Kegagalan Pelindungan Data dalam Persidangan: Pembelajaran dari Kasus-Kasus di Indonesia

July 30, 2025

Setyawati Fitrianggraeni, Reynalda Basya Ilyas, Aga Kristiana Silaen dan Cassey Jovenia

Meskipun kepatuhan terhadap Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”) telah dimulai sejak Oktober 2024, mempelajari bagaimana kasus pelanggaran ditangani dan pelaku dikenai sanksi tetap penting karena risiko kegagalan secara realistis akan selalu ada. Dengan memeriksa kasus-kasus preseden, pembelajaran praktis dapat diekstrak untuk para pelaku dalam membangun manajemen risiko mereka. Berdasarkan UU PDP, pengendali dan pemroses dapat dikenakan sanksi administratif, tuntutan pidana, dan kemungkinan klaim perdata. Namun, karena kepatuhan baru saja dimulai, belum banyak kasus yang secara langsung terkait dengan UU PDP. Meskipun demikian, pelindungan data tidak hanya diatur oleh UU PDP karena ada beberapa undang-undang dan peraturan lain yang diundangkan jauh sebelumnya, antara lain Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana terakhir diubah dengan Undang-Undang Nomor 19 Tahun 2016 dan Undang-Undang Nomor 1 Tahun 2024 (“UU ITE”), Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (“PP 71/2019”), Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Pelindungan Data Pribadi dalam Sistem Elektronik (“Permenkominfo 20/2016”).

Kasus Pidana

Sejak UU PDP diundangkan, beberapa kasus pidana terkait undang-undang tersebut telah ditemukan. Kasus-kasus yang ditemukan berkaitan dengan tanggung jawab individual, sebagai berikut:

Nomor Kasus	Terdakwa	Deskripsi Kejahatan	Ketentuan Hukum yang Dilanggar	Hukuman
5/Pid. Sus/2023/PN Krg (16 Maret 2023)	Heri Irawan	Menyamar sebagai petugas polisi menggunakan profil WhatsApp palsu untuk meminta uang. Korban menderita kerugian Rp 10.000.000.	Pasal 68 jo. Pasal 66 UU PDP	4 tahun penjara dan denda Rp 1 miliar
77/Pid. Sus/2024/PN Tng (4 April 2024)	Raja Firdaus	Secara melawan hukum menggunakan dan menjual data pribadi 900 individu (KTP & Kartu Keluarga) untuk registrasi kartu SIM.	Pasal 65 ayat (3) jo. Pasal 67 ayat (3) UU PDP	1 tahun 6 bulan penjara dan denda Rp 50.000.000
78/Pid. Sus/2024/PN Tng (4 April 2024)	Andi Irma Malasari	Membeli data pribadi 900 individu dan menggunakannya untuk mendaftarkan kartu SIM baru.	Pasal 65 ayat (3) jo. Pasal 67 ayat (3) UU PDP	1 tahun 6 bulan penjara dan denda Rp 50.000.000

Kasus-kasus tersebut melibatkan pelanggaran individual, belum ada pelanggaran korporasi besar. Penjatuhan hukuman masih kurang jelas mengenai bagaimana denda ditentukan, tetapi sanksi pidana telah diterapkan bahkan sebelum masa tenggang UU PDP berakhir.

Kasus Perdata

Sepanjang tahun sejak UU PDP diundangkan, belum ada kasus perdata yang dikabulkan atau dipertimbangkan pokoknya. Hanya ada dua kasus perdata yang ditemukan di situs web Mahkamah Agung dan satu yang berasal dari Sistem Informasi Penelusuran Perkara, semuanya dinyatakan tidak dapat diterima karena kesalahan formalitas, sebagai berikut:

Nomor Kasus	Penggugat	Tergugat	Klaim/Putusan	Putusan Pengadilan
235/ Pdt.G/2020/ PN.Jkt.Pst	Komunitas Konsumen Indonesia	Kementerian Komunikasi dan Informasi (Tergugat I), PT Tokopedia (Tergugat II)	Penggugat mengklaim kegagalan Tergugat I dalam mengawasi keamanan data Tergugat II yang menyebabkan kebocoran data pengguna Tokopedia	Pengadilan memutuskan bahwa kasus harus diajukan ke Pengadilan Tata Usaha Negara karena tidak memiliki yurisdiksi dan menolak gugatan
615/ Pdt.G/2023/ PN Sby	Samsuduri	PT Bank Mandiri (Tergugat I), Andriani Eka Diah (Tergugat II)	Penggugat mengklaim Tergugat I dan II membocorkan data pribadi, melanggar hukum perbankan dan PDP	Pengadilan memutuskan Tergugat I tidak bertanggung jawab; Kasus Penggugat ditolak karena bukti tidak mencukupi
396/ Pdt.G/2018/ PN JKT.SEL	Lembaga Pengembangan Pemberdayaan Masyarakat Informasi Indonesia (Penggugat I) & Indonesia ICT Institute (Penggugat II)	Facebook (Tergugat I), Facebook Indonesia (Tergugat II), Cambridge Analytica (Tergugat III)	Penggugat mengklaim perbuatan melawan hukum dalam penyalahgunaan/ kebocoran data terkait skandal Cambridge Analytica	Pengadilan menyatakan class action tidak sah, banding ditegakkan oleh Pengadilan Tinggi DKI Jakarta

Meskipun terkait dengan pelindungan data pribadi, tidak ada kasus perdata ini yang semata-mata berdasarkan UU PDP, tetapi peraturan sebelum UU PDP. Ini berarti, masih mungkin dan kemungkinan besar sengketa perdata pelindungan data pribadi didasarkan pada peraturan terkait lainnya.

