contoh bidang kehidupan yang telah diuntungkan oleh penerapan sistem informasi. Lebih parah lagi,
penyalahgunaan data pribadi juga dilakukan untuk tujuan melakukan tindakan kriminal, seperti
pembuatan akun palsu, penipuan online, komersialisasi data dari operator telekomunikasi yang
berakibat pada spamming bagi pengguna jasa telekomunikasi, penjualan data nasabah perbankan,
atau penjualan data kependudukan. Penyalahgunaan informasi pribadi individu yang meluas
dipandang oleh sebagian besar orang sebagai sumber kegelisahan yang besar. Sebagai contoh, E-KTP
dan Kartu Identitas Anak (KIA) dianggap memiliki risiko kebocoran data yang tinggi jika diunggah ke
platform media sosial (medsos). Hal ini dikarenakan data tersebut akan terindeks oleh pencarian data
mesin pencari Google, sehingga memungkinkan adanya risiko untuk dieksploitasi bahkan
diperjualbelikan. Penyalahgunaan data demografi pribadi bukanlah satu-satunya hal yang sering
dialami dan menjadi hal yang merugikan konsumen, maraknya pemberitaan mengenai penipuan
yang memanfaatkan situs e-commerce (situs perdagangan) merupakan hal lain yang sering ditemui.
Tidak dapat dipungkiri bahwa jumlah pengguna internet yang sangat besar di Indonesia secara tidak
sengaja telah mendorong perkembangan banyak sektor perusahaan baru (start-up), terutama bisnis
yang beroperasi di industri e-commerce. Sejumlah besar data baru telah dihasilkan sebagai hasil
langsung dari menjamurnya bisnis-bisnis baru, khususnya yang berpusat pada perdagangan online.
Hal ini disebabkan oleh fakta bahwa pelanggan yang berbelanja online diharuskan untuk
memasukkan informasi pribadi mereka, yang mungkin termasuk nama, alamat, nomor telepon, dan
alamat email. Untuk menyelesaikan transaksi, pembeli akan diminta untuk memberikan informasi
kartu kreditnya. Ketika seorang pelanggan memulai pengalaman pembelian mereka di situs web
tertentu, pemilik toko atau pasar sudah memiliki kepemilikan informasi pribadi pelanggan. Jika
pelanggan hanya berbelanja di satu situs web, situs web tersebut akan menerima informasi tentang
kebiasaan pembelian pelanggan, termasuk produk yang dibeli dan frekuensi pembelian tersebut.
Informasi ini juga akan dikirim ke toko online. Hal ini juga berlaku untuk individu yang membuat
pengaturan perjalanan mereka melalui penggunaan agen perjalanan online. Informasi yang
dimasukkan secara signifikan lebih spesifik dan tidak hanya mencakup nama, tempat tinggal, dan
nomor telepon, tetapi juga nomor kartu identitas dan paspor. Contoh lain, yang terjadi bersamaan
dengan pertumbuhan moda transportasi online seperti Gojek dan Grab, dipandang berpotensi
menimbulkan masalah terkait data pribadi. Hal ini disebabkan oleh fakta bahwa hal tersebut rentan
terhadap kebocoran data pengguna dan jalur harian pengguna dapat diikuti. API endpoint untuk
Gojek memungkinkan pengambilan informasi pribadi seperti nama, alamat, nomor telepon, lokasi,
dan tujuan pengguna. Beberapa kejadian yang dijelaskan di atas menunjukkan bahwa eksploitasi
data pribadi konsumen menjadi masalah yang semakin memprihatinkan di Indonesia. Marwati Riza,
yang mencatat bahwa jumlah kejahatan siber bahkan mencapai titik tertinggi antara tahun 2013 dan
2019. Oleh karena itu, Indonesia saat ini dianggap berada dalam kondisi darurat terkait kemungkinan
dan tingkat keparahan kejahatan siber. Selain itu, informasi yang diperoleh dari Direktorat Tindak
Pidana Siber Bareskrim Polri mengungkapkan bahwa selama periode yang dimulai pada Januari 2020
dan berakhir pada 17 April 2020, terdapat total 4.008 laporan kejahatan siber yang mengakibatkan
total kerugian sebesar Rp10,74 miliar. Dari jumlah tersebut, sebanyak 1.322 laporan masuk melalui
Polda, dan 2.686 laporan masuk melalui portal Patroli Siber. Sebanyak 2.157 laporan merupakan
penipuan online, sedangkan sisanya merupakan penyalahgunaan data pribadi milik nasabah, seperti
manipulasi data atau pencurian data atau identitas. Pengguna jaringan tidak akan terlibat dalam
