Overview UU PDP

Dan Arah Pengaturan Peraturan Pelaksanaannya

Tuaman Manurung, S.H., M.H., C.L.A.

Kementerian Komunikasi dan Informatika

25 Oktober 2023
 Riwayat Pendidikan
1. Sarjana Hukum, Fakultas Hukum Universitas Indonesia 2007
2. Magister Hukum, Fakultas Hukum Universitas Indonesia 2013
3. Sekolah Auditor Hukum, 2016
4. Pendidikan Legal Drafting tingkat Advance 2016
5. Pendidikan Khusus Profesi Advokat dan license Advokat (Ex)
6. Certified Legal Auditor (CLA)
7. Certified Mediator (CLE-FHUI)
8. ECPC- Professional Certification Education, Maastricht University

Riwayat Jabatan
TUAMAN MANURUNG, SH, MH. CLA 1. Legal drafter, Setditjen aplikasi Informatika
2. Analis Kebijakan Pertama Kementerian Komunikasi dan Informatika
3. Kasi Perencanaan Tata Kelola Pelindungan Data Pribadi
4. Analis Kebijakan Muda Kementerian Komunikasi dan Informatika

Riwawat Pekerjaan
§ Pelatihan “Legal Framework on PDP in Criminal Investigation”, Maastricht University
§ Pelatihan “Data Protection Officer EU GDPR”, Maastricht University
§ Pelatihan”CIPM”, Strait Interactive, Singapore
§ Tim Penyusun Regulasi UU ITE,
§ Tim Penyusun Regulasi UU PDP dan Peraturan Terkait
§ PIC TIM Penyusunan PP 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik,
§ Tim Penyusun Peraturan Pelaksana PP 71/2019 (Permen 5 Tahun 2020)
§ Tim Kuasa Hukum Pemerintah dalam Perkara Perdata dan Judicial Review MK.
§ Ahli dalam Perkara Tindak Pidana ITE di Penyidikan dan Persidangan
 UU Pelindungan Data Pribadi

SUBSTANSI REGULASI
Telah disahkan oleh DPR dan Pemerintah dan telah
Status
Definisi & Ruang Lingkup Sanksi Administratif diundangkan (UU No. 27/2022) tanggal 17 Oktober 2022

Kelembagaan • Mulai berlaku sejak diundangkan

Asas Undang-Undang • Penyesuaian ketentuan pemrosesan data pribadi dalam
Kapan mulai
2 tahun sejak diundangkan
berlaku?
Jenis Data Pribadi Kerjasama Internasional • Peraturan lain masih tetap berlaku sepanjang tidak
bertentangan dengan ketentuan dalam UU PDP

Hak Subjek Data Pribadi Partisipasi Masyarakat

• Pemerintah / Sektor Publik
Berlaku untuk
• Sektor Privat
Penyelesaian Sengketa dan siapa?
Pemrosesan Data Pribadi • Organisasi Internasional
Hukum Acara
Prinsip dan dasar
Pemrosesan Data Pribadi Larangan dalam Penggunaan
Data Pribadi • Pemrosesan data pribadi yang berada di wilayah hukum
Joint controller Negara Republik Indonesia
• di luar wilayah hukum Negara Republik Indonesia, yang
Berlaku
Ketentuan Pidana memiliki akibat hukum:
Kewajiban Pengendali dan dimana?
• di wilayah hukum Negara Republik Indonesia;
Prosesor Data Pribadi • bagi Subjek Data Pribadi warga negara Indonesia
Ketentuan Peralihan dan di luar wilayah hukum Negara Republik Indonesia
Transfer Data Pribadi Penutup
Materi Muatan UU PDP
Ketentuan Umum (BAB I)
Definisi Ruang lingkup
(Pasal 1) (Pasal 2) Kelembagaan (BAB IX)

