UU PDP dan Hak Privasi Digital Anda

Undang-Undang Pelindungan Data Pribadi Indonesia

Pada 17 Oktober 2022, Presiden Joko Widodo menandatangani Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Ini merupakan tonggak bersejarah bagi Indonesia — untuk pertama kalinya, negara dengan lebih dari 270 juta penduduk ini memiliki undang-undang perlindungan data pribadi yang komprehensif.

Sebelum UU PDP, perlindungan data pribadi di Indonesia tersebar di berbagai peraturan seperti UU ITE (Informasi dan Transaksi Elektronik), PP 71/2019, dan Permenkominfo 20/2016. UU PDP menyatukan dan memperkuat kerangka hukum ini menjadi satu undang-undang yang koheren.

UU PDP diberikan masa transisi selama 2 tahun, yang berarti penegakan penuh dimulai pada Oktober 2024. Selama masa transisi, pengendali dan prosesor data diwajibkan untuk menyesuaikan sistem, kebijakan, dan prosedur mereka.

Jenis data pribadi yang dilindungi

UU PDP membedakan dua kategori data pribadi:

• Data pribadi bersifat umum: nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan data pribadi lain yang dikombinasikan dapat mengidentifikasi seseorang
• Data pribadi bersifat spesifik: data kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi, dan data lain yang jika diproses dapat mengakibatkan dampak lebih besar bagi subjek data

Data pribadi bersifat spesifik mendapat perlindungan yang lebih ketat dan memerlukan persetujuan eksplisit untuk pemrosesannya.

Hak-hak subjek data

UU PDP memberikan sejumlah hak kepada subjek data (pemilik data pribadi):

• Hak mendapatkan informasi: mengetahui identitas pengendali data, dasar pemrosesan, tujuan, dan jangka waktu penyimpanan
• Hak mengakses: memperoleh salinan data pribadi yang diproses
• Hak memperbaiki: meminta perbaikan data yang tidak akurat atau tidak lengkap
• Hak menghapus: meminta penghapusan data pribadi (hak untuk dilupakan)
• Hak menarik persetujuan: mencabut persetujuan yang telah diberikan
• Hak menolak: keberatan atas pemrosesan data otomatis, termasuk profiling
• Hak menunda/membatasi: meminta penundaan atau pembatasan pemrosesan
• Hak portabilitas: memindahkan data pribadi ke pengendali data lain

Kewajiban pengendali data

Pengendali data (perusahaan atau organisasi yang menentukan tujuan dan cara pemrosesan data) memiliki sejumlah kewajiban:

• Memiliki dasar hukum yang sah untuk memproses data pribadi, termasuk persetujuan subjek data
• Menjaga kerahasiaan dan keamanan data pribadi
• Memberikan pemberitahuan dalam waktu 3x24 jam jika terjadi pelanggaran data (data breach)
• Melakukan penilaian dampak (Data Protection Impact Assessment) untuk pemrosesan berisiko tinggi
• Menunjuk petugas pelindungan data (Data Protection Officer) dalam kondisi tertentu
• Memastikan transfer data lintas batas hanya dilakukan ke negara dengan tingkat perlindungan yang setara atau dengan mekanisme pelindungan yang memadai

Sanksi pelanggaran

UU PDP menetapkan sanksi yang cukup berat:

• Sanksi administratif: peringatan tertulis, penghentian sementara kegiatan pemrosesan, penghapusan data pribadi, dan denda administratif hingga 2% dari pendapatan tahunan
• Sanksi pidana:
  • Mengumpulkan data pribadi secara tidak sah: penjara maksimal 5 tahun dan/atau denda maksimal Rp5 miliar
  • Mengungkapkan data pribadi secara tidak sah: penjara maksimal 4 tahun dan/atau denda maksimal Rp4 miliar
  • Membuat data pribadi palsu: penjara maksimal 6 tahun dan/atau denda maksimal Rp6 miliar

Untuk badan hukum (korporasi), pidana denda dapat dijatuhkan hingga 10 kali lipat dari denda maksimal.

Lembaga pengawas yang masih dalam pembentukan

Salah satu tantangan terbesar UU PDP adalah belum terbentuknya lembaga pengawas independen. UU PDP mengamanatkan pembentukan lembaga ini oleh Presiden, namun hingga masa transisi berakhir, pembentukannya masih dalam proses.

Tanpa lembaga pengawas yang beroperasi penuh, penegakan UU PDP menghadapi kendala signifikan. Saat ini, fungsi pengawasan masih dilakukan oleh Kementerian Komunikasi dan Informatika (Kominfo), yang menimbulkan pertanyaan tentang independensi pengawasan mengingat pemerintah sendiri juga merupakan pengendali data.

Perbandingan dengan GDPR

UU PDP sering dibandingkan dengan GDPR (General Data Protection Regulation) Uni Eropa, dan memang banyak kesamaan:

• Kesamaan: hak subjek data yang komprehensif, kewajiban notifikasi pelanggaran, penilaian dampak, penunjukan DPO, aturan transfer data lintas batas
• Perbedaan utama:
  • GDPR mengenakan denda hingga 4% dari pendapatan global tahunan atau EUR 20 juta; UU PDP membatasi denda administratif di 2% dari pendapatan tahunan
  • UU PDP memiliki sanksi pidana (penjara), sementara GDPR murni administratif
  • Lembaga pengawas GDPR (DPA) sudah beroperasi di setiap negara anggota EU; lembaga pengawas UU PDP masih dalam pembentukan
  • GDPR memiliki efek ekstrateritorial yang kuat; jangkauan ekstrateritorial UU PDP masih perlu diuji dalam praktik

Cara melindungi data pribadi Anda

Meskipun UU PDP memberikan kerangka hukum, perlindungan terbaik tetap dimulai dari langkah-langkah teknis yang Anda ambil sendiri:

• Gunakan VPN: mengenkripsi lalu lintas internet Anda sehingga penyedia internet dan pihak ketiga tidak dapat melihat aktivitas online Anda
• Periksa izin aplikasi: batasi akses aplikasi ke data yang benar-benar diperlukan
• Baca kebijakan privasi: pahami bagaimana data Anda dikumpulkan dan digunakan sebelum mendaftar layanan
• Gunakan autentikasi dua faktor (2FA): tambahkan lapisan keamanan ekstra pada akun-akun penting
• Minimalkan data: jangan berikan data pribadi lebih dari yang diperlukan

Escudo VPN mengenkripsi seluruh lalu lintas internet Anda dengan WireGuard dan perlindungan pasca-kuantum melalui Rosenpass. Selain itu, Escudo memblokir pelacak iklan, domain malware, dan skrip pelacakan di tingkat DNS.