transaksi digital jika mereka memiliki kesan bahwa keamanan privasi dan data pribadi mereka dalam
bahaya. Inilah salah satu alasan mengapa privasi dan data pribadi telah mengambil peran yang
sangat penting dalam masyarakat modern. Dalam perjalanan evolusinya, privasi telah menjadi
gagasan universal yang diakui di banyak negara, baik dalam bentuk undang-undang maupun dalam
bentuk prinsip-prinsip moral yang tidak tertulis. Selain itu, sejarah perkembangannya telah
menunjukkan bahwa privasi telah dilindungi dengan berbagai cara. Samuel Warren dan Louis
Brandeis menulis sebuah artikel pada tahun 1890 berjudul "The Right to Privacy", yang diterbitkan
dalam Harvard Law Review. Ini adalah pertama kalinya gagasan tentang seseorang yang memiliki hak
atas privasinya sendiri dipaparkan. Mengingat bahwa hak individu adalah komponen dari hak asasi
manusia, artikel tersebut merekomendasikan pengakuan hak individu yang dikenal sebagai "hak
untuk dibiarkan sendiri" atau hak untuk tidak diganggu. Hak ini merupakan salah satu hak yang harus
dilindungi oleh hukum yang sudah ada mengingat hak individu merupakan komponen dari hak asasi
manusia. Secara umum diterima bahwa perlindungan data pribadi termasuk dalam perlindungan
privasi, yang merupakan ide khusus dari privasi itu sendiri. Ini karena privasi adalah hak asasi
manusia yang mendasar, dan perlindungan data adalah salah satu cara untuk menjaga privasi itu
sendiri. Untuk menyatakannya dalam istilah yang paling sederhana, privasi adalah komponen hak
asasi manusia yang mengakui perlindungan data pribadi sebagai hak yang penting. Tidaklah cukup
hanya dengan mengatakan bahwa hak individu atas privasi, sebagaimana diwujudkan melalui
perlindungan data, adalah signifikan; hak ini juga merupakan komponen penting dari kemandirian
dan martabat individu. Hak atas perlindungan data pribadi seseorang telah diakui secara resmi
sebagai kategori hak asasi manusia oleh Piagam Hak Asasi Manusia Eropa dan Deklarasi Hak Asasi
Manusia Asean. Sejak pengakuan hak asasi manusia dalam Deklarasi Universal Hak Asasi Manusia,
telah terjadi banyak perkembangan yang signifikan sehubungan dengan hak perlindungan data
pribadi. Hak ini merupakan hak yang muncul sebagai hasil dari konstruksi dan kombinasi antara hak
atas informasi dan hak atas privasi. Pasal 12 Deklarasi Umum Hak Asasi Manusia menyatakan bahwa
"tidak seorang pun dapat diganggu secara sewenang-wenang atas privasi, keluarga, rumah, atau
korespondensinya" serta "tidak seorang pun dapat diserang kehormatan dan reputasinya." Setiap
orang memiliki hak untuk dilindungi oleh hukum dari campur tangan atau serangan semacam ini.
International Bill of Rights, yang bertanggung jawab untuk mengatur hak-hak dan kebebasan
fundamental, memasukkan Deklarasi Umum Hak Asasi Manusia sebagai komponen penting. Selain
itu, konstitusi negara kita mengakui privasi pribadi sebagai hak asasi manusia yang mendasar, dan
perlindungan data pribadi sebagai komponen integral dari perlindungan tersebut. Dalam konteks
hukum Indonesia, Indonesia secara resmi menjamin hak asasi manusia, termasuk perlindungan data
pribadi sebagai salah satu hak konstitusional warga negara dalam Undang-Undang Dasar Negara
Republik Indonesia Tahun 1945. Hak ini dicantumkan dalam UUD NRI 1945 ayat (1) Pasal 28G UUD
NRI 1945 yang menyatakan bahwa "setiap orang berhak atas perlindungan diri pribadi, keluarga,
kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman
dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang
merupakan hak asasi". Selain itu, Undang-Undang Dasar Negara Republik Indonesia Tahun 1945
mengatur dalam Pasal 28H ayat (4) bahwa "setiap orang berhak mempunyai hak milik pribadi dan
hak milik tersebut tidak boleh diambil alih secara sewenang-wenang oleh siapapun." Meskipun telah
diakui dalam Deklarasi Umum Hak Asasi Manusia dan konstitusi negara kita, faktanya peraturan-
peraturan tersebut belum diterapkan dengan baik.

