Cara Melapor Kebocoran Data Pribadi ke OJK dan Kominfo

Kebocoran data pribadi di Indonesia kini memiliki payung hukum tegas sejak berlakunya UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Undang-undang ini mengatur kewajiban pengendali dan prosesor data untuk melindungi informasi pengguna, sekaligus memberikan hak kepada korban untuk melapor dan menuntut ganti rugi. Namun, banyak masyarakat masih bingung ke mana harus melapor ketika data mereka bocor—apakah ke OJK, Kominfo, atau kepolisian. Jawabannya bergantung pada jenis institusi yang mengelola data tersebut.

Pasal 37 UU PDP mewajibkan pengendali data untuk memberitahu subjek data paling lambat 3×24 jam sejak mengetahui terjadinya kegagalan pelindungan data pribadi. Jika pemberitahuan tidak diterima atau korban ingin melapor lebih lanjut, tersedia saluran resmi sesuai sektor yang mengalami kebocoran. Berikut panduan lengkap mekanisme pelaporan berdasarkan kategori institusi.

Apa saja jenis kebocoran data yang bisa dilaporkan?

Kebocoran data pribadi mencakup akses tidak sah, pengungkapan, perubahan, atau perusakan data tanpa izin subjek data. Menurut Pasal 1 angka 19 UU PDP, kegagalan pelindungan data pribadi adalah insiden yang menyebabkan data pribadi hilang, rusak, atau diakses pihak tidak berwenang. Jenis data yang dilindungi mencakup data spesifik seperti NIK, NPWP, informasi keuangan, data kesehatan, hingga biometrik (Pasal 4 ayat 2). Data umum seperti nama lengkap dan jenis kelamin juga dilindungi jika dikombinasikan dengan data spesifik.

Kebocoran dapat terjadi di berbagai sektor: perbankan dan fintech (diawasi OJK), platform digital dan e-commerce (diawasi Kominfo), hingga layanan kesehatan atau pendidikan. Masing-masing sektor memiliki jalur pengaduan tersendiri, meskipun UU PDP memberikan koridor hukum yang sama.

Bagaimana melapor kebocoran data di sektor keuangan?

Untuk kebocoran data yang melibatkan bank, asuransi, fintech, atau lembaga keuangan lain yang berada di bawah pengawasan Otoritas Jasa Keuangan (OJK), korban dapat melapor melalui Layanan Konsumen OJK. Menurut laman resmi OJK di https://www.ojk.go.id/id/Pages/FAQ-Layanan-Konsumen-OJK.aspx, pengaduan dapat disampaikan melalui beberapa saluran:

• Telepon ke Kontak OJK 157 (bebas pulsa)
• Email ke [email protected]
• Surat tertulis ke kantor OJK terdekat
• Aplikasi atau portal online OJK (jika tersedia)

Laporan harus menyertakan identitas pelapor, nama lembaga keuangan yang diduga melakukan pelanggaran, kronologi kejadian, dan bukti pendukung seperti tangkapan layar, email, atau dokumen transaksi. OJK akan memfasilitasi penyelesaian sengketa antara konsumen dan lembaga jasa keuangan sesuai Peraturan OJK terkait perlindungan konsumen.

Bagaimana melapor kebocoran data di platform digital dan e-commerce?

Platform digital, e-commerce, media sosial, dan aplikasi berbasis internet yang beroperasi di Indonesia termasuk dalam kategori Penyelenggara Sistem Elektronik (PSE) yang diawasi Kementerian Komunikasi dan Informatika. Untuk melaporkan kebocoran data di sektor ini, korban dapat menggunakan portal Aduan Konten di https://aduankonten.id/.

Portal ini menerima pengaduan terkait konten negatif, pelanggaran privasi, dan dugaan kebocoran data pribadi. Langkah-langkah pelaporan:

1. Buka situs aduankonten.id dan pilih kategori 'Pelanggaran Data Pribadi'
2. Isi formulir dengan detail platform/aplikasi yang diduga bocor, jenis data yang terekspos, dan waktu kejadian
3. Unggah bukti berupa tangkapan layar notifikasi, email dari platform, atau laporan dari pihak ketiga yang menemukan data Anda
4. Submit laporan dan catat nomor tiket untuk pemantauan tindak lanjut

Kominfo akan menindaklanjuti dengan meminta klarifikasi kepada PSE terkait. Jika terbukti melanggar, sanksi administratif dapat dijatuhkan sesuai Peraturan Menteri Kominfo tentang PSE, mulai dari teguran hingga pencabutan izin operasi.

