UU Pelindungan Data Pribadi
Kerangka Hukum Komprehensif untuk Melindungi Hak Privasi Warga Negara Indonesia di Era Digital berdasarkan UU No.27 Tahun 2022 tentang PDP.
Struktur UU 27 Tahun 2022β
- BAB I: Ketentuan Umum
- BAB II: Asas
- BAB III: Jenis Data Pribadi
- BAB IV: Hak Subjek Data Pribadi
- BAB V: Pemrosesan Data Pribadi
- BAB VI: Kewajiban Pengendali Data Pribadi dan Prosesor Data Pribadi dalam Pemrosesan Data Pribadi
- BAB VII: Transfer Data Pribadi
- BAB VIII: Sanksi Administratif
- BAB IX: Kelembagaan
- BAB X: Kerja Sama Internasional
- BAB XI: Partisipasi Masyarakat
- BAB XII: Penyelesaian Sengketa dan Hukum Acara
- BAB XIII: Larangan dalam Penggunaan Data Pribadi
- BAB XIV: Ketentuan Pidana
- BAB XV: Ketentuan Peralihan
- BAB XVI: Ketentuan Penutup
Terdapat 16 BAB dengan 76 Pasal.
Timeline Pembentukan & Tenggat Waktu UU PDPβ
- 2016 s.d. 2019 : Pembahasan RUU dimulai
- 20 September 2022 : Disetujui oleh DPR
- 17 Oktober 2022 : Disahkan menjadi UU Nomor 27 Tahun 2022
- Masa transisi 2 Tahun
- 17 Oktober 2024 : Tenggat Kepatuhan Penuh
Pasal 74
Semua Pengendali Data dan Prosesor Data wahib menyesuaikan dengan ketentuan UU ini pailng lama 2 (dua) tahun sejak diundangkan.
BAB I - Ketentuan Umumβ
Latar Belakang dan Urgensi UU PDPβ
Dasar Hukum Pembentukan
- Pasal 28G ayat (1) UUD 1945, Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya. UU PDP memberikan landasan hukum untuk memberikan keamanan aras data pribadi sebagai bagian dari hak asasi manusia dan pelindungan diri pribadi.
Urgensi Regulasi
- 156.8 Juta Data Pribadi bocor di Indonesia (Januari 2020- Juni 2024).
- Indonesia masuk 10 besar negara dengan insiden kebocoran data tertinggi secara global.
Perkembangan Teknologi Kemajuan teknologi informasi dan komunikasi telah mengubah cara data pribadi dikumpulkan, diproses, dan ditransfer:
- E-Commerce, E-Education, E-Health, E-Government.
- Data mudah dikumpulkan dan dipindahkan tanpa sepengetahuan subjek.
- Diperlukan pengaturan komprehensif untuk mengurangi tumpang tindih.
Tujuan UU PDP
- Melindungi dan menjamin hak dasar warga negara terkait pelindungan diri pribadi dalam aktivitas digital.
- Menjamin masyarakat mendapatkan pelayanan dari Korporasi, Badan Publik, dan Organisasi Internasional.
- Mendorong pertumbuhan ekonomi digital dan industri teknologi informasi dan komunikasi.
- Mendukung peningkatan daya saing industri dalam negeri di kancah global.
Pasal 1 & 2 (Definisi dan Ruang Lingkup)β
Definisi Kunciβ
Data Pribadi: Data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya.Pelindungan Data Pribadi: Keseluruhan upaya untuk melindungi Data Pribadi dalam rangkaian pemrosesan guna menjamin hak konstitusional subjek data.Pengendali Data Pribadi: Setiap orang, badan publik, dan organisasi internasional yang menentukan tujuan dan melakukan kendali pemrosesan data.Prosesor Data Pribadi: Pihak yang melakukan pemrosesan data atas nama Pengendali Data Pribadi.Subjek Data Pribadi: Orang perseorangan yang pada dirinya melekat Data Pribadi. Subjek data memiliki hak-hak fundamental terkait pengelolaan data pribadinya.
Ruang Lingkup Berlakuβ
PASAL 2 AYAT (1)
UU PDP berlaku untuk:
- Setiap Orang, Badan Publik, dan Organisasi Internasional.
- Yang berada di wilayah hukum Indonesia.
- Di luar wilayah Indonesia dengan akibat hukum di Indonesia atau terhadap warga negara Indonesia.