Di era ekonomi digital seperti sekarang ini, beberapa konsekuensi dari penyalahgunaan data pribadi
pelanggan adalah sebagai berikut: Pertama, karena banyaknya data pribadi yang dikumpulkan,
pelanggan adalah pihak pertama yang rentan terhadap kejahatan siber dan menderita dampak
buruknya. Hal ini bukan tanpa alasan mengingat fakta bahwa pemerintah dan pihak swasta dapat
melakukan operasi pengumpulan data pribadi secara sepihak yang berkaitan dengan konsumen. Saat
ini diyakini bahwa standarisasi aturan yang mengatur perlindungan data pribadi belum berlaku untuk
pengumpulan data pribadi yang dimulai dengan nama, NIK, alamat tempat tinggal, alamat email, dan
nomor telepon seseorang, di antara informasi identitas lainnya. Jika terjadi masalah atau sengketa,
nasabah akan menjadi pihak yang lemah dan dirugikan. Lebih lanjut, hasil penelitian menunjukkan
bahwa minimnya pengetahuan konsumen akan perlindungan data pribadi secara tidak langsung
mempengaruhi posisi konsumen itu sendiri. Ketika melakukan transaksi, sebagian besar konsumen
tidak secara aktif bertanya kepada pelaku usaha atau penyedia jasa. Posisi konsumen menjadi
semakin genting karena pelaku usaha tidak mencantumkan informasi yang relevan dalam syarat-
syarat perjanjian (klausula baku) yang dikirimkan kepada konsumen. Konsumen berisiko tertipu oleh
persyaratan layanan situs, yang dapat menyebabkan mereka tanpa disadari memberikan hak kepada
pihak ketiga untuk menggunakan dan menyebarkan data pribadi mereka tanpa sepengetahuan
mereka sebagai pemilik data. Hal ini bukan tanpa alasan, karena di Indonesia belum ada peraturan
perundang-undangan yang mengatur tentang keterbukaan data pribadi dan pertanggungjawaban
perusahaan dalam pengelolaan data pribadi. Bahkan undang-undang yang ada saat ini tidak
menyebutkan ketentuan penggunaan dan kebijakan privasi perusahaan, yang merupakan bagian dari
informasi yang harus diberikan kepada pelanggan. Banyak sekali bisnis yang tidak menyebutkan
kebutuhan mereka untuk memberikan peringatan akan kebocoran atau kerusakan data kepada
pelanggan dalam kebijakan mereka. Jika hak privasi pelanggan telah dilanggar secara tidak patut,
perusahaan sering kali tidak mengungkapkan proses yang dapat digunakan untuk mengambil data
pelanggan. Hal ini harus dilihat sebagai bentuk komitmen organisasi untuk melindungi data pribadi
pelanggannya. Selain itu, perusahaan hampir tidak pernah menyebutkan berapa lama informasi
pelanggan akan disimpan setelah digunakan. Faktanya, ada perusahaan yang memasukkan masalah
penyimpanan, tetapi sangat disayangkan bahwa mereka tidak secara eksplisit mengkomunikasikan
kepada pelanggan berapa lama data akan disimpan atau kapan data tersebut akan dihapus. Sebagai
konsekuensi langsung dari hal ini, konsumen mengalami efek negatif. Lebih parahnya lagi, UU
Perlindungan Konsumen tidak mencantumkan ketentuan mengenai kerugian yang diderita oleh
konsumen apabila terjadi pelanggaran terhadap data pribadi mereka. Penulis mengatakan bahwa
selain konsumen diharapkan dapat lebih bijak dan diskriminatif dalam memberikan data pribadinya,
juga perlu adanya ketegasan dalam undang-undang mengenai batasan data agar konsumen tidak
terjebak dalam hal penggunaan. Hal ini agar konsumen tidak dipaksa untuk menyetujui persyaratan
yang tidak mereka setujui. Batasan-batasan ini adalah sebagai berikut: persetujuan awal yang
diwajibkan secara hukum dari pelanggan. Pelaksanaan izin konsumen untuk pemrosesan data pribadi
oleh pengontrol akan didasarkan pada perjanjian antara konsumen, yang merupakan pemilik data,
dan pengontrol. Perjanjian tersebut harus dapat dimengerti, ditulis dalam bahasa Indonesia, dan
tidak mengandung singkatan yang dapat menimbulkan kebingungan bagi konsumen. Kedua, maksud
dan tujuan pengumpulan data pengguna serta jenis informasi yang akan diperoleh harus dijelaskan
secara gamblang sejak awal proses. Sesuai dengan ketentuan Pasal 28 huruf b Permenkominfo No.
20 Tahun 2016, yang menyatakan bahwa "setiap penyelenggara sistem elektronik wajib menjaga
kebenaran, keabsahan, kerahasiaan, keakuratan, serta keakuratan dan relevansi dan kesesuaian
penggunaan data dengan tujuan untuk memperoleh, mengumpulkan, mengolah, menganalisis,
menyimpan, menampilkan, mengumumkan, mengirimkan, menyebarluaskan, dan memusnahkan
data pribadi," perilaku ini sudah tepat. Masalah kedua adalah masalah yang menyulitkan investasi.
