Pemahaman GDPR dan Perlindungan Data Pribadi (UU PDP)
Data pribadi kini menjadi aset yang sangat berharga. Masalahnya, banyak orang dan pelaku usaha masih mencampuradukkan GDPR di Uni Eropa dengan aturan di Indonesia. Akibatnya, kebijakan privasi, formulir persetujuan, sampai tata kelola data pelanggan sering dibuat tidak tepat sasaran.
Jika bisnis, e-commerce, lembaga, atau bahkan usaha rumahan mengumpulkan nama, nomor telepon, email, alamat, data pembayaran, atau data pelanggan lainnya tanpa dasar hukum dan pengamanan yang jelas, risikonya bukan hanya kehilangan kepercayaan pelanggan, tetapi juga sanksi administratif dan pidana.
Karena itu, penting untuk memahami bahwa Indonesia memiliki aturan sendiri, yaitu Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Artikel ini akan membantu Anda memahami perbedaan GDPR dan UU PDP, hak subjek data, kewajiban pengendali data, contoh praktik, sanksi, dan langkah kepatuhan yang perlu dilakukan.
Daftar Isi
- Apa itu GDPR dan UU PDP?
- Apa itu data pribadi?
- Perbedaan GDPR dan UU PDP Indonesia
- Hak subjek data pribadi
- Kewajiban pengendali dan prosesor data
- Sanksi dan denda dalam UU PDP
- Langkah kepatuhan untuk bisnis dan organisasi
- Contoh perusahaan yang terkena denda GDPR
- FAQ
Apa itu GDPR dan UU PDP?
GDPR adalah singkatan dari General Data Protection Regulation, yaitu regulasi Uni Eropa yang disahkan pada 27 April 2016 dan mulai berlaku pada 25 Mei 2018. GDPR mengatur perlindungan data pribadi warga Uni Eropa dan berlaku luas terhadap organisasi yang memproses data subjek data di wilayah tersebut.
UU PDP Indonesia adalah Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. Jadi, istilah yang benar untuk Indonesia bukan “GDPR Indonesia”, melainkan UU PDP. Aturan ini menjadi dasar hukum utama pelindungan data pribadi di Indonesia.
Singkatnya: GDPR adalah regulasi Uni Eropa, sedangkan UU PDP adalah undang-undang perlindungan data pribadi yang berlaku di Indonesia.
Mengapa banyak orang salah paham?
Karena keduanya sama-sama mengatur privasi dan perlindungan data pribadi. Namun dasar hukum, cakupan, mekanisme pengawasan, dan sanksinya tidak sama. Bagi perusahaan Indonesia, memahami perbedaan ini sangat penting agar kebijakan privasi dan operasional tidak salah arah.
Apakah data pribadi itu?
Data pribadi adalah setiap data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi, baik secara langsung maupun tidak langsung, melalui sistem elektronik maupun nonelektronik.
Contoh data pribadi antara lain:
- Nama lengkap
- Alamat rumah
- Nomor telepon
- Alamat email
- Nomor identitas
- Data keuangan pribadi
- Rekam medis
- Data biometrik
- Foto wajah yang dapat mengidentifikasi seseorang
Jenis data pribadi dalam UU PDP
UU PDP membagi data pribadi menjadi dua kelompok besar:
1. Data Pribadi yang Bersifat Spesifik
- Data dan informasi kesehatan
- Data biometrik
- Data genetika
- Catatan kejahatan
- Data anak
- Data keuangan pribadi
- Data lainnya sesuai ketentuan peraturan perundang-undangan
2. Data Pribadi yang Bersifat Umum
- Nama lengkap
- Jenis kelamin
- Kewarganegaraan
- Agama
- Status perkawinan
- Data pribadi yang dikombinasikan untuk mengidentifikasi seseorang
Perbedaan GDPR dan UU PDP Indonesia
| Aspek | GDPR | UU PDP Indonesia |
|---|---|---|
| Wilayah hukum | Uni Eropa | Indonesia |
| Dasar hukum | Regulation (EU) 2016/679 | UU No. 27 Tahun 2022 |
| Mulai berlaku | 25 Mei 2018 | 17 Oktober 2024 (setelah masa transisi) |
| Subjek yang diatur | Pengendali dan pemroses data yang memproses data subjek di UE | Pengendali dan prosesor data pribadi di Indonesia |
| Notifikasi kebocoran data | Umumnya 72 jam ke otoritas | 3 x 24 jam kepada subjek data dan lembaga |
| Sanksi administratif | Sangat besar, bergantung pelanggaran | Sampai 2% dari pendapatan tahunan/penerimaan tahunan |
| Sanksi pidana | Tidak menjadi fokus utama GDPR | Diatur tegas dalam UU PDP |
Kesimpulan penting: Jika Anda berbisnis di Indonesia, patokan utama Anda adalah UU PDP. Jika Anda juga memproses data warga Uni Eropa, barulah Anda perlu mematuhi GDPR secara bersamaan.
