Data Pribadi Anda di Bawah UU PDP di Indonesia

Last verified:

Sumber: UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi.

Ditinjau oleh Tim Redaksi Commoner Law. Sumber: peraturan.bpk.go.id, JDIH Kementerian Ketenagakerjaan, Mahkamah Agung, OJK, Kementerian Kesehatan, Imigrasi, dan BP2MI. Variasi provinsi mengacu pada Qanun Aceh, UU Otsus Papua, UU Keistimewaan DIY, dan Pergub DKI Jakarta. Ditulis dalam bahasa yang mudah dipahami untuk pemahaman umum — ini adalah konten edukatif, bukan nasihat hukum. Standar editorial kami

Hukum Nasional Indonesia

Apa hak ini?

Sebelum 2022, perlindungan data pribadi di Indonesia tersebar di banyak aturan sektoral — UU ITE, peraturan Kominfo, POJK perbankan — tanpa kerangka utuh. UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) mengubah itu. Berlaku penuh sejak Oktober 2024 (setelah masa transisi 2 tahun), UU ini adalah aturan paling komprehensif yang pernah dimiliki Indonesia tentang data pribadi.

Pasal 4 UU PDP membagi data pribadi menjadi dua: data umum (nama, jenis kelamin, kewarganegaraan, agama, status perkawinan) dan data spesifik (data kesehatan, biometrik, genetika, catatan kejahatan, data anak, data keuangan pribadi, dan lainnya). Data spesifik dilindungi lebih ketat — pengolahan biasanya butuh persetujuan eksplisit dan terbatas tujuannya.

Pasal 5–13 memberi 8 hak subjek data:

  • Hak meminta informasi tentang siapa yang memproses datanya, untuk apa, dan dengan dasar hukum apa.
  • Hak melengkapi atau memperbarui data.
  • Hak akses dan memperoleh salinan data pribadinya.
  • Hak menghapus data (right to erasure / "right to be forgotten").
  • Hak menarik kembali persetujuan.
  • Hak menolak pemrosesan untuk profiling otomatis.
  • Hak menggugat dan menerima ganti rugi.
  • Hak portabilitas data (memindahkan data ke pengendali lain).

Untuk pelaku usaha (pengendali data), kewajibannya ketat: punya dasar hukum pemrosesan, memberitahu kebocoran data dalam 3×24 jam ke subjek dan lembaga, menunjuk Pejabat Pelindungan Data (DPO) untuk skala tertentu, dan menjalankan Penilaian Dampak Pelindungan Data.

Sanksi UU PDP cukup berat. Pasal 57 memungkinkan sanksi administratif sampai 2% dari pendapatan tahunan. Pasal 65–67 mengatur sanksi pidana: penjara 4–6 tahun dan denda Rp4–6 miliar untuk pengumpulan, pengungkapan, atau penggunaan data pribadi tanpa hak. Yang menarik — Pasal 70 memperluas pertanggungjawaban ke pengurus korporasi (direksi), bukan hanya korporasinya.

Lembaga pengawas PDP dibentuk melalui peraturan pemerintah turunan dan terus dikukuhkan strukturnya. Sambil menunggu lembaga independen ini beroperasi penuh, fungsi pengawasan untuk sebagian besar kasus masih dijalankan Kominfo melalui aduankonten.id dan kontak resmi.

Kapan berlaku?

  • Data pribadi Anda dikumpulkan, disimpan, atau diolah oleh perusahaan, aplikasi, marketplace, atau lembaga publik.
  • Anda mengetahui (atau diberi tahu) terjadi kebocoran data yang melibatkan informasi Anda.
  • Anda ingin menarik persetujuan, menghapus akun, atau meminta data Anda dipindahkan ke layanan lain.
  • Data Anda disebarkan tanpa izin — mulai dari foto KTP yang bocor sampai data finansial yang dijual.

Apa yang dilakukan kalau data pribadi Anda disalahgunakan

  • Kirim permintaan tertulis ke pengendali data (perusahaan/aplikasi yang memproses data Anda). UU PDP Pasal 14 mewajibkan mereka menanggapi dalam waktu wajar (umumnya 3×24 jam untuk informasi awal, 14 hari untuk eksekusi).
  • Spesifik soal apa yang Anda minta: akses (kirim salinan data), koreksi (perbaiki), hapus (right to erasure), atau portabilitas (kirim dalam format yang dapat dibaca mesin).
  • Kalau pengendali tidak menanggapi atau menolak tanpa dasar, lapor ke Kominfo lewat aduankonten.id atau ke Lembaga Pengawas PDP setelah aktif. Sertakan bukti permintaan dan tanggapan (atau ketiadaan tanggapan).
  • Untuk kebocoran data: screenshot pemberitahuan kebocoran (kalau ada), simpan semua komunikasi, dan dokumentasikan kerugian (panggilan spam, percobaan penipuan).
  • Untuk pengungkapan data tidak sah (foto KTP disebar, data finansial dijual): lapor polisi dengan UU PDP Pasal 65–67 sebagai dasar, paralel dengan permintaan takedown ke Kominfo.
  • Pertimbangkan gugatan ganti rugi kalau kerugian materiil/immateriil signifikan — UU PDP Pasal 12 secara eksplisit memberi hak ini.

Apa yang TIDAK boleh Anda lakukan?

