Perlindungan Data Pribadi di Indonesia masih belum memiliki payung hukum yang jelas. Ketika terjadi kebocoran data maka akan menimbulkan kerugian bagi pihak-pihak yang datanya terungkap, oleh karena itu harus ada bentuk pertanggung jawaban dari pihak Pengelola Data sebagai penyimpan data tersebut dan juga pihak pelaku kejahatan pembobolan informasi tersebut. Pada tahun 2020 terjadi data and security breach di perusahaan platform e-commerce yakni Tokopedia dimana data penggunanya dicuri oleh pihak luar negeri dan dijual dari dark web. Kejadian ini tentunya menimbukan kerugian baik secara materiil maupun imateriil bagi para pengguna yang datanya diambil tersebut, sehingga perlu ditinjau siapakah pihak yang dapat bertanggungjawab atas kejadian ini. Jenis penelitian dalam penulisan ini menggunakan penelitian yuridis normatif yang merupakan studi kepustakaan. Sehubungan dengan hal tersebut, maka dalam penelitian ini peneliti akan meneliti peraturan perundang-undangan dan literatur yang terkait dengan rumusan masalah. Hasil dari penelitian ini menunjukan bahwa bentuk pertanggung jawaban atas kejadian peretasan data pribadi pengguna Tokopedia ini adalah dalam bentuk tanggung jawab perdata, pidana dan juga administratif. Pertanggungjawaban pidana tentunya berlaku bagi peretas sistem keamanan Tokopedia dan sesuai ketentuan Pasal 45 UU ITE dapat dikenakan pidana penjara dan/atau denda. Dari pihak Tokopedia sendiri karena kelalaianya dalam mengamankan data pribadi pengguna dapat diminta pertanggung jawaban berupa ganti rugi sesuai dengan Pasal 26 ayat (2) UU ITE. Tokopedia juga dapat dikenakan sanksi administratif oleh menteri sesuai dengan Pasal 59 Juncto Pasal 80 PP PMSE. / Protection of Personal Data in Indonesia still does not have a clear legal . This is related to sensitive data from users of both applications and sites that collect this data for the purposes of their business activities. When a data leak occurs, it will cause losses for the parties whose data is revealed. For this reason, there must be a form of accountability on the part of the Data Manager as the data store and also the perpetrator of the information breach. In 2020 a data and security breach occurred in an e-commerce platform company, namely Tokopedia, where user data was stolen by foreign parties and sold from the dark web. This incident certainly caused losses both materially and immaturely for the users whose data was taken, so it is necessary to review who can be responsible for this incident. This type of research in this writing uses normative juridical research which is a literature study. In connection with this, in this study the researcher will examine the laws and regulations and literature related to the formulation of the problem. The results of this study indicate that the form of responsibility for the hacking of Tokopedia users' personal data is in the form of civil, criminal and administrative responsibility. Criminal liability certainly applies to hackers of the Tokopedia security system and according to the provisions of Article 45 of the ITE Law, they can be subject to imprisonment and / or fines. From Tokopedia itself, due to negligence in securing user personal data, they can be held accountable in the form of compensation in accordance with Article 26 paragraph (2) of the ITE Law. Tokopedia can also be subject to administrative sanctions by the minister in accordance with Article 59 Juncto Article 80 PP PMSE.