Memahami Peraturan Perlindungan Data Pribadi Indonesia: Persyaratan, Konsekuensi, dan Contoh
Pada praktiknya, perlindungan data pribadi bukan hanya soal menyimpan data secara aman. Organisasi juga harus mempunyai dasar pemrosesan yang jelas, transparan dalam penggunaan data, dan siap memenuhi hak pemilik data.
Persyaratan utama perlindungan data pribadi
- Persetujuan: individu harus memberikan persetujuan apabila dasar pemrosesannya memang berdasarkan persetujuan.
- Transparansi: organisasi harus menjelaskan siapa yang mengumpulkan data, untuk tujuan apa, dan bagaimana data digunakan.
- Keamanan: data pribadi harus dilindungi dari akses, pengungkapan, penggunaan, perubahan, atau kehilangan yang tidak sah.
- Retensi data: data tidak boleh disimpan lebih lama dari yang diperlukan untuk tujuan pemrosesan.
- Akuntabilitas: pengendali data harus mampu menunjukkan bahwa kewajiban perlindungan data telah dilaksanakan.
Contoh sederhana dalam praktik
- Perusahaan e-commerce yang mengumpulkan data pelanggan untuk pengiriman barang wajib menjelaskan tujuan penggunaan data, menjaga keamanan data, dan tidak menggunakan data itu untuk promosi lain tanpa dasar yang sah.
- Klinik kesehatan yang mengumpulkan rekam medis wajib memberikan perlindungan lebih ketat karena data kesehatan termasuk data pribadi yang bersifat spesifik.
- Lembaga pendidikan yang menyimpan data siswa wajib membatasi akses hanya untuk pihak yang berkepentingan.
Terkait pengelolaan dokumen dan hak menahan dokumen, baca juga:
Hak Retensi: Penjelasan dan Contoh
Hak subjek data pribadi
UU PDP memberikan sejumlah hak penting kepada pemilik data pribadi. Hak ini perlu diketahui baik oleh masyarakat maupun oleh pelaku usaha.
- Hak memperoleh informasi tentang identitas pihak yang meminta data, dasar kepentingan hukum, tujuan penggunaan data, dan akuntabilitas pihak yang meminta data.
- Hak melengkapi, memperbarui, dan memperbaiki kesalahan atau ketidakakuratan data pribadi.
- Hak mendapatkan akses dan salinan data pribadi tentang dirinya.
- Hak mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi dalam kondisi tertentu.
- Hak menarik kembali persetujuan atas pemrosesan data pribadi.
- Hak menunda atau membatasi pemrosesan dalam kondisi tertentu.
- Hak menggugat dan menerima ganti rugi bila terjadi pelanggaran atas pemrosesan data pribadi.
Mengapa hak ini penting?
Karena data pribadi bukan sekadar angka atau file digital. Data pribadi berkaitan langsung dengan identitas, martabat, rasa aman, dan hak konstitusional seseorang.
Kewajiban pengendali dan prosesor data pribadi
Dalam UU PDP, Pengendali Data Pribadi adalah pihak yang menentukan tujuan dan melakukan kendali pemrosesan data pribadi. Prosesor Data Pribadi adalah pihak yang memproses data atas nama pengendali data.
Kewajiban utama
- Melindungi dan memastikan keamanan data pribadi yang diproses.