Apa jalur pelaporan lintas sektor atau jika tidak jelas kewenangannya?

Untuk kasus yang melibatkan instansi pemerintah, BUMN, atau tidak jelas masuk kewenangan OJK atau Kominfo, korban dapat melapor melalui Sistem Pengaduan Nasional di https://www.lapor.go.id/. Platform ini dikelola oleh Kantor Staf Presiden dan terintegrasi dengan berbagai kementerian dan lembaga.

Lapor.go.id memungkinkan masyarakat mengadukan berbagai masalah pelayanan publik, termasuk dugaan pelanggaran perlindungan data pribadi. Laporan akan diteruskan ke instansi berwenang sesuai substansi pengaduan. Korban juga dapat melaporkan ke kepolisian jika kebocoran data diikuti tindak pidana seperti penipuan atau pemerasan, mengingat Pasal 67 UU PDP mengatur sanksi pidana hingga 6 tahun penjara dan denda Rp6 miliar untuk pelanggaran berat.

Apa hak korban menurut UU PDP 2022?

UU PDP memberikan hak-hak tegas kepada subjek data yang menjadi korban kebocoran. Pasal 5 hingga Pasal 9 mengatur hak-hak ini secara rinci:

• Hak mendapat pemberitahuan dalam 3×24 jam sejak kegagalan pelindungan terjadi (Pasal 37)
• Hak mengajukan keberatan atas pemrosesan data yang tidak sesuai (Pasal 6)
• Hak meminta penghapusan atau pemusnahan data pribadi (Pasal 7)
• Hak menuntut ganti rugi melalui jalur litigasi atau non-litigasi (Pasal 55)
• Hak mendapat akses dan salinan data pribadi yang diproses (Pasal 5)

Pasal 55 secara khusus menyatakan bahwa penyelesaian sengketa dapat dilakukan melalui pengadilan atau di luar pengadilan (mediasi, arbitrase). Korban juga berhak mendapat pendampingan hukum dan dapat mengajukan gugatan class action jika kebocoran bersifat massal.

Apa yang harus disiapkan sebelum melapor?

Agar laporan efektif dan dapat ditindaklanjuti, korban perlu menyiapkan dokumentasi lengkap. Kumpulkan bukti-bukti berikut:

• Tangkapan layar atau email notifikasi dari platform/lembaga terkait kebocoran
• Riwayat komunikasi dengan customer service jika sudah pernah mengadu
• Bukti dampak kebocoran: transaksi mencurigakan, spam, atau penyalahgunaan identitas
• Dokumen persetujuan pemrosesan data (terms of service, privacy policy) yang pernah Anda tanda tangani
• Identitas diri yang jelas untuk verifikasi pelapor

Semakin lengkap dokumentasi, semakin cepat otoritas dapat memverifikasi dan menindaklanjuti laporan. Simpan semua komunikasi dan nomor tiket pengaduan sebagai arsip.

Sanksi bagi pelanggar

UU PDP mengatur sanksi administratif dan pidana. Pasal 57 menyebutkan sanksi administratif berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan, penghapusan atau pemusnahan data, hingga denda maksimal 2% dari pendapatan tahunan. Sementara Pasal 67 mengatur sanksi pidana penjara paling lama 6 tahun dan/atau denda paling banyak Rp6 miliar bagi pengendali atau prosesor data yang dengan sengaja melakukan perbuatan melawan hukum terkait data pribadi.

Setiap orang berhak atas pelindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi. — Pasal 28G UUD 1945, dasar konstitusional UU PDP

Penegakan UU PDP masih dalam tahap awal, dengan pembentukan lembaga pelindungan data pribadi yang diamanatkan Pasal 58 hingga 64 masih dalam proses. Namun, korban tidak perlu menunggu lembaga tersebut berdiri untuk melapor—jalur OJK, Kominfo, dan Lapor.go.id sudah operasional dan dapat digunakan segera.