UU Perlindungan Data Pribadi

Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi

Disahkan pada 17 Oktober 2022, UU PDP menjadi payung hukum utama dalam melindungi data pribadi warga Indonesia

Download UU PDP (PDF) Hak Subjek Data Kewajiban Pengendali Data

Perlindungan Hak Asasi

UU PDP merupakan manifestasi pengakuan dan perlindungan atas hak dasar manusia

Kepastian Hukum

Memberikan landasan hukum untuk memberikan keamanan atas data pribadi

Standar Global

Menyelaraskan dengan standar perlindungan data internasional seperti GDPR

Daftar Isi UU PDP

Definisi Penting

Pengertian data pribadi, pengendali data, dan istilah kunci lainnya

Hak Subjek Data Pribadi

8 hak dasar yang dimiliki setiap pemilik data pribadi

Kewajiban Pengendali Data

Tanggung jawab perusahaan/organisasi yang mengelola data

Sanksi Pelanggaran

Denda administratif hingga pidana penjara bagi pelanggar

Transfer Data

Ketentuan transfer data pribadi ke luar wilayah Indonesia

Lembaga Pengawas

Peran pemerintah dan lembaga dalam penyelenggaraan PDP

Definisi Penting

Pengertian istilah-istilah kunci dalam UU PDP

Data Pribadi

Data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.

Pengendali Data Pribadi

Setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi.

Prosesor Data Pribadi

Setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi.

Jenis Data Pribadi

Data Spesifik

  • Data dan informasi kesehatan
  • Data biometrik
  • Data genetika
  • Catatan kejahatan
  • Data anak
  • Data keuangan pribadi

Data Umum

  • Nama lengkap
  • Jenis kelamin
  • Kewarganegaraan
  • Agama
  • Status perkawinan
  • Data yang dikombinasikan untuk identifikasi

Hak Subjek Data Pribadi

8 hak dasar yang dijamin oleh UU PDP

Hak Informasi (Pasal 5)

Berhak mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi, dan akuntabilitas pihak yang meminta Data Pribadi.

Hak Melengkapi & Memperbarui (Pasal 6)

Berhak melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi tentang dirinya sesuai dengan tujuan pemrosesan Data Pribadi.

Hak Akses & Salinan (Pasal 7)

Berhak mendapatkan akses dan memperoleh salinan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.

Hak Penghapusan (Pasal 8)

Berhak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.

Hak Penarikan Kembali Persetujuan (Pasal 9)

Berhak menarik kembali persetujuan pemrosesan Data Pribadi tentang dirinya yang telah diberikan kepada Pengendali Data Pribadi.

Hak Keberatan (Pasal 10)

Berhak untuk mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis yang menimbulkan akibat hukum atau berdampak signifikan.

Hak Penundaan & Pembatasan (Pasal 11)

Berhak menunda atau membatasi pemrosesan Data Pribadi secara proporsional sesuai dengan tujuan pemrosesan Data Pribadi.

Hak Ganti Rugi (Pasal 12)

Berhak menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.

Kewajiban Pengendali Data

Tanggung jawab perusahaan/organisasi pengelola data pribadi

Prinsip Pemrosesan Data

  • Pengumpulan data secara terbatas, spesifik, sah, dan transparan (Pasal 27)
  • Pemrosesan sesuai tujuan yang telah ditentukan (Pasal 28)
  • Memastikan akurasi, kelengkapan, dan konsistensi data (Pasal 29)
  • Melindungi keamanan data dari akses tidak sah (Pasal 35)
  • Menjaga kerahasiaan data (Pasal 36)
  • Bertanggung jawab atas pemrosesan data (Pasal 47)

Kewajiban Penting

  • Memiliki dasar hukum pemrosesan data (Pasal 20)
  • Menyampaikan informasi sebelum pemrosesan (Pasal 21)
  • Memperbarui data maksimal 3x24 jam setelah permintaan (Pasal 30)
  • Memberikan akses data maksimal 3x24 jam setelah permintaan (Pasal 32)
  • Menunjuk petugas fungsi PDP (DPO) (Pasal 53)
  • Memberitahu kegagalan pelindungan data maksimal 3x24 jam (Pasal 46)

Pejabat Pelindungan Data Pribadi (DPO)

Pengendali Data Pribadi wajib menunjuk pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi (DPO) dalam hal:

  • Pemrosesan untuk kepentingan pelayanan publik
  • Kegiatan inti memerlukan pemantauan reguler atas data dalam skala besar
  • Pemrosesan data spesifik atau data terkait tindak pidana dalam skala besar

Transfer Data Pribadi

Ketentuan transfer data pribadi ke luar wilayah Indonesia

Transfer Dalam Wilayah Indonesia (Pasal 55)

Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi lainnya dalam wilayah hukum Negara Republik Indonesia.

