HUKUM
Pelindungan
Data Pribadi
UU No. 27 Tahun 2022 & Implementasinya
Kelas Hukum Teknologi — Program S1 untuk Profesional
IBLAM School of Law | Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO.
2026
Agenda Perkuliahan
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
01
Konsep Privasi & Dasar Hukum
Definisi privasi, hak konstitusional (Pasal 28G & 28H UUD), hierarki regulasi
02
Jenis & Klasifikasi Data Pribadi
Data umum vs spesifik, identifikasi & identifiabilitas, quick test
03
Pemrosesan Data Pribadi
Siklus 6 tahap, 8 prinsip (deep dive per prinsip), risiko pemrosesan
04
Dasar Pemrosesan (Legal Basis)
6 dasar hukum Pasal 20(2) UU PDP — masing-masing dibahas mendalam
05
Peran & Hubungan Para Pihak
Pengendali, Prosesor, Subjek Data, DPO — hubungan & tanggung jawab
06
Hak Subjek Data Pribadi
11 hak Pasal 5–14 & 65 UU PDP — masing-masing dibahas mendalam
07
Kewajiban & Perjanjian PDP
RoPA, DPIA, Privacy Notice, DPA, Joint Controller Agreement
08
Sanksi & Penegakan Hukum
Sanksi administratif, perdata, & pidana + studi kasus & latihan soal
01
Konsep Privasi & Dasar Hukum
Memahami fondasi filosofis dan konstitusional perlindungan data pribadi
Hukum Pelindungan Data Pribadi | IBLAM
Apa itu Privasi?
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
"Hak individu, grup, atau lembaga untuk menentukan apakah informasi tentang mereka akan dikomunikasikan atau tidak kepada pihak lain"
— Alan Westin
Privasi atas Informasi
Information Privacy — melindungi data & informasi pribadi dari penggunaan tanpa izin
Privasi atas Fisik
Hak atas tubuh dan ruang fisik pribadi yang tidak boleh dilanggar
Privasi atas Teritorial
Hak atas wilayah/ruang milik pribadi, rumah, dan lingkungan
Privasi atas Komunikasi
Kerahasiaan surat, email, telepon, dan percakapan pribadi
Dasar Konstitusional Pelindungan Data Pribadi di Indonesia
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Undang-Undang Dasar 1945
Pasal 28G ayat (1)
Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan.
Pasal 28H ayat (4)
Setiap orang berhak mempunyai hak milik pribadi dan hak milik tersebut tidak boleh diambil alih secara sewenang-wenang oleh siapa pun.
Hierarki Regulasi PDP
1. UUD 1945
Pasal 28G & 28H — Dasar Konstitusional
2. UU No. 27/2022
Undang-Undang Pelindungan Data Pribadi
3. PP/Perpres
Peraturan Pelaksana UU PDP (dalam penyusunan)
4. Peraturan Sektoral
OJK, Bank Indonesia, Kemenkes, dll.
5. Kebijakan Internal
Privacy Policy, Standard Operating Procedure
02
Jenis & Klasifikasi Data Pribadi
Mengenali apa yang termasuk Data Pribadi menurut UU PDP
Hukum Pelindungan Data Pribadi | IBLAM
Definisi & Klasifikasi Data Pribadi
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Pasal 1 angka 1 UU PDP:
Data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya, baik secara langsung maupun tidak langsung, melalui sistem elektronik atau nonelektronik.
Data Pribadi UMUM
› Nama lengkap
› Jenis kelamin
› Kewarganegaraan
› Agama
› Status perkawinan
› Data yang dikombinasikan untuk mengidentifikasi seseorang
Data Pribadi SPESIFIK
› Data & informasi kesehatan
› Data biometrik
› Catatan kejahatan
› Data anak
› Data keuangan pribadi
› Data lainnya sesuai ketentuan peraturan perundang-undangan
Quick Test: Mana yang Termasuk Data Pribadi?
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Identifikasi apakah data berikut termasuk Data Pribadi atau bukan. Pertimbangkan kemampuan identifikasi (directly & indirectly identifiable).
Data Berat Badan (peserta seminar anonim)
Data tidak dapat mengidentifikasi individu secara spesifik — hanya statistik agregat.
✗ Bukan DP
Data Berat Badan (warga Komplek Griya Cinere)
Kombinasi lokasi + karakteristik fisik dapat mengidentifikasi seseorang secara tidak langsung.
✓ Data Pribadi
Alamat IP dan device ID
Dapat mengidentifikasi pengguna secara tidak langsung melalui sistem elektronik.
✓ Data Pribadi
Nama + Nomor KTP
Langsung mengidentifikasi individu — termasuk data pribadi umum.
✓ Data Pribadi
03
Pemrosesan Data Pribadi
Siklus, prinsip, dan risiko pemrosesan berdasarkan Pasal 16 UU PDP
Hukum Pelindungan Data Pribadi | IBLAM
Siklus Pemrosesan Data Pribadi — Pasal 16 Ayat (1) UU PDP
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
1
Pemerolehan & Pengumpulan
Pengumpulan data dari berbagai sumber (form, API, dsb.)
2
Pengolahan & Penganalisisan
Transformasi & analitik data untuk tujuan tertentu
3
Penyimpanan
Penyimpanan dalam server/cloud dengan keamanan memadai
4
Perbaikan & Pembaruan
Memutakhirkan data agar tetap akurat dan relevan
5
Penampilan & Transfer
Pengungkapan, transfer, penyebarluasan kepada pihak lain
6
Penghapusan & Pemusnahan
Penghapusan saat masa retensi berakhir atau diminta subjek
8 Prinsip Pemrosesan Data Pribadi — Pasal 16 UU PDP
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
1
Pembatasan & Spesifisitas
Pengumpulan terbatas, spesifik, sah secara hukum & transparan
2
Kesesuaian Tujuan
Pemrosesan dilakukan sesuai tujuan yang telah ditetapkan
3
Jaminan Hak Subjek Data
Pemrosesan menjamin hak-hak subjek data pribadi
4
Akurasi & Pertanggungjawaban
Data akurat, lengkap, tidak menyesatkan, mutakhir, & dapat dipertanggungjawabkan
5
Keamanan Data
Pemrosesan dilakukan dengan melindungi keamanan data pribadi
6
Transparansi & Pemberitahuan
Memberitahukan tujuan, aktivitas, & kegagalan pelindungan data
7
Retensi & Penghapusan
Dihapus/dimusnahkan saat masa retensi berakhir atau atas permintaan subjek data
8
Akuntabilitas
Pemrosesan dilakukan secara bertanggung jawab dan dapat dibuktikan
1
PRINSIP
Pembatasan & Spesifisitas (Data Minimization)
Pasal 16 ayat (2) huruf a UU PDP
Pengumpulan Data Pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan terhadap tujuan pengumpulan.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Penerapan & Kewajiban
Data Minimization
Hanya kumpulkan data yang benar-benar diperlukan untuk tujuan yang ditetapkan. Tidak boleh mengumpulkan data 'siapa tahu berguna nanti'.
Purpose Limitation
Data hanya boleh digunakan untuk tujuan yang sudah dinyatakan saat pengumpulan. Penggunaan untuk tujuan lain memerlukan dasar baru.
