Sosialisasi Publik

Mengenal UU PDP

Undang-Undang No 27 Tahun 2024 tentang Pelindungan Data Pribadi (PDP) memberikan Anda hak untuk mengontrol data pribadi Anda. Pelajari hak Anda, kewajiban penyelenggara sistem, dan cara melindungi privasi di era digital.

Perspektif Publik

Hak dan perlindungan Anda sebagai pemilik data pribadi

Q1.Apa itu UU Perlindungan Data Pribadi (PDP)?

UU No 27 Tahun 2024 tentang Perlindungan Data Pribadi adalah undang-undang yang melindungi hak setiap orang atas data pribadinya. UU ini mengatur bagaimana data pribadi dikumpulkan, disimpan, diproses, dan dihapus oleh pihak manapun—baik pemerintah, perusahaan, maupun individu. Tujuannya adalah mencegah penyalahgunaan data, melindungi privasi, dan memberikan kepastian hukum di era digital.

Pasal 1 angka 1, Pasal 2, dan Pasal 3

Q2.Apa yang dimaksud dengan "Data Pribadi"?

Data pribadi adalah segala informasi yang mengidentifikasi seseorang, baik langsung maupun tidak langsung. Contoh: nama, NIK, alamat, nomor telepon, email, foto, lokasi, data biometrik (sidik jari, wajah), riwayat kesehatan, data keuangan, dan catatan kejahatan. Data pribadi sensitif—seperti data kesehatan, biometrik, dan data anak—mendapat perlindungan ekstra karena risiko penyalahgunaannya lebih tinggi.

Pasal 1 angka 1 (Data Pribadi), Pasal 1 angka 2 (Data Pribadi Sensitif), dan Pasal 4 ayat (2)

Q3.Apa hak saya sebagai pemilik data pribadi?

Anda memiliki 7 hak utama: (1) Hak akses—mengetahui data apa yang dimiliki tentang Anda; (2) Hak perbaikan—memperbarui data yang salah; (3) Hak penghapusan—menghapus data dalam kondisi tertentu; (4) Hak pembatasan—menghentikan sementara penggunaan data; (5) Hak keberatan—menolak pemrosesan tertentu; (6) Hak portabilitas—memindahkan data ke penyedia lain; dan (7) Hak menarik persetujuan—membatalkan izin yang pernah diberikan. Semua permintaan ini harus diproses dalam 3x24 jam.

Pasal 6 (Perbaikan), Pasal 7 (Akses), Pasal 8 (Penghapusan), Pasal 9 (Pencabutan Persetujuan), Pasal 10 (Keberatan), Pasal 11 (Pembatasan), Pasal 13 (Portabilitas), Pasal 32 ayat (1) (SLA 3x24 jam)

Q4.Apa itu "consent" atau persetujuan dalam PDP?

Consent adalah izin eksplisit dari Anda sebelum data pribadi diproses. Consent harus: diberikan secara sukarela (tidak dipaksa), terinformasi penuh (Anda tahu untuk apa data digunakan), spesifik (tidak blanket consent), dan dapat ditarik kapan saja. Contoh nyata: saat aplikasi meminta izin mengakses lokasi, kontak, atau mengirim notifikasi—itu adalah consent yang bisa Anda tolak atau tarik kembali di pengaturan.

Pasal 1 angka 10 (Persetujuan), Pasal 20 (Dasar Hukum Pemrosesan), Pasal 24 (Bukti Persetujuan), Pasal 40 (Pencabutan Persetujuan)

Q5.Apa yang terjadi jika ada pelanggaran data (data breach)?

Jika terjadi kebocoran, kehilangan, atau akses tidak sah terhadap data pribadi, pengendali data wajib: (1) Melaporkan ke Otoritas Pengawas PDP dalam 3x24 jam; (2) Memberitahu Anda sebagai korban; (3) Melakukan mitigasi untuk mengurangi dampak; dan (4) Mendokumentasikan seluruh insiden. Pelanggaran bisa dikenai sanksi pidana penjara maksimal 6 tahun dan denda hingga Rp6 miliar.

Pasal 35 (Pelanggaran Keamanan), Pasal 36 (Notifikasi), Pasal 57-63 (Sanksi Pidana)

Perspektif Pengembang & Penyelenggara Sistem

Kewajiban teknis dan organisasional dalam mengelola data pribadi

T1.Saya pengembang aplikasi/website. Apa fitur wajib yang harus ada?

Sistem elektronik wajib memiliki: (1) Cookie consent banner dengan pilihan granular (necessary, analytics, marketing); (2) Halaman privacy policy yang jelas dan mudah dipahami; (3) Mekanisme untuk menerima dan menarik persetujuan; (4) Form pengajuan hak subjek data (akses, perbaikan, hapus); (5) Sistem autentikasi dan enkripsi untuk data sensitif; (6) Audit log yang mencatat siapa mengakses data kapan; dan (7) Notifikasi breach jika terjadi kebocoran data.

Pasal 20 (Persetujuan), Pasal 24 (Bukti Persetujuan), Pasal 27-28 (Informasi & Tujuan), Pasal 31 (Catatan Kegiatan/RoPA), Pasal 35-36 (Notifikasi Pelanggaran), Pasal 39 (Keamanan Data)

T2.Bagaimana menangani data anak di bawah 18 tahun?