Kasus Non-Litigasi Lainnya

Selain kasus-kasus yang diperiksa dan diadili oleh pengadilan, ada kegagalan pelindungan data pribadi yang ditemukan melalui situs web resmi institusi dan berita. Pada Mei 2023, kegagalan pelindungan data pribadi (pelanggaran kerahasiaan, pelanggaran integritas, dan pelanggaran ketersediaan) terjadi di Bank Syariah Indonesia (“BSI”) dan mereka bekerja sama dengan otoritas termasuk Badan Siber dan Sandi Negara (BSSN) untuk melakukan investigasi forensik. Kementerian Komunikasi dan Informasi tidak memberikan sanksi kepada BSI berdasarkan UU PDP, namun mereka akan memberikan BSI peringatan, perbaikan, dan rekomendasi. Disebutkan bahwa UU PDP belum efektif pada saat itu, sehingga sanksi tidak dapat dikenakan.

Selain itu, terkait dengan Skandal Facebook Cambridge Analytica, ditemukan bahwa Cambridge Analytica telah merugikan jutaan pengguna Facebook Indonesia. Hal ini memicu pertemuan antara Kementerian Komunikasi dan Informasi dan perwakilan Facebook di Indonesia pada 2018. Dalam pertemuan tersebut, Kementerian menuntut rincian klasifikasi data pengguna yang digunakan oleh Cambridge Analytica dan hasil audit Facebook terhadap aplikasi pihak ketiga. Berdasarkan Permenkominfo 20/2016, Kementerian mengeluarkan peringatan tertulis. [3] Kasus-kasus tersebut menunjukkan bahwa pelanggaran yang jelas masih dapat mengakibatkan sanksi dari Kementerian Komunikasi dan Informasi, bahkan berdasarkan peraturan pra-PDP, yang berarti pengendali dan pemroses tetap berisiko.

Kesimpulan

Penegakan hukum pelindungan data di Indonesia pada tahap awal menunjukkan bahwa sanksi pidana berdasarkan UU PDP telah diterapkan kepada individu, namun kasus perdata seringkali gagal karena masalah prosedural, dan belum ada tanggung jawab korporasi yang diuji. Regulator masih memberlakukan sanksi berdasarkan peraturan pra-PDP, yang menyoroti bahwa risiko hukum masih ada. Kasus-kasus ini menekankan perlunya kepatuhan proaktif dan manajemen risiko oleh pengendali dan pemroses data.

DISCLAIMER:

This disclaimer applies to the publication of articles by Anggraeni and Partners. By accessing or reading any articles published by Anggraeni and Partners, you acknowledge and agree to the terms of this disclaimer:

No Legal Advice: The articles published by Anggraeni and Partners are for informational purposes only and do not constitute legal advice. The information provided in the articles is not intended to create an attorney-client relationship between Anggraeni and Partners and the reader. The articles should not be relied upon as a substitute for seeking professional legal advice. For specific legal advice tailored to your individual circumstances, please consult a qualified attorney.

Accuracy and Completeness: Anggraeni and Partners strive to ensure the accuracy and completeness of the information presented in the articles. However, we do not warrant or guarantee the accuracy, currency, or completeness of the information. Laws and legal interpretations may vary, and the information in the articles may not be applicable to your jurisdiction or specific situation. Therefore, Anggraeni and Partners disclaim any liability for any errors or omissions in the articles.

No Endorsement: Any references or mentions of third-party organizations, products, services, or websites in the articles are for informational purposes only and do not constitute an endorsement or recommendation by Anggraeni and Partners. We do not assume responsibility for the accuracy, quality, or reliability of any third-party information or services mentioned in the articles.

No Liability: Anggraeni and Partners, its partners, attorneys, employees, or affiliates shall not be liable for any direct, indirect, incidental, consequential, or special damages arising out of or in connection with the use of the articles or reliance on any information contained therein. This includes but is not limited to, loss of data, loss of profits, or damages resulting from the use or inability to use the articles.

No Attorney-Client Relationship: Reading or accessing the articles does not establish an attorney-client relationship between Anggraeni and Partners and the reader. The information provided in the articles is general in nature and may not be applicable to your specific legal situation. Any communication with Anggraeni and Partners through the articles or any contact form on the website does not create an attorney-client relationship or establish confidentiality.

By accessing or reading the articles, you acknowledge that you have read, understood, and agreed to this disclaimer. If you do not agree with any part of this disclaimer, please refrain from accessing or reading the articles published by Anggraeni and Partners.

For further information, please contact:

WWW.AP-LAWSOLUTION.COM

P: 6221. 7278 7678, 72795001

H: +62 811 8800 427

Anggraeni and Partners, an Indonesian law practice with a worldwide vision, provides comprehensive legal solutions using forward-thinking strategies. We help clients manage legal risk and resolve disputes on admiralty and maritime law, complicated energy and commercial issues, arbitration and litigation, tortious claims handling, and cyber tech law

S.F. Anggraeni

Managing Partner

fitri@ap-lawsolution.net