PASAL 2 AYAT (2)
Pengecualian:
Pemrosesan data oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga.
Pihak yang Terlibatβ
- Setiap Orang : Individu atau Korporasi
- Badan Publik : Lembaga Pemrintah & non-Pemerintah
- Organisasi Internasional : Subjek Hukum Internasional
- Pemerintah Pusat : Presiden RI
Siapa yang diatur?
- Setiap Orang (Orang Perseorangan atau Korporasi)
- Badan Publik (Eksekutif, Legislatif, Yudikatif)
- Organisasi Internasional
Jangkauan Wilayah?
Di dialam wilayah hukum Indonesia. Di luar wilayah Indonesia, jika:
- Memiliki akibat hukum di Indonesia, atau
- Menyangkut Subjek Data WNI
Pengecualian: Kegiatan pribadi atau rumah tangga (Contoh: Ibu Rumah Tangga menyimpan kontak teman)
BAB II - Asasβ
Pasal 3 (Asas-Asas PDP)β
Delapan asas fundamental yang menjadi landasan pelaksanaan UU PDP
- Asas Pelindungan, Setiap pemrosesan data dilakukan dengan memberikan pelindungan kepada subjek data agar data tidak disalahgunakan.
- Kehati-hatian, Para pihak yang terkait dengan pemrosesan dan pengawasan data harus memperhatikan segenap aspek yang berpotensi mendatangkan kerugian.
- Kepastian Hukum, Pemrosesan data dilakukan berdasarkan landasan hukum untuk mewujudkan perlindungan data pribadi yang mendapat pengakuan hukum.
- Keseimbangan, Upaya perlindungan data untuk menyeimbangkan antara hak atas data pribadi dengan hak negara yang sah berdasarkan kepentingan umum.
- Kepentingan Umum, Perlindungan data harus memperhatikan kepentingan masyarakat luas, termasuk kepentingan negara dan pertahanan keamanan nasional.
- Pertanggungjawaban, Semua pihak yang terkait dengan pemrosesan dan pengawasan data bertindak secara bertanggung jawab sehingga mampu menjamin keseimbangan hak dan kewajiban.
- Kemanfaatan, Pengaturan perlindungan data harus bermanfaat bagi kepentingan nasional, khususnya dalam mewujudkan kesejahteraan umum.
- Kerahasiaan, Data pribadi terlindungi dari pihak yang tidak berhak dan/atau dari kegiatan pemrosesan data pribadi yang tidak sah
Hubungan Antar Asas:
Kedelapan asas ini saling terkait dan berkesinambungan, membentuk kerangka holistik untuk melindungi data pribadi sekaligus memastikan data dapat dimanfaatkan untuk kepentingan yang sah.
PRINSIP LEX SPECIALIS (PASAL 75): UU PDP adalah standar umum. Regulasi sektoral (Perbankan, Kesehatan, ITE) tetap berlaku selama tidak bertentangan dengan UU PDP.
BAB III - Jenis Data Pribadiβ
Pasal 4 (Jenis Data Pribadi)β
Pembagian data pribadi berdasarkan sifat dan tingkat sensitivitasnya
Data Pribadi Spesifikβ
Data dengan risiko dampak lebih besar
- Data dan Informasi Kesehatan, Catatan/keterangan individu terkait kesehatan fisik, mental, dan/atau pelayanan kesehatan.
- Data Biometrik, Data terkait fisik, fisiologis, atau karakteristik perilaku individu (sidik jari, retina, DNA, wajah).
- Data Genetika, Data mengenai karakteristik individu yang diwariskan atau diperoleh selama perkembangan prenatal.
- Catatan Kejahatan, Catatan tentang seseorang yang pernah melakukan perbuatan melawan hukum atau sedang dalam proses peradilan
- Data Anak, Data pribadi setiap orang yang berusia di bawah 18 tahun dan belum menikah
- Data Keuangan Pribadi, Data simpanan bank, tabungan, deposito, dan data kartu kredit
Perlakuan Khusus: Data spesifik memerlukan perlindungan lebih ketat dan pemrosesan dengan kehati-hatian ekstra.
Data Pribadi Umumβ
Data dengan risiko dampak standar
- Nama Lengkap, Identitas resmi individu sebagaimana tercatat dalam dokumen identitas.
