Pada Oktober 2024, masa transisi dua tahun Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) resmi berakhir. Artinya, setiap perusahaan yang beroperasi di Indonesia, kini sepenuhnya tunduk pada kewajiban hukum yang diatur dalam regulasi tersebut. Tidak ada lagi ruang abu-abu, tidak ada lagi alasan “masih dalam masa adaptasi.”
Realitas di lapangan justru menunjukkan betapa banyak perusahaan yang belum siap. Mayoritas bisnis di Indonesia belum memiliki kebijakan privasi yang memadai, Data Protection Officer (DPO), dan prosedur respons insiden kebocoran data. Ketidaksiapan ini bukan sekadar masalah administratif. Ini adalah eksposur hukum nyata yang dapat berujung pada denda administratif hingga 2% dari pendapatan tahunan, tuntutan pidana, hingga gugatan perdata dari jutaan subjek data.
Artikel ini menyajikan analisis komprehensif tentang apa itu UU PDP, mulai dari definisi dan struktur hukumnya, hak-hak subjek data, kewajiban pengendali dan prosesor, larangan yang wajib dihindari, hingga sanksi dan dampak operasionalnya terhadap bisnis.
Apa Itu UU PDP?
Undang-Undang Perlindungan Data Pribadi atau UU PDP adalah regulasi perlindungan data pertama di Indonesia yang bersifat omnibus, yakni mengatur secara komprehensif seluruh aspek pemrosesan data pribadi dalam satu instrumen hukum yang terpadu. Sebelum UU ini lahir, perlindungan data di Indonesia tersebar di lebih dari 30 peraturan sektoral yang berbeda, menciptakan fragmentasi hukum yang merugikan baik bagi pelaku usaha maupun subjek data.
Tujuan utama pembentukan UU PDP mencakup tiga hal pokok. Pertama, melindungi hak dasar warga negara atas privasi dan data pribadinya. Kedua, mendorong tanggung jawab pengendali dan prosesor data dalam mengelola data secara aman dan etis. Ketiga, memperkuat kepercayaan publik terhadap ekosistem digital Indonesia dalam rangka mendukung pertumbuhan ekonomi digital yang berkelanjutan.
Definisi Data Pribadi
Berdasarkan Pasal 1 angka 1 UU PDP, data pribadi didefinisikan sebagai setiap data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasikan dengan informasi lainnya, baik secara langsung maupun tidak langsung melalui sistem elektronik maupun nonelektronik. Definisi ini sengaja dibuat luas untuk mengantisipasi perkembangan teknologi yang terus berubah.
Dalam praktik bisnis, ini berarti bahwa alamat IP pengguna, data cookie penelusuran, identifikasi perangkat (device ID), riwayat pembelian yang dapat dikaitkan ke individu tertentu, hingga data lokasi GPS semuanya termasuk dalam definisi data pribadi yang dilindungi UU PDP.
Jenis Data Pribadi
UU PDP membedakan dua kategori data dengan implikasi hukum yang berbeda secara signifikan.
Data Pribadi Umum mencakup nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan kombinasi data yang dapat mengidentifikasi seseorang. Pengelolaan data ini tunduk pada seluruh ketentuan UU PDP, namun memiliki fleksibilitas lebih dalam hal dasar hukum pemrosesan.
Data Pribadi Spesifik atau Sensitif mendapat lapisan perlindungan berlapis karena potensi dampak kerugiannya yang jauh lebih besar. Kategori ini meliputi data kesehatan dan medis, data biometrik seperti sidik jari dan pengenalan wajah, data genetika, data catatan kejahatan, data anak, serta data keuangan pribadi. Pemrosesan data sensitif secara mutlak memerlukan persetujuan eksplisit yang terpisah dan tidak dapat digabungkan dalam formulir persetujuan umum atau dikubur dalam syarat dan ketentuan yang panjang.
Baca Juga: Data Pribadi Sebagai Aset Strategis di Era Digital
Subjek-Subjek Hukum dalam UU PDP
Tiga peran utama dalam ekosistem pemrosesan data perlu dipahami secara tepat karena masing-masing menanggung hak dan kewajiban yang berbeda.
Subjek Data adalah individu yang datanya diproses dan merupakan pemilik hak yang dilindungi UU PDP.
Pengendali Data (Data Controller) adalah pihak yang menentukan tujuan dan cara pemrosesan data pribadi. Pengendali data menanggung beban kewajiban hukum terbesar. Sebuah perusahaan e-commerce yang memutuskan untuk mengumpulkan data pelanggan guna keperluan pemasaran adalah contoh pengendali data.
Prosesor Data (Data Processor) adalah pihak yang memproses data atas nama pengendali. Vendor cloud computing, perusahaan analitik data, atau platform pengiriman email marketing yang mengelola daftar kontak pelanggan kliennya adalah prosesor data. Penting dipahami bahwa prosesor data pun memiliki kewajiban hukum independen dan bukan sekadar pihak netral yang bebas dari tanggung jawab.