Peran pemerintah dalam penyelenggaraan PDP,

pelaksanaan penyelenggaraan PDP oleh lembaga,
Asas (BAB II) Jenis Data Pribadi (BAB III) Larangan dalam tusi dan kewenangan lembaga.
Penggunaan Data
Data pribadi bersifat spesifik &
Asas Undang-Undang PDP Pribadi (BAB XIII)
umum Kerja Sama Internasional (BAB X)
Setiap Orang dilarang dengan
sengaja dan melawan hukum: Kerja sama internasional dilakukan oleh
mengumpulkan data pribadi
Pemerintah dengan pemerintah negara lain atau
yang bukan miliknya,
Hak Subjek Data Pribadi (BAB IV) Pemrosesan Data Pribadi (BAB V) mengungkapkan data pribadi organisasi internasional terkait dengan PDP
yang bukan miliknya,
Subjek Data Pribadi berhak untuk mendapatkan Lingkup pemrosesan menggunakan data pribadi
informasi; melengkapi, memperbarui, dan/atau
memperbaiki kesalahan; hak akses; hak mengakhiri Prinsip pemrosesan yang bukan miliknya, Partisipasi Masyarakat (BAB XI)
pemrosesan; hak menarik persetujuan; hak memalskukan data pribadi
mengajukan keberatan; hak menunda/membatasi; Ketentuan alat pemroses/pengolah data visual (Pasal 65-66). Partisipasi dan peran masyarakat dalam
hak menggugat dan menerima ganti rugi.
Joint controller mendukung terselenggaranya pelindungan data
pribadi.

Penyelesaian Sengketa dan Hukum Acara

Kewajiban Pengendali & Prosesor Sanksi Adminstratif (BAB VIII) Ketentuan Pidana (BAB XII)
(BAB VI)
Pengendali & Prosesor yang melakukan (BAB XIV) Melalui arbitrase, pengadilan, atau lembaga
Lingkup pengendali & prosesor pelanggaran terhadap kewajiban dikenakan
penyelesaian sengketa alternatif lainnya sesuai dengan
sanksi administratif. (Pasal 57)
Kewajiban Pengendali Setiap Orang yang melakukan ketentuan peraturan perundang-undangan. Alat bukti
Pasal kewajiban : Pasal 20 ayat (1), Pasal 21 ayat (1) dan perbuatan yang dilarang yang sah dalam UU PDP dan proses persidangan.
Pengecualian terhadap Kewajiban Pengendali ayat (2), Pasal 24, Pasal 25 ayat (2), Pasal 26 ayat (3), sebagaimana dimaksud pada
Pasal 27, Pasal 28, Pasal 29, Pasal 30, Pasal 31, Pasal 32 Pasal 65-66 akan dikenai
Kewajiban Prosesor ayat (1), Pasal 33, Pasal 34 ayat (1), Pasal 35, Pasal 36,
Pasal 37, Pasal 38, Pasal 39 ayat (1), Pasal 40 ayat (1),
sanksi pidana Ketentuan Peralihan (BAB XV)
Kewajiban penunjukan DPO (Data Protection Officer)
Pasal 41 ayat (1) dan ayat (3), Pasal 42 ayat (1), Pasal 43
ayat (1), Pasal 44 ayat (1), Pasal 45, Pasal 46 ayat (1) dan Pidana korporasi. UU PDP berlaku sejak diundangkan dan masa
ayat (3), Pasal 47, Pasal 48 ayat (1), Pasal 49, Pasal 51 penyesuaian terhadap UU PDP paling lama 2 tahun
ayat (1) dan ayat (5), Pasal 52, Pasal 53 ayat (1), Pasal 55
Transfer Data Pribadi (BAB VII) ayat (2), dan Pasal 56 ayat (2) sampai dengan ayat (4) Pidana tambahan.
sanksi administratif berupa: peringatan tertulis; Ketentuan Penutup (BAB XVI)
dalam wilayah NRI penghentian sementara kegiatan pemrosesan
Data Pribadi, penghapusan atau pemusnahan Pasal 76
luar wilayah NRI Data Pribadi, dan/atau denda administratif.
Draf Rancangan Peraturan
Pemerintah Pelaksanaan UU PDP (www.pdp.id)

10 BAB
245 PASAL
 RUANG LINGKUP
Orang perseorangan Who?
Setiap Orang
Who? Badan Publik
Organisasi Melakukan pemrosesan
Internasional Data Pribadi dalam kegiatan What?
pribadi atau rumah tangga
What? Melakukan pemrosesan Data Pribadi