- Jenis Kelamin, Kategori gender individu (laki-laki/perempuan).
- Agama, Kepercayaan atau keyakinan yang dianut individu.
- Status Perkawinan, Kategori status perkawinan individu (belum menikah/menikah/cerai/duda/jaridal.
- Data yang Dikombinasikan, Data yang dikombinasikan untuk mengidentifikasi seseorang (nomor telepon, IP Address, dll).
Meskipun bersifat "umum", data ini tetap dilindungi dan pemrosesannya harus mengikuti prinsip-prinsip UU PDP.
BAB IV - Hak Subjek Data Pribadiβ
Sembilan hak fundamental yang dimiliki pemilik data pribadi:
- Hak Informasi (Pasal 5)
Berhak mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data, serta akuntabilitas pihak yang meminta data.
- Hak Perbaikan (Pasal 6)
Berhak melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan data tentang dirinya sesuai dengan tujuan pemrosesan.
- Hak Akses (Pasal 7)
Berhak mendapatkan akses dan memperoleh salinan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
- Hak Penghapusan (Pasal 8)
Berhak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
- Hak Penarikan Persetujuan (Pasal 9)
Berhak menarik kembali persetujuan pemrosesan data pribadi tentang dirinya yang telah diberikan kepada pengendali data pribadi.
- Hak Keberatan (Pasal 10)
Berhak mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis, termasuk pemrofilan.
- Hak Pembatasan (Pasal 11)
Berhak menunda atau membatasi pemrosesan data pribadi secara spesifik sesuai dengan tujuan pemrosesan data pribadi.
- Hak Gugat & Ganti Rugi (Pasal 12)
Berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya. sesuai dengan ketentuan peraturan perundang-undangan.
- Hak Portabilitas (Pasal 13)
Berhak mendapatkan dan/atau menggunakan data pribadi dalam bentuk yang sesuai dengan struktur/format yang lazim digunakan atau dapat dibaca oleh sistem elektronik.
- Waktu Respons: Pengendali data wajib merespons permohonan hak subjek data paling lambat 3 x 24 jam sejak permintaan diterima (Pasal 14).
- Pengecualian: Beberapa hak dapat dikecualikan untuk kepentingan pertahanan, keamanan nasional, penegakan hukum, dan kepentingan umum (Pasal 15).
Pengecualian Hak Subjek Data dan Kewajiban Pengendali Dataβ
Beberapa hak dapat dikecualikan untuk kepentingan (Pasal 15):
- kepentingan pertahanan dan keamanan nasional;
- kepentingan proses penegakan hukum;
- kepentingan umum dalam rangka penyelenggaraan negara;
- kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara; atau
- kepentingan statistik dan penelitian ilmiah.
Beberapa kewajiban dapat dikecualikan untuk kepentingan (Pasal 50):
- kepentingan pertahanan dan keamanan nasional;
- kepentingan proses penegakan hukum;
- kepentingan umum dalam rangka penyelenggaraan negara;
- kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara.
BAB V - Pemrosesan Data Pribadiβ
Pasal 16 (Prinsip dan Tahapan Pemrosesan Data)β
6 Tahapan Pemrosesan
- Pemerolehan & Pengumpulan
Mendapatkan data dari subjek atau sumber lain dengan dasar hukum yang sah
- Pengolahan & Penganalisisan
Memproses, menganalisis, dan menginterpretasi data sesuai tujuan yang ditetapkan
- Penyimpanan
Menyimpan data dengan sistem keamanan yang memadai sesuai jangka waktu retensi
- Perbaikan & Pembaruan
Memperbarui dan memperbaiki ketidakakuratan data sesuai permintaan subjek
- Penampilan, Pengumuman, Transfer
Menampilkan, mengumumkan, menyebarluaskan, atau mengungkapkan data
- Penghapusan/Pemusnahan
Menghapus atau memusnahkan data setelah masa retensi berakhir atau berdasarkan permintaan
8 Prinsip Pemrosesan
- Terbatas & Spesifik
Dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan
- Menjamin Hak
Dilakukan dengan menjamin hak subjek data pribadi
- Keamanan
Dilakukan dengan melindungi keamanan data dari akses, pengungkapan, pengubahan, perusakan yang tidak sah
- Retensi
Data dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan subjek
- Sesuai Tujuan
Dilakukan sesuai dengan tujuan pemrosesan yang telah ditetapkan
- Akurat & Lengkap
Dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan
- Transparan
Dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan perlindungan data
- Bertanggung Jawab
Dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas
Prinsip Utama: Pemrosesan data harus mengikuti siklus hidup data yang terstruktur dan mematuhi seluruh prinsip perlindungan untuk memastikan keamanan dan hak subjek data terjaga.