Tidak dapat dipungkiri bahwa penggunaan data pribadi konsumen yang tidak tepat di era ekonomi
digital seperti sekarang ini akan memberikan pengaruh negatif bagi bangsa, yang dapat merusak
kepercayaan investor terhadap Indonesia sebagai tempat untuk menanamkan modalnya. Selain itu,
hingga saat ini, Indonesia belum memiliki satu pun undang-undang yang secara khusus mengatur
regulasi perlindungan data pribadi. Dengan semakin banyaknya kasus penyalahgunaan data pribadi
milik konsumen, investor kemungkinan besar akan menolak untuk bekerja sama dengan Indonesia
karena tidak adanya jaminan kepastian hukum. Hal ini bukannya tanpa alasan jika mengingat
pentingnya menjaga kepercayaan dalam transaksi yang terjadi antara konsumen dan anggota
komunitas bisnis. Perekonomian akan terganggu jika salah satu pihak saja memiliki kekhawatiran
akan masa depannya. Undang-undang tentang perlindungan data pribadi juga dipandang sebagai
cara untuk meningkatkan posisi tawar Indonesia ketika bekerja sama dengan negara lain. Hal ini
dikarenakan data adalah aset berharga dalam ekonomi digital, dan dengan demikian, data tidak
dapat dengan mudah dipindahkan dari satu negara ke negara lain. Negara-negara yang saat ini
memiliki peraturan perlindungan data biasanya tidak ingin mentransfer data ke negara lain yang tidak
memiliki peraturan perlindungan data yang setidaknya serupa dengan yang sudah ada di negara
mereka. Ketiga, hal ini dapat merusak kredibilitas pemasok platform. Maraknya eksploitasi data
pribadi konsumen di era ekonomi digital yang dilakukan tanpa izin pemilik data tidak hanya
merugikan konsumen, tetapi juga merusak kredibilitas platform yang pada akhirnya merugikan
pelaku usaha secara tidak langsung. Data, dalam perannya sebagai identitas, telah berevolusi
menjadi komoditas berharga yang dapat diperjualbelikan untuk berbagai hal lainnya. Salah satu cara
di mana data dapat dimanfaatkan adalah dalam proses pendaftaran dan penerimaan layanan dari
berbagai platform digital. Sistem elektronik itu sendiri terdiri dari berbagai perangkat elektronik yang
berbeda, salah satunya adalah platform. Menurut Surat Edaran No. 5 Tahun 2016 yang dibuat oleh
Menteri Komunikasi dan Informatika tentang Batasan dan Tanggung Jawab Penyedia Platform dan
Pedagang dalam Perdagangan Elektronik Berbentuk Konten Buatan Pengguna, platform didefinisikan
sebagai wadah yang dapat berupa aplikasi situs internet dan/atau layanan konten berbasis internet
lainnya yang digunakan untuk melakukan transaksi dan/atau menyediakan fasilitas perdagangan
melalui sistem elektronik. Ketika oknum yang tidak bertanggung jawab menyalahgunakan data
pribadi konsumen, maka hal tersebut dapat menimbulkan kerugian bagi pelaku usaha (penyedia
platform) dalam bentuk kerusakan reputasi maupun kerugian finansial dalam situasi dimana
penyedia platform dapat dianggap terlibat dalam kegiatan ilegal. Jika penyedia platform tidak
ditempatkan pada posisi yang tepat, persepsi ini kemudian akan menjadi bumerang bagi penyedia
platform itu sendiri, yang akan mengancam kelangsungan perusahaan jasa penyedia platform.

Fakta bahwa Indonesia berpartisipasi dalam Konferensi Tingkat Tinggi Dunia tentang Masyarakat
Informasi (WSIS), yang diselenggarakan oleh UNESCO, menunjukkan bahwa pemerintah Indonesia
mengakui keberadaan internet.60 Dengan menjadi anggota WSIS, secara tidak langsung, Indonesia
berusaha mengejar ketertinggalannya dari negara-negara yang lebih maju dalam bidang
pengembangan internet, seperti negara-negara di Eropa dan Amerika Serikat. Menurut data dari
APJII untuk tahun 2019, sebanyak 171,17 juta orang di Indonesia, yang setara dengan sekitar 64,8
persen dari total populasi negara ini yang berjumlah 264 juta, telah terhubung ke internet.
