Products

Luncurin
Website & online store for Indonesian MSMEs
Arsiva
Document intelligence & UU PDP compliance
AutoInsight
Causal AI analytics for enterprise
Platform
Identity & Pay behind every product
Compare all products

Company

About UsChangelogPress & Awards
ConsultingBlog
ENID
Log InGet Started
6 menit baca

UU PDP untuk Bisnis Menengah: Persiapan Kepatuhan Perusahaan

UU PDP (Undang-Undang Perlindungan Data Pribadi, UU 27/2022) mewajibkan kepatuhan. Setiap perusahaan di Indonesia yang memproses data pribadi harus memenuhi sejumlah kewajiban. Untuk bisnis menengah, dengan 20–200 karyawan, persiapan kepatuhan dimulai dari memahami dasar hukum pemrosesan data, hak subjek data, kewajiban notifikasi pelanggaran, dan kebijakan retensi data.

Peringatan: Artikel ini bersifat informatif dan bukan merupakan nasihat hukum. Konsultasikan dengan praktisi hukum untuk kebutuhan kepatuhan spesifik perusahaan Anda.

Apa itu UU PDP?

UU 27/2022 tentang Perlindungan Data Pribadi adalah undang-undang yang mengatur pemrosesan data pribadi di Indonesia. Berlaku efektif sejak Oktober 2024, UU PDP mewajibkan setiap organisasi, termasuk bisnis menengah, untuk melindungi data pribadi yang mereka kumpulkan, simpan, dan proses.

UU PDP berlaku untuk:

  • Semua orang dan badan hukum yang memproses data pribadi di Indonesia
  • Badan hukum di luar Indonesia yang memproses data pribadi warga negara Indonesia

Definisi penting

  • Data pribadi: data tentang individu yang teridentifikasi atau dapat diidentifikasi
  • Pengendali data pribadi: pihak yang menentukan tujuan dan cara pemrosesan data (dalam konteks ini, perusahaan Anda)
  • Prosesor data pribadi: pihak yang memproses data atas nama pengendali

Inventarisasi Data Pribadi: Langkah Pertama yang Paling Kritis

Sebelum bisa mematuhi UU PDP, Anda harus tahu data pribadi apa saja yang ada di perusahaan. Inventarisasi data adalah fondasi seluruh program kepatuhan. Tanpa ini, semua langkah berikutnya tidak bisa dijalankan.

Data yang Perlu Diinventarisasi

Bisnis menengah biasanya mengumpulkan data pribadi dari berbagai sumber:

  • Data karyawan: nama, alamat, nomor KTP, NPWP, nomor telepon, rekening bank, riwayat gaji, data keluarga
  • Data pelanggan: nama, alamat pengiriman, nomor telepon, email, riwayat pembelian, metode pembayaran
  • Data vendor dan mitra: kontak person, rekening bank, data perjanjian
  • Data prospek: nama dan kontak dari formulir website, pameran, atau campaign marketing

Untuk setiap jenis data, catat: dari mana data berasal, untuk apa digunakan, siapa yang mengakses, berapa lama disimpan, dan ke pihak mana data dikirim.

Cara Melakukan Inventarisasi

Buat daftar semua sistem dan aplikasi yang digunakan perusahaan: ERP, CRM, payroll, email, cloud storage, aplikasi HR. Untuk setiap sistem, identifikasi field data apa yang mengandung data pribadi. Libatkan tim IT, HR, legal, dan operasional dalam proses ini.

Hasil inventarisasi didokumentasikan dalam bentuk daftar pemrosesan data atau record of processing activities. Dokumen ini menjadi acuan untuk langkah kepatuhan selanjutnya.

Dasar Hukum Pemrosesan Data

Setiap pemrosesan data pribadi harus memiliki dasar hukum yang sah. UU PDP mengenal beberapa dasar hukum. Bisnis menengah perlu mendokumentasikan dasar hukum untuk setiap jenis data yang diproses.

Persetujuan Eksplisit

Ini adalah dasar hukum yang paling umum. Pemilik data memberikan izin tertulis, bisa lewat centang kotak di website, tanda tangan formulir, atau konfirmasi WhatsApp. Persetujuan harus diberikan secara bebas, spesifik, dan dapat ditarik kembali.