Pasal 20 (Dasar Hukum Pemrosesan Data)β
6 (enam) dasar hukum yang sah untuk melakukan pemrosesan data pribadi
-
Persetujuan Eksplisit
Persetujuan yang sah secara eksplisit dari subjek data untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh pengendali data.
Contoh: Pengguna memberikan persetujuan untuk aplikasi mengakses kontak atau lokasi.
-
Pemenuhan Kontrak
Pemenuhan kewajiban perjanjian dalam hal subjek data merupakan salah satu pihak atau untuk memenuhi permintaan subjek data pada saat akan melakukan perjanjian.
Contoh: Pengumpulan data pelanggan untuk pemrosesan pesanan e commerce.
-
Kewajiban Hukum
Pemenuhan kewajiban hukum dari pengendali data sesuai dengan ketentuan peraturan perundang-undangan.
Pelaporan pajak, administrasi kependudukan
-
Kepentingan Umum
Pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan pengendali data.
Pelayanan publik, penegakan hukum
-
Kepentingan Vital
Pemenuhan pelindungan kepentingan vital subjek data, terkait dengan keberlangsungan hidup.
Tindakan perawatan medis darurat
-
Kepentingan Sah
Pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan.
Kepentingan bisnis yang sah dan wajar
Pengendali data wajib memiliki dasar pemrosesan yang sah sebelum melakukan pemrosesan data pribadi. Tanpa dasar hukum yang jelas, pemrosesan data dianggap melawan hukum dan dapat dikenai sanksi.
Klausul perjanjian yang memuat permintaan pemrosesan data tanpa persetujuan eksplisit dari subjek data dinyatakan batal demi hukum (Pasal 23).
BAB VI - Kewajiban Pengendali Data Pribadi dan Prosesor Data Pribadi dalam Pemrosesan Data Pribadiβ
Pasal 20-50 (Kewajiban Pengendali Data Pribadi)β
Tanggung jawab dan kewajiban pengelola data pribadi
-
Dasar Hukum
Wajib memiliki dasar pemrosesan data yang sah sesuai Pasal 20.
-
Pembaruan Data
Wajib memperbarui/memperbaiki kesalahan data paling lambat 3x24 jam sejak permintaan diterima (Pasal 30)
-
Keamanan Data
Wajib melindungi dan memastikan keamanan data dengan langkah teknis dan operasional (Pasal 35).
-
Notifikasi Insiden
Wajib memberitahukan kegagalan perlindungan data paling lambat 3x24 jam kepada subjek data dan lembaga (Pasal 46)
-
Informasi Transparan
Wajib menyampaikan informasi mengenai legalitas. tujuan, jenis data, jangka waktu, dan hak subjek data (Pasal 21).
-
Perekaman Aktivitas
Wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan data (Pasal 31)
-
Kerahasiaan
Wajib menjaga kerahasiaan data pribadi dalam setiap tahapan pemrosesan (Pasal 36).
-
Pengawasan
Wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data (Pasal 37)
-
Akurasi Data
Wajib memastikan akurasi, kelengkapan, dan konsistensi data serta melakukan verifikasi (Pasal 29).
-
Akses Subjek Data
Wajib memberikan akses kepada subjek data terhadap data yang diproses paling lambat 3x24 jam (Pasal 32).
-
Penilaian Dampak
Wajib melakukan penilaian dampak perlindungan data jika pemrosesan memiliki potensi risiko tinggi (Pasal 34)
-
Tanggung Jawab
Wajib bertanggung jawab atas pemrosesan data dan menunjukkan pertanggungjawaban dalam pelaksanaan prinsip (Pasal 47).
- Data Anak: Wajib mendapat persetujuan dari orang tua/wali (Pasal 25)
- Penyandang Disabilitas: Wajib melalui komunikasi cara tertentu (Pasal 26)
- Pengecualian: Beberapa kewajiban dikecualikan untuk kepentingan nasional (Pasal 50)
Pasal 51-54 (Kewajiban Prosesor Data Pribadi dan DPO)β
Prosesor Data Pribadiβ
- Memproses atas Perintah Pengendali
Wajib melakukan pemrosesan data berdasarkan perintah pengendali data pribadi dan sesuai ketentuan UU PDP (Pasal 51 ayat 1-2).
