Human Risk Management Institute

UU PDP dan Dampaknya bagi Bisnis: Kewajiban & Sanksi

Written by Nur Rachmi Latifa | 01 Jul 2026

Undang-Undang Pelindungan Data Pribadi (UU PDP) adalah UU No. 27 Tahun 2022 yang mewajibkan setiap bisnis pengelola data pelanggan, karyawan, dan mitra untuk melindungi data itu, melaporkan kebocoran dalam 3x24 jam, serta menghormati hak pemilik data. Aturan ini berlaku penuh sejak 17 Oktober 2024, dan pelanggarnya menghadapi denda administratif hingga 2% pendapatan tahunan serta ancaman pidana miliaran rupiah.

Buat pemilik usaha, UU PDP bukan sekadar dokumen hukum. Ia mengubah cara Anda mengumpulkan formulir pelanggan, menyimpan data HR, sampai memilih vendor cloud. Artikel ini fokus pada dampak praktis UU PDP bagi bisnis: apa yang wajib Anda lakukan, berapa sanksinya, dan dari mana harus mulai.

Apa Itu UU PDP dan Mengapa Berdampak Langsung ke Bisnis Anda

UU PDP disahkan DPR pada 20 September 2022 dan menjadikan Indonesia negara ASEAN kelima yang punya undang-undang khusus perlindungan data pribadi, setelah Singapura, Malaysia, Thailand, dan Filipina. Isinya 16 bab dan 76 pasal, dengan masa transisi dua tahun yang berakhir 17 Oktober 2024. Artinya, sejak tanggal itu seluruh kewajiban sudah mengikat penuh dan bisa ditegakkan (Komdigi).

Yang membuat UU ini berbeda dari aturan sebelumnya: ia menempatkan tanggung jawab pada pihak yang mengumpulkan data, bukan pada individu yang datanya dikumpulkan. Toko online yang menyimpan nomor telepon pembeli, perusahaan yang menyimpan slip gaji karyawan, atau klinik yang menyimpan rekam medis pasien, semuanya masuk kategori pengelola data dan wajib patuh. UU PDP juga membagi data pribadi menjadi dua: data umum (nama, alamat, nomor telepon) dan data spesifik yang lebih sensitif (data kesehatan, biometrik, data keuangan, catatan kejahatan, dan data anak). Data spesifik menuntut pengamanan lebih ketat karena kebocorannya berisiko lebih besar bagi pemiliknya.

Pengendali vs Prosesor: Peran Bisnis Anda Menentukan Kewajiban

UU PDP mengenal dua peran, dan bisnis Anda hampir pasti masuk salah satunya. Pengendali data pribadi adalah pihak yang menentukan tujuan dan mengendalikan pemrosesan data, misalnya perusahaan yang memutuskan mengumpulkan data pelanggan untuk program loyalitas. Prosesor data pribadi adalah pihak yang memproses data atas perintah pengendali, misalnya vendor payroll atau penyedia layanan cloud yang Anda sewa (Pasal 1 UU PDP, via Klinik Hukumonline).

Perbedaan ini penting karena beban kewajibannya berbeda. Sebagai pengendali, Anda bertanggung jawab penuh atas seluruh siklus data, dari pengumpulan sampai pemusnahan. Sebagai prosesor, Anda wajib bekerja sesuai instruksi pengendali dan tidak boleh memakai data untuk tujuan lain. Satu perusahaan bisa berperan ganda: menjadi pengendali atas data karyawannya sendiri, sekaligus prosesor saat mengolah data klien. Memetakan peran ini adalah langkah pertama sebelum menyusun kepatuhan.

Kewajiban Utama Pengendali Data Menurut UU PDP

UU PDP membebankan sejumlah kewajiban konkret pada pengendali data. Berikut yang paling berdampak pada operasional harian bisnis:

  • Punya dasar pemrosesan yang sah. Anda tidak boleh mengumpulkan data tanpa alasan hukum. Dasar yang paling umum adalah persetujuan (consent) yang eksplisit dan spesifik dari pemilik data, disertai informasi tujuan pemakaian (Pasal 20 UU PDP).
  • Batasi data sesuai tujuan. Data hanya boleh diproses untuk tujuan yang sudah disampaikan. Formulir yang meminta data KTP untuk sekadar mendaftar newsletter melanggar prinsip ini.
  • Rekam aktivitas pemrosesan. Pengendali wajib mencatat seluruh kegiatan pemrosesan data (Pasal 31), sehingga jika diaudit, Anda bisa menunjukkan siapa mengakses data apa dan kapan.
  • Terapkan pengamanan teknis. Anda wajib melindungi data dari akses tidak sah dengan langkah teknis dan operasional yang sesuai tingkat risikonya (Pasal 35).
  • Hapus data yang tak lagi relevan. Data yang sudah tidak diperlukan atau diminta hapus oleh pemiliknya wajib dimusnahkan, kecuali ada kewajiban hukum lain untuk menyimpannya.

