S&P Law Office

Dari PeduliLindungi ke SATUSEHAT: Analisis Terkait Dengan Pelaksanaan Pemrosesan Data Pribadi

June 3, 2025

S&P Law Office

S&P Law Office - Legal Brief

Beberapa waktu yang lalu, ramai informasi terkait terjadinya peretasan website PeduliLindungi yang diduga dilakukan oleh pengelola judi online karena website pedulindungi.id berubah menjadi situs judi online bernama PLANETBOLA88.[1] Menanggapi hal tersebut, Kementerian Komunikasi dan Digital (Kemkomdigi) melakukan pemutusan akses (take down) terhadap situs pedulilindungi.id.[2] Langkah ini diambil setelah adanya laporan masyarakat dan hasil verifikasi yang menunjukkan bahwa situs tersebut mengalami penyusupan (defacement).[3] Kementerian Kesehatan (“Kemenkes”) menyampaikan bahwa website pedulilindungi.id tidak lagi dikelola oleh Kementerian Kesehatan sejak Maret 2023.[4] Sejak saat itu juga, PeduliLindungi menjadi SATUSEHAT dengan alamat domain satusehat.kemkes.go.id. Dengan itu, semua yang terkait sistem PeduliLindungi sudah beralih ke SATUSEHAT sehingga pengelolaan, termasuk urusan keamanan, website PeduliLindungi tidak lagi ditangani oleh Kemenkes.[5]Lebih lanjut, Kemenkes juga menyampaikan bahwa website pedulilindungi.id dikelola oleh PT Telkom Indonesia (Persero).[6]Namun, Sabri Rasyid, AVP External Communication Telkom, mengatakan bahwa sejak 2023, seluruh pengelolaan aplikasi dan database PeduliLindungi yang kemudian berganti menjadi SATUSEHAT, sudah tidak dilakukan oleh Telkom seiring dengan berakhirnya kontrak pengembangan dan pengoperasian antara Telkom dan Kemenkes.[7] Seiring dengan sosialisasi perubahan pemanfaatan PeduliLindungi.id ke SATUSEHAT, Telkom secara otomatis juga telah melepas kepemilikan domain website PeduliLindungi.id pada tanggal 28 Maret 2024 ke domain registrator.[8] Pada saat Legal Brief ini dibuat, situs website dari PeduliLindungi sudah kembali dan tidak menampilkan konten yang diduga memuat konten Perjudian, namun beberapa fitur dari situs tidak berfungsi dan hal tersebut tidak menutup fakta bahwa website dari PeduliLindungi pernah dilakukan peretasan dan berubah menjadi situs judi online.

Data Pribadi dalam PeduliLindungi

PeduliLindungi merupakan aplikasi yang sempat digunakan pemerintah dalam penanganan kasus COVID-19 pada saat pandemi tersebut berlangsung. PeduliLindungi dirancang untuk tracing, tracking, dan fencing untuk menanggulangi dan mencegah COVID-19. Setelah vaksin COVID-19 tersedia, aplikasi ini juga dipakai untuk mencatat riwayat vaksinasi pengguna.[9] Diketahui bahwa PeduliLindungi mengumpulkan banyak informasi yang merupakan Data Pribadi jika didasarkan pada Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”). Pasal 1 angka 1 UU PDP mendefinisikan Data Pribadi sebagai berikut:

Data Pribadi data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.”

Data-data yang kemudian dikumpulkan oleh PeduliLindungi tersebut di antaranya adalah:

  1. Status Covid-19, riwayat pengecekan, riwayat penelusuran kontak, hingga riwayat vaksinasi pengguna.
  2. Nama, Nomor Induk Kependudukan (NIK), tanggal lahir, alamat surat elektronik (e-mail), nomor handphone, alamat, hingga foto pengguna.

Jika merujuk pada UU PDP, sejatinya data terkait status Covid-19, riwayat pengecekan, riwayat penelusuran kontak, hingga riwayat vaksinasi pengguna merupakan Data Pribadi yang bersifat spesifik, khususnya termasuk dalam data dan informasi kesehatan yang diatur sebagai berikut:

  • Pasal 4 ayat (2) UU PDP:

Data Pribadi yang bersifat spesifik sebagaimana dimaksud pada ayat (1) huruf a meliputi: 

  1. data dan informasi kesehatan;
  2. data biometrik; 
  3. data genetika; 
  4. catatan kejahatan; 
  5. data anak;
  6. data keterangan pribadi; dan/atau
  7. data lainnya sesuai dengan ketentuan peraturan perundang-undangan.”
  • Penjelasan Pasal 4 ayat (2) huruf a UU PDP:

Yang dimaksud dengan “data dan informasi kesehatan” adalah catatan atau keterangan individu yang berkaitan dengan kesehatan fisik, kesehatan mental, dan/atau pelayanan kesehatan.”