Transparansi pengumpulan
Subjek data harus mengetahui data apa yang dikumpulkan, untuk apa, dan oleh siapa — disampaikan melalui Privacy Notice.
✓ Contoh Kepatuhan
✓ Form pendaftaran hanya meminta nama, email, nomor telepon
✓ Aplikasi ridesharing hanya meminta lokasi saat aktif digunakan
✓ Survei hanya mengumpulkan data relevan dengan topik riset
✗ Contoh Pelanggaran
✗ Meminta scan KTP untuk unduh brosur gratis
✗ Mengaktifkan mikrofon tanpa perlu fitur suara
✗ Mengumpulkan data lokasi terus-menerus meski aplikasi tutup
2
PRINSIP
Kesesuaian Tujuan (Purpose Limitation)
Pasal 16 ayat (2) huruf b UU PDP
Pemrosesan Data Pribadi dilakukan sesuai dengan tujuan yang telah ditetapkan, disampaikan, dan disetujui — tidak boleh diproses lebih lanjut dengan cara yang tidak sesuai.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Penerapan & Kewajiban
Tujuan harus ditetapkan sebelum pengumpulan
Tujuan pemrosesan wajib ditentukan dan dikomunikasikan sebelum atau pada saat data dikumpulkan — bukan ditentukan belakangan.
Compatible Purpose Test
Jika ingin menggunakan data untuk tujuan lain, lakukan uji kesesuaian: apakah tujuan baru terkait dengan tujuan awal, apakah konteks pengumpulannya serupa, dan apa dampak bagi subjek data.
Secondary Use
Penggunaan data untuk tujuan kedua yang tidak kompatibel memerlukan dasar pemrosesan baru (mis. persetujuan baru) atau harus dihentikan.
✓ Contoh Kepatuhan
✓ Data pendaftaran digunakan hanya untuk proses onboarding
✓ Data transaksi dianalisis hanya untuk fraud prevention sesuai pemberitahuan
✓ Persetujuan baru diminta saat ingin mengirim newsletter promo
✗ Contoh Pelanggaran
✗ Data rekam medis pasien dijual ke perusahaan asuransi tanpa izin
✗ Email pelanggan dari transaksi dipakai untuk cold marketing produk lain
✗ Data karyawan digunakan perusahaan induk untuk tujuan tidak terkait
3
PRINSIP
Jaminan Hak Subjek Data
Pasal 16 ayat (2) huruf c UU PDP
Pemrosesan Data Pribadi dilakukan dengan memastikan dan menjamin terpenuhinya hak-hak Subjek Data Pribadi sebagaimana diatur dalam UU PDP.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Penerapan & Kewajiban
Mekanisme pemenuhan hak wajib tersedia
Pengendali wajib menyediakan saluran yang mudah diakses bagi subjek data untuk mengajukan permintaan akses, perbaikan, penghapusan, keberatan, dll.
Respons dalam batas waktu
Permintaan subjek data harus ditanggapi dalam jangka waktu yang wajar. UU PDP mengatur batas waktu respons secara spesifik.
Tidak boleh mempersulit
Pengendali dilarang menetapkan syarat yang memberatkan atau prosedur berbelit-belit yang secara efektif menghalangi subjek data menjalankan haknya.
✓ Contoh Kepatuhan
✓ Portal self-service untuk akses & unduh data pribadi
✓ Proses penghapusan data selesai dalam 3 hari
✓ Formulir keberatan tersedia dan langsung ditindaklanjuti
✗ Contoh Pelanggaran
✗ Tidak ada kontak yang bisa dihubungi subjek data
✗ Respons permintaan penghapusan memakan waktu berbulan-bulan tanpa alasan
✗ Mensyaratkan notaris untuk setiap permintaan hak subjek data
4
PRINSIP
Akurasi Data
Pasal 16 ayat (2) huruf d UU PDP
Pemrosesan Data Pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan — dengan memperhatikan tujuan pemrosesan.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Penerapan & Kewajiban
Verifikasi & validasi data
Pengendali wajib memverifikasi keakuratan data saat pengumpulan dan secara berkala — termasuk validasi format, kelengkapan, dan konsistensi antar sistem.
Mekanisme pembaruan data
Tersedia prosedur untuk memperbarui data yang sudah tidak akurat. Subjek data berhak meminta koreksi (Hak Perbaikan — Pasal 7 UU PDP).
Dampak keputusan berbasis data tidak akurat
Data yang tidak akurat dapat menghasilkan keputusan yang merugikan subjek data — skor kredit salah, diagnosa keliru, penolakan layanan. Ini adalah risiko hukum nyata bagi Pengendali.
✓ Contoh Kepatuhan
✓ Verifikasi NIK dengan Dukcapil saat onboarding
✓ Notifikasi kepada pelanggan saat data mereka mendekati kedaluwarsa
✓ Proses rekonsiliasi data rutin antarsistem setiap kuartal
✗ Contoh Pelanggaran
✗ Menggunakan data alamat lama untuk kirim surat penting
✗ Membiarkan data status pekerjaan tidak diperbarui dalam sistem kredit
✗ Mengambil keputusan pemecatan berdasarkan rekam absensi yang salah
5
PRINSIP
Keamanan Data (Security)
Pasal 16 ayat (2) huruf e UU PDP
Pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari akses tidak sah, pengungkapan, perubahan, kehilangan, dan pemusnahan yang tidak dikehendaki.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Penerapan & Kewajiban
Keamanan teknis
Enkripsi data saat dikirim (in-transit) dan disimpan (at-rest), akses berbasis peran (RBAC), autentikasi multi-faktor, logging aktivitas akses.
Keamanan organisasi
Kebijakan keamanan informasi, pelatihan karyawan, NDA untuk pihak yang menangani data, manajemen akses vendor, dan prosedur pemusnahan data.
Manajemen insiden & breach notification
Prosedur respons insiden wajib ada. Kegagalan keamanan (data breach) wajib dilaporkan ke Badan PDP dan subjek data yang terdampak dalam waktu 14 hari (Pasal 46 UU PDP).
✓ Contoh Kepatuhan
✓ Enkripsi AES-256 untuk data sensitif di database
✓ Audit log akses data direviu setiap bulan
✓ Prosedur pemusnahan data fisik & digital yang terverifikasi
✗ Contoh Pelanggaran
✗ Password database disimpan dalam file teks biasa
✗ Akses ke seluruh database diberikan ke semua karyawan tanpa pembatasan
✗ Tidak ada prosedur bila terjadi kebocoran data
6
PRINSIP
Transparansi & Pemberitahuan
Pasal 16 ayat (2) huruf f UU PDP
Pemrosesan Data Pribadi dilakukan dengan memberitahukan tujuan pemrosesan, aktivitas pemrosesan, dan kegagalan pelindungan Data Pribadi kepada Subjek Data.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Penerapan & Kewajiban
Privacy Notice yang layak / Pasal yang menjelaskan dalam perjanjian
Wajib memuat: identitas Pengendali, tujuan & dasar pemrosesan, jenis data yang dikumpulkan, hak subjek data, masa retensi, kontak DPO, & transfer lintas negara (jika ada).
Kapan pemberitahuan diberikan
Sebelum atau pada saat pengumpulan data. Untuk data yang diperoleh dari pihak ketiga, pemberitahuan diberikan segera setelah Pengendali mendapat data tersebut.
