Siapa yang Sebenarnya Punya Data Orang Indonesia?

Data, Privacy & Digital Rights

Pertanyaan “siapa yang punya data orang Indonesia?” kelihatannya sederhana, tapi jawabannya tidak nyaman. Secara hukum, data pribadi melekat pada subjek data. Tapi secara praktik, data kita tersebar di terlalu banyak tangan: aplikasi, bank, marketplace, operator telekomunikasi, platform media sosial, layanan transportasi, sekolah, rumah sakit, kantor, pemerintah, penyedia cloud, vendor analytics, dan sekarang sistem AI.

Jadi masalahnya bukan cuma siapa yang punya data dalam arti kepemilikan. Masalah yang lebih nyata adalah siapa yang mengendalikan, memproses, menggabungkan, menyimpan, menjual akses, menarik insight, membuat profil, dan mengambil keputusan berdasarkan data itu. Di era digital, kuasa atas data sering lebih penting daripada klaim kepemilikan formal.

UU PDP memberi kerangka penting karena mengenal subjek data pribadi, pengendali data pribadi, dan prosesor data pribadi. Tapi dalam kehidupan sehari-hari, kebanyakan orang tidak tahu mereka sedang berhadapan dengan siapa. Saat klik setuju di aplikasi, apakah data masuk ke perusahaan utama, vendor pihak ketiga, sistem iklan, analytics partner, cloud provider, atau model AI internal? Publik jarang punya jawaban yang jelas.

Data Kita Tidak Diam di Satu Tempat

Data orang Indonesia tidak tinggal di satu database yang rapi. Ia berpindah, disalin, dianalisis, dicocokkan, dan disimpulkan. Saat seseorang memakai aplikasi belanja, data transaksinya bisa terhubung ke alamat, metode pembayaran, riwayat pencarian, preferensi produk, lokasi pengiriman, dan respons terhadap promo. Saat memakai media sosial, data interaksi bisa berubah menjadi profil minat, jaringan sosial, sinyal emosi, dan pola perhatian.

Di permukaan, pengguna merasa hanya memakai layanan. Di bawahnya, data menjadi bahan baku sistem. Sistem itu bisa dipakai untuk rekomendasi, iklan, skor risiko, customer segmentation, fraud detection, personalisasi konten, hingga pelatihan atau evaluasi AI. Ini alasan kenapa Data Governance untuk AI menjadi isu inti, bukan isu teknis tambahan.

Kalau data berpindah terus, maka pertanyaan kepemilikan harus diikuti pertanyaan kendali. Siapa yang boleh memakai data? Untuk tujuan apa? Sampai kapan? Apakah pengguna bisa menarik persetujuan? Apakah pengguna bisa meminta penghapusan? Apakah data sudah masuk ke sistem yang tidak mudah ditarik kembali?

UU PDP Mengubah Data dari Aset Bisnis Jadi Tanggung Jawab Hukum

Sebelum UU PDP berlaku penuh, banyak organisasi memperlakukan data sebagai aset operasional yang fleksibel. Selama data tersedia, data dipakai. Selama pengguna pernah daftar, data dianggap boleh dikelola. Selama consent pernah diklik, pemrosesan dianggap aman. Mentalitas ini harus berubah.

UU PDP mengatur hak subjek data pribadi, pemrosesan data pribadi, kewajiban pengendali dan prosesor, transfer data, sanksi administratif, penyelesaian sengketa, larangan, dan ketentuan pidana. Artinya, data bukan lagi sekadar bahan baku bisnis. Data menjadi objek tanggung jawab.

Tapi di lapangan, gap-nya masih besar. Banyak orang tidak tahu haknya. Banyak perusahaan belum menjelaskan pemrosesan data dengan bahasa yang bisa dipahami. Banyak aplikasi masih memakai kebijakan privasi panjang yang terasa seperti tembok hukum. Artikel UU PDP Sudah Lewat Masa Transisi, Tapi Banyak Orang Masih Nggak Ngeh membahas problem literasi ini secara langsung.