- Menjaga kerahasiaan data pribadi.
- Mengawasi pihak yang terlibat dalam pemrosesan data di bawah kendalinya.
- Mencegah pemrosesan yang tidak sah.
- Mencegah akses tidak sah dengan sistem keamanan yang andal, aman, dan bertanggung jawab.
- Menghapus atau memusnahkan data sesuai ketentuan bila tujuan pemrosesan telah berakhir atau ada permintaan yang sah.
- Memberitahukan kegagalan perlindungan data pribadi paling lambat 3 x 24 jam.
Kapan wajib menunjuk petugas perlindungan data?
Pengendali dan/atau prosesor data wajib menunjuk pejabat atau petugas yang melaksanakan fungsi perlindungan data pribadi apabila:
- pemrosesan data dilakukan untuk kepentingan pelayanan publik;
- kegiatan inti memerlukan pemantauan data pribadi secara teratur dan sistematis dalam skala besar; atau
- kegiatan inti memproses data pribadi yang bersifat spesifik dan/atau data terkait tindak pidana dalam skala besar.
Notifikasi kebocoran data
Jika terjadi kegagalan pelindungan data pribadi, pengendali data wajib menyampaikan pemberitahuan tertulis paling lambat 3 x 24 jam kepada:
- Subjek Data Pribadi; dan
- Lembaga.
Pemberitahuan tersebut minimal memuat:
- data pribadi yang terungkap;
- kapan dan bagaimana data terungkap; dan
- upaya penanganan dan pemulihan yang dilakukan.
Konsekuensi dari Ketidakpatuhan Perlindungan Data Pribadi di Indonesia
Organisasi yang tidak patuh tidak hanya berisiko mendapatkan denda, tetapi juga kehilangan kepercayaan pelanggan, mitra bisnis, dan publik.
- Denda administratif
- Penghentian sementara pemrosesan data
- Penghapusan atau pemusnahan data
- Tuntutan ganti rugi
- Kerusakan reputasi
- Sanksi pidana dalam kasus tertentu
Sanksi administratif
Sanksi administratif dalam UU PDP meliputi:
- Peringatan tertulis
- Penghentian sementara kegiatan pemrosesan data pribadi
- Penghapusan atau pemusnahan data pribadi
- Denda administratif
Denda administratif dapat dikenakan paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.
Sanksi pidana dan denda
Berikut gambaran sanksi pidana utama dalam UU PDP:
| Pelanggaran | Ancaman Pidana | Denda Maksimal |
|---|---|---|
| Memperoleh atau mengumpulkan data pribadi secara melawan hukum | Penjara paling lama 5 tahun | Rp5.000.000.000 |
| Mengungkapkan data pribadi secara melawan hukum | Penjara paling lama 4 tahun | Rp4.000.000.000 |
| Menggunakan data pribadi secara melawan hukum | Penjara paling lama 5 tahun | Rp5.000.000.000 |
| Membuat atau memalsukan data pribadi | Penjara paling lama 6 tahun | Rp6.000.000.000 |
Pidana untuk korporasi
Jika pelanggaran dilakukan oleh korporasi, pidana dapat dijatuhkan kepada:
- pengurus,
- pemegang kendali,
- pemberi perintah,
- pemilik manfaat, dan/atau
- korporasi.
Pidana denda untuk korporasi dapat dikenakan hingga 10 kali dari maksimal pidana denda yang diancamkan kepada pelaku perseorangan.
Pidana tambahan untuk korporasi
- Perampasan keuntungan dan/atau harta kekayaan hasil tindak pidana
- Pembekuan seluruh atau sebagian usaha korporasi
- Pelarangan permanen melakukan perbuatan tertentu
- Penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi
- Melaksanakan kewajiban yang telah dilalaikan
- Pembayaran ganti kerugian
- Pencabutan izin
- Pembubaran korporasi
Landasan konstitusional
Perlindungan data pribadi juga berkaitan dengan Pasal 28G ayat (1) UUD 1945, yang menegaskan hak setiap orang atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan rasa aman.