Contoh: pelanggan memberikan nomor telepon untuk keperluan pengiriman. Mereka setahu bahwa data tersebut akan digunakan untuk menghubungi kurir.

Kewajiban Kontraktual

Data diproses karena diperlukan untuk memenuhi kontrak. Contoh: perusahaan memproses data karyawan untuk membayar gaji dan BPJS. Data pelanggan diproses untuk memproses pesanan.

Kewajiban Hukum

Data diproses untuk memenuhi kewajiban yang diatur undang-undang. Contoh: perusahaan wajib menyimpan data payroll untuk kepentingan perpajakan.

Kepentingan Sah

Data diproses untuk kepentingan sah perusahaan, selama tidak melanggar hak subjek data. Contoh: menggunakan data email pelanggan untuk mengirim informasi produk serupa, dengan tetap memberikan opsi berhenti berlangganan.

Dokumentasikan dasar hukum untuk setiap proses pemrosesan. Ini penting saat ada audit atau pertanyaan dari lembaga pengawas.

Hak Subjek Data dan Cara Melayaninya

UU PDP memberikan sejumlah hak kepada pemilik data pribadi. Perusahaan wajib memiliki prosedur untuk menangani setiap permintaan.

Hak Informasi

Pemilik data berhak tahu data apa yang dikumpulkan, untuk apa, dan ke mana data dikirim. Informasi ini disampaikan lewat kebijakan privasi yang jelas. Letakkan kebijakan privasi di website dan sertakan saat pengumpulan data pertama kali.

Hak Akses

Pemilik data berhak meminta salinan data pribadi yang dimiliki perusahaan. Prosedurnya: buat formulir permintaan akses, tetapkan batas waktu respons (maksimal 30 hari), dan siapkan format pengiriman data yang aman.

Hak Perbaikan

Pemilik data berhak memperbaiki data yang tidak akurat. Contoh: pelanggan pindah alamat. Mereka bisa mengirim permintaan perbaikan data. Perusahaan wajib memperbarui data dalam waktu yang wajar.

Hak Penghapusan

Pemilik data berhak meminta penghapusan data dalam kondisi tertentu, misalnya jika data sudah tidak diperlukan untuk tujuan awal. Perusahaan harus memiliki alur penghapusan yang jelas: verifikasi identitas pemohon, hapus data dari semua sistem, dan konfirmasi ke pemohon.

Hak Portabilitas

Pemilik data berhak memindahkan data ke pihak lain dalam format yang umum digunakan. Contoh: pelanggan ingin memindahkan riwayat pembelian ke platform lain. Perusahaan harus menyediakan data dalam format CSV atau JSON.

Hak Pembatasan dan Keberatan

Pemilik data bisa meminta penghentian pemrosesan untuk tujuan tertentu. Contoh: pelanggan tidak ingin datanya digunakan untuk marketing. Perusahaan harus menandai data tersebut dan menghentikan pemrosesan untuk tujuan marketing.

SOP Penanganan Permintaan

Buat prosedur standar:

  1. Terima permintaan dari pemilik data (bisa via email, formulir, atau WhatsApp)
  2. Verifikasi identitas pemohon
  3. Catat permintaan di log
  4. Proses sesuai jenis permintaan
  5. Respons dalam batas waktu yang ditentukan
  6. Dokumentasikan tindakan yang diambil

Notifikasi Pelanggaran Data

Jika terjadi pelanggaran data yang membahayakan subjek data, pengendali data wajib:

  • Memberitahukan kepada subjek data paling lambat 3×24 jam (Pasal 46 UU 27/2022)
  • Melaporkan kepada lembaga pengawas

Isi notifikasi meliputi: deskripsi pelanggaran, jenis data yang terdampak, tindakan yang diambil, dan kontak yang bisa dihubungi.

Batas waktu 3×24 jam ini terhitung sejak perusahaan mengetahui terjadinya pelanggaran. Ini berarti perusahaan harus memiliki sistem deteksi yang cepat. Semakin cepat pelanggaran terdeteksi, semakin banyak waktu untuk merespons.

Kebijakan Retensi dan Alur Penghapusan Data

UU PDP mewajibkan perusahaan menetapkan jangka waktu penyimpanan data yang jelas. Data tidak boleh disimpan lebih lama dari yang diperlukan.