Pemberitahuan kegagalan PDP
Jika terjadi data breach, Pengendali wajib memberitahu Badan PDP (14 hari) dan subjek data terdampak (tanpa penundaan tidak wajar) — Pasal 46 UU PDP.
✓ Contoh Kepatuhan
✓ Privacy Policy mudah ditemukan, ditulis dengan bahasa sederhana
✓ Pop-up pemberitahuan muncul saat pertama kali data dikumpulkan
✓ Email notifikasi dikirim kepada subjek data terdampak breach dalam 24 jam
✗ Contoh Pelanggaran
✗ Privacy Policy tersembunyi di halaman 10 footer dengan huruf 6pt
✗ Tidak ada informasi tentang siapa Pengendali dan bagaimana menghubungi mereka
✗ Menutup-nutupi insiden breach dari regulator dan subjek data
7
PRINSIP
Retensi & Penghapusan
Pasal 16 ayat (2) huruf g UU PDP
Data Pribadi dihapus dan/atau dimusnahkan setelah masa retensi berakhir atau setelah tujuan pemrosesan tercapai, kecuali ditentukan lain oleh peraturan perundang-undangan.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Penerapan & Kewajiban
Kebijakan retensi data wajib ada
Pengendali wajib menetapkan berapa lama setiap jenis data disimpan. Masa retensi harus didasarkan pada tujuan pemrosesan, kewajiban hukum, dan keperluan bisnis yang sah.
Penghapusan atas permintaan subjek data
Subjek data berhak meminta penghapusan datanya (Hak Penghapusan — Pasal 8 UU PDP). Pengendali wajib menghapus kecuali ada kewajiban hukum untuk menyimpan.
Pemusnahan yang aman & terverifikasi
Data fisik: shredding bersertifikat. Data digital: secure erase/overwrite. Harus ada bukti pemusnahan (certificate of destruction). Data di pihak ketiga/prosesor juga harus ikut dihapus.
✓ Contoh Kepatuhan
✓ Jadwal hapus otomatis data pelanggan tidak aktif setelah 5 tahun (sektor kesehatan 25 tahun)
✓ Konfirmasi tertulis penghapusan dikirim ke subjek data
✓ Audit trail pemusnahan disimpan sebagai bukti kepatuhan
✗ Contoh Pelanggaran
✗ Data transaksi dari tahun 2005 masih tersimpan tanpa alasan jelas
✗ Backup lama tidak pernah dihapus meski data utama sudah dihapus
✗ Menolak hapus data tanpa alasan hukum yang sah
8
PRINSIP
Akuntabilitas (Accountability)
Pasal 16 ayat (2) huruf h UU PDP
Pemrosesan Data Pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas kepatuhannya terhadap ketentuan UU PDP.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Penerapan & Kewajiban
Privacy by Design & by Default
Pelindungan data dibangun sejak tahap perancangan sistem/produk, bukan ditambahkan belakangan. Secara default, hanya data minimal yang diproses.
Dokumentasi kepatuhan
Pengendali wajib dapat membuktikan kepatuhan: RoPA, hasil DPIA, kebijakan PDP, log pelatihan karyawan, bukti persetujuan, dan catatan insiden.
Governance & oversight internal
Penetapan struktur tata kelola PDP: DPO, komite PDP, kebijakan & prosedur tertulis, program audit internal, dan jalur eskalasi yang jelas.
✓ Contoh Kepatuhan
✓ RoPA diperbarui setiap kuartal dan siap diaudit
✓ DPIA dilakukan sebelum meluncurkan fitur baru yang berisiko tinggi
✓ Pelatihan PDP wajib untuk seluruh karyawan dengan sertifikat kehadiran
✗ Contoh Pelanggaran
✗ Tidak bisa menunjukkan bukti persetujuan saat diminta regulator
✗ Tidak ada kebijakan PDP tertulis di organisasi
✗ DPO ditunjuk hanya formalitas tanpa peran nyata dalam pengambilan keputusan
04
Dasar Pemrosesan Data Pribadi
6 Legal Basis berdasarkan Pasal 20 ayat (2) UU PDP
Hukum Pelindungan Data Pribadi | IBLAM
6 Dasar Pemrosesan Data Pribadi — Pasal 20 ayat (2) UU PDP
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
A
Persetujuan Eksplisit
Persetujuan yang sah secara eksplisit dari subjek data untuk 1 atau beberapa tujuan tertentu
B
Pemenuhan Perjanjian
Pemrosesan untuk memenuhi kewajiban perjanjian di mana subjek data merupakan pihak
C
Kewajiban Hukum
Pemrosesan untuk memenuhi kewajiban hukum pengendali sesuai peraturan perundang-undangan
D
Kepentingan Vital
Perlindungan kepentingan vital subjek data (ancaman terhadap hidup, fisik, properti)
E
Kepentingan Umum/Publik
Pelaksanaan tugas untuk kepentingan umum, pelayanan publik, atau kewenangan pengendali berdasarkan regulasi
F
Kepentingan Sah Lainnya
Kepentingan sah pengendali dengan memperhatikan tujuan, kebutuhan, & keseimbangan hak subjek data
Dasar 1: Persetujuan Eksplisit — Pasal 20(2)a & Pasal 21 UU PDP
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Opt-In vs Opt-Out
OPT-IN (Eksplisit ✓)
Individu secara aktif memberikan persetujuan
Contoh: centang kotak persetujuan, klik 'Setuju'
Sesuai prinsip UU PDP
OPT-OUT (Implisit ✗)
Default menyetujui kecuali individu menolak
Contoh: checkbox sudah tercentang
Tidak memenuhi syarat eksplisit UU PDP
Syarat Persetujuan yang Sah
Bebas
Tidak ada paksaan atau tekanan
Spesifik
Hanya untuk tujuan yang disampaikan
Informed
Berdasarkan informasi yang jelas & lengkap (Pasal 21)
Tertulis/Terekam
Dapat dibuktikan secara tertulis
Dapat Ditarik
Subjek dapat menarik persetujuan kapan saja (Pasal 9 & 40)
Dibedakan
Jika lebih dari 1 tujuan, dibedakan secara jelas (Pasal 22 ayat 4)
Dasar 2: Pemenuhan Kewajiban Perjanjian — Pasal 20(2)b UU PDP
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Pemrosesan diperbolehkan jika Subjek Data merupakan salah satu pihak dalam perjanjian, atau untuk memenuhi permintaan Subjek Data pada saat akan melakukan perjanjian.
3 Syarat Utama
1
Subjek Data adalah pihak perjanjian
Harus ada hubungan kontraktual langsung antara Pengendali dan Subjek Data — pihak ketiga tidak termasuk.
2
Pemrosesan diperlukan untuk perjanjian
Ada keterkaitan nyata antara data yang diproses dan pelaksanaan perjanjian — bukan sekadar "berguna".
3
Pre-contractual request
Pemrosesan juga sah untuk merespons permintaan Subjek Data sebelum perjanjian ditandatangani (mis. pengajuan kredit).