- Tanggung Jawab Pengendali
Pemrosesan oleh prosesor termasuk dalam tanggung jawab pengendali data pribadi (Pasal 51 ayat 31.
- Melibatkan Prosesor Lain
Dapat melibatkan prosesor lain dengan persetujuan tertulis dari pengendali data pribadi (Pasal 51 ayat 4-5).
- Tanggung Jawab Mandiri
Jika memproses data di luar perintah dan tujuan yang ditetapkan, pemrosesan menjadi tanggung jawab prosesor (Pasal 51 ayat 6).
- Kewajiban yang Sama
Ketentuan mengenai kewajiban pengendali data (Pasal 29, 31, 35-39) beriaku juga terhadap prosesor data (Pasal 52).
Pejabat Pelindung Data (DPO)β
Kapan Wajib Menunjuk DPO?
- Pemrosesan data untuk kepentingan pelayanan publik.
- Kegiatan inti memerlukan pemantauan teratur dan sistematis atas data dengan skala besar.
- Kegiatan inti terdiri dari pemrosesan data spesifik dan/atau data terkait tindak pidana dalam skala besar.
Kualifikasi DPO
Ditunjuk berdasarkan:
- Profesionalitas
- Pengetahuan Hukum
- Praktik PDP
Tugas DPO
- Menginformasikan dan memberikan saran agar mematuhi UU PDP
- Memantau dan memastikan kepatuhan terhadap UU PDP dan kebijakan
- Memberikan saran mengenai penilaian dampak dan memantau kinerja
- Berkoordinasi dan bertindak sebagai narahubung untuk isu pemrosesan data
Pejabat atau petugas DPO dapat berasal dari dalam dan/atau luar pengendali/prosesor data. Ketentuan lebih lanjut diatur dalam Peraturan Pemerintah.
BAB VII - Transfer Data Pribadiβ
Pasal 55-56 - Transfer Data Pribadiβ
Aturan transfer data dalam dan lintas wilayah hukum Indonesia
Transfer Dalam Wilayah (Pasal 55)β
Pengendali data dapat melakukan transfer data kepada pengendali data lainnya dalam wilayah hukum Negara Republik Indonesia.
Kewajiban: Pengendali yang melakukan transfer dan yang menerima transfer wajib melakukan perlindungan data sesuai UU PDP
Persyaratan:
- Mematuhi prinsip dan kewajiban UU PDP
- Memastikan keamanan dan kerahasiaan data
- Memiliki dasar hukum pemrosesan yang sah
Transfer Lintas Batas (Pasal 56)β
Pengendali data dapat melakukan transfer data ke pengendali/prosesor di luar wilayah hukum Indonesia sesuai ketentuan UU PDP
Hierarki Persyaratan
- Tingkat Perlindungan Setara
Negara tujuan memiliki tingkat perlindungan data setara atau lebih tinggi dari UU PDP (Ayat 2)
- Perlindungan Memadai
Jika tidak setara, wajib memastikan terdapat perlindungan data yang memadai dan bersifat mengikat (Ayat 3)
- Persetujuan Subjek Data
Jika kedua persyaratan di atas tidak terpenuhi, wajib mendapatkan persetujuan subjek data (Ayat 4)
Ketentuan lebih lanjut mengenai transfer data diatur dalam Peraturan Pemerintah.
Prinsip Utama
Transfer data harus tetap menjamin perlindungan hak subjek data meskipun data diproses di luar wilayah Indonesia.
Dokumentasi
Pengendali wajib mendokumentasikan setiap transfer data lintas batas dan dasar hukumnya.
Tanggung Jawab
Pengendali tetap bertanggung jawab penuh atas data yang ditransfer ke pihak lain.
BAB VIII - Sanksi Administratifβ
Pasal 57 - Sanksi Administratifβ
Konsekuensi hukum bagi pelanggaran terhadap ketentuan UU PDP
Jenis-Jenis Sanksiβ
- Peringatan Tertulis
Diberikan sebagai peringatan awal jika ditemukan ketidaksesuaian atau risiko yang dapat segera diperbaiki.
