Bayangkan Anda membuka email pagi hari dan mendapati pemberitahuan bahwa nama lengkap, nomor KTP, serta alamat Anda tersebar di forum gelap internet. Bukan karena Anda melakukan kesalahan, melainkan karena institusi yang seharusnya menjaga data Anda gagal melindunginya.
Skenario seperti itu bukan khayalan belaka. Berdasarkan data Kementerian Komunikasi dan Informatika, sepanjang 2019 hingga Mei 2024 tercatat 124 kasus dugaan pelanggaran perlindungan data pribadi di Indonesia, dengan 111 di antaranya dikategorikan sebagai kebocoran data.
Angka itu hanya yang berhasil terdeteksi dan dilaporkan. Untuk memahami skala ancaman ini secara utuh, artikel ini mengulas 6 contoh pelanggaran privasi yang nyata, lengkap dengan pelajaran konkret yang bisa diambil dari masing-masingnya.
Apa Itu Pelanggaran Privasi?
Pelanggaran privasi terjadi ketika data atau informasi pribadi seseorang diakses, disebarkan, atau digunakan tanpa izin dari pemiliknya. Pelakunya bisa pihak luar yang tidak berwenang seperti peretas, tapi bisa juga organisasi yang seharusnya bertanggung jawab atas data tersebut.
Definisi ini penting karena sering disalahpahami. Banyak yang mengira pelanggaran privasi hanya terjadi lewat peretasan canggih dari luar, padahal kelalaian internal, penjualan data ke pihak ketiga tanpa izin, atau penggunaan data di luar tujuan awal juga masuk dalam kategori yang sama.
Dalam Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP), pelanggaran privasi mencakup setiap tindakan tidak sah terhadap data pribadi seseorang mulai dari pengumpulan, pengolahan, penyimpanan, hingga penyebarannya. Artinya, siapa pun yang mengelola data orang lain (perusahaan, instansi pemerintah, atau individu) punya kewajiban hukum yang jelas untuk melindunginya.
Bentuk pelanggarannya pun beragam. Ada yang bersifat teknis seperti peretasan sistem, ada yang bersifat sosial seperti doxxing, dan ada yang bersifat korporat seperti penyalahgunaan data pengguna untuk kepentingan komersial.
Yang membuat isu ini semakin berat adalah dampaknya tidak berhenti pada data yang bocor. Begitu informasi pribadi tersebar, pemiliknya bisa menghadapi risiko penipuan, pencurian identitas, intimidasi, hingga kerugian finansial yang nyata dan sulit dipulihkan.
6 Contoh Pelanggaran Privasi
Pelanggaran privasi hadir dalam banyak bentuk. Ada yang berasal dari serangan siber terorganisir, ada yang bermula dari kelalaian sistem internal, dan ada pula yang dilakukan secara sengaja oleh individu maupun korporasi. Keenam contoh berikut mencerminkan keragaman ancaman itu.
1. Kebocoran Data BPJS Kesehatan (2021)
Pada 2021, data pribadi milik sekitar 279 juta peserta BPJS Kesehatan diduga bocor dan diperjualbelikan di forum gelap internet. Data yang terekspos mencakup nama lengkap, NIK, nomor telepon, alamat, hingga informasi tentang tanggungan.
Jumlah itu melampaui total populasi penduduk Indonesia saat itu, yang artinya data orang yang sudah meninggal pun ikut terdampak. Kasus ini menunjukkan bahwa database skala nasional pun bisa rentan jika tidak dilindungi dengan enkripsi yang kuat dan kontrol akses yang ketat di setiap lapisan sistemnya.
2. Serangan Ransomware Bank Syariah Indonesia (2023)
Pada Mei 2023, Bank Syariah Indonesia (BSI) menjadi korban serangan ransomware oleh kelompok peretas LockBit. Mereka mengklaim berhasil mengambil sekitar 1,5 TB data yang berisi data 15 juta nasabah, termasuk informasi rekening, nomor telepon, dan dokumen internal perusahaan.
LockBit menuntut tebusan sebagai syarat agar data tidak dipublikasikan. Kasus ini memperlihatkan bahwa serangan ransomware pada institusi keuangan bukan hanya melumpuhkan operasional, tapi juga mengancam kerahasiaan data jutaan nasabah secara bersamaan.
3. Kebocoran Data DPT KPU (2023)
Pada November 2023, peretas dengan nama samaran “Jimbo” mengklaim berhasil mengakses data pemilih tetap (DPT) dari sistem Komisi Pemilihan Umum (KPU). Setelah disaring dari duplikasi, data yang terekspos mencapai sekitar 204 juta entri, hampir setara dengan total jumlah pemilih pada Pemilu 2024.