Informasi Wajib Dicantumkan (Pasal 57 RPP)
› Rincian & penjelasan tujuan pemrosesan
› Keterkaitan tujuan pemrosesan dengan tujuan perjanjian
› Hak Subjek Data & kewajiban Pengendali
› Jenis & karakteristik layanan kepada Subjek Data
› Konsekuensi jika pemrosesan tidak dilakukan
› Jaminan pemenuhan hak Subjek Data
📌 Contoh: Pinjaman bank (KTP, slip gaji), e-commerce (alamat kirim), kontrak kerja (data karyawan)
Dasar 3: Pemenuhan Kewajiban Hukum — Pasal 20(2)c UU PDP
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Pemrosesan sah jika diperlukan untuk memenuhi kewajiban hukum Pengendali sesuai peraturan perundang-undangan — tidak memerlukan persetujuan Subjek Data.
Sumber Kewajiban Hukum (Pasal 59 RPP)
Peraturan Perundang-undangan
UU, PP, Perpres, Perda — sesuai hierarki UU No. 12/2011
Putusan/Perintah Pengadilan
Perintah hakim yang mengharuskan pengungkapan data
Keputusan Pejabat TUN
Keputusan pejabat tata usaha negara berdasarkan peraturan yang berlaku
Contoh Kewajiban Hukum Sektoral
Perbankan (UU No. 7/1992)
Pelaporan data nasabah ke OJK/BI untuk pengawasan prudensial
Perpajakan (UU KUP)
Penyerahan data kepada DJP dalam pemeriksaan pajak
Anti Pencucian Uang (UU TPPU)
Pelaporan transaksi mencurigakan ke PPATK (STR/CTR)
Ketenagakerjaan (UU Naker)
Pelaporan data tenaga kerja ke Disnaker & BPJS
⚠Pemrosesan hanya boleh seluas kewajiban hukum yang ada — tidak boleh digunakan lebih luas!
Dasar 4: Kepentingan Vital Subjek Data — Pasal 20(2)d UU PDP
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Pemrosesan dapat dilakukan tanpa persetujuan demi melindungi kepentingan vital — ketika ada ancaman terhadap hidup, fisik, atau properti/aset Subjek Data atau pihak lain.
Kondisi Pemicu
Ancaman nyata
Ada ancaman terhadap hidup, fisik, dan/atau properti/aset Subjek Data atau pihak lain
Persetujuan tidak bisa diperoleh
Terdapat kesulitan mendapat persetujuan (mis. kondisi darurat, subjek tidak sadarkan diri)
Wali tidak mendampingi
Untuk anak atau orang yang membutuhkan wali, wali tidak bisa dihubungi
Kewajiban Setelah Pemrosesan (Pasal 61 RPP)
Pemberitahuan pasca-pemrosesan
Informasikan kepada Subjek Data setelah kondisi darurat berakhir
Tindakan yang dilakukan
Jelaskan tindakan apa yang dilakukan selama pemrosesan data darurat
Jenis ancaman
Uraikan jenis ancaman yang terjadi yang memerlukan pemrosesan tanpa persetujuan
📌 Contoh: Penanganan medis darurat kecelakaan, evakuasi bencana alam, situasi ancaman jiwa saat Subjek Data tidak sadar
Dasar 5: Kepentingan Umum & Pelayanan Publik — Pasal 20(2)e UU PDP
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Pemrosesan sah untuk pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali berdasarkan peraturan perundang-undangan.
Syarat Kumulatif (Pasal 64 RPP)
Dasar regulasi
Peraturan perundang-undangan memerintahkan tindakan Pengendali dalam rangka kepentingan umum/pelayanan publik
Kepentingan publik terancam
Kepentingan publik secara langsung terancam jika pemrosesan tidak dilakukan oleh Pengendali
Biasanya digunakan oleh:
Pejabat/lembaga pemerintah (pusat & daerah), badan publik, atau pihak yang mendapat mandat dari pejabat pemerintah sesuai kewenangannya (diskresi). Sangat erat kaitannya dengan UU Pelayanan Publik & UU Administrasi Pemerintahan.
Contoh & Kewajiban Pemberitahuan
Contoh Penggunaan
Sensus BPS, program vaksinasi nasional, pelaporan pajak DJP, verifikasi NIK Dukcapil, penanganan wabah Kemenkes, penegakan hukum oleh Kepolisian
Pemrosesan perlu diinformasikan
Pengendali wajib memberitahukan subjek data tentang pemrosesan yang dilakukan atas dasar ini (Pasal 64 RPP) — transparansi tetap diwajibkan
Batasan Kewenangan
Pemrosesan hanya boleh dilakukan sesuai lingkup kewenangan yang diberikan regulasi — tidak boleh diperluas secara sewenang-wenang
Dasar 6: Kepentingan Sah Lainnya (Legitimate Interest) — Pasal 20(2)f
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Pemenuhan kepentingan yang sah dari Pengendali, dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Pengendali vs hak Subjek Data Pribadi.
Legitimate Interest Assessment (LIA) — 3 Tahap
1. Uji Tujuan (Purpose Test)
Apakah kepentingan Pengendali sah & nyata? Apakah tujuan spesifik dan tidak bertentangan dengan hukum?
2. Uji Keperluan (Necessity Test)
Apakah pemrosesan benar-benar diperlukan? Apakah tidak ada cara lain yang lebih tidak invasif untuk mencapai tujuan yang sama?
3. Uji Keseimbangan (Balancing Test)
Apakah kepentingan Pengendali lebih berat dari hak & ekspektasi Subjek Data? Pertimbangkan: dampak, sensitivitas data, hubungan para pihak.
Contoh yang Sah
› Analitik & riset pengembangan produk internal
› Keamanan jaringan & fraud prevention
› Marketing kepada pelanggan existing
› Administrasi SDM dalam grup perusahaan
Batasan & Peringatan
✗ TIDAK bisa digunakan untuk data sensitif/spesifik
✗ TIDAK bisa mengalahkan hak dasar yang jelas
✗ Hak keberatan subjek data HARUS diakomodasi
✗ Dokumentasikan hasil LIA secara tertulis
05
Peran & Hubungan Para Pihak
Pengendali, Prosesor, Subjek Data, dan Pejabat Pelindungan Data
Hukum Pelindungan Data Pribadi | IBLAM
Pihak-Pihak dalam Pemrosesan Data Pribadi
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Pihak yang menentukan tujuan, melakukan kendali, serta bertanggung jawab dan akuntabel atas pemrosesan Data Pribadi.
Pihak yang melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi.
Orang perseorangan yang pada dirinya melekat Data Pribadi
Pengendali Data Pribadi
Prosesor Data Pribadi
Subjek Data Pribadi
Hubungan dalam Pemrosesan Data Pribadi
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Pengendali — Subjek Data
Hubungan yang paling utama dan paling banyak diatur UU PDP. Melibatkan dasar pemrosesan & pemenuhan hak subjek data.
📌 Contoh: Perusahaan ↔ Karyawan; Perusahaan ↔ Pelanggan
Pengendali — Prosesor
Pengendali menginstruksikan pemrosesan kepada Prosesor berdasarkan perjanjian Data Processing Agreement (DPA).
📌 Contoh: Perusahaan ↔ Vendor IT Security; Perusahaan ↔ Penyedia Database Cloud
Pengendali Bersama
2+ pengendali bersama menentukan tujuan pemrosesan. Perlu Perjanjian Pengendali Bersama (Joint Controller Agreement).