Kewajiban ini mengubah pekerjaan tim non-IT juga. Staf HR yang menyimpan CV pelamar bertahun-tahun, atau tim marketing yang membeli daftar kontak, kini berhadapan langsung dengan risiko hukum. Karena itu, kesadaran seluruh karyawan menjadi bagian dari kepatuhan, bukan hanya urusan divisi keamanan. Kami membahas sisi ini lebih jauh dalam panduan peran karyawan dalam menyimpan dan menghapus data sesuai UU PDP.

Kewajiban Lapor Kebocoran Data dalam 3x24 Jam

Inilah kewajiban yang paling sering luput dipahami bisnis. Jika terjadi kegagalan perlindungan data, misalnya database bocor atau diretas, pengendali data wajib menyampaikan pemberitahuan tertulis paling lambat 3x24 jam kepada pemilik data dan lembaga pengawas (Pasal 46 UU PDP, via Klinik Hukumonline).

Pemberitahuan itu minimal harus memuat tiga hal: data apa yang terungkap, kapan dan bagaimana kebocoran terjadi, serta upaya penanganan yang sudah dilakukan. Dalam kasus tertentu, Anda bahkan wajib mengumumkannya ke publik. Batas 3x24 jam ini menuntut kesiapan sebelum insiden terjadi, karena mustahil menyusun laporan akurat dalam tiga hari jika Anda tidak tahu data apa saja yang Anda simpan dan di mana. Bisnis yang sudah punya prosedur respons insiden dan pemantauan kebocoran akan jauh lebih siap memenuhi tenggat ini. Untuk gambaran langkah pascainsiden, lihat pembahasan kami tentang hal yang harus dilakukan jika data pribadi bocor.

Berapa Denda dan Sanksi UU PDP bagi Bisnis?

UU PDP mengatur dua jalur sanksi: administratif dan pidana. Keduanya bisa dikenakan sekaligus tergantung jenis pelanggaran.

Sanksi administratif diatur di Pasal 57 dan berlaku bagi pengendali maupun prosesor yang melanggar kewajiban pemrosesan. Bentuknya bertingkat: peringatan tertulis, penghentian sementara pemrosesan data, penghapusan atau pemusnahan data, dan denda administratif paling tinggi 2% dari pendapatan atau penerimaan tahunan (Komdigi). Untuk perusahaan dengan pendapatan tahunan Rp100 miliar, denda ini bisa mencapai Rp2 miliar untuk satu variabel pelanggaran.

Sanksi pidana diatur di Pasal 67 sampai 73, dan menyasar perbuatan seperti mengumpulkan, mengungkapkan, atau memalsukan data pribadi yang bukan miliknya secara melawan hukum. Untuk perorangan, ancamannya penjara maksimal 4 sampai 6 tahun dan denda maksimal Rp4 miliar hingga Rp6 miliar. Menjual atau membeli data pribadi diancam penjara maksimal 5 tahun atau denda hingga Rp5 miliar (Pasal 67), sedangkan memalsukan data diancam 6 tahun atau denda hingga Rp6 miliar (Pasal 68) (Komdigi).

Yang perlu dicatat pemilik usaha: jika tindak pidana dilakukan korporasi, dendanya bisa 10 kali lipat dari denda pokok (Pasal 70). Artinya denda jual-beli data dapat membengkak menjadi Rp50 miliar dan pemalsuan data menjadi Rp60 miliar, ditambah pidana tambahan seperti perampasan keuntungan sampai pembekuan atau pembubaran usaha. Ringkasan berikut memudahkan perbandingan tingkat sanksi.

Jenis PelanggaranDasar HukumSanksi Maksimal
Melanggar kewajiban pemrosesan (administratif)Pasal 57Denda 2% pendapatan tahunan + penghentian pemrosesan
Mengungkapkan data yang bukan miliknyaPasal 67Penjara 4 tahun / denda Rp4 miliar
Menjual atau membeli data pribadiPasal 67Penjara 5 tahun / denda Rp5 miliar
Memalsukan data pribadiPasal 68Penjara 6 tahun / denda Rp6 miliar
Tindak pidana oleh korporasiPasal 70Denda 10x lipat + pembekuan/pembubaran usaha

Sumber: UU No. 27 Tahun 2022, dirangkum dari Komdigi dan Klinik Hukumonline.