Kriteria Kepentingan dan pemenuhan

kebutuhan pribadi atau rumah
Wilayah hukum Negara tangga
Where? Republik Indonesia
Bukan merupakan kegiatan
profesional dan/atau komersial
Luar wilayah hukum Negara
Republik Indonesia Tidak diperuntukkan bagi publik
memiliki akibat hukum

Di wilayah hukum NRI Bagi Subjek Data Pribadi warga

negara Indonesia di luar wilayah
hukum NRI
PENGECUALIAN KEBERLAKUAN
03 dapat mengidentifikasi secara 02 dapat mengidentifikasi 01 data tentang ELEMEN
langsung maupun tidak langsung seseorang secara tersendiri atau orang perseorangan
melalui sistem elektronik dan
nonelektronik
dikombinasikan DATA PRIBADI

Pengecualian Keberlakuan
a. data dan informasi kesehatan
DATA PRIBADI b.
c.
data biometrik
data genetika
berpotensi menimbulkan dampak lebih
besar kepada Subjek Data Pribadi
d. catatan kejahatan Tindakan diskriminatif
SPESIFIK e. data anak Kerugian materiel dan/atau imateriel
f. data keuangan pribadi
Dampak lainnya yang bertentangan
g. data lainnya sesuai dengan
ketentuan peraturan perundang- dengan peraturan perundang-undangan
undangan

a. nama lengkap
pengkombinasian Data Pribadi untuk
b. jenis kelamin
c. kewarganegaraan mengidentifikasikan seseorang
UMUM d. agama
Referensi langsung
e. status perkawinan termasuk penggunaan
f. Data Pribadi yang dikombinasikan Referensi pemetaan
data yang tersedia pada
untuk mengidentifikasi seseorang Triangularisasi domain publik
Kombinasi lainnya
Mengenal Para Pihak dalam Pemrosesan Data Pribadi

Pengendali Data Pribadi Pemrosesan Data Pribadi dapat

dilakukan oleh 2 (dua) atau lebih
Prosesor Data Pribadi
setiap orang, badan publik, dan setiap orang, badan publik, dan
Pengendali Data Pribadi, namun
organisasi internasional yang organisasi internasional yang
harus memenuhi syarat minimal
bertindak sendiri-sendiri atau bertindak sendiri-sendiri atau
bersama-sama dalam antara lain terdapat perjanjian,
bersama-sama dalam
terdapat tujuan yang saling
menentukan tujuan dan melakukan pemrosesan Data
berkaitan, dan terdapat
melakukan kendali pemrosesan Pribadi atas nama Pengendali
narahubung yang ditunjuk secara
Data Pribadi Data Pribadi.
bersama-sama.

Subjek Data Pribadi

Lembaga Pengawas PDP
orang perseorangan yang Lembaga memiliki fungsi pengaturan dan pengawasan.
pada dirinya melekat Data
Pribadi
 Pengendali Data Pribadi Bersama
Pasal 18 UU PDP Draf RPP PDP
“Pemrosesan Data Pribadi dapat dilakukan oleh 2 (dua) atau lebih Pengendali
Data Pribadi.” • Syarat minimal isi perjanjian
• Tanggung jawab bersama
Syarat minimal: memastikan pemrosesan
• terdapat perjanjian antara para Pengendali Data Pribadi yang memuat dilakukan sesuai perjanjian
peran, tanggung jawab, dan hubungan antar-Pengendali Data Pribadi; dan per-UU-an
• terdapat tujuan yang saling berkaitan dan cara pemrosesan Data Pribadi • Tanggung jawab hukum
yang ditentukan secara bersama; dan tanggung renteng
• terdapat narahubung yang ditunjuk secara bersama-sama. • Tanggung jawab menyediakan
informasi

Prosesor Data Pribadi Lain

Pasal 51 UU PDP
“Prosesor Data Pribadi dapat melibatkan Prosesor Data Pribadi lain dalam melakukan pemrosesan Data Pribadi”
“Prosesor Data Pribadi wajib mendapatkan persetuiuan tertulis dari Pengendali Data Pribadi sebelum melibatkan Prosesor Data Pribadi
lain”

Penunjukkan Prosesor Data Pribadi lainnya oleh Prosesor Data Pribadi diatur dalam perjanjian tertulis dengan
Draf RPP PDP memperhatikan tingkat Pelindungan Data Pribadi yang setara sesuai yang disepakati dalam perjanjian antara
Pengendali Data Pribadi dan Prosesor Data Pribadi.
 Tiap Siklus Pemrosesan Terdapat Risiko dan Aspek
Siklus Pemrosesan Data Pribadi Pelindungan (Pelaksanaan Kewajiban dan
Pemenuhan Hak)