📌 Contoh: Pemilik properti hotel ↔ manajemen hotel; 1 aplikasi untuk bank, saham & zakat
Pengendali — Pengendali Lain
Dua pengendali independen yang berbagi data untuk tujuan masing-masing. Perlu legal basis yang valid di setiap sisi.
📌 Contoh: Verifikasi ke Dinas Kependudukan; E-commerce ↔ penyedia pembayaran QRIS
Prosesor — Sub-prosesor
Prosesor menunjuk sub-prosesor atas persetujuan Pengendali. Sub-prosesor tetap tunduk pada instruksi dan lingkup Pengendali.
📌 Contoh: Agen penggajian ↔ aplikasi absensi; Cloud hosting ↔ penyedia pemeliharaan sistem
Tanggung Jawab: Pengendali vs Prosesor Data Pribadi
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Pengendali Data Pribadi
Pasal 19–49 UU PDP
› Bertanggung jawab & akuntabel atas seluruh pemrosesan
› Menentukan tujuan dan siklus pemrosesan Data Pribadi
› Menetapkan dasar hukum & memastikan pelaksanaannya
› Melaksanakan transparansi (Privacy Notice)
› Memenuhi hak-hak Subjek Data Pribadi
› Menjamin kepatuhan Prosesor
› Melindungi keamanan & kerahasiaan Data Pribadi
› Melakukan pencatatan aktivitas (RoPA)
› Melakukan penilaian risiko (DPIA)
› Memiliki & menunjuk DPO
› Melaporkan pelanggaran ke Badan PDP & Subjek Data
Prosesor Data Pribadi
Pasal 51–52 UU PDP
› Hanya memproses sesuai instruksi Pengendali
› Membantu Pengendali dalam pemenuhan Hak Subjek Data
› Melaporkan pelanggaran kepada Pengendali
› Melakukan pencatatan aktivitas pemrosesan (RoPA)
› Melindungi, mengamankan, & menjaga kerahasiaan
› Memastikan akurasi, kelengkapan, & konsistensi data
› Menunjuk sub-prosesor sesuai persetujuan Pengendali
06
Hak-Hak Subjek Data Pribadi
11 hak yang dijamin oleh UU No. 27 Tahun 2022
Hukum Pelindungan Data Pribadi | IBLAM
Hak-Hak Subjek Data Pribadi berdasarkan UU PDP
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Pasal 5
Hak Informasi
Mendapat informasi kejelasan identitas, dasar, tujuan, & akuntabilitas pihak yang meminta data
Pasal 6
Hak Akses
Mengakses dan mendapatkan salinan Data Pribadi tentang dirinya
Pasal 7
Hak Perbaikan
Melengkapi, memperbarui, dan memperbaiki kesalahan Data Pribadi
Pasal 8
Hak Penghapusan
Mengakhiri pemrosesan, menghapus, dan memusnahkan Data Pribadi
Pasal 9
Hak Penarikan Persetujuan
Menarik persetujuan yang telah diberikan tanpa kerugian hukum
Pasal 10
Hak Keberatan
Mengajukan keberatan atas tindakan pengambilan keputusan otomatis
Pasal 11
Hak Penundaan
Menunda atau membatasi pemrosesan Data Pribadi
Pasal 12
Hak Portabilitas
Mendapatkan atau mengirimkan data ke pengendali lain (data portability)
Pasal 14
Hak Gugat & Ganti Rugi
Mengajukan gugatan dan menerima ganti kerugian atas pelanggaran
Hak 1
Hak Informasi
Pasal 5 UU PDP
Hak mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi, serta akuntabilitas pihak yang meminta Data Pribadi.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Kewajiban Pengendali
› Menyediakan Privacy Notice sebelum/saat pengumpulan data
› Mencantumkan identitas Pengendali & kontak DPO
› Menjelaskan tujuan & dasar pemrosesan secara jelas
› Memberitahu jika ada perubahan tujuan pemrosesan
Prosedur & Batas Waktu
1. Privacy Notice wajib tersedia sebelum pengumpulan data dimulai
2. Bahasa yang digunakan harus sederhana, jelas, dan mudah dipahami
3. Tersedia dalam format yang dapat diakses subjek data kapan saja
4. Jika perubahan, subjek data diberitahu dan diminta persetujuan baru
Pengecualian / Batasan
✗ Informasi klasifikasi negara (rahasia negara)
✗ Informasi yang membahayakan keselamatan pihak lain
Contoh Penerapan
📌 Link Privacy Policy mudah ditemukan di halaman utama aplikasi
📌 Email selamat datang memuat ringkasan data yang dikumpulkan
Hak 2
Hak Akses
Pasal 6 UU PDP
Hak untuk mengakses dan mendapatkan salinan Data Pribadi tentang dirinya yang dikendalikan oleh Pengendali Data Pribadi.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Kewajiban Pengendali
› Menyediakan mekanisme permintaan akses data yang mudah digunakan
› Memberikan salinan data dalam format yang dapat dibaca
› Memverifikasi identitas pemohon sebelum memberikan akses
› Merespons dalam jangka waktu yang ditetapkan regulasi
Prosedur & Batas Waktu (3x24 jam)
1. Subjek data mengajukan permintaan tertulis/melalui portal resmi
2. Pengendali verifikasi identitas pemohon
3. Pengendali merespons dan menyediakan salinan data
4. Jika ditolak, berikan alasan tertulis yang dapat diuji
Pengecualian / Batasan
✗ Data yang menyangkut privasi pihak ketiga
✗ Informasi yang dilindungi oleh kerahasiaan profesional (legal privilege)
✗ Permintaan yang bersifat tidak wajar atau berulang tanpa alasan
Contoh Penerapan
📌 Portal 'Unduh data saya' di pengaturan akun
📌 Fitur export riwayat transaksi dalam format CSV/PDF
Hak 3
Hak Perbaikan
Pasal 7 UU PDP
Hak untuk melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi tentang dirinya sesuai dengan tujuan pemrosesan.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Kewajiban Pengendali
› Menyediakan mekanisme permintaan koreksi yang mudah diakses
› Memproses permintaan koreksi tanpa penundaan tidak wajar
› Meneruskan koreksi ke pihak ketiga yang pernah menerima data
› Mendokumentasikan setiap perubahan dalam audit trail
Prosedur & Batas Waktu (3x24 jam)
1. Subjek data mengajukan permintaan dengan bukti pendukung
2. Pengendali menilai keabsahan permintaan dan bukti yang diberikan
3. Koreksi dilakukan dan subjek data dikonfirmasi
4. Pihak ketiga terkait diberitahu tentang koreksi yang dilakukan
Pengecualian / Batasan
✗ Data yang sudah digunakan dalam keputusan hukum yang berkekuatan tetap
✗ Koreksi yang tidak didukung bukti memadai
Contoh Penerapan
📌 Fitur edit profil dengan pembaruan langsung di database
📌 Notifikasi otomatis ke partner yang pernah menerima data lama
Hak 4
Hak Penghapusan
Pasal 8 UU PDP
Hak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi tentang dirinya — dikenal juga sebagai 'Right to be Forgotten'.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Kewajiban Pengendali
› Memproses permintaan penghapusan dalam batas waktu yang ditetapkan
› Memberitahu pihak ketiga yang pernah menerima data untuk ikut menghapus
› Menghapus data dari seluruh sistem termasuk backup
› Memberikan konfirmasi tertulis bahwa penghapusan telah dilakukan
Prosedur & Batas Waktu
1. Subjek data mengajukan permintaan dengan alasan yang jelas
2. Pengendali memverifikasi apakah ada dasar hukum untuk tetap menyimpan
3. Jika tidak ada dasar retensi, penghapusan dilakukan di semua sistem
4. Konfirmasi penghapusan dikirimkan
Pengecualian / Batasan
✗ Kewajiban hukum untuk menyimpan data (pajak, perbankan 5–10 tahun)