Meningkatnya jumlah orang yang menggunakan internet dan kemudahan informasi yang bisa
didapatkan memunculkan faktor baru yang perlu dijaga, salah satunya adalah data pengguna. Sudah
menjadi hal yang lumrah jika platform digital memanfaatkan data pengguna. Penggunaan platform
digital, meskipun nyaman, dapat dengan mudah mengarah pada perilaku yang tidak pantas. Sebagai
akibat dari meningkatnya penyalahgunaan data pribadi konsumen di era ekonomi digital, Indonesia
berada dalam posisi yang secara tidak langsung menempatkannya pada posisi yang mendesak untuk
segera mengadopsi hukum yang mengikat secara hukum untuk mengontrol dan menjamin
perlindungan data pribadi yang dikelola oleh pemerintah dan swasta. Di era ekonomi digital seperti
sekarang ini, keamanan dalam bentuk landasan hukum menjadi sangat penting untuk pencegahan
kejahatan dan penyelesaian masalah yang muncul. Hal ini bukan tanpa alasan jika mengingat bahwa
World Economic Forum menegaskan bahwa pertumbuhan digitalisasi dan konektivitas internet yang
cepat telah menjadi tulang punggung revolusi industri keempat, dan berpotensi mendorong model
bisnis yang inovatif dan menciptakan transformasi dalam struktur politik dan sosial. Hal ini bukan
tanpa alasan. Dalam Pidato Kenegaraan Tahun 2019, Presiden Jokowi menekankan pentingnya
urgensi meningkatkan keamanan data pribadi dengan menyatakan bahwa aturan untuk menjaga
kedaulatan data harus segera diimplementasikan. Jokowi juga menekankan pentingnya urgensi
penguatan keamanan data pribadi. Mewujudkan kedaulatan data diperlukan untuk melindungi hak-
hak warga negara atas informasi pribadi mereka sendiri mengingat fakta bahwa data memiliki nilai
komoditas yang berharga karena dapat diperjualbelikan atau digunakan untuk mendapatkan
keuntungan, sehingga dapat menjadi sumber daya baru bagi negara. Bahkan The Economist
menerbitkan sebuah penelitian pada tahun 2017 yang menyatakan bahwa pada saat ini, data, bukan
minyak, adalah sumber daya yang paling berharga. Hal ini dikarenakan data dianggap sebagai entitas
berharga yang dapat mendorong operasi yang menguntungkan. Terlepas dari kenyataan bahwa,
hingga saat ini, Indonesia belum memiliki hukum yang secara khusus mengatur perlindungan
informasi pribadi dan hak-hak privasi. Namun demikian, jaminan perlindungan data pribadi
konsumen di Indonesia telah ditegaskan dalam konstitusi negara kita, dan juga setidaknya terhubung
dengan sejumlah undang-undang dan peraturan yang juga mengontrol data pribadi. Ini adalah kasus
di negara Indonesia. Terdapat kurang lebih tiga puluh peraturan perundang-undangan di Indonesia
yang juga mengatur tentang data pribadi, antara lain sebagai berikut: Undang-Undang Nomor 44
Tahun 2009 tentang Rumah Sakit, Undang-Undang Nomor 14 Tahun 2008 tentang Keterbukaan
Informasi Publik68 , dan Undang-Undang Nomor 36 Tahun 2009 tentang Kesehatan yang mengatur
kerahasiaan kondisi pribadi pasien69 , Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan
sebagaimana telah diubah dengan Undang-Undang Nomor 10 Tahun 1998 tentang Perubahan atas
Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan yang mengatur tentang data pribadi
nasabah penyimpan dana dan simpanannya, Undang-Undang Nomor 10 Tahun 1998 tentang
Perubahan atas Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan yang mengatur tentang
data pribadi nasabah penyimpan dana dan simpanannya, Undang-Undang Nomor 36 Tahun 1999
tentang Perlindungan Konsumen yang mengatur tentang data pribadi nasabah penyimpan dana dan
simpanannya, Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik
yang mengatur tentang data pribadi nasabah penyimpan dana dan simpanannya. No. 36 Tahun 1996
tentang Telekomunikasi, yang mengatur tentang privasi dan data pribadi; UU No. 39 Tahun 1999
tentang Hak Asasi Manusia, yang mengatur tentang perlindungan pribadi; UU No. 24 Tahun 2013
tentang Administrasi Kependudukan, yang mengatur tentang perlindungan data pribadi; UU No. 19
Tahun 2016 tentang Informasi dan Transaksi Elektronik, yang mengatur tentang pelarangan
pemindahan data pribadi secara sewenang-wenang. Selain itu, terdapat beberapa peraturan turunan
untuk perlindungan data pribadi, seperti PP No. 82/2016 tentang Penyelenggaraan Sistem dan
Transaksi Elektronik dan SE OJK No. 14/SEOJK.07/2014 tentang Kerahasiaan dan Keamanan Data
dan/atau Informasi Pribadi Konsumen. Kedua peraturan ini dapat dilihat di Berita Negara Republik
Indonesia. Tanpa disengaja, banyaknya standar yang mengatur data pribadi akhirnya menghasilkan
tumpang tindih prosedur dan otoritas yang bertanggung jawab untuk melindungi data pribadi itu
sendiri. Hal ini disebabkan oleh perbedaan sudut pandang mengenai tujuan pengolahan data pribadi,
pemberitahuan atau persetujuan pemilik data, jangka waktu penyimpanan data pribadi,
penghapusan data pribadi, tujuan pengungkapan data pribadi kepada pihak ketiga, dan sanksi bagi
pelanggar perlindungan data pribadi. Sebagai contoh, terkait dengan pengungkapan data pribadi,
KUHAP dan UU No. 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik menetapkan bahwa
kewenangan polisi untuk mengungkapkan data pribadi seseorang harus didasarkan pada Ketua
Pengadilan Negeri. Hal ini berlaku bahkan dalam situasi ketika pengungkapan data pribadi
diperlukan. Sementara itu, undang-undang lain, seperti UU No. 8/2010 tentang Tindak Pidana
Pencucian Uang dan UU No. 19/2019 tentang Komisi Pemberantasan Tindak Pidana Korupsi, tidak
mensyaratkan izin dari Ketua Pengadilan Negeri untuk mengakses data pribadi, namun akses harus
diberikan semata-mata berdasarkan bukti dan dengan izin dari pimpinan lembaga internal. Ilustrasi
lain dari hal ini dapat ditemukan di area ruang lingkup data pribadi. Di bawah UU No. 7/2017 tentang
Pemilihan Umum, partai politik diberikan izin untuk mengakses salinan daftar pemilih tetap (DPT),
yang di dalamnya termasuk data pribadi. Sementara itu, UU Adminduk mengamanatkan bahwa
semua informasi yang dapat diidentifikasi secara pribadi harus disimpan, dipelihara, dan dijaga.