+/-

10 38
Hak Kewajiban
Subjek
Data atas permintaan hak secara langsung
Subjek Data Pribadi

PELAKSANAAN HAK
SUBJEK DATA PRIBADI
Ps. 14 UU PDP
Ps. 37 RPP PDP

diajukan melalui permohonan tercatat secara elektronik atau nonelektronik

kepada Pengendali Data Pribadi
Penjabaran lebih lanjut mengenai hak Subjek Data Pribadi dan
Pengendali Data Pribadi tidak melaksanakan kewajiban atas permohonan kewajiban Pengendali/Prosesor Data Pribadi termuat dalam RPP
pelaksanaan hak, Subjek Data Pribadi dapat melaporkan kepada Lembaga PDP

a. pemerolehan dan pengumpulan;
b. pengolahan dan penganalisisan;
c. penyimpanan;
d. perbaikan dan pembaruan;
e. penampilan, pengumuman, transfer,
penyebarluasan, atau pengungkapan; dan/ atau
f. penghapusan atau pemusnahan
Terbatas dan spesifik, sah secara hukum, dan transparan
Sesuai tujuannya
Menjamin hak Subjek Data Pribadi
Akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat
dipertanggungjawabkan
Melindungi keamanan Data Pribadi
Memberitahukan tujuan dan aktivitas pemrosesan, serta
kegagalan PDP
Data Pribaadi dimusnahkan dan/atau dihapus setelah
masa retensi berakhir atau berdasarkan permintaan
Subjek Data Pribadi
Bertanggung jawab dan dapat dibuktikan secara jelas
HAK DAN KEWAJIBAN
q Pemrosesan Data Pribadi Secara Terbatas dan Spesifik
q Permintaan dan Penyampaian Informasi
SIKLUS q Pemrosesan Data Pribadi Sesuai dengan Tujuan
PEMROSESAN q Akurasi, Kelengkapan, dan Konsistensi Data Pribadi
DATA PRIBADI
q Pelengkapan, Pembaruan, dan/atau Perbaikan
q Perekaman terhadap Kegiatan Pemrosesan Data Pribadi
q Akses dan Salinan Data Pribadi
q Pengakhiran Pemrosesan, Penghapusan, dan/atau Pemusnahan Data Pribadi
q Penarikan Persetujuan
q Pengajuan Keberatan
q Penundaan dan Pembatasan Permosesan
q Gugatan dan Perimaan Ganti Rugi
q Portabilitas dan Interoperabilitas Data Pribadi
q Pemberitahuan Kegagalan Pelindungan Data Pribadi
q Penilaian Dampak Pelindungan Data Pribadi
PRINSIP q Pengamanan Data Pribadi
PEMROSESAN q Penggabungan, Pemisahan, Pengambilalihan, Peleburan, dan/atau Pembubaran
DATA PRIBADI
Badan Hukum
q Pemrosesan Data Pribadi secara Bertanggung Jawan dan Dapat Dibuktikan secara
Jelas
q Kewajiban Prosesor Data Pribadi
q Pejabat Petugas Pelindung Data Pribadi
q Pengecualian Hak dan Kewajiban
DASAR PEMROSESAN
01 PERSETUJUAN YANG SAH SECARA EKSPLISIT
Penolakan pemberian persetujuan dari SDP tidak
mempengaruhi kualitas barang, jasa, atau layanan yang
disediakan Pengendali Data Pribadi.
PEMROSESAN DATA PRIBADI ANAK Ps. 25 UU PDP
PEMROSESAN DATA PRIBADI
PENYANDANG DISABILITAS
Ps. 26 UU PDP
02 PEMENUHAN KEWAJIBAN PERJANJIAN
• dapat dilakukan jika SDP dan Pengendali Data
Pribadi menyepakati akan menandatangani suatu
perjanjian.
• harus berhenti saat tujuan perjanjian terpenuhi.
Perjanjian tidak dapat dianggap
menggantikan posisi persetujuan
Wajib menggunakan persetujuan untuk
melakukan pemrosesan Data Pribadi yang
membutuhkan persetujuan
03 PEMENUHAN KEWAJIBAN HUKUM
Dilakukan dalam hal diwajibkan oleh:
o Ketentuan peraturan perundang-undangan
o Perintah dan/atau putusan pengadilan
o Perintah berdasarkan keputusan pejabat TUN
