Undang-Undang Pelindungan Data Pribadi (UU PDP) adalah undang-undang yang memberikan perlindungan data pribadi di Indonesia. Undang-Undang ini perlu dipahami dengan baik oleh semua pihak, baik itu pemilik, pemroses atau penyimpan data pribadi. Pemahaman yang mendalam atas UU PDP akan membantu menciptakan ekosistem pelindungan data pribadi yang kuat dan efektif, sehingga hak-hak individu atas data pribadinya dapat terjamin. Dalam artikel ini, kami akan menyajikan ringkasan isi UU PDP agar Anda bisa lebih mudah untuk memahaminya.
Di era digital di mana data pribadi menjadi komoditas yang sangat berharga, perlindungan data pribadi menjadi semakin krusial. Pengumpulan, penyimpanan, dan pemanfaatan data pribadi semakin masif dilakukan oleh berbagai pihak, baik pemerintah maupun swasta, untuk berbagai kepentingan seperti pemasaran, analisis, dan pengambilan keputusan. Menanggapi kebutuhan akan kepastian hukum dan jaminan keamanan data pribadi, Pemerintah Indonesia telah mengesahkan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).
Perlu Anda ketahui sanksi UU PDP akan mulai berlaku Oktober 2024. Oleh karena itu, perusahan harus lebih memperkuat kontrol dan alat keamanan siber untuk memastikan kepatuhan terhadap UU PDP dan melindungi data pribadi.
Table of Contents
Undang-Undang Pelindungan Data Pribadi (UU PDP) Memberikan Perlindungan Hukum
Undang-undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi disahkan pada tanggal tahun 2022 yang lalu, tepatnya di tanggal 17 Oktober. Undang-Undang ini tidak hanya hadir sebagai regulasi baru, tetapi juga merupakan perwujudan nyata dari Pasal 28G ayat (1) Undang-Undang Dasar 1945. Ini adalah wujud komitmen yang diberikan oleh negara dalam menjaga hak privasi dan keamanan informasi seluruh individu.
Secara garis besar, Undang-Undang Pelindungan Data Pribadi memberikan perlindungan data pribadi secara hukum. UU PDP mengatur tentang asas; jenis data pribadi; hak subjek data pribadi; pemrosesan data pribadi; kewajiban pengendali data pribadi dan prosesor data pribadi dalam pemrosesan data pribadi; transfer data pribadi; sanksi administratif; kelembagaan; kerja sama internasional; partisipasi masyarakat; penyelesaian sengketa dan hukum acara; larangan dalam penggunaan data pribadi; dan ketentuan pidana terkait pelindungan data pribadi.
Pengertian Data Pribadi Menurut Undang-Undang Pelindungan Data Pribadi (UU PDP)
Pengertian data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik. Kemudian, pelindungan data pribadi menurut UU PDP adalah keseluruhan upaya untuk melindungi data pribadi dalam rangkaian pemrosesan data pribadi guna menjamin hak konstitusional subjek data pribadi.
Pada BAB III, UU PDP menjelaskan lebih lanjut bahwa data pribadi dibagi dalam dua jenis, yaitu:
a. Data Pribadi yang bersifat spesifik
Data ini meliputi data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai dengan ketentuan peraturan perundang- undangan.
b. Data Pribadi yang bersifat umum
Data ini meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
Data pribadi perlu dilindungi karena adanya potensi pemanfaatan yang tidak bertanggung jawab. Beberapa di antaranya seperti:
- Kejahatan keuangan seperti pemerasan, penipuan, pengajuan pinjaman, pengajuan online (pinjol), dan transaksi uang ilegal. Pelaku dapat memanfaatkan data pribadi untuk melakukan tindakan-tindakan kriminal yang merugikan keuangan individu.
- Mengaku sebagai orang lain untuk mendapatkan bantuan sosial, layanan kesehatan, program tenaga kerja, dan lain-lain. Pelaku dapat menyamar menjadi orang lain dengan menggunakan data pribadi korban untuk memperoleh akses ke berbagai layanan dan bantuan yang seharusnya hanya diterima oleh pihak yang berhak.
- Spam dan phishing via email, messenger, telepon, dan lainnya. Pelaku dapat memanfaatkan data pribadi seperti nomor telepon, alamat email, dan lain-lain untuk mengirimkan pesan-pesan penipuan, ancaman, atau berbagai bentuk kejahatan siber lainnya.