Data tersebut ditawarkan di forum Breach Forums seharga US$74.000 (sekitar Rp 1,2 miliar saat itu). Pelanggaran jenis ini berbahaya karena menyasar data kependudukan yang digunakan untuk keperluan demokrasi, dan potensi penyalahgunaannya sangat luas mulai dari penipuan identitas hingga manipulasi informasi publik.
4. Doxxing: Penyebaran Data Pribadi Tanpa Izin
Doxxing adalah tindakan mempublikasikan informasi pribadi seseorang seperti alamat rumah, nomor telepon, atau tempat kerja tanpa persetujuan pemiliknya, biasanya dengan tujuan mempermalukan atau mengintimidasi. Berbeda dari peretasan, doxxing tidak selalu memerlukan kemampuan teknis tinggi.
Pelaku bisa mengumpulkan informasi dari media sosial, platform publik, atau dari data yang sebelumnya sudah bocor. Contoh yang kerap terjadi: seseorang yang menyuarakan kritik di ruang publik kemudian mendapati alamat dan nomor teleponnya tersebar di grup media sosial sebagai bentuk tekanan agar berhenti bersuara.
5. Penyalahgunaan Data oleh Aplikasi Pihak Ketiga
Tidak semua pelanggaran privasi datang dari luar. Kadang, aplikasi yang diinstal dan dipercaya sehari-hari mengumpulkan data jauh melebihi yang diperlukan, lalu membaginya ke pihak ketiga tanpa sepengetahuan pengguna.
Pola ini pernah menjadi skandal global dalam kasus Cambridge Analytica (2018), di mana lebih dari 50 juta data pengguna Facebook digunakan untuk keperluan profiling politik tanpa izin yang jelas. Di Indonesia, kasus serupa kerap ditemukan pada aplikasi pinjaman online ilegal yang mengakses daftar kontak dan galeri foto pengguna, lalu menggunakannya sebagai alat intimidasi saat menagih utang.
6. Phishing dan Pencurian Identitas Digital
Phishing adalah teknik penipuan di mana pelaku menyamar sebagai entitas terpercaya seperti bank, instansi pemerintah, atau platform e-commerce untuk mengelabui korban agar menyerahkan data pribadi mereka secara sukarela. Biasanya dilakukan lewat SMS, email, atau tautan palsu yang tampilannya menyerupai situs resmi.
Indonesia bukan hanya sasaran phishing yang umum, tapi salah satu yang paling rentan di kawasan ini. Laporan Kaspersky mencatat bahwa pada paruh pertama 2019, Indonesia menempati posisi kedua di Asia Tenggara dengan 14,3% penggunanya terpapar serangan phishing, naik sekitar 3,6% dibanding tahun sebelumnya.
Misalnya, seseorang menerima pesan yang mengatasnamakan banknya dan diminta “memperbarui data” melalui tautan tertentu. Begitu formulir itu diisi, pelaku langsung memiliki akses ke akun korban dan dapat menggunakannya untuk transaksi tanpa sepengetahuan pemilik.
Apakah Perusahaan Anda Sudah Patuh terhadap UU PDP?
Melihat keenam contoh di atas, pertanyaan yang wajar muncul adalah: seberapa siap organisasi Anda jika insiden serupa terjadi? UU PDP yang berlaku penuh sejak Oktober 2024 mengatur kewajiban yang cukup spesifik bagi setiap pengelola data, mulai dari mekanisme pemberitahuan insiden hingga penunjukan Data Protection Officer.
Untuk membantu Anda memulai, kami menyiapkan Checklist Kepatuhan UU PDP untuk Perusahaan yang bisa langsung digunakan sebagai panduan audit internal.
Kesiapan Audit UU PDP: Strategi Mitigasi Risiko dan Tata Kelola Data Enterprise
Evaluasi kesiapan perusahaan Anda menghadapi audit UU PDP dengan metode gap analysis 6 dimensi. Identifikasi celah risiko tata kelola data secara sistematis dan bangun fondasi dokumentasi yang sah di mata hukum bagi tim Legal dan IT.
Transformasi Tata Kelola Data dan Manajemen Kepatuhan Terpadu
Siapkan kelengkapan dokumen wajib pelindungan data dan tinggalkan proses operasional manual yang berisiko tinggi. Terapkan sistem pemantauan terpusat untuk mengelola hak subjek data secara otomatis.