Langkah yang dapat Anda ambil untuk memastikan kepatuhan terhadap GDPR dan UU PDP
Sebagai klien, pemilik bisnis, atau instansi pemerintah, berikut langkah praktis yang dapat dilakukan:
1. Pahami regulasi yang berlaku
Pahami perbedaan antara GDPR dan UU PDP. Jangan langsung menyalin kebijakan dari website luar negeri tanpa menyesuaikannya dengan hukum Indonesia.
2. Tinjau praktik data Anda saat ini
Periksa bagaimana Anda mengumpulkan, menyimpan, memproses, membagikan, dan menghapus data pribadi.
3. Buat kebijakan privasi yang jelas
Kebijakan privasi harus mudah dipahami, menjelaskan tujuan penggunaan data, hak pemilik data, dan kontak pengaduan.
4. Dapatkan persetujuan bila diperlukan
Persetujuan harus jelas, bebas, dan spesifik. Jangan menggunakan kotak persetujuan yang samar atau dipaksa.
5. Batasi akses ke data pribadi
Hanya pihak yang benar-benar membutuhkan data tersebut yang boleh diberi akses.
6. Terapkan pengamanan teknis dan organisasi
- Password kuat
- Enkripsi
- Kontrol akses
- Pencatatan aktivitas
- Pelatihan karyawan
- Manajemen vendor/pihak ketiga
7. Siapkan prosedur penanganan insiden
Jika terjadi kebocoran data, organisasi harus siap bergerak cepat: identifikasi insiden, lakukan pemulihan, dan kirim notifikasi tepat waktu.
8. Tunjuk petugas perlindungan data jika wajib
Organisasi yang masuk kategori tertentu harus menunjuk petugas perlindungan data pribadi.
9. Tinjau praktik data secara rutin
Kepatuhan bukan pekerjaan sekali jadi. Audit internal perlu dilakukan secara berkala.
10. Edukasi tim
Banyak kebocoran data terjadi karena kelalaian manusia. Pelatihan internal sangat penting.
Untuk masalah sengketa hukum dan kewajiban perdata/pidana, baca juga:
Seseorang Dipidana Karena Tidak Mampu Membayar Utang, Bisa Tidak? Pidana atau Perdata?
Contoh perusahaan yang terkena denda karena tidak patuh dengan GDPR
Berikut adalah beberapa contoh nyata perusahaan besar yang pernah menerima sanksi dalam konteks GDPR. Contoh-contoh ini penting untuk menunjukkan bahwa pelanggaran privasi bisa berakibat sangat serius.
Pada Januari 2019, otoritas perlindungan data Prancis, CNIL, mendenda Google sebesar €50 juta karena pelanggaran terkait transparansi dan persetujuan pengguna.
Marriott International
Pada tahun 2020, Marriott dikenai denda oleh ICO Inggris terkait pelanggaran data besar yang memengaruhi ratusan juta tamu.
H&M
H&M didenda di Jerman karena mengumpulkan dan menyimpan data pribadi karyawan secara tidak sah.
British Airways
British Airways dikenai denda oleh ICO Inggris akibat pelanggaran data yang memengaruhi data pelanggan dan pembayaran.
Amazon
Amazon juga pernah dikenai denda GDPR besar terkait pemrosesan data pribadi untuk iklan bertarget.
Pelajaran penting: pelanggaran data pribadi tidak hanya menimbulkan kerugian hukum, tetapi juga dapat merusak merek, loyalitas pelanggan, dan nilai bisnis jangka panjang.
Apakah usaha kecil atau jualan online rumahan juga bisa terkena UU PDP?
Ya, bisa. Bila Anda mengumpulkan dan memproses data pelanggan, seperti nama, nomor HP, alamat, lokasi pengiriman, atau bukti transfer, Anda perlu memperhatikan prinsip perlindungan data pribadi.
Namun, UU PDP memang menyebut bahwa undang-undang ini tidak berlaku untuk pemrosesan data pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga. Artinya, jika aktivitasnya sudah masuk ranah bisnis, pemasaran, e-commerce, atau layanan kepada publik, maka kepatuhan menjadi penting.