Pengendali Data Pribadi yang melakukan transfer dan yang menerima transfer wajib melakukan Pelindungan Data Pribadi sesuai UU PDP.

Transfer ke Luar Wilayah Indonesia (Pasal 56)

Pengendali Data Pribadi dapat melakukan transfer Data Pribadi ke luar wilayah Indonesia dengan ketentuan:

  • Negara tujuan memiliki tingkat pelindungan setara atau lebih tinggi
  • Jika tidak setara, harus ada perlindungan yang memadai dan mengikat
  • Jika kedua syarat tidak terpenuhi, wajib mendapat persetujuan Subjek Data Pribadi

Sanksi Pelanggaran

Konsekuensi hukum bagi pelanggar UU PDP

Sanksi Administratif (Pasal 57)

Bentuk sanksi administratif:

  • Peringatan tertulis
  • Penghentian sementara kegiatan pemrosesan data
  • Penghapusan atau pemusnahan data pribadi
  • Denda administratif maksimal 2% dari pendapatan tahunan

Penjatuhan sanksi administratif diberikan oleh lembaga yang ditunjuk.

Sanksi Pidana (Pasal 65-68)

Memperoleh/Mengumpulkan Data Ilegal (Pasal 67)

Pidana penjara maksimal 5 tahun dan/atau denda maksimal Rp5 miliar

Mengungkapkan Data Ilegal (Pasal 67)

Pidana penjara maksimal 4 tahun dan/atau denda maksimal Rp4 miliar

Memalsukan Data Pribadi (Pasal 68)

Pidana penjara maksimal 6 tahun dan/atau denda maksimal Rp6 miliar

Sanksi untuk Korporasi (Pasal 70)

Dalam hal tindak pidana dilakukan oleh korporasi:

  • Pidana dapat dijatuhkan kepada pengurus, pemegang kendali, dan/atau korporasi
  • Pidana denda maksimal 10x dari denda maksimal untuk orang perseorangan
  • Sanksi tambahan: perampasan aset, pembekuan usaha, pelarangan aktivitas, penutupan tempat usaha, pembubaran korporasi

Lembaga Pengawas

Peran pemerintah dalam penyelenggaraan perlindungan data pribadi

Peran Pemerintah (Pasal 58)

Pemerintah berperan dalam mewujudkan penyelenggaraan Pelindungan Data Pribadi sesuai dengan ketentuan UU PDP.

Penyelenggaraan Pelindungan Data Pribadi dilaksanakan oleh lembaga yang ditetapkan oleh Presiden dan bertanggung jawab kepada Presiden.

Tugas Lembaga (Pasal 59)

  • Perumusan dan penetapan kebijakan PDP
  • Pengawasan penyelenggaraan PDP
  • Penegakan hukum administratif
  • Fasilitasi penyelesaian sengketa di luar pengadilan

Wewenang Lembaga (Pasal 60)

  • Merumuskan dan menetapkan kebijakan PDP
  • Melakukan pengawasan kepatuhan pengendali data
  • Menjatuhkan sanksi administratif
  • Membantu aparat penegak hukum
  • Bekerja sama dengan lembaga PDP negara lain
  • Melakukan penilaian transfer data ke luar negeri
  • Memberikan perintah tindak lanjut hasil pengawasan
  • Menerima aduan dan laporan pelanggaran PDP

Informasi tidak akurat? Laporkan!

Tim RicalNet akan melakukan perbaikan terhadap informasi yang ada. Mohon untuk melaporkan kepada kami dengan menyertakan rincian dan alasan yang jelas.

Laporkan