- Penghapusan/Pemusnahan
Penghapusan atau pemusnahan data pribadi yang diproses melampaui tujuan/retensi atau tanpa dasar hukum
- Penghentian Sementara
Pengnentian sementara kegiatan pemrosesan data pribadi untuk mencegah dampak berlanjut.
- Denda Administratif
Denda paling tinggi 2% dari pendapatan tahunan terhadap variabel pelanggaran
Pelanggaran yang Dikenai Sanksiβ
- Pasal 20 ayat (1) Tanpa dasar hukum
- Pasal 24-Tidak menunjukkan bukti persetujuan
- Pasal 27-30-Melanggar prinsip pemrosesan
- Pasal 34-Tidak lakukan penilaian dampak
- Pasal 40-41-Tidak benti/batasi pemrosesan
- Pasal 46 - Tidak beritahu kegagalan
- Pasal 21-Tidak menyampaikan informasi
- Pasal 25-26-Data anak/disabilitas tanpa izin
- Pasal 31-33-Tidak merekam/beri akses
- Pasal 35-39-Tidak lindungi keamanan data
- Pasal 42-45-Tidak hapus/musnahkan data
- Pasal 47-49-Tidak bertanggung jawab
Maksimal Denda Administratif 2% dari Pendapatan Tahunan
Dihitung terhadap variabel pelanggaran dan dapat sangat signifikan bagi korporasi besar
Pihak Berwenangβ
- Lembaga PDP
Penjatuhan sanksi administratif diberikan oleh lembaga yang akan dibentuk berdasarkan Peraturan Presiden
- Prosedur
Tata cara pengenaan sanksi diatur lebih lanjut dalam Peraturan Pemerintah
Sanksi administratif dapat langsung mengganggu operasional bisnis, cash flow, dan reputasi organisasi. Investasi untuk kepatuhan jauh lebih murah daripada denda dan dampak operasional.
BAB IX - Kelembagaanβ
1. Pembentukan dan Tanggung Jawab (Pasal 58)β
Pemerintah memiliki peran vital dalam menyelenggarakan pelindungan data pribadi di Indonesia. Tugas ini dilaksanakan oleh sebuah lembaga khusus yang ditetapkan langsung oleh Presiden. Sebagai bentuk akuntabilitas, lembaga ini bertanggung jawab penuh kepada Presiden. Adapun rincian mengenai struktur dan detail organisasi lembaga ini akan diatur lebih lanjut melalui Peraturan Presiden.
2. Tugas Utama Lembaga (Pasal 59)β
Lembaga PDP memiliki empat mandat utama untuk memastikan data masyarakat aman:
- Kebijakan & Strategi: Merumuskan dan menetapkan panduan bagi subjek data, pengendali, dan prosesor data.
- Pengawasan: Memantau bagaimana penyelenggaraan PDP dilakukan di lapangan.
- Penegakan Hukum: Menindak pelanggaran administratif terhadap aturan UU PDP.
- Penyelesaian Sengketa: Memfasilitasi mediasi atau solusi di luar pengadilan jika terjadi konflik terkait data pribadi.
3. Wewenang Lembaga (Pasal 60)β
Lembaga ini memiliki "taring" hukum untuk menjalankan tugasnya, antara lain:
- Menyusun kebijakan teknis pelindungan data pribadi.
- Melakukan pemeriksaan dan penelusuran terhadap dugaan pelanggaran, termasuk mengakses sistem elektronik atau lokasi pemrosesan data.
- Menjatuhkan sanksi administratif kepada pihak yang melanggar aturan.
- Membantu aparat penegak hukum (kepolisian/kejaksaan) dalam menangani kasus tindak pidana data pribadi.
- Menjalin kerja sama internasional dengan lembaga PDP negara lain untuk menyelesaikan masalah lintas batas.
4. Mekanisme Pelaksanaan (Pasal 61)β
Agar lembaga ini tidak bekerja secara sewenang-wenang, Pasal 61 menegaskan bahwa tata cara pelaksanaan seluruh wewenang lembaga tersebut akan diatur lebih rinci melalui Peraturan Pemerintah (PP).
Rangkuman ini menunjukkan bahwa lembaga PDP adalah garda terdepan yang menjamin hak-hak kita sebagai pemilik data tetap terlindungi di era digital.