Penggunaan dasar pemrosesan disertai dengan kewajiban menyampaikan informasi kepada SDP, orang tua SDP, dan/atau wali SDP sesuai ketentuan peraturan perundang-undangan
PELAKSANAAN TUGAS DALAM RANGKA
KEPENTINGAN UMUM, PELAYANAN PUBLIK, ATAU
PELAKSANAAN KEWENANGAN 05
• Pelaksanaan tugas dalam rangka kepentingan umum atau pelayanan
publik dilakukan dalam hal:
Ps. 51-52 RPP PDP
o Melaksanakan ketentuan peraturan perundang-undangan untuk
melakukan tindakan dalam rangka kepentingan umum dan/atau
Ps. 53 RPP PDP pelayanan publik
DASAR PEMROSESAN o Terdapat kepentingan publik yang secara langsung terancam jika
pemrosesan Data Pribadi tidak dilakukan
Ps. 20 UU PDP Ps. 44 RPP PDP • Pelaksanaan kewenangan dapat dilakukan berdasarkan persetujuan
tertulis dari pimpinan instansi sesuai dengan ketentuan peraturan
perundang-undangan.
PEMENUHAN KEPENTINGAN YANG SAH
LAINNYA 06
• Dapat digunakan dalam hal:
o Telah melakukan analisis terhadap keperluan, tujuan,
dan keseimbangan hak SDP dan kepentingan
Pengendali Data Pribadi
o Telah melakukan penilaian bahwa pemrosesan tidak
04 PEMENUHAN PELINDUNGAN KEPENTINGAN VITAL •
berdampak hukum/merugikan SDP
Pengendali Data Pribadi badan publik tidak dapat
Dilakukan dalam hal: menggunakan dasar ini.
• Terdapat ancaman terhadap hidup, fisik, dan/atau
properti/aset SDP atau pihak ketiga lainnya
• Sulit mendapatkan persetujuan SDP
• Potensi penolakan pemrosesan yang rendah oleh SDP
TRANSFER DATA PRIBADI KE LUAR WILAYAH HUKUM NRI
KEWAJIBAN MEMENUHI PERSYARATAN TRANSFER
Kriteria Transfer Data Pribadi ke Luar Wilayah Hukum NRI
1
negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data
Pribadi yang menerima transfer Data Pribadi memiliki tingkat Pelindungan Data
1. dilakukan oleh Pengendali Data Pribadi
Pribadi yang setara atau lebih tinggi 2. membuat Data Pribadi tersedia untuk Pengendali dan/atau Prosesor yang
menerima Data Pribadi
Lembaga PDP melakukan penilaian dan dapat menetapkan daftar berdasarkan: 3. Pengendali dan/atau Prosesor yang menerima Data Pribadi berada di luar
1. adanya peraturan hukum PDP di negara penerima;
2. adanya lembaga atau otoritas PDP; dan wilayah hukum NRI
3. komitmen internasional atau tunduk pada kewajiban yang timbul dari
konvensi/instrumen perjanjian internasional yang mengikat terkait PDP.

atau
Kewajiban
Ketentuan yang
secara berjenjang
2
terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat
1 perekaman & pemetaan siklus transfer beserta implikasinya

wajib dinilai untuk

transfer ke luar 2 Data Pribadi yg ditransfer secukupnya, relevan, dan terbatas sesuai tujuan

3 mengidentifikasi instrumen hukum yang digunakan sebagai rujukan proses transfer

wilayah hukum NRI 1. perjanjian antarnegara tempat kedudukan Pengendali dan/atau Prosesor yang
melakukan transfer dengan negara tempat kedudukan Pengendali dan/ atau
Prosesor yang menerima transfer;
2. standar klausul kontrak PDP;
3. peraturan perusahaan yang mengikat untuk suatu grup Perusahaan; dan/atau
4 menilai efektivitas instrumen hukum yang digunakan untuk proses transfer

menggunakan instrumen pelengkap jika dibutuhkan (mis. Instrumen

5
4. instrumen PDP yang memadai dan mengikat lain yang diakui Lembaga PDP.
kontraktual/teknis/organisasional)
atau

