Digital Marketing
UU PDP (Undang-Undang Perlindungan Data Pribadi)
TL;DR: UU PDP (UU No. 27 Tahun 2022) adalah regulasi perlindungan data pribadi pertama Indonesia yang efektif penuh sejak Oktober 2024. Setiap website atau aplikasi yang mengumpulkan data warga negara Indonesia, baik dari dalam maupun luar negeri, wajib memenuhi syarat consent eksplisit, hak akses subjek data, dan jejak pemrosesan, dengan sanksi sampai 2 persen dari pendapatan tahunan.
Apa itu UU PDP?
UU PDP adalah payung hukum perlindungan data pribadi di Indonesia, disahkan pada 17 Oktober 2022 dan masuk masa transisi dua tahun. Sejak Oktober 2024 seluruh ketentuan, termasuk sanksi administratif, berlaku penuh. Regulasi ini mengikat baik penyelenggara dalam negeri maupun pihak luar yang memproses data warga negara Indonesia, mirip cakupan ekstrateritorial pada GDPR Eropa.
UU PDP membagi data menjadi dua kategori, yaitu data pribadi umum (nama, email, nomor telepon) dan data pribadi spesifik (data biometrik, kesehatan, keuangan, anak, data genetik, orientasi seksual). Kategori spesifik membutuhkan persetujuan yang lebih ketat dan basis hukum tambahan. Penyelenggara wajib menyusun dasar pemrosesan, menyimpan jejak, dan menyediakan mekanisme bagi subjek data untuk mengakses, mengoreksi, atau menghapus datanya.
Kewajiban Inti yang Sering Terlewat
| Kewajiban | Bentuk Implementasi |
|---|---|
| Consent eksplisit | Checkbox tidak pre-checked, bahasa jelas, log waktu setuju |
| Pemberitahuan tujuan | Privacy notice yang menyebut tujuan, basis hukum, retensi |
| Hak akses subjek | Endpoint atau prosedur unduh dan hapus data dalam 3 hari kerja |
| Jejak pemrosesan | Log siapa mengakses, kapan, untuk tujuan apa |
| DPO (jika wajib) | Wajib jika memproses data pribadi spesifik dalam skala besar |
| Notifikasi insiden | Lapor 3 x 24 jam ke otoritas dan subjek data jika terjadi kebocoran |
Kenapa Penting bagi Website Bisnis Indonesia?
Banyak pemilik website mengira UU PDP hanya relevan untuk perusahaan besar. Pada kenyataannya bahkan website company profile yang punya form kontak sudah masuk lingkup. Praktik yang saya temukan di beberapa proyek 2025-2026, banyak landing page UMKM di Indonesia masih memakai checkbox consent default tercentang dan tidak memiliki halaman privacy yang menyebut tujuan pemrosesan secara spesifik. Risiko ini jadi dua arah, bukan hanya sanksi tapi juga kehilangan kepercayaan ketika kompetitor lebih transparan.
Penyelenggara perlu pula memikirkan data residency dan kontrak dengan vendor pengolah data, karena tanggung jawab tetap di pengendali data meskipun pengolahnya pihak ketiga. Sanksi maksimal 2 persen dari pendapatan tahunan menjadikan compliance bukan sekadar opsi etika, tapi kalkulasi risiko bisnis. Otoritas pelaksana resmi diatur lebih lanjut lewat aturan turunan, namun komitmen praktik privacy-by-design sudah harus dimulai sekarang.
Pertanyaan Umum
Apakah UU PDP sama dengan GDPR?
Tidak persis. Keduanya memiliki prinsip mirip seperti consent, hak akses, dan notifikasi insiden, tetapi UU PDP punya nuansa lokal seperti pengakuan adat dan periode notifikasi 3 x 24 jam yang lebih ketat. Lihat juga GDPR vs UU PDP untuk perbandingan praktis.
Apakah website kecil wajib patuh?
Ya, lingkup UU PDP tidak membedakan ukuran usaha. Yang berbeda hanya tingkat kewajiban administratif, misalnya kebutuhan menunjuk DPO hanya untuk pengolahan skala besar atau data spesifik.
Istilah Terkait