✗ Data yang diperlukan untuk gugatan hukum yang sedang berjalan
✗ Data yang sudah dianonimisasi sepenuhnya
Contoh Penerapan
📌 Tombol 'Hapus Akun' dengan proses verifikasi identitas dua langkah
📌 Fitur 'Lupakan saya' di platform media sosial (GDPR Art. 17)
Hak 5
Hak Penarikan Persetujuan
Pasal 9 & 40 UU PDP
Hak untuk menarik persetujuan yang telah diberikan atas pemrosesan Data Pribadi tanpa menimbulkan kerugian hukum bagi Subjek Data.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Kewajiban Pengendali
› Menyediakan mekanisme penarikan semudah pemberian persetujuan
› Menghentikan pemrosesan setelah persetujuan ditarik
› Tidak boleh menghukum atau mendiskriminasi subjek yang menarik persetujuan
› Menginformasikan konsekuensi penarikan sebelum diproses
Prosedur & Batas Waktu (3x24 jam)
1. Subjek data menggunakan mekanisme opt-out yang tersedia
2. Pengendali mengkonfirmasi penerimaan permintaan
3. Pemrosesan dihentikan dalam waktu yang wajar (tidak boleh terlalu lama)
4. Subjek data diberitahu konsekuensi (mis: layanan tidak bisa dilanjutkan)
Pengecualian / Batasan
✗ Penarikan tidak berlaku surut — tidak membatalkan pemrosesan yang sudah terjadi
✗ Data yang diproses atas dasar hukum lain (bukan persetujuan) tidak ikut terhapus
Contoh Penerapan
📌 Tombol 'Berhenti berlangganan' di setiap email marketing
📌 Pengaturan granular per kategori persetujuan di dashboard privasi
Hak 6
Hak Keberatan
Pasal 10 UU PDP
Hak untuk mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan otomatis (automated decision-making), termasuk profiling.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Kewajiban Pengendali
› Menyediakan mekanisme keberatan yang mudah diakses
› Menawarkan intervensi manusia atas keputusan otomatis yang signifikan
› Menjelaskan logika di balik keputusan otomatis kepada subjek data
› Memungkinkan subjek data untuk mengajukan pendapat dan menantang keputusan
Prosedur & Batas Waktu
1. Subjek data mengajukan keberatan atas keputusan otomatis tertentu
2. Pengendali wajib melakukan review oleh manusia (human review)
3. Subjek data diberi kesempatan menyampaikan pendapat
4. Keputusan final dikomunikasikan dengan penjelasan yang layak
Pengecualian / Batasan
✗ Keputusan yang diperlukan untuk perjanjian antara subjek data dan pengendali
✗ Keputusan yang diizinkan oleh hukum dengan perlindungan yang memadai
Contoh Penerapan
📌 Penolakan pinjaman oleh AI — nasabah berhak minta review oleh manusia
📌 Skor kredit otomatis di fintech — wajib ada mekanisme dispute
Hak 7
Hak Penundaan & Pembatasan
Pasal 11 UU PDP
Hak untuk menunda atau membatasi pemrosesan Data Pribadi sesuai dengan tujuan pemrosesan Data Pribadi — termasuk saat sengketa akurasi atau keabsahan pemrosesan sedang diinvestigasi.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Kewajiban Pengendali
› Menghentikan sementara pemrosesan aktif sambil menunggu resolusi
› Hanya menyimpan data tanpa memprosesnya lebih lanjut saat dibatasi
› Memberitahu pihak ketiga tentang pembatasan yang berlaku
› Memberitahu subjek data sebelum pembatasan dicabut
Prosedur & Batas Waktu (3x24 jam)
1. Subjek data mengajukan permintaan dengan alasan yang sah
2. Pengendali mengkonfirmasi dan menandai data sebagai 'dibatasi'
3. Selama pembatasan: data hanya boleh disimpan, tidak diproses lebih lanjut
4. Setelah resolusi, pengendali memberitahu subjek data sebelum memproses lagi
Pengecualian / Batasan
✗ Data yang diperlukan untuk kepentingan hukum meskipun akurasi disengketakan
✗ Pembatasan tidak berlaku jika ada kepentingan publik yang mendesak
Contoh Penerapan
📌 Saat kredit macet diinvestigasi: data tidak boleh digunakan scoring lebih lanjut
📌 Saat ada komplain ke regulator: pengendali wajib 'freeze' data terkait
Hak 8
Hak Portabilitas Data
Pasal 12 UU PDP
Hak untuk mendapatkan dan/atau menggunakan Data Pribadi tentang dirinya dari Pengendali, termasuk mengirimkan ke Pengendali lain yang ditunjuk.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Kewajiban Pengendali
› Menyediakan data dalam format terstruktur, umum, dan machine-readable
› Memfasilitasi transfer langsung ke pengendali lain jika diminta
› Memastikan proses transfer aman dan terenkripsi
› Merespons permintaan dalam batas waktu yang wajar
Prosedur & Batas Waktu
1. Subjek data meminta ekspor data dalam format standar (JSON, CSV, XML)
2. Pengendali memverifikasi identitas dan menyiapkan paket data
3. Data diserahkan langsung atau dikirim ke pengendali tujuan
4. Proses tidak boleh memerlukan biaya yang tidak wajar
Pengecualian / Batasan
✗ Hanya berlaku untuk data yang diberikan secara aktif oleh subjek data
✗ Tidak mencakup data yang diinferensikan/diderivasi oleh pengendali
✗ Tidak berlaku jika merugikan hak orang lain
Contoh Penerapan
📌 Fitur 'Pindahkan data ke platform lain' di aplikasi kesehatan
📌 Open Banking: nasabah bisa kirim data transaksi ke aplikasi fintech lain
Hak 10
Hak Gugat & Ganti Rugi
Pasal 14 UU PDP
Hak untuk mengajukan gugatan dan mendapatkan ganti kerugian atas pelanggaran pemrosesan Data Pribadi tentang dirinya — secara perdata maupun pidana.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Kewajiban Pengendali
› Memiliki mekanisme pengaduan internal yang responsif
› Menyelesaikan pengaduan dalam batas waktu yang wajar
› Mendokumentasikan semua pengaduan dan tindak lanjutnya
› Memberikan informasi tentang jalur penyelesaian eksternal
Prosedur & Batas Waktu
1. Subjek data mengajukan pengaduan ke pengendali terlebih dahulu
2. Jika tidak memuaskan: lapor ke Badan Pelindungan Data Pribadi
3. Gugatan perdata ke pengadilan negeri (ganti rugi material/immaterial)
4. Laporan pidana ke kepolisian untuk pelanggaran yang masuk ranah pidana
Pengecualian / Batasan
✗ Klaim yang sudah melampaui batas waktu (daluwarsa)
✗ Kerugian yang tidak dapat dibuktikan kausalitasnya dengan pelanggaran PDP
Contoh Penerapan
📌 Aplikasi layanan publik: saluran aduan PDP dengan SLA 14 hari kerja
📌 Perusahaan asuransi: unit khusus yang menangani sengketa data nasabah
0★
Studi Kasus & Latihan Soal
Penerapan UU PDP dalam konteks nyata dan uji pemahaman
Hukum Pelindungan Data Pribadi | IBLAM
Studi Kasus 1: Kebocoran Data Pelanggan E-Commerce
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
SKENARIO
Platform e-commerce XYZ mengalami serangan siber. 5 juta data pelanggan — termasuk nama, alamat, nomor telepon, email, dan riwayat transaksi — bocor dan dijual di dark web. Pengendali baru mengetahuinya 20 hari setelah kejadian. Mereka memutuskan untuk tidak memberitahu pelanggan dan hanya memperbaiki celah keamanan secara diam-diam.