BAB X - Kerja Sama Internasionalβ
Pemerintah Indonesia tidak bekerja sendiri. UU PDP memberikan mandat kepada Pemerintah untuk menjalin kerja sama internasional dengan negara lain atau Organisasi Internasional (Pasal 62). Fokus utamanya adalah:
- Penegakan Hukum: Melalui bantuan hukum timbal balik (mutual legal assistance).
- Pertukaran Informasi & Kapasitas: Berbagi data teknis dan meningkatkan kualitas SDM pengelola data.
- Sosialisasi: Edukasi lintas batas mengenai pelindungan privasi.
BAB XI - Partisipasi Masyarakatβ
Kita memiliki peran penting, dimana masyarakat didorong untuk mendukung penyelenggaraan pelindungan data pribadi, baik secara langsung maupun tidak langsung (Pasal 63). Partisipasi ini dapat diwujudkan melalui:
- Pendidikan dan pelatihan terkait privasi.
- Melakukan advokasi dan sosialisasi kepada sesama pengguna data.
- Melakukan pengawasan terhadap praktik pemrosesan data di lapangan.
BAB XII - Penyelesaian Sengketa dan Hukum Acaraβ
Jika terjadi konflik terkait data pribadi, undang-undang ini menyediakan jalur penyelesaian melalui arbitrase, pengadilan, atau lembaga penyelesaian sengketa alternatif lainnya (Pasal 64). Poin penting dalam hukum acaranya adalah:
- Bukti Digital Sah: Informasi dan dokumen elektronik diakui sebagai alat bukti yang sah.
- Sidang Tertutup: Demi melindungi data pribadi yang sensitif, proses persidangan dapat dilakukan secara tertutup.
- Gugatan Kepentingan Umum: Lembaga PDP bahkan berwenang mengajukan gugatan atas nama kepentingan umum jika terjadi pelanggaran masif.
BAB XIII - Larangan dalam Penggunaan Data Pribadiβ
Ada "garis merah" yang tidak boleh dilanggar oleh siapapun secara melawan hukum (Pasal 65 dan Pasal 66):
- Dilarang Mengumpulkan: Mengambil data pribadi yang bukan miliknya untuk keuntungan pribadi/orang lain yang merugikan pemilik data.
- Dilarang Mengungkap: Menyebarkan data pribadi milik orang lain tanpa izin.
- Dilarang Menggunakan: Memakai data pribadi yang bukan miliknya secara ilegal.
- Dilarang Memalsukan: Membuat atau memalsukan data pribadi yang berakibat merugikan pihak lain.
BAB XIV - Ketentuan Pidanaβ
1. Jeratan Pidana bagi Perorangan (Pasal 67 - 68)β
Undang-undang ini memberikan ancaman penjara dan denda miliaran rupiah bagi pelaku kejahatan data:
- Pengumpulan Ilegal: Mengumpulkan data yang bukan miliknya untuk keuntungan pribadi yang merugikan orang lain diancam 5 tahun penjara dan/atau denda Rp5 Miliar.
- Pengungkapan Ilegal: Menyebarkan data pribadi orang lain secara melawan hukum diancam 4 tahun penjara dan/atau denda Rp4 Miliar.
- Penggunaan Ilegal: Menggunakan data pribadi yang bukan miliknya secara melawan hukum diancam 5 tahun penjara dan/atau denda Rp5 Miliar.
- Pemalsuan Data: Membuat data palsu atau memalsukan data untuk keuntungan yang merugikan pihak lain diancam hukuman terberat, yakni 6 tahun penjara dan/atau denda Rp6 Miliar.
2. Pidana Tambahan & Ganti Rugi (Pasal 69)β
Selain hukuman pokok, hakim dapat menjatuhkan pidana tambahan berupa perampasan keuntungan atau harta kekayaan yang diperoleh dari hasil kejahatan tersebut, serta kewajiban pembayaran ganti kerugian kepada korban.
3. Tanggung Jawab Korporasi (Pasal 70 & 72)β
Hukum tidak hanya menyasar individu. Jika tindak pidana dilakukan oleh perusahaan (korporasi), hukuman dapat dijatuhkan kepada pengurus, pemegang kendali, hingga pemilik manfaat.
- Denda Fantastis: Korporasi dapat dikenakan denda hingga 10 kali lipat dari maksimal denda individu.