Baca Juga: Lemahnya Keamanan Data Menjadi Penyebab Pelanggaran Data
Ringkasan Ketentuan Undang-Undang Pelindungan Data Pribadi (UU PDP)
A. Hak Subjek Data Pribadi (Pemilik Data)
Subjek Data Pribadi adalah orang yang pada dirinya melekat “Data Pribadi” atau juga bisa disebut sebagai pemilik data. Berikut adalah beberapa hak Subjek Data Pribadi.
- Meminta Informasi: Pemilik Data berhak mengetahui data pribadi digunakan untuk apa dan dibagikan ke siapa saja (Pemroses data 3rd party).
- Koreksi: Pemilik Data berhak untuk melengkapi, memperbarui, dan/atau memperbaiki kesalahan atau ketidakakuratan data pribadi.
- Akses: mendapatkan akses dan memperoleh salinan data pribadi.
- Mengakhiri, menghapus, memusnahkan: Pemilik Data berhak untuk mengakhiri pemrosesan, menghapus, dan menghapus data pribadi yang disimpan.
- Menarik Persetujuan: menarik kembali persetujuan pemrosesan data pribadi.
- Mengajukan keberatan: Pemilik Data berhak mengajukan keberatan atas pengambilan keputusan yang berdasar pada pemrosesan secara otomatis (contoh seperti saat menggunakan AI).
- Menunda/Membatasi: Pemilik Data berhak menunda atau membatasi pemrosesan data pribadi.
- Menggugat & Menerima Ganti Rugi: Pemilik Data berhak menggugat secara hukum dan menerima ganti rugi terhadap pelanggaran pemrosesan/penyimpanan data pribadi atas dirinya.
- Mendapatkan, Menggunakan Data Pribadi: mendapatkan dan/atau menggunakan data pribadinya dalam bentuk yang sesuai.
- Mengirimkan Data Pribadi: menggunakan dan mengirimkan data pribadi tentang dirinya.
Hak-hak Pemilik Data Pribadi bisa mendapatkan pengecualian jika berkaitan dengan:
- proses pertahanan & keamanan nasional
- penegakan hukum
- kepentingan umum dalam penyelenggaraan negara
- pengawasan sektor jasa keuangan, moneter, sistem pembayaran & stabilitas sistem keuangan dalam rangka penyelenggaraan negara
- kepentingan statistik & penelitian ilmiah.
B. Kewajiban Pengendali Data Pribadi dan Prosesor Data Pribadi
Pengendali Data Pribadi adalah pihak yang melakukan pemrosesan data pribadi sesuai tujuan yang ditentukan. Sedangkan, Prosesor Data Pribadi merupakan pihak yang melakukan pemrosesan data pribadi atas nama Pengendali Data Pribadi, contohnya seperti vendor IT atau vendor scoring/backtesting. Berikut adalah kewajiban yang harus dipenuhi oleh pihak-pihak tersebut:
- Memiliki dasar yang kuat dalam melakukan pemrosesan data pribadi.
- Menyampaikan informasi terkait pemrosesan data untuk mendapatkan persetujuan dari pemilik data.
- Memperoleh persetujuan tertulis atau terekam sebelum melakukan pemrosesan data pribadi.
- Mencantumkan klausul persetujuan pemrosesan data pribadi yang sah dalam setiap perjanjian.
- Menunjukkan bukti persetujuan dalam setiap kegiatan pemrosesan data pribadi.
- Melakukan pemrosesan data pribadi anak dengan persetujuan khusus dari wali/orang tuanya.
- Melakukan pemrosesan data pribadi penyandang disabilitas dengan persetujuan khusus dari penyandang disabilitas atau walinya.
- Melakukan pemrosesan data pribadi secara terbatas, spesifik, sah secara hukum, dan transparan.
- Memproses data pribadi sesuai dengan tujuannya.
- Menjaga akurasi, kelengkapan, dan konsistensi data pribadi sesuai ketentuan perundang-undangan.
- Memperbarui dan/atau memperbaiki kesalahan atau ketidakakuratan data pribadi dalam waktu 3×24 jam setelah menerima permintaan.
- Merekam semua aktivitas pemrosesan data pribadi.
- Memberikan akses kepada pemilik data sesuai jangka waktu penyimpanan.
- Menolak akses perubahan jika dapat membahayakan, berdampak pada data orang lain, atau bertentangan dengan pertahanan dan keamanan nasional.
