Definisi
UU Perlindungan Data Pribadi (UU PDP) adalah UU No. 27 Tahun 2022 yang merupakan undang-undang khusus pertama di Indonesia yang secara komprehensif mengatur perlindungan data pribadi. UU PDP berlaku efektif pada Oktober 2024 setelah masa transisi 2 tahun sejak diundangkan.
UU PDP mengatur jenis data pribadi (umum dan spesifik), hak-hak subjek data, kewajiban pengendali dan prosesor data, transfer data lintas negara, pembentukan lembaga pengawas perlindungan data pribadi, serta sanksi pidana dan administratif. UU ini terinspirasi dari GDPR (General Data Protection Regulation) Uni Eropa namun disesuaikan dengan konteks Indonesia.
Data pribadi dibagi menjadi dua: data pribadi yang bersifat umum (nama, jenis kelamin, kewarganegaraan, agama) dan data pribadi yang bersifat spesifik (data kesehatan, biometrik, genetika, catatan kejahatan, data keuangan, dan data anak). Sanksi pidana untuk pelanggaran UU PDP mencapai 6 tahun penjara dan/atau denda Rp6 miliar. Sanksi administratif dapat berupa peringatan, penghentian pemrosesan, penghapusan data, hingga denda administratif maksimal 2% dari pendapatan tahunan.
Contoh Kasus
Sebuah perusahaan fintech di Jakarta mengumpulkan data biometrik (sidik jari dan pengenalan wajah) nasabahnya tanpa persetujuan eksplisit. Setelah berlakunya UU PDP, lembaga pengawas melakukan pemeriksaan dan menjatuhkan sanksi administratif berupa denda dan perintah penghapusan data biometrik yang dikumpulkan secara melawan hukum.
Seorang mantan karyawan perusahaan teknologi menjual database pelanggan berisi 10 juta data pribadi di forum gelap (dark web). Pelaku dijerat Pasal 67 ayat (1) UU PDP dengan ancaman pidana penjara 5 tahun dan denda Rp5 miliar karena dengan sengaja dan melawan hukum memperoleh data pribadi untuk menguntungkan diri sendiri.