Sedangkan, untuk data terkait nama, Nomor Induk Kependudukan (NIK), tanggal lahir, alamat surat elektronik (e-mail), hingga nomor handphone merupakan Data Pribadi yang bersifat umum, khususnya termasuk dalam nama lengkap serta Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang yang diatur sebagai berikut:

  • Pasal 4 ayat (3) UU PDP:

Data Pribadi yang bersifat umum sebagaimana dimaksud pada ayat (1) huruf b meliputi:

  1. nama lengkap;
  2. jenis kelamin; 
  3. kewarganegaraan;
  4. agama; 
  5. status perkawinan; dan/atau 
  6. Data Pribadi yang dikombinasikan mengidentifikasi seseorang.”
  • Penjelasan Pasal 4 ayat (3) huruf f UU PDP:

Yang dimaksud dengan “Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang” antara lain nomor telepon seluler dan IP Address.”

Kewajiban Pengendali dan/atau Prosesor Data Pribadi dalam Peralihan PeduliLindungi ke SATUSEHAT

Dalam konteks pengelolaan PeduliLindungi sebelum transisi ke SATUSEHAT, diketahui bahwa Kemenkes bertindak sebagai Pengendali Data Pribadi karena Kemenkes merupakan pihak yang berwenang untuk menentukan tujuan dan kebijakan pemrosesan data, sementara PT Telkom Indonesia (Persero) Tbk menjalankan peran sebagai Prosesor Data Pribadi karena hanya memproses data atas nama dan arahan dari Kemenkes sebagai Pengendali Data Pribadi. PeduliLindungi merupakan salah satu bentuk pelayanan publik dan merupakan implementasi fungsi dari Kemenkes untuk melakukan penyelenggaraan di bidang kesehatan yang memproses Data Pribadi dari masyarakat. Hal tersebut sejalan dengan ketentuan dalam UU PDP, Peraturan Presiden Nomor 161 Tahun 2024 tentang Kementerian Kesehatan (“Perpres No. 161 Tahun 2024”), Peraturan Menteri Kesehatan Nomor 21 Tahun 2024 tentang Organisasi dan Tata Kerja Kementerian Kesehatan (“Permenkes No. 21 Tahun 2024”) sebagai berikut:

  • Pasal 1 angka 4 UU PDP:

Pengendali Data Pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi.”

  • Pasal 1 angka 5 UU PDP:

Prosesor Data Pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi.”

  • Pasal 20 ayat (2) huruf e UU PDP:

“Dasar pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) meliputi:

pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali Data Pribadi berdasarkan peraturan perundang-undangan”.

  • Pasal 6 huruf a Perpres No. 161 Tahun 2024:

“Dalam melaksanakan tugas sebagaimana dimaksud dalam Pasal 5, Kementerian menyelenggarakan fungsi:

perumusan, penetapan, dan pelaksanaan kebijakan di bidang kesehatan primer dan komunitas,
penanggulangan penyakit, kesehatan lanjutan, farmasi, alat kesehatan, dan sumber daya manusia kesehatan”.

  • Pasal 6 huruf a Permenkes No. 21 Tahun 2024:

“Dalam melaksanakan tugas sebagaimana dimaksud dalam Pasal 5, Kementerian menyelenggarakan fungsi:

perumusan, penetapan, dan pelaksanaan kebijakan di bidang kesehatan primer dan komunitas, penanggulangan penyakit, kesehatan lanjutan, farmasi, alat kesehatan, dan sumber daya manusia kesehatan”.

Kedua pihak tersebut, yakni Kemenkes maupun Telkom, memiliki kewajiban ketika melakukan peralihan Data Pribadi dari PeduliLindungi ke SATUSEHAT. Perlu diketahui, bahwa alasan peralihan dari PeduliLindungi ke SATUSEHAT adalah upaya untuk melakukan transformasi sistem kesehatan nasional secara jangka panjang yang diawali dengan PeduliLindungi sebagai respons digital untuk mengendalikan penyebaran virus Covid-19 menjadi SATUSEHAT sebagai platform kesehatan digital terintegrasi yang tidak lagi terbatas pada virus Covid-19, tetapi ditujukan untuk menyediakan layanan kesehatan yang dapat diakses dalam satu aplikasi.[10] Ditentukan melalui Pasal 16 ayat (2) UU PDP bahwa Pemrosesan Data Pribadi harus dilakukan sebagai berikut:

Pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sesuai dengan prinsip Pelindungan Data Pribadi meliputi: 

  1. Pengumpulan Data Pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan; 
  2. Pemrosesan Data Pribadi dilakukan sesuai dengan tujuannya;
  3. Pemrosesan Data Pribadi dilakukan dengan menjamin hak Subjek Data Pribadi; 
  4. Pemrosesan Data Pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan; 
  5. Pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan perusakan, dan/atau penghilangan Data Pribadi; 
  6. Pemrosesan Data Pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan Pelindungan Data Pribadi; 
  7. Data Pribadi dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan Subjek Data Pribadi, kecuali ditentukan lain oleh peraturan perundang undangan; dan 
  8. Pemrosesan Data Pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas.”

Dengan itu, Pemrosesan Data Pribadi dalam PeduliLindungi wajib menjamin perlindungan hak Subjek Data Pribadi dengan cara yang transparan, dapat dipertanggungjawabkan, serta memastikan data tersebut dimusnahkan dan/atau dihapus setelah tidak lagi diperlukan sesuai tujuan pemrosesan. Apabila ditinjau dari perspektif UU PDP, seyogyanya terkait dengan kasus ini Pihak Pengendali dan Prosesor Data Pribadi dapat memberikan penjelasan kepada masyarakat selaku Subjek Data Pribadi yang berisi pertanggungjawaban terkait dengan Pemrosesan Data Pribadi yang dilakukan. Bahkan, seyogyanya dalam kasus ini diambil langkah sedemikian rupa yaitu melakukan penghapusan atas situs PeduliLindungi dikarenakan terdapat perpindahan ke SATUSEHAT untuk mencegah terjadinya potensi penyalahgunaan atau kebocoran Data Pribadi dan untuk melindungi Data Pribadi dari masyarakat dibandingkan dengan melakukan pemblokiran. Hal ini menjadi semakin penting, utamanya karena data yang diproses oleh PeduliLindungi termasuk Data Pribadi yang bersifat spesifik serta merupakan jenis data yang jika diproses dapat menimbulkan dampak yang lebih signifikan bagi Subjek Data Pribadi, seperti risiko diskriminasi atau kerugian yang lebih besar.

Selain itu, berdasarkan Pasal 34 ayat (1) dan ayat (2) UU PDP disebutkan bahwa dalam melakukan kegiatan Pemrosesan Data Pribadi yang bersifat spesifik, wajib dilakukan Penilaian Dampak Pelindungan Data Pribadi (Data Protection Impact Assessment/DPIA), untuk melakukan mitigasi risiko atas dampak yang dilakukan dalam Pemrosesan Data Pribadi (termasuk di dalamnya DPIA wajib dilakukan oleh Pengendali Data Pribadi terkait dengan pemindahan platform layanan kesehatan dari PeduliLindungi ke SATUSEHAT dikarenakan terdapat potensi perubahan risiko pemrosesan Data Pribadi atas perpindahan yang terjadi dan dilakukan pengkajian apakah diperlukan pemindahan platform kesehatan PeduliLindungi ke SATUSEHAT dikaitkan dengan potensi risiko yang ada). Kewajiban ini dimaksudkan sebagai bentuk tindakan untuk mengidentifikasi potensi risiko yang ditimbulkan dari aktivitas pemrosesan data tersebut, serta untuk memastikan bahwa prinsip-prinsip pelindungan Data Pribadi ditegakkan secara menyeluruh oleh Pengendali Data Pribadi. Namun demikian, pengaturan teknis mengenai pelaksanaan DPIA hingga saat ini masih belum tersedia secara konkret karena peraturan pelaksana dalam bentuk Peraturan Pemerintah masih dalam proses harmonisasi[11] yang kemudian menciptakan kekosongan hukum (legal vacuum) dalam mekanisme implementasi DPIA. Dalam Rancangan Peraturan Pemerintah tentang Peraturan Pelaksanaan Undang-Undang Nomor 27 Tahun 2022 versi 31 Agustus 2023 (“RPP PDP”), dalam Pasal 128 ayat (4) dan ayat (6) dipertegas bahwa Pengendali Data Pribadi harus melakukan peninjauan ulang penilaian dampak apabila terdapat perubahan risiko pemrosesan Data Pribadi dan DPIA wajib didokumentasikan oleh Pengendali Data Pribadi beserta langkah yang digunakan Pengendali Data Pribadi untuk melindungi Subjek Data Pribadi dari risiko pemrosesan. Hal tersebut kembali dipertegas dalam UU PDP yang mengatur bahwa Pengendali Data Pribadi wajib melindungi dan memastikan keamanan Data Pribadi yang diprosesnya, wajib menjaga kerahasiaan Data Pribadi bahkan wajib melakukan pengawasan terhadap Pihak yang terlibat dalam Pemrosesan Data Pribadi (sehingga dalam hal ini Pengendali Data Pribadi seyogyanya melakukan monitoring atas pemrosesan Data Pribadi dan melakukan pemantauan atas keberadaan dan pelaksanaan kontrak pengembangan dan pengoperasian termasuk terkait dengan jangka waktunya), kami kutip sebagai berikut:

  • Pasal 35 huruf a UU PDP:

“Pengendali Data Pribadi wajib melindungi dan memastikan keamanan Data Pribadi yang diprosesnya, dengan melakukan:

penyusunan dan penerapan langkah teknis operasional untuk melindungi Data Pribadi dari gangguan pemrosesan Data Pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan”.

  • Pasal 36 UU PDP:

“Dalam melakukan pemrosesan Data Pribadi, Pengendali Data Pribadi wajib menjaga kerahasiaan Data Pribadi”.

  • Pasal 37 UU PDP:

“Pengendali Data Pribadi wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi”.

Potensi Sanksi yang Dapat Dikenakan serta Upaya Hukum yang Dapat Ditempuh oleh Subjek Data Pribadi

Apabila terbukti terdapat pelanggaran dalam Pemrosesan Data Pribadi, maka terdapat potensi sanksi administratif yang dapat diberikan sesuai dengan Pasal 57 ayat (2) UU PDP, yaitu peringatan tertulis, penghentian sementara kegiatan pemrosesan Data Pribadi, penghapusan atau pemusnahan Data Pribadi dan/atau denda administratif dengan besaran denda paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran (vide Pasal 57 ayat (2) dan ayat (3) UU PDP). Ironisnya, ketentuan tata cara penjatuhan sanksi administratif ini diatur dalam Peraturan Pemerintah yang masih tahap harmonisasi hingga saat Legal Brief ini dibuat[12] yang kemudian menciptakan kekosongan hukum (legal vacuum) dalam mekanisme implementasi penjatuhan sanksi administratif.

Selain penjatuhan sanksi administratif, Subjek Data Pribadi yang mengalami kerugian akibat penyalahgunaan atau pemrosesan Data Pribadi secara tidak sah memiliki hak untuk menempuh upaya hukum guna memperoleh keadilan dan pemulihan atas kerugian yang dialaminya. Hak tersebut tidak hanya mencerminkan prinsip tanggung jawab dari Pengendali Data, tetapi juga mempertegas posisi hak atas Data Pribadi sebagai bagian integral dari hak asasi manusia yang wajib dihormati, dilindungi, dan dipenuhi oleh negara serta setiap subjek hukum lainnya. Hal ini sejalan dengan ketentuan dalam Pasal 12 ayat (1) UU PDP yang menegaskan bahwa Subjek Data Pribadi berhak menggugat pihak yang melakukan pelanggaran pemrosesan Data Pribadi dan menuntut ganti rugi sebagai berikut:

Subjek Data Pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.”

Selain itu, terdapat juga potensi sanksi pidana yang dapat dikenakan terkait dengan peretasan atas situs PeduliLindungi yaitu sebagai berikut:

  1. Pidana penjara paling lama 5 (lima) tahun dan/atau denda paling banyak Rp 5.000.000.000,- (lima miliar Rupiah) untuk setiap orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya untuk menguntungkan diri sendiri atau orang lain yang menimbulkan kerugian bagi subjek data pribadi. Pidana denda bagi korporasi dijatuhkan paling banyak 10 (sepuluh) kali lipat dari maksimal pidana denda yang diancamkan (vide Pasal 67 Pasal 70 ayat (3) UU PDP).
  2. Apabila terdapat pengungkapan Data Pribadi yang dilakukan secara melawan hukum, maka dapat dikenakan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp 4.000.000.000,- (empat miliar Rupiah) (vide Pasal 67 ayat (2) UU PDP);
  3. Apabila terdapat penggunaan Data Pribadi yang bukan miliknya yang dilakukan secara melawan hukum, maka dapat dikenakan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp 5.000.000.000,- (lima miliar Rupiah) (vide Pasal 67 ayat (3) UU PDP);
  4. Apabila terdapat penyebarluasan Data Kependudukan dan Data Pribadi secara tanpa hak, maka dapat dikenakan sanksi pidana penjara paling lama 2 (dua) tahun dan/atau denda paling banyak Rp 25.000.000,- (dua puluh lima juta Rupiah) (vide Pasal 95A Undang-Undang Nomor 24 Tahun 2013 tentang Administrasi Kependudukan);
  5. Apabila hal tersebut memuat konten perjudian, maka dapat dikenakan sanksi pidana penjara paling lama 10 (sepuluh) tahun dan/atau denda paling banyak Rp10.000.000.000,- (sepuluh miliar Rupiah) (vide Pasal 27 ayat (1) Pasal 45 ayat (3) Undang-Undang Nomor 1 Tahun 2024 tentang Perubahan Kedua atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik).