3
mendapatkan persetujuan Subjek Data Pribadi
6 menerapkan langkah prosedural jika menggunakan instrumen pelengkap

Hanya dapat dilakukan dalam hal:

7 mengevaluasi ulang secara berkala dalam kurun waktu yang memadai

kebutuhan transfer, dan dampak transfer terhadap hak Subjek Data

1. tidak berulang
2. melibatkan Subjek Data Pribadi dengan jumlah terbatas 8 Pribadi
3. diperlukan untuk tujuan memenuhi ketentuan yg tidak mengesampingkan
menyampaikan informasi kepada Subjek Data Pribadi mengenai transfer sebelum
9
kepentingan/hak subjek data
4. Pengendali telah menilai risiko & menerapkan langkah pelindungan yg sesuai; dan transfer dilakukan
5. Pengendali telah menginformasikan kepada Lembaga PDP & Subjek Data Pribadi
tentang kegiatan transfer & kepentingan sah yang mendesak yang dipenuhi
memenuhi ketentuan pemrosesan data pribadi
10 (mis. prinsip, dasar pemrosesan, dan kewajiban lainnya dalam pemrosesan)
 WEWENANG LEMBAGA PDP
a. merumuskan dan menetapkan kebijakan Mencakup perumusan dan penetapan kebijakan dalam hal
penyusunan standar sistem pemrosesan Data Pribadi,
pelaksanaan pengawasan PDP, penyelenggaraan ekosistem
b. melakukan pengawasan PPDP, prosedur penjatuhan sanksi administratif,
penyelenggaraan Transfer Data Pribadi, dll.
c. menjatuhkan sanksi administratif

d. membantu aparat penegak hukum

Merupakan satu rangkaian dalam penegakan sanksi
Pasal 61 UU PDP administratif. 10 wewenang tersebut diakomodir dan dijelaskan
e. bekerja sama dengan lembaga PDP negara lain
dalam Bab Kewenangan Lembaga PDP, Bab Sanksi Administratif
f. melakukan penilaian terhadap pemenuhan persyaratan transfer Data dan Bab Penyelesaian Sengketa dan Hukum Acara.
Ketentuan mengenai
Pribadi
tata cara pelaksanaan
wewenang lembaga
sebagaimana dimaksud g. memberikan perintah dalam rangka tindak lanjut hasil pengawasan
dalam Pasal 60 diatur Aduan dan/atau laporan yang disampaikan kepada Lembaga
dalam Peraturan h. melakukan publikasi hasil pelaksanaan pengawasan PDP PDP setelah dilakukan verifikasi dimungkinkan bahwa aduan
Pemerintah. dan/atau laporan terhadap pelanggaran PDP tersebut
i. menerima aduan dan/atau laporan
merupakan ranah pidana yang harus ditegakkan melalui hukum
j. melakukan pemeriksaan dan penelusuran atas pengaduan, laporan, pidana. Sehingga dalam hal ini Lembaga PDP berwenang untuk
dan/atau hasil pengawasan memberikan bantuan kepada APH melalui pemberian pendapat
atau rekomendasi.
k. memanggil dan menghadirkan Setiap Orang dan/atau Badan Publik

