Kembali ke wawasanOtoritas

Badan PDP 2026: Status Terkini, Timeline, dan Kesiapan Institusi Keuangan

Pembaruan Mei 2026: Badan PDP belum berdiri resmi. Kemkomdigi masih mengawasi, Perpres dalam harmonisasi, dan apa yang harus disiapkan bank & fintech sekarang.

17 Mei 2026·4 menit baca · Mendalam·Editorial Patuhdata
Badan PDP 2026: Status Terkini, Timeline, dan Kesiapan Institusi Keuangan

Pembaruan Mei 2026: Badan Pelindungan Data Pribadi (Badan PDP) belum berdiri secara resmi. Pengawasan kepatuhan UU PDP di ruang digital masih dilaksanakan oleh Kementerian Komunikasi dan Digital (Kemkomdigi), sementara pemerintah menyelesaikan Rancangan Peraturan Presiden (Perpres) tentang kelembagaan dan Peraturan Pemerintah (PP) pelaksanaannya.

Bagi bank, BPR, fintech, dan vendor yang melayani sektor finansial, ini bukan sinyal untuk menunda—melainkan jendela singkat untuk menyiapkan kontrol operasional sebelum penegakan administratif punya alamat regulator yang jelas.

Status pembentukan Badan PDP (per Mei 2026)

  • UU No. 27 Tahun 2022 mengamanatkan Badan PDP sebagai lembaga independen yang bertanggung jawab kepada Presiden.
  • Izin prakarsa pembentukan lembaga diberikan Presiden pada 4 Maret 2025.
  • Pembahasan dilakukan di Panitia Antar Kementerian (PAK) Maret–September 2025; tahap harmonisasi di Kementerian Hukum berlanjut hingga awal 2026.
  • Kemkomdigi menargetkan pembentukan Badan PDP rampung pada 2026 (sumber: ANTARA, detikInet).
  • PP teknis tentang lembaga perlindungan data pribadi dilaporkan hampir rampung pada kuartal akhir 2025, mendahului penerbitan Perpres kelembagaan.

Yang belum ada: Kepala Badan PDP, struktur deputi operasional, kanal pengaduan resmi Badan PDP, dan mekanisme sanksi administratif penuh yang dijalankan lembaga independen—semua menunggu Perpres dan operasionalisasi lembaga.

Siapa mengawasi sementara Badan PDP belum ada?

Selama transisi, Kemkomdigi tetap berperan dalam pengawasan implementasi perlindungan data pribadi di ruang digital, berkoordinasi dengan BSSN dan kementerian/lembaga terkait pada insiden yang melibatkan infrastruktur pemerintah atau sektor terawasi.

Untuk institusi keuangan, tekanan ganda tetap nyata: regulator sektor (persyaratan tata kelola TI, vendor, insiden) dan UU PDP (hak subjek data, akuntabilitas pengendali/pemroses). Ketika Badan PDP aktif, pola koordinasi ini diperkirakan berlanjut—bukan diganti sepenuhnya dalam semalam.

Struktur yang diantisipasi

Rancangan yang beredar mengarah pada Badan PDP dipimpin seorang Kepala, dengan deputi untuk kebijakan & panduan, penyelesaian sengketa, serta kepatuhan & penegakan. Lembaga direncanakan beranggotakan ASN, independen, dan langsung bertanggung jawab kepada Presiden.

Fungsi inti menurut Pasal 59 UU PDP: fasilitasi penyelesaian sengketa, penegakan administratif, pengawasan implementasi, serta perumusan regulasi dan strategi perlindungan data pribadi.

Mengapa 2026 terasa berbeda: gelombang insiden data

Di tengah proses pembentukan lembaga, publikasi insiden dan klaim kebocoran data meningkat—dari pemerintah daerah hingga layanan digital. Beberapa klaim sedang diselidiki atau dibantah instansi terkait; yang tetap konsisten adalah ekspektasi publik dan mitra B2B akan respons insiden yang terdokumentasi.

Contoh yang mencuat di media awal 2026 (status bervariasi: diselidiki, dibantah, atau belum terkonfirmasi resmi):

  • Klaim kebocoran data siswa skala besar (feb. 2026) — dibantah pemerintah, investigasi berlanjut (BeritaSatu).
  • Klaim database penduduk / data nasional di forum underground (Maret 2026) — memicu perhatian komunitas keamanan siber.
  • Laporan kebocoran data warga Kota Bandung (>1 juta rekam jejak, Maret 2026) — diselidiki pihak terkait (detik).
  • Klaim data imigrasi di dark web (April 2026) — dinyatakan hoaks oleh Ditjen Imigrasi, penyelidikan berjalan (Kompas).

Daftar insiden terkini: Pemantauan Kebocoran Data Indonesia. Analisis operasional: Kebocoran Data 2026 — Pelajaran untuk Institusi Keuangan.

Badan PDP belum aktif tidak berarti risiko nol. Artinya penegakan belum terpusat—bukan bahwa organisasi Anda tidak akan diminta bukti ketika insiden atau audit mitra terjadi.

Wewenang yang akan datang (sudah diatur di UU PDP)

Meski lembaga belum berdiri, kewajiban di UU PDP sudah berlaku. Setelah Badan PDP operasional, pelaku usaha dapat mengharapkan:

  • Penyidikan dan permintaan dokumen terkait pemrosesan data
  • Perintah perbaikan: hentikan pemrosesan melawan hukum, perkuat pengamanan, hapus data
  • Sanksi administratif hingga 2% pendapatan tahunan untuk pelanggaran berat
  • Koordinasi dengan regulator sektor pada insiden yang sama

Agenda kesiapan sebelum Badan PDP aktif

  1. Playbook insiden — deteksi, kontainemen, penilaian kewajiban pemberitahuan, komunikasi, bukti forensik.
  2. Register pemrosesan (ROPA) selaras sistem produksi, bukan template kosong.
  3. Keputusan DPO/PIC PDP — wajib atau tidak, internal/eksternal, garis pelaporan ke pimpinan.
  4. Vendor tiering — DPA, breach notification, bukti penghapusan saat offboarding.
  5. Gap assessment 52 kontrol — prioritas remediasi dengan owner dan target waktu bernama.

Melihat ke depan

Pembentukan Badan PDP adalah titik balik institusional: dari masa “UU ada, pengawas belum lengkap” menuju penegakan yang dapat diprediksi. Institusi keuangan yang sudah punya kontrol operasional dan bukti audit akan masuk fase baru dengan keunggulan—bukan yang terburu-buru membangun tata kelola dari nol saat penyidikan pertama datang.

Artikel ini pembaruan editorial Patuhdata, bukan rilis resmi regulator. Untuk keputusan hukum, konsultasikan penasihat hukum Anda.

Butuh bantuan kesiapan tata kelola?

Butuh gap assessment UU PDP atau pendampingan tata kelola? Hubungi kami.

Gap Assessment UU PDP