Terlepas dari perbedaan-perbedaan ini, fungsi utama negara di era ekonomi digital adalah
memainkan peran melindungi data pribadi konsumen. Hal ini dapat dilakukan dengan beberapa cara,
yang pertama adalah dengan segera mengadopsi aturan yang jelas dan eksplisit yang mengatur
perlindungan data pribadi. Saat ini, Rancangan Undang-Undang Perlindungan Data Pribadi sedang
dibahas oleh Pemerintah Indonesia bersama dengan Komisi I DPR RI. Masuknya RUU Perlindungan
Data Pribadi ke dalam Prolegnas Prioritas 2020 menjadi indikasi bahwa negara telah berkomitmen
untuk memberikan penguatan perlindungan data pribadi di Indonesia. Hal ini dibuktikan dengan
dimasukkannya RUU tersebut oleh negara. Hal ini sejalan dengan asas kepastian dan perlindungan
hukum yang mendukung posisi tersebut. Konsep norma adalah bagaimana teori kepastian hukum
Hans Kelsen mendefinisikan konsep hukum. Norma adalah pernyataan yang memberikan penekanan
pada komponen "seharusnya" atau das sollen dengan menyatakan beberapa aturan mengenai apa
yang harus dilakukan dan mengapa hal itu harus dilakukan. Setiap individu manusia adalah bebas,
namun ketika manusia hidup bersama, mereka berbagi beban untuk mempertahankan beberapa
kemiripan tatanan sosial. Tidak mungkin ada kehidupan bersama yang teratur tanpa norma-norma
yang jelas dan dapat ditindaklanjuti, yang semuanya harus dipatuhi secara bersamaan. Aturan dan
peraturan ini disebut sebagai hukum. Jika suatu pola perilaku tertentu telah ditetapkan oleh hukum,
maka setiap orang harus berperilaku sesuai dengan pola yang telah ditetapkan tersebut. Sedangkan
perlindungan hukum, menurut Satjipto Raharjo, mengacu pada pemberian perlindungan terhadap
Hak Asasi Manusia (HAM) dalam hal hak-hak tersebut dilanggar oleh pihak ketiga, dan perlindungan
tersebut diperluas kepada masyarakat agar anggota masyarakat tersebut dapat menikmati semua
hak-hak yang dijamin oleh hukum. hukum, menurut Roscoe Pound, adalah alat untuk merekayasa
masyarakat (legal as tool of social engineering), dan ia menganjurkan pandangan ini. Dalam ranah
praktik hukum, perlindungan dan pemuasan kepentingan manusia merupakan suatu keharusan yang
dilakukan oleh manusia. Kepentingan manusia yang dilindungi oleh hukum diklasifikasikan oleh
Roscoe Pound ke dalam salah satu dari tiga kategori. Kategori tersebut adalah sebagai berikut:
pertama, kepentingan negara sebagai salah satu badan yuridis; kedua, kepentingan negara sebagai
penjaga kepentingan sosial; dan ketiga, hak-hak individu yang terdiri dari privasi. Kedua aliran
pemikiran tersebut saling berkaitan dalam arti bahwa seseorang harus memiliki kepastian hukum
untuk mendapatkan perlindungan hukum. Banyak individu, terutama konsumen, menantikan dengan
penuh antisipasi terhadap pembahasan RUU Perlindungan Data Pribadi yang sedang berlangsung
antara DPR RI dan pemerintah. Konsumen memiliki hak untuk mendapatkan kejelasan hukum dan
perlindungan atas data pribadi mereka untuk memastikan bahwa data tersebut tidak disalahgunakan
oleh orang-orang yang tidak bertanggung jawab, oleh karena itu, RUU Perlindungan Data Pribadi
layak mendapatkan momentum untuk disahkan. Hak-hak tersebut, seperti hak atas informasi, diatur
dalam Bab III RUU Perlindungan Data Pribadi yang membahas hak-hak pemilik data pribadi, yang
terdapat dalam Pasal 4 sampai dengan Pasal 16 RUU tersebut. Pasal 4 RUU Perlindungan Data Pribadi
memperjelas bahwa "pemilik data pribadi berhak meminta informasi tentang kejelasan identitas,
dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak
yang meminta data pribadi". Hal ini menunjukkan bahwa pelanggan, dalam kapasitasnya sebagai
pemilik data, akan memiliki hak untuk mengetahui bagaimana pemrosesan data pribadi mereka,
termasuk jika data tersebut akan digunakan oleh pihak ketiga, akan terjadi. Selain itu, pemasok data
bertanggung jawab untuk terus memberi informasi kepada pemilik data tentang semua kerja sama
pengelolaan data. Selain itu, hak akses menetapkan bahwa pemilik data memiliki wewenang untuk
mengajukan permintaan salinan informasi pribadi apa pun yang dikendalikan atau dikendalikan oleh
pengontrol data. RUU Perlindungan Data Pribadi mencantumkan klausul yang menyatakan bahwa
"pemilik data memiliki hak untuk mengakses data pribadinya sesuai dengan ketentuan peraturan
perundang-undangan" dalam Pasal 6 RUU tersebut. Karena fitur ini, misalnya, seorang pasien rumah
sakit di suatu wilayah yang ingin berobat ke rumah sakit lain dapat meminta data rekam medis dari
rumah sakit lain. Jumlahnya adalah 78. Hal ini diperlukan agar rekam medisnya Bernard L. Tanya, dkk.