Platform Global Punya Infrastruktur yang Lebih Kuat dari Banyak Negara

Pertanyaan “siapa punya data orang Indonesia” makin rumit karena banyak data warga bergerak lewat platform global. Media sosial, mesin pencari, sistem iklan, perangkat mobile, browser, cloud, dan aplikasi produktivitas banyak berada di luar yurisdiksi nasional secara infrastruktur dan bisnis.

Ini bukan berarti semua platform global jahat. Problemnya lebih struktural. Mereka punya kapasitas data, model AI, infrastruktur cloud, dan sistem analitik yang jauh lebih besar daripada mayoritas institusi lokal. Kalau data lokal terus mengalir keluar sebagai bahan mentah, sementara nilai analitiknya diproses di luar, Indonesia hanya menjadi pasar dan sumber sinyal.

Di titik ini, artikel Data Lokal Indonesia Jangan Cuma Jadi Bahan Baku Platform Global adalah pasangan langsung dari artikel ini. Pertanyaannya bukan anti-global. Pertanyaannya adalah bagaimana memastikan data warga Indonesia diproses dengan kedaulatan, hak, transparansi, dan nilai balik yang adil.

Negara Juga Memegang Data Besar dan Harus Diawasi

Diskusi data sering terlalu fokus pada perusahaan teknologi. Padahal negara juga memegang data warga dalam skala besar: identitas, pajak, kesehatan, pendidikan, bantuan sosial, perizinan, kependudukan, kendaraan, dan banyak lagi. Data negara bisa menjadi fondasi layanan publik yang lebih baik. Tapi data negara juga bisa menjadi risiko jika governance-nya lemah.

Karena itu, membahas data orang Indonesia tidak boleh berubah menjadi perdebatan “swasta jahat, negara penyelamat”. Dua-duanya harus diawasi. Platform harus transparan. Negara juga harus transparan. Pengendali data, siapa pun bentuknya, harus punya standar keamanan, pembatasan tujuan, akuntabilitas, dan mekanisme koreksi.

Hak digital warga tidak selesai dengan memindahkan data dari perusahaan ke negara, atau dari negara ke perusahaan. Hak digital berarti warga punya posisi yang jelas terhadap semua pihak yang memproses data mereka.

Data Orang Indonesia Seharusnya Tidak Menjadi Barang Gelap

Masalah paling serius terjadi ketika data menjadi barang yang bergerak di balik layar. Pengguna tidak tahu datanya ke mana. Pengguna tidak tahu siapa yang memproses. Pengguna tidak tahu profil apa yang dibuat. Pengguna tidak tahu apakah data lama masih dipakai. Pengguna tidak tahu apakah datanya menjadi bahan AI.

Di era AI, ketidaktahuan ini makin berbahaya. Data yang dulu hanya dipakai untuk laporan bisa dipakai untuk inferensi. Data transaksi bisa menjadi prediksi ekonomi pribadi. Data perilaku bisa menjadi penilaian risiko. Data anak bisa menjadi profil masa depan.

Artikel Privasi di Era AI Bukan Lagi Soal Gue Nggak Punya Rahasia menegaskan bahwa privasi bukan soal menyembunyikan keburukan. Privasi adalah kendali atas konteks. Tanpa kendali, data pribadi berubah menjadi bahan baku kekuasaan.

Kesimpulan: Data Melekat pada Orang, Tapi Kuasanya Tersebar

Jadi siapa yang sebenarnya punya data orang Indonesia? Secara prinsip, data pribadi melekat pada warga sebagai subjek data. Secara praktik, kuasa atas data tersebar ke banyak pengendali, prosesor, platform, vendor, dan sistem AI.

Itulah sebabnya pertanyaan yang lebih berguna bukan hanya “punya siapa”, tapi “dikendalikan siapa, dipakai untuk apa, bisa diaudit atau tidak, dan apakah warga punya hak yang benar-benar bisa digunakan”.

Indonesia sudah punya UU PDP. Tapi hukum tidak cukup jika publik tidak paham, perusahaan tidak berubah, dan negara tidak diawasi. Data orang Indonesia terlalu penting untuk dibiarkan menjadi bahan mentah yang bergerak tanpa transparansi.