Hak Anda di Bawah UU PDP 27/2022 Indonesia (Panduan Hukum 2026) — Aturan & Persyaratan

Last verified:

Sumber: UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) — berlaku efektif 17 Oktober 2024; Kementerian Komunikasi dan Digital (Komdigi) — penegak interim sampai Lembaga PDP terbentuk.

About this article

Ditinjau oleh Tim Redaksi Commoner Law. Sumber: peraturan.bpk.go.id, JDIH Kementerian Ketenagakerjaan, Mahkamah Agung, OJK, Kementerian Kesehatan, Imigrasi, dan BP2MI. Variasi provinsi mengacu pada Qanun Aceh, UU Otsus Papua, UU Keistimewaan DIY, dan Pergub DKI Jakarta. Ditulis dalam bahasa yang mudah dipahami untuk pemahaman umum — ini adalah konten edukatif, bukan nasihat hukum. Standar editorial kami

Hukum Nasional Indonesia

Apa hak ini?

UU PDP UU No. 27 Tahun 2022 mulai berlaku efektif 17 Oktober 2024 setelah masa transisi dua tahun dari penetapan 17 Oktober 2022. UU ini memberi hak subjek data terhadap pengendali (controller) dan pemroses (processor) data pribadi yang beroperasi di Indonesia atau memproses data pribadi orang Indonesia.

Hak utama subjek data di bawah UU PDP meliputi: (1) hak mendapat informasi tentang kejelasan identitas pengendali, dasar kepentingan hukum, tujuan penggunaan, dan akuntabilitas pengendali; (2) hak melengkapi, memperbarui, dan/atau memperbaiki kesalahan data; (3) hak mengakses dan mendapatkan salinan data pribadi sesuai peraturan perundangan; (4) hak mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi; (5) hak menarik kembali persetujuan pemrosesan; (6) hak mengajukan keberatan atas pengambilan keputusan berdasarkan pemrosesan otomatis; (7) hak menunda atau membatasi pemrosesan; (8) hak menggugat dan menerima ganti rugi; (9) hak mendapatkan dan menggunakan data pribadi miliknya dalam bentuk yang sesuai (portabilitas).

UU PDP membedakan data pribadi umum (nama, alamat, status, agama, nomor telepon) dan data pribadi spesifik / sensitif (data kesehatan, biometrik, genetik, catatan kriminal, anak, data keuangan pribadi, dan data lain yang ditentukan peraturan perundangan). Pemrosesan data sensitif menuntut perlindungan yang lebih ketat.

Catatan kunci: Lembaga PDP yang mandiri belum operasional sampai 2026-05. Selama interim ini, Kementerian Komunikasi dan Digital (Komdigi, dulu Kominfo) yang menangani penegakan UU PDP. Sanksi administratif yang dapat dikenakan: peringatan tertulis, penghentian sementara kegiatan pemrosesan, penghapusan / pemusnahan data, dan denda administratif sampai 2% dari pendapatan tahunan pengendali. Untuk perbuatan dilarang (pengumpulan tidak sah, pengungkapan tidak sah, pemalsuan), ada sanksi pidana penjara dan denda.

Kapan berlaku?

  • Perusahaan / platform Indonesia atau yang memproses data pribadi orang Indonesia menyimpan data Anda dan menolak memperlihatkan, memperbaiki, atau menghapus.
  • Anda menarik persetujuan untuk pemasaran / cookie / tracking tetapi data Anda tetap diproses.
  • Anda jadi korban kebocoran data (data breach) — perusahaan tidak memberi tahu Anda atau Komdigi dalam jangka waktu yang wajar.
  • Anda dirugikan oleh keputusan otomatis (penolakan kredit, profiling iklan) tanpa kesempatan keberatan.
  • Mantan majikan, sekolah, atau perusahaan menolak menghapus data padahal sudah tidak ada dasar hukumnya.