dapat dipindahkan ke rumah sakit lain sehingga ia dapat menerima perawatan tambahan di sana.
Pasal 13 RUU Perlindungan Data Pribadi memuat ketentuan yang mengatur hak untuk menuntut dan
menerima kompensasi. Ketentuan ini menyatakan bahwa "pemilik data pribadi berhak menuntut dan
menerima ganti rugi atas penyalahgunaan data pribadinya sesuai dengan ketentuan peraturan
perundang-undangan." Hak untuk menuntut dan mendapatkan ganti rugi juga diatur dalam Pasal 13
RUU Perlindungan Data Pribadi. Sementara itu, UU Perlindungan Konsumen sendiri belum
memperhitungkan kepastian hukum jika terjadi penyalahgunaan data pribadi konsumen. Hal ini
dikarenakan data dan informasi yang diatur oleh UU Perlindungan Konsumen lebih banyak
berkenaan dengan informasi mengenai kondisi barang dan jasa, bukan informasi mengenai data
pribadi konsumen. Mengingat Pasal 2 UU Perlindungan Konsumen sangat jelas menyatakan bahwa
perlindungan konsumen berasaskan manfaat, keadilan, keseimbangan, keamanan dan keselamatan
konsumen, serta kepastian hukum, maka perlindungan konsumen juga harus mencakup
perlindungan data dan informasi. Informasi pribadi mengenai konsumen sangat rentan untuk
disalahgunakan karena informasi konsumen secara praktis selalu terkait setiap kali konsumen
menggunakan jasa atau membeli produk. Contohnya, penggunaan informasi pribadi seseorang yang
tidak semestinya sebagai akibat dari iklan yang dilakukan oleh penyedia layanan atau pelaku usaha
yang mengatasnamakan kepentingan tertentu. Sayangnya, UU Perlindungan Konsumen sendiri tidak
mengatur pelarangan kegiatan promosi yang menggunakan data pribadi konsumen tanpa
persetujuan konsumen. Meskipun tindakan promosi diatur dalam Pasal 1 angka 6 UU Perlindungan
Konsumen, namun larangan kegiatan promosi yang menggunakan data pribadi konsumen tanpa
persetujuan konsumen tidak diatur. Pasal 9 UU Perlindungan Konsumen hanya melarang pelaku
usaha untuk memasok, membuat, atau mengiklankan barang dan/atau jasa secara tidak benar.
Ketentuan tersebut tidak menyinggung sama sekali mengenai perlindungan data pribadi konsumen.
Oleh karena itu, konsumen tidak memiliki dasar hukum yang kuat untuk menjamin hak atas privasi
mereka sebagai konsumen, sehingga UU Perlindungan Konsumen masih memiliki ruang kosong atau
celah yang menyebabkan pelaku usaha tidak menghormati hak privasi data pribadi konsumen.
Akibatnya, konsumen tidak memiliki dasar hukum yang kuat untuk menjamin hak atas privasi mereka
sebagai konsumen. Beberapa informasi yang dipaparkan di atas menunjukkan bahwa meskipun
penyelenggaraan perlindungan data pribadi secara sektoral telah diatur dalam beberapa peraturan
perundang-undangan, namun masih diperlukan suatu regulasi khusus, khususnya undang-undang
perlindungan data pribadi yang dapat menyelesaikan permasalahan lintas sektoral. Hal ini diperlukan
mengingat model bisnis ekonomi digital bersifat kompleks dan memiliki cakupan lintas sektoral.
