Panduan Lengkap Undang-Undang Perlindungan Data Pribadi

Referensi: Salinan UU Nomor 27 Tahun 2022

Latar Belakang dan Urgensi

Dalam penjelasan umumnya, UU ini menegaskan bahwa perlindungan data pribadi merupakan bagian dari hak asasi manusia, sebagaimana diamanatkan oleh Pasal 28G Ayat (1) UUD 1945. Kebutuhan akan undang-undang khusus ini mendesak mengingat selama ini pengaturan data pribadi masih tersebar di berbagai peraturan sektoral, sehingga kurang efektif.

“Keberadaan suatu Undang-Undang tentang Pelindungan Data Pribadi merupakan suatu keharusan yang tidak dapat ditunda lagi karena sangat mendesak bagi berbagai kepentingan nasional,” bunyi Penjelasan Umum UU tersebut. UU PDP juga diharapkan dapat memperlancar perdagangan, industri, dan investasi yang bersifat transnasional, serta meningkatkan daya saing Indonesia.

Ruang Lingkup dan Asas

UU ini berlaku untuk setiap orang, badan publik, dan organisasi internasional yang melakukan pemrosesan data pribadi, baik yang berada di wilayah hukum Indonesia maupun di luar negeri jika memiliki akibat hukum di Indonesia atau bagi subjek data pribadi WNI di luar negeri.

Pemrosesan data pribadi harus berlandaskan delapan asas utama: pelindungan, kepastian hukum, kepentingan umum, kemanfaatan, kehati-hatian, keseimbangan, pertanggungjawaban, dan kerahasiaan.

Hak-Hak Subjek Data Pribadi yang Diakui

UU PDP secara jelas mengatur hak-hak pemilik data (subjek data pribadi), yang meliputi:

• Hak Informasi: Memperoleh kejelasan identitas, dasar hukum, tujuan pengumpulan, dan akuntabilitas pengendali data.
• Hak Akses dan Salinan: Mengakses dan mendapatkan salinan data pribadi miliknya.
• Hak Perbaikan: Melengkapi, memperbarui, dan memperbaiki data yang tidak akurat.
• Hak Penghapusan: Mengakhiri pemrosesan, menghapus, atau memusnahkan data pribadinya.
• Hak Penarikan Persetujuan: Menarik kembali persetujuan yang telah diberikan untuk pemrosesan data.
• Hak Mengajukan Keberatan: Menolak pengambilan keputusan yang hanya didasarkan pada pemrosesan otomatis (profiling).
• Hak Menghentikan Pemrosesan: Menunda atau membatasi pemrosesan data.
• Hak Ganti Rugi: Menerima ganti rugi atas pelanggaran pemrosesan data pribadinya.

Namun, hak-hak tertentu seperti penghapusan data dan penarikan persetujuan dikecualikan untuk kepentingan tertentu, seperti pertahanan dan keamanan nasional, penegakan hukum, kepentingan umum, pengawasan sektor keuangan, serta kepentingan statistik dan penelitian ilmiah.

Kewajiban Korporasi dan Institusi (Pengendali & Prosesor Data)

Di sisi lain, UU ini membebankan kewajiban berat kepada pihak yang memproses data, yaitu Pengendali Data Pribadi (data controller) dan Prosesor Data Pribadi (data processor).

Beberapa kewajiban kunci tersebut adalah:

• Dasar Hukum yang Jelas: Pemrosesan data harus memiliki dasar hukum, seperti persetujuan eksplisit, kewajiban kontrak, kewajiban hukum, atau kepentingan sah lainnya.
• Persetujuan yang Sah: Persetujuan harus diberikan secara tertulis atau terekam, dan klausul perjanjian yang memuat pemrosesan data tanpa persetujuan yang sah dinyatakan batal demi hukum.
• Perlindungan Khusus: Pemrosesan data pribadi anak dan penyandang disabilitas wajib mendapat persetujuan dari orang tua/wali dan dilakukan secara khusus.
• Keamanan Data: Wajib melindungi data dari akses, pengungkapan, dan pemusnahan tidak sah.
• Notifikasi Kebocoran Data: Wajib memberitahukan terjadinya kegagalan perlindungan data (data breach) kepada subjek data dan lembaga yang berwenang paling lambat 3x24 jam sejak terdeteksi.
• Penilaian Dampak: Wajib melakukan penilaian dampak perlindungan data (Data Protection Impact Assessment/DPIA) untuk pemrosesan yang berisiko tinggi, seperti pemrosesan data spesifik, data dalam skala besar, atau penggunaan teknologi baru.
• Penunjukan Pejabat PDP: Untuk kepentingan pelayanan publik atau kegiatan inti yang membutuhkan pemantauan data skala besar, Pengendali Data wajib menunjuk pejabat atau petugas yang melaksanakan fungsi Perlindungan Data Pribadi (seperti Data Protection Officer/DPO).

Transfer Data ke Luar Negeri

UU PDP mengatur ketat transfer data pribadi ke luar wilayah Indonesia. Negara tujuan transfer harus memiliki tingkat perlindungan data yang setara atau lebih tinggi dari UU PDP. Jika tidak, harus ada perlindungan yang memadai dan mengikat, atau harus mendapat persetujuan dari subjek data pribadi.

Sanksi Administratif dan Pidana

Pelanggaran terhadap kewajiban dalam UU PDP dapat dikenai sanksi administratif, mulai dari peringatan tertulis, penghentian sementara pemrosesan, penghapusan data, hingga denda administratif maksimal 2% dari pendapatan tahunan.

Selain itu, UU ini juga mengancam dengan sanksi pidana. Setiap orang yang dengan sengaja dan melawan hukum memperoleh, mengungkapkan, atau menggunakan data pribadi orang lain dapat dihukum penjara maksimal 5 tahun dan/atau denda hingga Rp 5 miliar. Membuat atau memalsukan data pribadi dapat diancam pidana penjara maksimal 6 tahun dan/atau denda hingga Rp 6 miliar. Untuk korporasi, denda dapat dibebankan hingga 10 kali lipat dari denda maksimal tersebut.

Lembaga Pengawas dan Masa Transisi

UU PDP mengamanatkan pembentukan sebuah lembaga khusus yang ditetapkan oleh Presiden untuk menyelenggarakan fungsi pengawasan dan penegakan hukum administratif. Lembaga ini nantinya akan berwenang menetapkan kebijakan, melakukan pengawasan, menjatuhkan sanksi administratif, dan memfasilitasi penyelesaian sengketa.

Bagi para Pengendali dan Prosesor Data yang sudah beroperasi, UU memberikan masa transisi selama 2 (dua) tahun sejak diundangkan untuk menyesuaikan diri dengan seluruh ketentuan yang diatur.

Penutup

Pengesahan UU PDP ini merupakan langkah bersejarah bagi Indonesia. Ia tidak hanya dimaksudkan untuk melindungi privasi warga negara, tetapi juga untuk membangun kepercayaan dalam ekonomi digital, mendorong inovasi yang bertanggung jawab, dan menyelaraskan Indonesia dengan standar global perlindungan data. Tantangan selanjutnya adalah implementasi yang efektif dan konsisten, termasuk sosialisasi masif kepada masyarakat dan dunia usaha.