Pelanggaran yang Terjadi
› Tidak melaporkan breach ke Badan PDP dalam 14 hari (Pasal 46) → sudah 20 hari baru diketahui, langsung kena sanksi
› Tidak memberitahu subjek data terdampak → melanggar Hak atas Kegagalan PDP (Pasal 13)
› Menyimpan riwayat transaksi tanpa kebijakan retensi yang jelas → melanggar Prinsip Retensi
› Tidak ada prosedur respons insiden yang memadai → melanggar Prinsip Keamanan & Akuntabilitas
Yang Seharusnya Dilakukan
› Deteksi insiden → aktivasi prosedur respons insiden dalam 24 jam
› Lapor ke Badan PDP maksimal 3x24 jam setelah mengetahui breach
› Kirim notifikasi ke 5 juta pelanggan terdampak (jenis data, risiko, saran)
› Audit forensik, perbaikan sistem, dan laporan final ke Badan PDP
Potensi Sanksi
› Administratif: denda hingga 2% dari total pendapatan tahunan di Indonesia
› Perdata: gugatan class action dari 5 juta pelanggan terdampak
› Pidana: jika terbukti ada unsur kelalaian berat atau kesengajaan
Studi Kasus 2: Startup Fintech & Persetujuan Implisit
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
SKENARIO
Startup fintech ABC menawarkan pinjaman online. Saat registrasi, aplikasi meminta izin akses kontak, lokasi, SMS, dan galeri foto. Kotak persetujuan marketing sudah dicentang secara default. Syarat & Ketentuan yang memuat Privacy Policy tersembunyi di halaman 8 dan ditulis dalam bahasa hukum teknis. Data kontak digunakan untuk menagih utang kepada keluarga peminjam.
Masalah Legal
› Akses kontak, SMS, galeri → over-collection, melanggar Data Minimization (Prinsip 1)
› Checkbox marketing pre-checked → bukan persetujuan eksplisit (Pasal 20(2)a)
› Privacy Policy tidak mudah diakses & tidak dapat dipahami → melanggar Hak Informasi & Prinsip Transparansi
› Data kontak digunakan untuk menagih pihak ketiga → penggunaan di luar tujuan awal, melanggar Purpose Limitation
Perbaikan yang Diperlukan
› Minta hanya izin yang benar-benar perlu → akses lokasi hanya saat aktif
› Ganti ke opt-in untuk semua persetujuan marketing
› Privacy Policy dalam Bahasa Indonesia sederhana, mudah ditemukan
› Hapus praktik penagihan ke kontak — tidak ada dasar hukum pemrosesan untuk pihak ketiga
Pelajaran Utama
› Legitimacy ≠Legalitas: 'Semua orang melakukannya' bukan dasar hukum
› Setiap akses izin harus punya tujuan spesifik yang dikomunikasikan
› Consent harus bebas, spesifik, informed, dan eksplisit
› Penggunaan data untuk pihak ketiga harus ada dasar hukum tersendiri
Studi Kasus 3: Vendor Cloud & Hubungan Pengendali–Prosesor
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
SKENARIO
PT Asuransi DEF menyimpan data polis nasabah di cloud provider luar negeri tanpa Data Processing Agreement (DPA). Cloud provider menggunakan data tersebut untuk melatih model AI-nya. Ketika Pengendali minta hapus data, cloud provider menolak dengan alasan 'keperluan bisnis internal'.
Tidak ada DPA
Prosesor wajib terikat perjanjian — tanpa DPA, Pengendali tidak bisa memastikan kepatuhan Prosesor (Pasal 51–52 UU PDP)
Transfer lintas negara tanpa perlindungan
Transfer data ke luar negeri wajib memastikan negara tujuan memiliki perlindungan setara atau ada mekanisme perlindungan tambahan (Pasal 56 UU PDP)
Prosesor memproses di luar instruksi
Cloud provider menggunakan data untuk melatih AI — ini BUKAN instruksi dari Pengendali, Prosesor bertindak sebagai Pengendali baru → pelanggaran berat
Hak hapus tidak dipenuhi
Penolakan penghapusan tanpa dasar hukum melanggar kewajiban Prosesor dan hak Subjek Data atas penghapusan
✓ Solusi: Buat DPA sebelum onboarding vendor, pilih cloud provider dengan SCCs/BCRs, audit Prosesor secara berkala, pastikan klausul penghapusan data ada dalam perjanjian.
LATIHAN SOAL
Uji Pemahaman — Sesi 1
01
PT Belanja Online meminta data NIK, selfie, dan kontak darurat saat pendaftaran akun belanja biasa. Prinsip PDP mana yang dilanggar dan mengapa?
💡 Pertimbangkan: apakah data yang diminta proporsional dengan tujuan layanan?
02
Bank ABC menggunakan data transaksi nasabah (dikumpulkan untuk layanan perbankan) untuk membuat model scoring kredit produk asuransi anak perusahaan. Analisis dasar pemrosesan dan hak subjek data yang relevan.
💡 Pertimbangkan: apakah tujuan baru kompatibel? Dasar hukum apa yang diperlukan?
03
Sebuah perusahaan HR-tech memproses data kesehatan karyawan kliennya untuk program wellness. Jelaskan: (a) siapa Pengendali dan siapa Prosesor, (b) dasar pemrosesan yang paling tepat, (c) dokumen apa yang wajib ada.
💡 Pertimbangkan: data kesehatan = data spesifik, hubungan tri-pihak (perusahaan klien, HR-tech, karyawan)
Diskusikan jawaban Anda dalam kelompok selama 10 menit sebelum presentasi.
LATIHAN SOAL
Uji Pemahaman — Sesi 2
04
Seorang mantan karyawan meminta perusahaan menghapus semua data pribadinya. Perusahaan menolak dengan alasan masih butuh data untuk arsip penggajian. Apakah penolakan ini sah? Apa yang harus dilakukan perusahaan?
💡 Pertimbangkan: kewajiban hukum perpajakan, hak penghapusan vs kewajiban retensi
05
Platform media sosial menggunakan algoritma untuk merekomendasikan konten berdasarkan profiling perilaku pengguna. Hak apa saja yang dimiliki pengguna berdasarkan UU PDP? Apa kewajiban platform?
💡 Pertimbangkan: automated decision-making, profiling, hak keberatan, transparansi algoritma
06
Pemerintah daerah ingin mengintegrasikan data kependudukan dengan data kesehatan untuk program intervensi gizi. Dasar pemrosesan apa yang paling tepat digunakan? Dokumen apa yang diperlukan? Risiko apa yang perlu dimitigasi?