Langkah kedua adalah membuat organisasi khusus untuk perlindungan informasi pribadi.
Pembentukan lembaga khusus ini tidak hanya diperlukan untuk mengawasi dan melindungi data
pribadi agar tidak disalahgunakan oleh korporasi dan pemerintah, tetapi juga untuk menangani
masalah perlindungan konsumen. Hal ini karena kedua tanggung jawab ini membutuhkan lembaga
untuk memantau dan melindungi data pribadi. Lembaga ini juga seharusnya mempromosikan
kesadaran publik untuk menghindari penggunaan informasi pribadi individu yang tidak tepat. Sebagai
referensi, Uni Eropa telah memiliki lembaga khusus untuk perlindungan data pribadi yang dikenal
sebagai Otoritas Perlindungan Data atau DPA. Tanggung jawab lembaga ini adalah memantau
pembagian data pribadi. Mengacu pada Peraturan Perlindungan Data Umum (GDPR), Otoritas
Perlindungan Data (DPA) terpisah dari entitas pemerintah atau swasta mana pun dan beroperasi
secara independen. Dalam hal ini, pembentukan badan khusus untuk perlindungan data pribadi
menjadi penting mengingat fakta bahwa ada banyak perusahaan di Indonesia yang terlibat dalam
kegiatan yang berkaitan dengan pengumpulan dan penyimpanan data. Selain itu, undang-undang
yang dibentuk terkait data pribadi akan mengikat semua pihak yang terlibat, baik dari sektor publik,
sektor komersial, maupun pemerintah. Sebagai hasilnya, lembaga khusus tersebut harus beroperasi
sendiri, tanpa bergantung pada organisasi lain dan memiliki sumber daya keuangan sendiri. Ketiga,
harus ada hukuman yang tegas dan mengikat secara hukum. Peraturan perundang-undangan yang
ada, seperti UU ITE, belum dimanfaatkan secara maksimal untuk memberikan konsekuensi yang
memadai bagi eksploitasi data pribadi. Sangat disayangkan bahwa norma tersebut tidak mengatur
secara rinci bagaimana mekanisme pemberian kewajiban kepada lembaga yang diberi tanggung
jawab sebagai penugasan untuk menjalankan kewajiban tersebut. Pasal 26 UU ITE menekankan
bahwa penggunaan informasi apapun melalui media elektronik yang menyangkut data pribadi
seseorang harus dilakukan atas persetujuan orang yang bersangkutan, dan setiap orang yang hak-
haknya dilanggar dapat mengajukan gugatan. Oleh karena itu, ada kemungkinan data pribadi dapat
digunakan dengan tidak semestinya. Ketentuan ini masih berupa pasal karet, yang berarti dapat
ditafsirkan secara luas, dan batas-batas antara apa yang dicakup dan apa yang tidak dicakup tidak
jelas. Tidak ada hukuman hukum (sanksi) bagi lembaga yang bertanggung jawab dan pelanggarnya.
Sementara itu, RUU Perlindungan Data Pribadi mencakup hukuman yang tegas tidak hanya untuk
pengendali data tetapi juga untuk pengolah data dan/atau pihak ketiga yang terbukti secara sadar
dan tidak sah mengeksploitasi data pribadi. Hukuman ini diberikan sesuai dengan Undang-Undang
Perlindungan Data Pribadi. Konsekuensi yang dijatuhkan tidak hanya mencakup pidana tetapi juga
perdata, dan tindakan ini juga menekankan pada restitusi non-material. Sanksi yang tegas dan
mengikat secara hukum tidak hanya diperlukan untuk konflik antara orang, entitas swasta/korporasi,
tetapi juga untuk konflik yang melibatkan organisasi negara. Contoh-contoh di mana negara mungkin
terikat atau bekerja sama dengan perjanjian kerja dengan pihak swasta memberikan kesempatan
yang tidak diragukan lagi bagi negara untuk terlibat dalam kegiatan yang mungkin melanggar hukum
dan termasuk penggunaan informasi yang dapat diidentifikasi secara pribadi secara tidak benar.
Pengumpulan data secara masif yang dilakukan oleh negara diyakini dapat membuka peluang bagi
negara untuk menyalahgunakan informasi pribadi yang dikumpulkan. Sayangnya, RUU Perlindungan
Data Pribadi tidak mencantumkan ketentuan sanksi terhadap lembaga pemerintah. Oleh karena itu,
penulis berpendapat bahwa agar negara dapat memenuhi kewajibannya dalam memberikan
perlindungan terhadap data pribadi, maka negara harus membuat aturan yang mencantumkan
sanksi bagi negara jika melakukan pelanggaran terhadap perlindungan data pribadi warganya.
Dengan demikian, masyarakat akan merasa terlindungi dari penyalahgunaan wewenang atau
kekuasaan yang menggunakan data pribadi masyarakat (konsumen) untuk kepentingan satu
kelompok saja.