- Sanksi Operasional: Perusahaan juga terancam pidana tambahan mulai dari pembekuan usaha, pelarangan permanen melakukan perbuatan tertentu, penutupan tempat usaha, hingga pembubaran korporasi.
4. Mekanisme Eksekusi Denda (Pasal 71 & 73)β
Terpidana diberi waktu 1 bulan untuk membayar denda. Jika tidak dibayar, harta bendanya dapat disita dan dilelang oleh Jaksa. Apabila harta tidak mencukupi, maka denda tersebut diganti dengan kurungan penjara (untuk individu) atau pembekuan kegiatan usaha paling lama 5 tahun (untuk korporasi).
BAB XV - Ketentuan Peralihanβ
1. Masa Penyesuaian 2 Tahun (Pasal 74)β
Undang-undang ini memberikan napas bagi para Pengendali Data dan Prosesor Data melalui masa transisi. Sejak disahkan pada 17 Oktober 2022, seluruh organisasi (baik publik maupun privat) diberikan waktu maksimal 2 tahun untuk menyesuaikan standar operasional mereka agar patuh sepenuhnya terhadap UU PDP. Tenggat waktu kepatuhan penuh ini jatuh pada 17 Oktober 2024.
2. Status Aturan Lama (Pasal 75)β
Hadirnya UU PDP tidak serta-merta menghapus aturan privasi yang sudah ada sebelumnya. Semua ketentuan peraturan perundang-undangan yang mengatur pelindungan data pribadi dinyatakan tetap berlaku, sepanjang aturan tersebut tidak bertentangan dengan ketentuan dalam UU PDP yang baru ini.
BAB XVI - Ketentuan Penutupβ
Keberlakuan Hukum (Pasal 76)β
Undang-Undang Nomor 27 Tahun 2022 ini resmi mulai berlaku pada tanggal diundangkan, yaitu 17 Oktober 2022. Artinya, landasan hukum bagi keamanan data pribadi masyarakat Indonesia sudah sah berdiri sejak tanggal tersebut sebagai manifestasi dari hak asasi manusia dan amanat konstitusi UUD 1945.
Meskipun UU telah berlaku, tantangan besar saat ini adalah proses pembentukan Lembaga PDP dan penuntasan peraturan turunan agar tujuan perlindungan yang komprehensif dapat tercapai secara maksimal di lapangan.
Tantangan Implementasi UU PDPβ
- Belum Terbentuknya Lembaga PDP, lembaga independen yang diamanatkan Pasal 58 belum dibentuk, menyebabkan kekosongan otoritas pengawasan.
- Peraturan Turunan Belum Lengkap, beberapa Peraturan Pemerintah dan Peraturan Presiden sebagai penjabaran UU PDP belum diundangkan.
- Kesiapan Organisasi, banyak organisasi yang belum sepenuhnya siap menghadapi implementasi penuh UU PDP.
- Kesadaran dan Pemahaman, masih rendahnya kesadaran masyarakat dan pemahaman organisasi tentang pentingnya perlindungan data.
Rekomendasi bagi Organisasiβ
- Audit Kepatuhan, melakukan audit untuk mengidentifikasi celah kepatuhan.
- Menunjuk DPO, penunjukan Pejabat Pelindung Data Pribadi.
- Memperkuat Keamanan, implementasi langkah teknis dan operasional.
- SOP dan Dokumentasi, menyusun prosedur dan dokumentasikan aktivitas.
Kesimpulanβ
UU PDP di Era Baru Perlindungan Data Pribadi Indonesia
- Perlindungan Hak, UU PDP memberikan landasan hukum yang kuat untuk melindungi hak privasi warga negara Indonesia sebagai bagian dari hak asasi manusia di era digital.
- Pertumbuhan Ekonomi, mendorong pertumbuhan ekonomi digital dan industri teknologi informasi dengan memberikan kepercayaan kepada masyarakat.
- Kepastian Hukum, menciptakan kepastian hukum bagi organisasi dalam mengelola data pribadi dan mengurangi tumpang tindih regulasi.
- Daya Saing Global, mendukung peningkatan daya saing industri dalam negeri di kancah internasional dengan standar perlindungan data yang sesuai global.
Kepatuhan terhadap UU PDP bukan hanya kewajiban hukum, tetapi juga investasi untuk membangun kepercayaan publik, melindungi reputasi organisasi, dan menjamin keberlanjutan bisnis di era digital.