Menentukan Masa Retensi

Setiap jenis data memiliki masa retensi yang berbeda:

  • Data karyawan: umumnya 5–10 tahun setelah karyawan berhenti (untuk keperluan hukum dan perpajakan)
  • Data transaksi pelanggan: 5 tahun (sesuai ketentuan perpajakan)
  • Data prospek marketing: sampai prospek meminta berhenti atau setelah 2 tahun tanpa interaksi
  • Log akses sistem: minimal 6 bulan

Dokumentasikan kebijakan retensi secara tertulis. Pastikan setiap tim memahami aturan ini.

Alur Penghapusan

Buat prosedur penghapusan yang terdokumentasi:

  1. Identifikasi data yang sudah melewati masa retensi
  2. Verifikasi tidak ada kewajiban hukum yang mengharuskan data tetap disimpan
  3. Hapus data dari semua sistem, termasuk backup
  4. Dokumentasikan proses penghapusan
  5. Beri konfirmasi ke pemilik data jika diminta

Untuk penghapusan atas permintaan subjek data, prosedurnya sama tapi dengan tambahan verifikasi identitas pemohon.

Peran Manajemen Dokumen dalam Kepatuhan

Salah satu tantangan terbesar kepatuhan UU PDP adalah pengelolaan dokumen. Perusahaan perlu menyimpan bukti persetujuan, kebijakan privasi, log pemrosesan, dan dokumentasi kepatuhan lainnya. Semua harus mudah diakses saat dibutuhkan.

Dokumen Kunci yang Harus Dimiliki

  • Kebijakan privasi
  • Daftar pemrosesan data
  • Bukti persetujuan (consent records)
  • Kebijakan retensi data
  • Prosedur respons pelanggaran
  • Log permintaan subjek data
  • Hasil penilaian dampak perlindungan data
  • Kontrak dengan prosesor data (vendor)

Bagaimana Sistem Dokumen Membantu

Dengan sistem manajemen dokumen yang baik, perusahaan bisa:

  • Menyimpan semua dokumen kepatuhan di satu tempat
  • Melacak versi dan riwayat perubahan
  • Mengontrol akses berdasarkan peran
  • Menemukan dokumen dengan cepat saat audit
  • Mengatur jadwal review dan pembaruan dokumen

Arsiva adalah platform document intelligence yang dirancang untuk membantu perusahaan Indonesia mengelola dokumen kepatuhan. Dengan fitur penyimpanan terenkripsi AES-GCM 256-bit, pencarian full-text, dan audit trail, Arsiva memudahkan tim legal dan operasional untuk tetap patuh terhadap UU PDP.

Checklist Persiapan UU PDP

Ikuti langkah-langkah berikut untuk memulai perjalanan kepatuhan:

  1. Audit data pribadi: identifikasi data pribadi apa saja yang Anda kumpulkan, dari mana sumbernya, dan bagaimana penggunaannya
  2. Petakan alur data: buat diagram bagaimana data bergerak di dalam organisasi, termasuk ke vendor dan mitra
  3. Tentukan dasar hukum: dokumentasikan dasar hukum untuk setiap jenis pemrosesan
  4. Buat kebijakan privasi: dokumentasikan praktik perlindungan data dalam bahasa yang jelas
  5. Siapkan prosedur hak subjek data: SOP untuk menangani permintaan akses, perbaikan, dan penghapusan
  6. Tetapkan kebijakan retensi: tentukan jangka waktu penyimpanan dan alur penghapusan
  7. Rencanakan respons insiden: protokol untuk mendeteksi, melaporkan, dan menangani pelanggaran data, termasuk batas waktu 3×24 jam (Pasal 46 UU 27/2022)
  8. Evaluasi vendor: pastikan vendor yang memproses data atas nama Anda juga mematuhi UU PDP
  9. Latih karyawan: pastikan semua staf paham prinsip dasar perlindungan data
  10. Dokumentasikan semuanya: simpan semua dokumen kepatuhan di sistem manajemen dokumen

Arsiva siap membantu perusahaan Anda mempersiapkan kepatuhan UU PDP, mulai dari inventarisasi data hingga kebijakan retensi, semuanya dalam satu platform. Minta akses awal Arsiva →