E-commerce Strategy: Cara Sukses Mengatur Order, Stok dan Pengiriman
Kesalahan umum bisnis dalam perlindungan data pribadi
- Mengumpulkan data terlalu banyak tanpa tujuan yang jelas
- Tidak memiliki kebijakan privasi
- Menyimpan data pelanggan terlalu lama
- Menggunakan data untuk promosi tanpa dasar yang sah
- Membagikan data ke vendor tanpa pengamanan
- Tidak memiliki prosedur jika terjadi kebocoran data
- Menganggap data pelanggan adalah milik bisnis sepenuhnya
Kesimpulan
Perlindungan data pribadi di Indonesia diatur oleh UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi, bukan oleh GDPR. GDPR tetap penting untuk dipahami, terutama bila bisnis Anda berhubungan dengan warga atau pasar Uni Eropa, tetapi untuk operasional di Indonesia, acuan utamanya adalah UU PDP.
Memahami aturan ini penting bagi individu, pemilik usaha, e-commerce, lembaga pendidikan, fasilitas kesehatan, instansi pemerintah, dan siapa pun yang memproses data pribadi. Kepatuhan bukan hanya soal menghindari sanksi, tetapi juga menjaga kepercayaan, reputasi, dan keamanan masyarakat.
FAQ: GDPR dan Perlindungan Data Pribadi (UU PDP)
1. Apakah UU PDP sama dengan GDPR?
Tidak. GDPR adalah regulasi Uni Eropa, sedangkan UU PDP adalah undang-undang perlindungan data pribadi yang berlaku di Indonesia.
2. Kapan UU PDP Indonesia mulai berlaku?
UU No. 27 Tahun 2022 diundangkan pada 17 Oktober 2022 dan berlaku penuh setelah masa transisi dua tahun, yaitu mulai 17 Oktober 2024.
3. Apa contoh data pribadi?
Contohnya nama lengkap, alamat, nomor telepon, email, nomor identitas, data kesehatan, dan data keuangan pribadi.
4. Apakah usaha kecil wajib mematuhi UU PDP?
Jika usaha kecil mengumpulkan dan memproses data pelanggan dalam kegiatan bisnis, kepatuhan terhadap prinsip perlindungan data pribadi tetap penting.
5. Berapa batas waktu notifikasi kebocoran data dalam UU PDP?
Pengendali data wajib memberitahukan kegagalan pelindungan data pribadi paling lambat 3 x 24 jam kepada subjek data dan lembaga.
6. Apa sanksi administratif dalam UU PDP?
Sanksinya bisa berupa peringatan tertulis, penghentian sementara pemrosesan data, penghapusan atau pemusnahan data, dan denda administratif hingga 2% dari pendapatan tahunan atau penerimaan tahunan.
7. Apakah ada sanksi pidana dalam UU PDP?
Ada. Pelanggaran tertentu seperti memperoleh, mengungkapkan, menggunakan, atau memalsukan data pribadi secara melawan hukum dapat dikenai pidana penjara dan denda.
8. Kapan organisasi wajib menunjuk petugas perlindungan data pribadi?
Ketika pemrosesan dilakukan untuk pelayanan publik, pemantauan sistematis skala besar, atau pemrosesan data pribadi spesifik/tindak pidana dalam skala besar.
Informasi: PinterPandai bukan sebagai pengganti kuasa hukum dan penegak hukum. Jika Anda membutuhkan bantuan, mintalah kepada orang-orang profesional dan / atau penegak hukum.
Bacaan Lainnya
- Hak Retensi: Penjelasan dan Contoh
- Seseorang Dipidana Karena Tidak Mampu Membayar Utang, Bisa Tidak? Pidana atau Perdata?
Sumber bacaan:
Consultant4Companies,
CNBC Indonesia,
Mahkamah Konstitusi,
Hukum Online,
Kementerian Komunikasi dan Digital,
UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi,
Regulation (EU) 2016/679 – GDPR
Sumber foto utama:
geralt via
Pixabay
Pinter Pandai “Bersama-Sama Berbagi Ilmu”
Quiz | Matematika | IPA | Geografi & Sejarah | Info Unik | Lainnya | Business & Marketing