- Melakukan penilaian dampak pelindungan data pribadi atas data berisiko tinggi.
- Melindungi dan memastikan keamanan data yang diproses.
- Menjaga kerahasiaan data pribadi dalam pemrosesan.
- Mengawasi setiap pihak yang terlibat dalam pemrosesan data pribadi.
- Melindungi data pribadi dari pemrosesan yang tidak sah.
- Mencegah akses tidak sah terhadap data pribadi.
- Menghentikan pemrosesan jika pemilik data atau Subjek Data Pribadi menarik persetujuan.
- Menunda atau membatasi pemrosesan jika pemilik data memintanya.
- Mengakhiri pemrosesan jika tujuan telah tercapai, masa retensi habis, atau atas permintaan pemilik data.
- Menghapus data pribadi jika tidak diperlukan lagi, ada penarikan izin persetujuan pemrosesan, permintaan penghapusan, atau diperoleh dengan melawan hukum.
- Memusnahkan data jika masa retensi habis, ada permintaan, tidak terkait proses hukum, atau diperoleh secara melawan hukum.
- Memberitahukan penghapusan dan/atau pemusnahan data kepada Subjek Data Pribadi atau pemilik data.
- Menyampaikan pemberitahuan tertulis jika terjadi kegagalan pelindungan data pribadi.
- Bertanggung jawab atas pemrosesan data pribadi dan menunjukkan pertanggungjawabannya.
- Memberitahu pemilik data jika terjadi perubahan status badan hukum pengendali data pribadi.
- Melaksanakan perintah lembaga terkait penyelenggaraan pelindungan data pribadi sesuai UU PDP.
Baca Juga: 11 Contoh Kasus Cyber Crime di Indonesia yang Menggemparkan Warganet
Sanksi Pelanggaran Undang-Undang Pelindungan Data Pribadi (UU PDP)
UU PDP mengatur sanksi tegas bagi pihak-pihak yang melanggar ketentuannya. Berikut adalah sanksi yang diberikan bagi pelanggaran UU PDP.
1. Sanksi Perdata
Subjek Data Pribadi berhak untuk menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi sesuai ketentuan peraturan perundang-undangan.
2. Sanksi Pidana
Adapun sanksi pidana adalah berupa denda maksimal Rp 4 miliar hingga Rp 6 miliar, dan pidana penjara maksimal 4 tahun hingga 6 tahun. Sanksi pidana dapat diberikan untuk pelanggaran UU PDP seperti:
- memperoleh atau mengumpulkan data pribadi yang bukan miliknya
- mengungkapkan data pribadi yang bukan miliknya
- menggunakan data pribadi yang bukan miliknya
- membuat data pribadi palsu atau memalsukan data pribadi.
3. Sanksi Administratif
Sanksi administratif dalam Pasal 57 UU PDP dapat diberikan dalam empat jenis yaitu:
- berupa peringatan tertulis
- penghentian sementara kegiatan pemrosesan data pribadi
- penghapusan atau pemusnahan data pribadi
- denda administratif, maksimal 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.
Bagaimana Bisnis Dapat Mematuhi Undang-Undang Pelindungan Data Pribadi (UU PDP)?
Pelanggaran UU PDP dapat membawa konsekuensi serius bagi bisnis, seperti denda hingga pencabutan izin usaha. Oleh karena itu, penting bagi pemilik bisnis untuk mengambil langkah-langkah proaktif yang bisa meningkatkan sistem keamanan siber di perusahaannya untuk memberikan perlindungan data pribadi yang baik dan memastikan kepatuhan terhadap UU PDP.
LOGIQUE hadir menawarkan jasa keamanan siber di Indonesia, untuk membantu bisnis Anda agar bisa tetap mematuhi UU PDP. Kami menawarkan berbagai layanan komprehensif untuk melindungi data pribadi pelanggan Anda, seperti jasa penetration testing (pentest), Vulnerability Assessment (VA), dan Simulasi Phishing.
Tim ahli keamanan siber bersertifikat yang diakui secara global dari LOGIQUE akan membantu Anda mengidentifikasi dan mengatasi kerentanan, serta memastikan kesiapan perusahaan Anda dalam menghadapi ancaman siber. Kami siap membantu meningkatkan sistem keamanan siber di perusahaan Anda. Hubungi kami segera untuk berkonsultasi!