Data anak adalah data sensitif. Anda wajib: (1) Mendapatkan persetujuan dari orang tua/wali, bukan dari anak; (2) Melakukan verifikasi usia sebelum pengumpulan data; (3) Memberikan informasi yang mudah dipahami anak; (4) Mengimplementasikan pengaturan privasi default yang ketat (privacy by default); dan (5) Tidak menggunakan data anak untuk profiling atau pemasaran tanpa izin eksplisit. Pelanggaran terhadap data anak dikenai sanksi lebih berat.

Pasal 1 angka 3 (Anak), Pasal 4 ayat (2) (Data Sensitif), Pasal 25 (Persetujuan dari Orang Tua/Wali), Pasal 26 (Perlakuan Khusus Data Anak), Pasal 57-63 (Sanksi Pidana yang Diperberat)

T3.Apa itu DPIA (Data Protection Impact Assessment)?

DPIA adalah penilaian risiko yang wajib dilakukan sebelum memproses data berisiko tinggi. Wajib DPIA jika: menggunakan teknologi baru (AI/ML), melakukan profiling otomatis dengan dampak signifikan, memproses data sensitif dalam skala besar, melakukan matching data, atau monitoring perilaku. DPIA harus mencakup: analisis risiko, langkah mitigasi, konsultasi dengan DPO, dan dokumen yang dapat diaudit.

Pasal 33 (Penilaian Dampak Pelindungan Data Pribadi/DPIA), Pasal 34 (Kapan DPIA Wajib Dilakukan)

T4.Berapa lama data pribadi boleh disimpan?

Data hanya boleh disimpan selama diperlukan untuk tujuan yang telah diinformasikan (purpose limitation). Setelah tujuan tercapai atau periode retensi berakhir, data wajib dihapus atau dianonimkan. Contoh: data transaksi e-commerce mungkin disimpan 5 tahun untuk keperluan pajak, data log aplikasi 30 hari, data kesehatan 7 tahun sesuai regulasi kesehatan. Pengendali wajib menginformasikan periode retensi ini di privacy policy.

Pasal 28 (Jangka Waktu Pemrosesan), Pasal 43 (Penghapusan Data Pribadi), Pasal 27 (Informasi yang Wajib Diberikan)

T5.Apa bedanya Data Controller dan Data Processor?

Data Controller (Pengendali) adalah pihak yang menentukan tujuan dan cara pemrosesan data—misalnya perusahaan yang memiliki aplikasi. Data Processor (Pemroses) adalah pihak yang memproses data atas nama controller—misalnya penyedia layanan cloud, payment gateway, atau email service. Controller bertanggung jawab penuh atas kepatuhan PDP, termasuk saat menggunakan processor. Processor wajib mengikuti instruksi controller dan tidak boleh menggunakan data untuk kepentingan sendiri.

Pasal 1 angka 5 (Pengendali), Pasal 1 angka 6 (Pemroses), Pasal 29 (Hubungan Pengendali dan Pemroses), Pasal 30 (Pemroses Data Pribadi)

Bagaimana Mengajukan Hak Anda?

Alur pengajuan hak subjek data pribadi (Data Subject Rights)

Identifikasi Hak

Tentukan hak mana yang ingin Anda gunakan: akses, perbaikan, hapus, atau portabilitas

Pasal 6-13

Ajukan Permintaan

Hubungi penyelenggara sistem melalui form DSR, email DPO, atau fitur in-app

Pasal 32 ayat (1)

Verifikasi Identitas

Penyelenggara akan memverifikasi bahwa Anda adalah pemilik data yang sah

Pasal 32 ayat (3)

Terima Respons

Anda akan menerima respons dalam 3x24 jam sesuai ketentuan UU PDP

Pasal 32 ayat (1) dan (4)

Sanksi Pelanggaran

Konsekuensi hukum bagi yang melanggar ketentuan PDP

Sanksi Administratif

• Peringatan tertulisPasal 56 ayat (1) huruf a
• Denda maksimal 2% dari nilai penjualan/pendapatan tahunanPasal 56 ayat (1) huruf b
• Pembekuan kegiatan pemrosesan dataPasal 56 ayat (1) huruf c
• Pembatalan izin operasionalPasal 56 ayat (1) huruf d

Sanksi Pidana

• Pemrosesan tanpa dasar hukum: pidana 4 tahun, denda Rp4 miliarPasal 57 ayat (1)
• Penggunaan data melampaui tujuan: pidana 5 tahun, denda Rp5 miliarPasal 58 ayat (1)
• Kejahatan terhadap data anak/sensitif: pidana 6 tahun, denda Rp6 miliarPasal 63
• Pemalsuan/pencurian data: pidana sesuai KUHP + tambahan PDPPasal 62

Referensi & Dokumen

Sumber informasi resmi terkait UU PDP

UU No 27 Tahun 2024

Dokumen resmi BPK (peraturan.bpk.go.id)

Panduan Implementasi

belum ada

Standar Teknis

Keamanan sistem elektronik & enkripsi data