Menggunakan hak Anda di bawah UU PDP

  1. Mulai dengan permintaan tertulis ke pengendali data (controller). Banyak perusahaan punya Data Protection Officer (DPO) atau alamat email khusus DPO. Cantumkan UU PDP 27/2022 dan hak spesifik yang Anda gunakan (akses, koreksi, penghapusan, dll.). Sertakan identifikasi Anda (KTP) dan jangka waktu yang Anda harapkan (UU PDP belum menetapkan timeline universal — standar industri umumnya 30 hari).
  2. Kalau pengendali menolak / tidak merespons, lapor ke Komdigi. Komdigi adalah penegak interim UU PDP sampai Lembaga PDP mandiri terbentuk. Aduan bisa lewat aduan resmi Kementerian Komunikasi dan Digital — gunakan portal pelaporan publik atau kontak Direktorat Tata Kelola Aplikasi Informatika.
  3. Untuk pelanggaran data yang menyangkut transaksi keuangan, paralel ke OJK Kontak 157. POJK 22/2023 menjadikan pelindungan data sebagai salah satu tujuh prinsip pelindungan konsumen jasa keuangan. Pelaku usaha jasa keuangan yang melanggar bisa dikenai sanksi OJK secara terpisah.
  4. Untuk gugatan ganti rugi, jalurnya pengadilan negeri (perdata). UU PDP Pasal 12 memberi subjek data hak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadinya. Bukti pelanggaran + kerugian materiil / imateriil harus dipersiapkan.
  5. Untuk perbuatan yang sengaja dilarang (Pasal 65 UU PDP), lapor pidana ke Polri. Pasal 65 mengkriminalisasi pengumpulan data pribadi tanpa hak, pengungkapan tidak sah, dan pemalsuan data pribadi. Jalur ini lewat patrolisiber.id Bareskrim atau Polres setempat.
  6. Simpan dokumen permintaan dan tanggapan / non-tanggapan. Email, surat, tangkapan layar — semua jalur penegakan akan minta bukti bahwa Anda lebih dulu melakukan permintaan ke pengendali sebelum eskalasi.

Apa yang TIDAK boleh Anda lakukan?

  • Jangan asumsikan UU PDP otomatis berlaku. Pengendali masih dalam proses adaptasi. Permintaan tertulis dengan rujukan pasal yang spesifik (akses, koreksi, penghapusan) lebih efektif daripada permintaan umum.
  • Jangan lewatkan tahap permintaan internal ke pengendali. Komdigi dan pengadilan biasanya minta bukti bahwa subjek data lebih dulu meminta langsung ke pengendali sebelum eskalasi.
  • Jangan ungkap data sensitif yang tidak diperlukan saat mengajukan permintaan. Identifikasi Anda diperlukan, tapi pengendali tidak berhak meminta data tambahan di luar yang strictly necessary untuk memverifikasi identitas.
  • Jangan harapkan Lembaga PDP yang mandiri menyelesaikan kasus Anda cepat. Sampai 2026-05-23 lembaga itu belum operasional — penegakan interim oleh Komdigi memang berjalan tapi kapasitasnya terbatas.
  • Jangan bayar "jasa hapus data" pihak ketiga yang minta uang muka. Jalur resmi (pengendali → Komdigi → pengadilan) gratis. Jasa berbayar tidak punya wewenang penegakan.

Pertanyaan Umum

Apakah UU PDP sudah berlaku?

Ya. UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi berlaku efektif 17 Oktober 2024, setelah masa transisi dua tahun sejak penetapan 17 Oktober 2022. Pengendali dan pemroses data pribadi sudah wajib mematuhi UU ini. Catatan penting: Lembaga PDP yang mandiri belum operasional — sampai terbentuk, Kementerian Komunikasi dan Digital (Komdigi, dulu Kominfo) yang menangani penegakan.

Apa beda data pribadi umum dan spesifik?

UU PDP Pasal 4 membagi data pribadi jadi dua. Data pribadi umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan data pribadi yang dikombinasikan untuk mengidentifikasi seseorang. Data pribadi spesifik / sensitif meliputi data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi, dan data lain sesuai peraturan perundangan. Pemrosesan data sensitif menuntut perlindungan dan kewaspadaan yang lebih ketat.

Apakah denda 2% berlaku untuk perusahaan asing?