  • Jangan menyerahkan tambahan KTP/selfie ke pihak yang menghubungi Anda atas nama "verifikasi pemulihan akun" — itu modus penipuan untuk membuka akun pinjol.
  • Jangan menerima alasan "data Anda hanya dipakai internal" tanpa kebijakan privasi tertulis. UU PDP mewajibkan transparansi tujuan pemrosesan, bukan janji lisan.
  • Jangan setuju pada checkbox "saya setuju semua syarat" tanpa membaca ringkasan kebijakan privasi. Persetujuan UU PDP harus spesifik dan dapat ditarik kembali.
  • Jangan tunda pelaporan kebocoran. Semakin cepat lapor ke bank, marketplace, dan polisi, semakin kecil potensi penyalahgunaan (pinjol baru atas nama Anda, transaksi fraud).

Pertanyaan Umum

Sejak kapan UU PDP berlaku penuh?

UU No. 27/2022 disahkan Oktober 2022 dengan masa transisi dua tahun. Sejak Oktober 2024, semua pasal — termasuk sanksi administratif dan pidana — berlaku penuh. Pengendali data wajib telah menyesuaikan kebijakan privasi, prosedur pengelolaan, dan sistem keamanan datanya.

Saya minta hapus akun tapi aplikasi menolak — bisa apa?

Hak penghapusan (right to erasure) di UU PDP Pasal 9 berlaku kecuali pengendali punya dasar hukum lain (misal: kewajiban menyimpan untuk audit pajak). Kalau ditolak, mereka wajib menjelaskan dasar hukumnya tertulis. Tanpa penjelasan tertulis, eskalasi ke Kominfo aduankonten.id atau Lembaga Pengawas PDP dengan sertakan bukti permintaan dan tanggapan.

Apa beda data umum dan data spesifik?

Data umum (Pasal 4 ayat 2): nama, jenis kelamin, kewarganegaraan, agama, status perkawinan. Data spesifik (Pasal 4 ayat 3): kesehatan, biometrik (sidik jari, wajah), genetika, catatan kejahatan, data anak, data keuangan pribadi, dan data lain yang dapat menimbulkan kerugian besar bagi subjek data. Data spesifik butuh persetujuan eksplisit dan tujuan terbatas — jauh lebih ketat dibandingkan data umum.

Berapa denda pelanggar UU PDP?

Sanksi administratif (Pasal 57): teguran tertulis, penghentian sementara pemrosesan, penghapusan data, dan denda administratif sampai 2% dari pendapatan tahunan pelaku. Sanksi pidana (Pasal 65–67): pengumpulan tidak sah — 5 tahun penjara dan denda Rp5 miliar; pengungkapan tidak sah — 4 tahun dan Rp4 miliar; penggunaan tidak sah — 5 tahun dan Rp5 miliar; pemalsuan data — 6 tahun dan Rp6 miliar. Pengurus korporasi juga bisa dipidana (Pasal 70).

Kapan data pribadi anda di bawah uu pdp berlaku?

Data pribadi Anda dikumpulkan, disimpan, atau diolah oleh perusahaan, aplikasi, marketplace, atau lembaga publik.Anda mengetahui (atau diberi tahu) terjadi kebocoran data yang melibatkan informasi Anda.Anda ingin menarik persetujuan, menghapus akun, atau meminta data Anda dipindahkan ke layanan lain.Data Anda disebarkan tanpa izin — mulai dari foto KTP yang bocor sampai data finansial yang dijual.

Data pribadi saya bocor — apa hak saya di Indonesia?

Kirim permintaan tertulis ke pengendali data (perusahaan/aplikasi yang memproses data Anda). UU PDP Pasal 14 mewajibkan mereka menanggapi dalam waktu wajar (umumnya 3×24 jam untuk informasi awal, 14 hari untuk eksekusi).Spesifik soal apa yang Anda minta: akses (kirim salinan data), koreksi (perbaiki), hapus (right to erasure), atau portabilitas (kirim dalam format yang dapat dibaca mesin).Kalau pengendali tidak menanggapi atau menolak tanpa dasar, lapor ke Kominfo lewat aduankonten.id atau ke Lembaga Pengawas PDP setelah aktif. Sertakan bukti permintaan dan tanggapan (atau ketiadaan tanggapan)...

Kesalahan apa yang harus saya hindari dengan data pribadi anda di bawah uu pdp?

Jangan menyerahkan tambahan KTP/selfie ke pihak yang menghubungi Anda atas nama "verifikasi pemulihan akun" — itu modus penipuan untuk membuka akun pinjol.Jangan menerima alasan "data Anda hanya dipakai internal" tanpa kebijakan privasi tertulis. UU PDP mewajibkan transparansi tujuan pemrosesan, bukan janji lisan.Jangan setuju pada checkbox "saya setuju semua syarat" tanpa membaca ringkasan kebijakan privasi. Persetujuan UU PDP harus spesifik dan dapat ditarik kembali.Jangan tunda pelaporan kebocoran. Semakin cepat lapor ke bank, marketplace, dan polisi, semakin k...

More in Hak Konsumen

Pengaduan ke BPSK (Badan Penyelesaian Sengketa Konsumen)BPSK adalah pintu pertama yang dirancang UU untuk menyelesaikan sengketa konsumen tanpa harus ke pengadilan. Lembaga ini...Read more →Barang Cacat & Hak GaransiUUPK menempatkan hak konsumen di Pasal 4 dan kewajiban pelaku usaha di Pasal 7 sebagai dua sisi mata uang yang sama. Yan...Read more →Belanja Online — E-Commerce & MarketplaceBelanja online di Indonesia tunduk pada lapisan aturan yang khas. Lapisan pertama tetap UUPK — semua hak refund, penggan...Read more →

Related Topics

Hak PekerjaKontrak Kerja: PKWT vs PKWTTHak Wajib PajakNPWP & Kewajiban Lapor SPT Tahunan
← Browse all Hak Konsumen

Last verified:

You came here to know your rights — help someone else know theirs.

Support This Mission