Dasar Hukum

  • Undang-Undang Nomor 24 Tahun 2013 tentang Administrasi Kependudukan;
  • Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi;
  • Undang-Undang Nomor 1 Tahun 2024 tentang Perubahan Kedua atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik;
  • Peraturan Presiden Nomor 161 Tahun 2024 tentang Kementerian Kesehatan; dan
  • Peraturan Menteri Kesehatan Nomor 21 Tahun 2024 tentang Organisasi dan Tata Kerja Kementerian Kesehatan.

Disclaimer

Seluruh isi data dan informasi dalam Legal Brief ini merupakan kompilasi dari sumber-sumber terpercaya. Legal Brief ini tidak dimaksudkan dan tidak seharusnya dianggap sebagai nasihat atau opini hukum. Tidak disarankan mengambil tindakan berdasarkan informasi yang ada pada layanan ini tanpa mencari layanan profesional terlebih dahulu.

Penutup

Jika Anda memiliki pertanyaan atau memerlukan lebih lanjut konsultasi mengenai Legal Brief ini, silakan menghubungi kami di:

[1] Tempo, “Penjelasan Kemenkes soal Dugaan PeduliLindungi Berubah Jadi Situs Judi Online”, diakses melalui https://www.tempo.co/hukum/penjelasan-kemenkes-soal-dugaan-pedulilindungi-berubah-jadi-situs-judi-online-1493867, diakses pada 30 Mei 2025.

[2] CNBC Indonesia, “Website PeduliLindungi.id Pulih Usai Disusupi Konten Judi Online”, diakses melalui https://www.cnbcindonesia.com/tech/20250522102313-37-635249/website-pedulilindungiid-pulih-usai-disusupi-konten-judi-online, diakses pada 30 Mei 2025.

[3] Ibid.

[4] Nafilah Sri Sagita K, “Penjelasan Kemenkes soal PeduliLindungi Berubah Jadi Laman Judi Online”, diakses melalui https://www.detik.com/sumut/berita/d-7924421/penjelasan-kemenkes-soal-pedulilindungi-berubah-jadi-laman-judi-online, diakses pada 30 Mei 2025.

[5] Ibid.

[6] Rika Irawati, “Website Peduli Lindungi Diblokir Komdigi, Terbukti Arahkan Pengguna ke Situs Judi Online”, diakses melalui https://banyumas.tribunnews.com/2025/05/22/website-peduli-lindungi-diblokir-komdigi-terbukti-arahkan-pengguna-ke-situs-judi-online?page=2, diakses pada 30 Mei 2025.

[7] Trypama Randra, “Heboh PeduliLindungi Berubah Jadi Laman Judol”, diakses melalui https://news.detik.com/berita/d-7925829/heboh-pedulilindungi-berubah-jadi-laman-judol, diakses pada 30 Mei 2025.

[8] Ibid.

[9] Ibid.

[10] Nila Chrisna Yulika, “PeduliLindungi.id Disusupi Judi Online, Bagaimana Statusnya Kini?”, diakses melalui https://www.liputan6.com/news/read/6031091/pedulilindungiid-disusupi-judi-online-bagaimana-statusnya-kini?page=3, diakses pada 30 Mei 2025.

[11] Kementerian Komunikasi dan Digital Republik Indonesia, https://pdp.id/regulasi-ppdp, diakses pada tanggal 30 Mei 2025.

[12] Ibid.

Post Tags :

Leave a Reply

Your email address will not be published. Required fields are marked *

8 + eight =

About S&P Law Office

S&P are passionate about helping our clients through some of their most challenging situations. We take a practical approach to your case, and talk with you like a real person. With each and every client, we aim to not only meet, but to exceed your expectations.

Recent Post