UU PDP berlaku ekstrateritorial — Pasal 2 mencakup pengendali dan pemroses data yang berkedudukan di Indonesia, serta pengendali di luar Indonesia yang akibat hukumnya terjadi di Indonesia atau bagi subjek data Indonesia. Sanksi administratif sampai 2% pendapatan tahunan dapat dikenakan kepada pelanggar, termasuk perusahaan asing dalam batas yurisdiksi Indonesia. Penegakan terhadap entitas asing tetap tantangan praktis sampai Lembaga PDP terbentuk dan kerangka kerja sama internasional matang.

Bisakah saya menuntut ganti rugi langsung?

Ya. UU PDP Pasal 12 dan Pasal 64 memberi subjek data hak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadinya. Gugatan diajukan ke pengadilan negeri. Korban harus mempersiapkan bukti: (a) pelanggaran konkret (kebocoran data, pemrosesan tanpa persetujuan, dll.), (b) kerugian materiil dan / atau imateriil, (c) hubungan kausal antara pelanggaran dan kerugian. LBH dan firma hukum yang aktif di area data sudah mulai menangani gugatan-gugatan awal sejak UU PDP berlaku Oktober 2024.

What is the hak anda di bawah uu pelindungan data pribadi (uu 27/2022) right in Indonesia?

UU PDP UU No. 27 Tahun 2022 mulai berlaku efektif 17 Oktober 2024 setelah masa transisi dua tahun dari penetapan 17 Oktober 2022. UU ini memberi hak subjek data terhadap pengendali (controller) dan pemroses (processor) data pribadi yang beroperasi di Indonesia atau memproses data pribadi orang Indonesia.Hak utama subjek data di bawah UU PDP meliputi: (1) hak mendapat informasi tentang kejelasan identitas pengendali, dasar kepentingan hukum, tujuan penggunaan, dan akuntabilitas pengendali; (2) hak melengkapi, memperbarui, dan/atau memperbaiki kesalahan data; (3) hak mengakses dan mendapatkan...

Kapan hak anda di bawah uu pelindungan data pribadi (uu 27/2022) berlaku?

Perusahaan / platform Indonesia atau yang memproses data pribadi orang Indonesia menyimpan data Anda dan menolak memperlihatkan, memperbaiki, atau menghapus.Anda menarik persetujuan untuk pemasaran / cookie / tracking tetapi data Anda tetap diproses.Anda jadi korban kebocoran data (data breach) — perusahaan tidak memberi tahu Anda atau Komdigi dalam jangka waktu yang wajar.Anda dirugikan oleh keputusan otomatis (penolakan kredit, profiling iklan) tanpa kesempatan keberatan.Mantan majikan, sekolah, atau perusahaan menolak menghapus data padahal sudah tidak ada dasar hukumnya.

Apa hak saya di bawah UU Pelindungan Data Pribadi Indonesia?

Mulai dengan permintaan tertulis ke pengendali data (controller). Banyak perusahaan punya Data Protection Officer (DPO) atau alamat email khusus DPO. Cantumkan UU PDP 27/2022 dan hak spesifik yang Anda gunakan (akses, koreksi, penghapusan, dll.). Sertakan identifikasi Anda (KTP) dan jangka waktu yang Anda harapkan (UU PDP belum menetapkan timeline universal — standar industri umumnya 30 hari).Kalau pengendali menolak / tidak merespons, lapor ke Komdigi. Komdigi adalah penegak interim UU PDP sampai Lembaga PDP mandiri terbentuk. Aduan bisa lewat aduan resmi Kementerian Komunikasi dan Digital —...

Kesalahan apa yang harus saya hindari dengan hak anda di bawah uu pelindungan data pribadi (uu 27/2022)?

Jangan asumsikan UU PDP otomatis berlaku. Pengendali masih dalam proses adaptasi. Permintaan tertulis dengan rujukan pasal yang spesifik (akses, koreksi, penghapusan) lebih efektif daripada permintaan umum.Jangan lewatkan tahap permintaan internal ke pengendali. Komdigi dan pengadilan biasanya minta bukti bahwa subjek data lebih dulu meminta langsung ke pengendali sebelum eskalasi.Jangan ungkap data sensitif yang tidak diperlukan saat mengajukan permintaan. Identifikasi Anda diperlukan, tapi pengendali tidak berhak meminta data tambahan di luar yang strictly necessary untuk memverifikasi...

You came here to know your rights — help someone else know theirs.

Support This Mission