UU PDP dan ISO 27001: Bagaimana Standar Membantu Kepatuhan

Salah satu pertanyaan tersering pemilik bisnis: "UU PDP itu ISO berapa?" Jawabannya, UU PDP bukan standar ISO, melainkan undang-undang. Namun keduanya saling melengkapi. ISO/IEC 27001:2022 adalah standar internasional sistem manajemen keamanan informasi yang menyediakan kerangka kerja teknis untuk memenuhi kewajiban keamanan data yang diminta UU PDP.

UU PDP menuntut pengendali menerapkan "langkah teknis operasional" untuk melindungi data (Pasal 35), tetapi tidak merinci caranya. Di sinilah ISO 27001 berperan: ia memberi kontrol konkret seperti manajemen akses, enkripsi, pencatatan aktivitas, dan prosedur respons insiden. Mengadopsi ISO 27001 tidak otomatis membuat Anda patuh UU PDP, tetapi ia mempercepat pemenuhan banyak kewajiban teknis sekaligus menjadi bukti akuntabilitas saat diaudit. Bagi bisnis yang ingin sistematis, memulai dari kerangka ISO 27001 adalah jalan pintas yang masuk akal. Pelajari lebih lanjut lewat halaman solusi ISO 27001 SiberMate.

Langkah Awal Kepatuhan UU PDP untuk Bisnis

Kepatuhan tidak harus dikerjakan sekaligus. Empat langkah awal ini realistis untuk bisnis yang baru memulai:

  • Petakan data yang Anda kelola. Buat inventaris: data apa yang dikumpulkan, disimpan di mana, siapa yang mengaksesnya, dan untuk tujuan apa. Tanpa peta ini, kewajiban lain mustahil dipenuhi.
  • Perbaiki mekanisme persetujuan. Pastikan formulir dan aplikasi Anda meminta consent yang jelas dan spesifik, bukan kotak centang tersembunyi. Sampaikan tujuan pemrosesan secara transparan.
  • Tetapkan penanggung jawab data. Untuk pengendali data skala besar, tunjuk pejabat pelindungan data (Data Protection Officer) atau minimal tim lintas fungsi dari legal, IT, dan HR.
  • Siapkan prosedur respons kebocoran. Susun rencana agar bisa melapor dalam 3x24 jam. Ini mencakup pemantauan dini, alur eskalasi internal, dan template pemberitahuan.

Karena banyak insiden kebocoran berawal dari kesalahan manusia, membangun kesadaran karyawan sama pentingnya dengan kontrol teknis. Untuk konteks regulasi yang lebih luas, Anda juga bisa membaca regulasi pelindungan data konsumen pada e-commerce dan implementasinya. SiberMate membantu perusahaan Indonesia menutup celah risiko manusia ini lewat pelatihan kesadaran dan pemantauan kebocoran data, sehingga kepatuhan UU PDP tidak berhenti di dokumen kebijakan.

Pertanyaan yang Sering Diajukan tentang UU PDP

Apakah UU PDP masih berlaku?

Ya. UU PDP (UU No. 27 Tahun 2022) berlaku penuh sejak 17 Oktober 2024 setelah masa transisi dua tahun berakhir. Seluruh kewajiban dan sanksinya kini mengikat pengendali maupun prosesor data.

Berapa denda UU PDP?

Denda administratif paling tinggi 2% dari pendapatan tahunan. Untuk pidana, denda bagi perorangan maksimal Rp4 miliar hingga Rp6 miliar (Pasal 67-68). Jika pelakunya korporasi, denda dapat dikalikan 10 (Pasal 70), sehingga jual-beli data bisa mencapai Rp50 miliar dan pemalsuan data Rp60 miliar.

UU PDP ISO berapa?

UU PDP bukan standar ISO, melainkan undang-undang Indonesia. Namun ISO/IEC 27001:2022 sering dipakai sebagai kerangka teknis untuk memenuhi kewajiban keamanan data yang diminta UU PDP, karena menyediakan kontrol konkret yang tidak dirinci undang-undang.

Apa saja jenis data pribadi menurut UU PDP?

UU PDP membagi data pribadi menjadi dua: data umum (seperti nama, alamat, dan nomor telepon) dan data spesifik (seperti data kesehatan, biometrik, data keuangan, catatan kejahatan, dan data anak). Data spesifik wajib mendapat pengamanan lebih ketat.

Kapan bisnis wajib melaporkan kebocoran data?

Pengendali data wajib memberi tahu pemilik data dan lembaga pengawas secara tertulis paling lambat 3x24 jam sejak kegagalan perlindungan data diketahui, sesuai Pasal 46 UU PDP.