Dampak Pelanggaran Privasi bagi Individu dan Organisasi
Pelanggaran privasi tidak berhenti pada data yang bocor. Ada konsekuensi lanjutan yang sering kali lebih berat dari insiden awalnya, baik bagi korban individu maupun organisasi yang bertanggung jawab atas data tersebut.
Dampak bagi individu:
Ketika data pribadi bocor, korban individu langsung menanggung konsekuensinya tanpa bisa berbuat banyak. Berikut beberapa dampak yang paling umum terjadi.
- Risiko penipuan dan pencurian identitas: Data yang tersebar bisa digunakan untuk membuka kredit palsu atau menguras saldo rekening atas nama korban.
- Intimidasi dan gangguan psikologis: Terutama pada kasus doxxing, korban kerap mengalami ancaman langsung yang berdampak pada rasa aman sehari-hari.
- Kerugian finansial: Mulai dari biaya pemulihan akun, potensi utang palsu, hingga proses hukum yang panjang dan melelahkan.
Dampak bagi organisasi:
Di sisi organisasi, dampaknya cenderung lebih kompleks karena menyentuh aspek hukum, operasional, dan kepercayaan publik sekaligus.
- Kerusakan reputasi: Kepercayaan pelanggan yang dibangun bertahun-tahun bisa runtuh dalam hitungan hari setelah insiden terekspos ke publik.
- Sanksi hukum dan denda: Sejak UU PDP berlaku penuh pada Oktober 2024, organisasi yang lalai dapat dikenai sanksi administratif hingga tuntutan pidana bagi pejabat yang bertanggung jawab.
- Gangguan operasional: Serangan seperti ransomware bisa melumpuhkan sistem selama berhari-hari, mengakibatkan kerugian bisnis yang signifikan.
- Biaya pemulihan: Investigasi forensik, perbaikan sistem, notifikasi ke subjek data, dan potensi litigasi semuanya memerlukan biaya yang tidak kecil.
Kesimpulan
Keenam contoh di atas memperlihatkan satu pola yang konsisten: pelanggaran privasi bisa terjadi pada siapa saja dan dari arah mana saja. Tidak ada organisasi yang benar-benar imun, dan tidak ada data yang “terlalu kecil” untuk menjadi target.
Memahami kasus-kasus ini bukan sekadar soal mengetahui insiden masa lalu. Ini soal membangun kesadaran bahwa perlindungan privasi adalah tanggung jawab aktif, bukan formalitas yang cukup diselesaikan dengan satu dokumen kebijakan.
Jika organisasi Anda ingin memastikan pengelolaan data pribadi sudah sesuai dengan standar keamanan dan regulasi yang berlaku, Adaptist Privee dari Adaptist Consulting hadir sebagai solusi konsultasi perlindungan data pribadi yang terstruktur. Dari audit kepatuhan UU PDP hingga penyusunan kebijakan privasi dan penunjukan DPO (Data Protection Officer), tim kami siap membantu organisasi Anda membangun sistem perlindungan data yang andal sebelum insiden terjadi.
Siap Mengelola Kepatuhan Privasi sebagai Risiko Bisnis?
Lihat bagaimana GRC membantu memetakan risiko data pribadi, memantau kepatuhan UU PDP, dan menyiapkan perusahaan menghadapi audit tanpa proses manual yang rumit.
FAQ
Kebocoran data adalah salah satu bentuk pelanggaran privasi yang terjadi akibat serangan eksternal atau kelalaian sistem. Pelanggaran privasi cakupannya lebih luas, termasuk penyalahgunaan data oleh pihak yang sebenarnya berwenang mengaksesnya.
Ya, ini bisa terjadi ketika perusahaan menggunakan atau membagikan data pengguna melebihi apa yang tercantum dalam kebijakan privasinya. Penjualan data ke pihak ketiga atau penggunaan data untuk tujuan yang tidak disetujui pengguna saat mendaftar termasuk dalam kategori ini.
Segera ubah kata sandi akun terkait dan aktifkan autentikasi dua faktor pada semua platform penting. Insiden juga bisa dilaporkan ke Kementerian Komunikasi dan Digital atau instansi yang mengelola data tersebut.
Perusahaan wajib memberitahu subjek data dan otoritas terkait selambatnya 14 hari sejak insiden diketahui. Kegagalan memenuhi kewajiban ini dapat berujung pada sanksi administratif dan denda yang diatur dalam regulasi.
Langkah dasarnya mencakup enkripsi data, pembatasan akses berdasarkan peran, dan audit keamanan berkala. Penunjukan Data Protection Officer (DPO) serta pelatihan kesadaran privasi bagi seluruh karyawan juga terbukti mengurangi risiko secara signifikan.