💡 Pertimbangkan: data spesifik (kesehatan) + data kependudukan, kepentingan publik, DPIA
Soal 4–6 dapat dikerjakan secara individual sebagai tugas take-home atau presentasi minggu depan.
07
Kewajiban & Perjanjian PDP
RoPA, DPIA, Privacy Notice, DPO, dan Data Processing Agreement
Hukum Pelindungan Data Pribadi | IBLAM
Instrumen Kepatuhan Pelindungan Data Pribadi
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Records of Processing Activities (RoPA)
Pencatatan seluruh aktivitas pemrosesan Data Pribadi. Wajib bagi Pengendali & Prosesor. Memuat: tujuan, jenis data, masa retensi, penerima data, transfer lintas negara.
Data Protection Impact Assessment (DPIA)
Penilaian risiko untuk pemrosesan berisiko tinggi. Dilakukan sebelum pemrosesan. Identifikasi & mitigasi risiko terhadap hak subjek data.
Privacy Notice (Pemberitahuan PDP)
Transparansi kepada subjek data: identitas pengendali, tujuan, dasar pemrosesan, hak subjek data, & kontak DPO. Wajib disediakan sebelum/saat pengumpulan data.
Data Protection Officer (DPO)
Pejabat independen pelaksana fungsi PDP. Tugas: pemantauan kepatuhan, edukasi, kontak dengan Badan PDP, & penanganan permintaan subjek data.
Data Processing Agreement (DPA)
Perjanjian wajib antara Pengendali–Prosesor. Memuat: ruang lingkup, instruksi, durasi, keamanan, sub-prosesor, & hak audit Pengendali.
Joint Controller Agreement
Perjanjian antar sesama Pengendali yang bersama menentukan pemrosesan. Menetapkan peran, tanggung jawab, & contact point bagi subjek data.
Data Protection Officer (DPO) — Pasal 53–55 UU PDP
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Pejabat/Petugas Pelindungan Data Pribadi yang ditunjuk oleh Pengendali dan/atau Prosesor untuk menjalankan fungsi pelindungan data pribadi secara independen di dalam organisasi.
Wajib Menunjuk DPO
Pengendali Data Skala Besar
Memproses data pribadi dalam jumlah besar atau mencakup populasi luas
Pemrosesan Data Spesifik
Memproses data kesehatan, biometrik, anak, keuangan, atau data spesifik lainnya secara sistematis
Pemantauan Sistematis
Memantau perilaku subjek data secara rutin dan sistematis (misal: platform digital, CCTV masif)
Instansi Pemerintah
Badan/lembaga pemerintah yang memproses data pribadi warga dalam pelaksanaan tugas publik
Tugas & Fungsi DPO
› Pemantauan Kepatuhan
Memantau kepatuhan organisasi terhadap UU PDP dan kebijakan internal PDP — secara proaktif dan berkala
› Konsultasi & Edukasi
Memberikan saran kepada Pengendali/Prosesor dan melatih karyawan yang menangani data pribadi tentang kewajiban PDP
› Koordinasi dengan Badan PDP
Menjadi titik kontak (point of contact) antara organisasi dengan Badan Pelindungan Data Pribadi untuk audit, permintaan info, dan pelaporan
› Penanganan Hak Subjek Data
Menerima, mengoordinasikan, dan memastikan penyelesaian permintaan hak subjek data (akses, koreksi, hapus, dll.)
› DPIA & Manajemen Risiko
Memberikan masukan dalam pelaksanaan DPIA untuk pemrosesan berisiko tinggi dan mendorong prinsip privacy by design
Syarat & Kualifikasi
› Memiliki pengetahuan hukum PDP & keamanan informasi
› Dapat berasal dari internal atau eksternal organisasi
› Bisa dijabat oleh satu orang untuk beberapa organisasi dalam grup
Prinsip Independensi
✓ Tidak boleh menerima instruksi dalam pelaksanaan tugasnya
✓ Tidak boleh diberhentikan/dihukum karena menjalankan fungsi DPO
✓ Langsung melapor ke level manajemen tertinggi
✓ Dilarang rangkap jabatan yang menimbulkan konflik kepentingan
08
Sanksi & Penegakan Hukum
Sanksi administratif, perdata, dan pidana berdasarkan UU PDP
Hukum Pelindungan Data Pribadi | IBLAM
Sanksi atas Pelanggaran UU Pelindungan Data Pribadi
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Sanksi Administratif
Pasal 57 UU PDP
Peringatan tertulis
Penghentian sementara kegiatan pemrosesan
Penghapusan atau pemusnahan Data Pribadi
Denda administratif — maksimum 2% dari pendapatan tahunan atau penerimaan tahunan dalam wilayah Indonesia
Sanksi Perdata
Pasal 58 UU PDP
Gugatan ganti kerugian dari Subjek Data
Ganti kerugian material dan/atau immaterial
Class action dimungkinkan oleh kelompok subjek data yang dirugikan
Tidak menghapus tuntutan pidana yang bersamaan
Sanksi Pidana
Pasal 67–73 UU PDP
Penggunaan ilegal — pidana penjara 5 tahun dan/atau denda Rp 5 miliar
Pemalsuan data — pidana penjara 6 tahun dan/atau denda Rp 6 miliar
Jual beli data ilegal — pidana penjara 5 tahun dan/atau denda Rp 5 miliar
Korporasi: +denda 10× dari maksimal + sanksi tambahan (cabut izin, dsb.)
Risiko Pelanggaran Data Pribadi dalam Siklus Pemrosesan
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO. | IBLAM Hukum Teknologi S1
Perolehan & Pengumpulan
âš Tidak ada legal basis / legal basis tidak sesuai
âš Pengumpulan data berlebihan (over-collection)
âš Tidak ada Privacy Notice
âš Pengumpulan tidak aman
Pengolahan & Penganalisisan
âš Tujuan pemrosesan tidak tepat
âš Data tidak akurat
âš Tidak ada DPIA untuk pemrosesan berisiko tinggi
âš Penyalahgunaan data pribadi
Penyimpanan
âš Penyimpanan tidak aman
âš Tidak ada kebijakan retensi
âš Device tidak terproteksi
âš Serangan malware/ransomware
Transfer & Pengungkapan
âš Pengungkapan kepada pihak tidak sah
âš Transfer lintas negara tanpa perlindungan memadai
âš Pengiriman data tidak terenkripsi
âš Pengungkapan data secara berlebihan
Penghapusan
âš Mekanisme penghapusan tidak aman
âš Abai terhadap permintaan penghapusan
âš Penggunaan data pada masa arsip
âš Tidak ada verifikasi permintaan penarikan
Penutup & Tanya Jawab
Compliance
bukan pilihan,
melainkan kewajiban.
UU PDP hadir untuk melindungi hak warga negara atas data pribadinya
dan mendorong ekosistem digital yang bertanggung jawab di Indonesia.
Adhi Prasetyo Utomo, S.H., LL.M, CIPM., CIPDPO.
Legal & Personal Data Protection Specialist | IBLAM School of Law
Asosiasi Praktisi Pelindungan Data Indonesia | POKJA AI – KOMDIGI