l. meminta keterangan, data, Informasi, dan dokumen dari Setiap Orang

dan/atau Badan Publik Wewenang Lembaga PDP dalam melakukan penilaian terhadap
pemenuhan persyaratan transfer Data Pribadi diatur dalam Bab
m. memanggil dan menghadirkan ahli yang diperlukan dalam pemeriksaan dan Transfer Data Pribadi di Luar Wilayah Hukum NRI. Penilaian
penelusuran tingkat adequacy, appropriate safeguards, dan consent, akan
diatur dalam Peraturan Lembaga PDP.
n. melakukan pemeriksaan dan penelusuran terhadap sistema elektronik,
sarana, ruang, dan/atau tempat, termasuk memperoleh akses terhadap data
dan/atau menunjuk pihak ketiga
Lembaga PDP memiliki wewenang untuk mengajukan gugatan
atas nama kepentingan umum untuk memperoleh ganti kerugian
o. meminta bantuan hukum kepada kejaksaan dalam penyelesaian sengketa
akibat pelanggaran PDP dengan mengajukan permohonan
PDP
bantuan hukum kepada kejaksaan.
 SANKSI ADMINISTRATIF
Pasal 57 ayat (2) UU PDP Pasal 57 ayat (5) UU PDP
Ketentuan lebih lanjut mengenai tata a. pengaduan atau pelaporan dugaan pelanggaran
cara pengenaan sanksi administratif b. pemeriksaan pendahuluan
a. peringatan tertulis c. pemeriksaan lanjutan
b. penghentian sementara kegiatan sebagaimana dimaksud pada ayat (3)
diatur dalam Peraturan Pemerintah. d. penjatuhan dan pelaksanaan keputusan
pemrosesan Data Pribadi
c. penghapusan atau pemusnahan
Data Pribadi
d.denda administratif

UPAYA ADMINISTRATIF

Pengajuan keberatan tidak menunda

Paling tinggi 2% dari pendapatan pelaksanaan sanksi administratif
kewajiban pembayaran bagi pihak yang
tahunan atau penerimaan tahunan
dikenai sanksi dan disetorkan ke kas
terhadap variabel pelanggaran Keputusan keberatan ditetapkan oleh
negara sebagai PNBP
Kepala Lembaga PDP, dapat berupa:
dampak negatif yang ditimbulkan
menerima keberatan
durasi waktu terjadinya pelanggaran
menolak keberatan disertai dengan
tidak melaksanakan
jenis Data Pribadi yang terdampak alasan penolakan
putusan Lembaga PDP
jumlah Orang yang terdampak
proses temuan pelanggaran

Lembaga PDP berkoordinasi dengan tingkat keterbukaan dan kerjasama

instansi pemerintah yang berwenang dalam proses penyelidikan
dalam bidang urusan piutang negara skala usaha
dan/atau aparat penegak hukum kemampuan untuk membayar
konsideran lain yang relevan
Masa Penyesuaian
Pasal 74 – 75 UU PDP

• Pengendali Data Pribadi, Prosesor Data Pribadi, dan pihak lain yang terkait dengan pemrosesan Data
Pribadi, wajib menyesuaikan dengan ketentuan pemrosesan Data Pribadi berdasarkan UU PDP paling
lama 2 (dua) tahun sejak UU PDP diundangkan.
• Pada saat UU PDP mulai berlaku, semua ketentuan peraturan perundang-undangan yang mengatur
mengenai Pelindungan Data Pribadi, dinyatakan masih tetap berlaku sepanjang tidak bertentangan
dengan ketentuan dala UU PDP.

Sanksi Administratif?
• Sejalan dengan masa penyesuaian ketentuan pemrosesan Data Pribadi berdasarkan UU PDP, maka
ketentuan mengenai Sanksi Administratif akan berlaku setelah masa penyesuaian berakhir.

Gugatan Keperdataan?
• Pasal 12 UU PDP mengatur hak Subjek Data Pribadi untuk menggugat dan menerima ganti rugi atas
pelanggaran pemrosesan Data Pribadi.
• Pada saat UU PDP mulai berlaku, Subjek Data Pribadi dapat menggugat atas kerugian yang dideritanya.
Keberlakuan Ketentuan Pidana
• Undang-Undang ini mulai berlaku pada tanggal diundangkan (17 Oktober
2022)àKetentuan Pidana sudah mulai berlaku sejak diundangkan.
• Pada saat Undang-Undang ini mulai berlaku, Pengendali Data Pribadi, Prosesor
Data Pribadi, dan pihak lain yang terkait dengan pemrosesan Data Pribadi, wajib
menyesuaikan dengan ketentuan pemrosesan Data Pribadi berdasarkan Undang-
Undang ini paling lama 2 (dua) tahun sejak Undang-Undang ini diundangkan.
• Compliance/Tata Kelola Pemrosesan data Pribadi termasuk kelalaian yang
masuk ranah administratif wajib menyesuaikan paling lama 17 Oktober 2024.
 Data Protection Officer(DPO)
Setidaknya dibutuhkan
140.917 org
PPDP untuk memenuhi
kebutuhan PPDP di
Indonesia
(Kajian Grand Design
Pembentukan Ekosistem PPDP,
Kemkominfo, 2021)
Dalam hal tertentu, Pengendali Data Pribadi wajib menunjuk
pejabat/petugas yang melaksanakan fungsi pelindungan data
pribadi (PPDP/DPO/DataProtection Officer).
Tugas PPDP
1. menginformasikan dan memberikan saran kepada Pengendali Data
Pribadi atau Prosesor Data Pribadi agar mematuhi ketentuan dalam
Undang-Undang ini;
2. memantau dan memastikan kepatuhan terhadap Undang-Undang ini dan
kebijakan Pengendali Data Pribadi atau Prosesor Data Pribadi;
3. memberikan saran mengenai penilaian dampak Pelindungan Data
Pribadi dan memantau kinerja Pengendali Data Pribadi dan Prosesor
Data Pribadi; dan
4. berkoordinasi dan bertindak sebagai narahubung untuk isu yang
berkaitan dengan pemrosesan Data Pribadi.
PPDP/DPO membantu departemen/unit pengelola data dalam penerapan langkah
teknis dan organisasi agar patuh dengan aturan pelindungan data pribadi dalam
seluruh siklus pemrosesan.
 Pejabat atau Petugas Pelindung Data Pribadi (PPDP)

Pasal 53 UU PDP Pasal 54 UU PDP

ditunjuk berdasarkan
profesionalitas, Menginformasikan dan memberikan saran
Pengendali Data Pribadi dan Prosesor Data agar mematuhi ketentuan dalam UU PDP
pengetahuan mengenai
Pribadi wajib menunjuk PPDP
hukum, praktik PDP, dan
kemampuan untuk memantau dan memastikan kepatuhan
a. pemrosesan Data Pribadi untuk kepentingan terhadap UU PDP dan kebijakan Pengendali
memenuhi tugas- Data Pribadi atau Prosesor Data Pribadi
pelayanan publik.
tugasnya.
b. kegiatan inti Pengendali Data Pribadi dengan
skala besar. memberikan saran mengenai penilaian
c. kegiatan inti Pengendali Data Pribadi dalam dampak PDP dan memantau kinerja
dapat berasal dari dalam
skala besar untuk Data Pribadi yang bersifat dan/ atau luar
spesifik dan/ atau Data Pribadi yang berkoordinasi dan bertindak sebagai
Pengendali Data Pribadi narahubung untuk isu yang berkaitan dengan
berkaitan dengan tindak pidana. atau Prosesor Data pemrosesan Data Pribadi
Pribadi

Penunjukan PPPDP dilakukan dengan Ketentuan lebih lanjut mengenai

Penunjukan PPDP dapat terdiri dari orang
PPDP mempertimbangkan struktur, ukuran dan penunjukan PPDP diatur dalam
perseorangan/beberapa orang
RPP PDP

kebutuhan organisasi peraturan Lembaga PDP

PPDP harus memperhatikan risiko terkait

Dalam hal melaksanakan tugas
Tugas PPDP dan kewajiban lain, PPDP tidak
boleh terlibat konflik kepentingan
PPDP harus bekerja sama dengan unit,
pemrosesan Data Pribadi, dengan
pejabat, atau pihak yang bertanggung jawab
mempertimbangkan sifat, ruang lingkup,
dalam keamanan Data Pribadi yang diproses
konteks, dan tujuan pemrosesan dalam
pelaksanaan tugas nya. oleh Pengendali Data Pribadi.
 Pejabat atau Petugas Pelindung Data Pribadi (PPDP)
Pasal 168 RPP PDP
Pengendali Data Pribadi dan Prosesor Data Pribadi wajib:
• memastikan PPDP terlibat, dengan benar dan tepat waktu, dalam
semua masalah yang berkaitan dengan pemrosesan Data Pribadi;
• memastikan PPDP memiliki akses pelaporan ke tingkat manajemen
tertinggi;
• memastikan PPDP beroperasi secara objektif dan tidak
diberhentikan atau dihukum karena menjalankan tugasnya sesuai
dengan ketentuan peraturan perundang-undangan
• menyediakan sumber daya yang memadai untuk memungkinkan
PPDP memenuhi tugasnya dan mempertahankan tingkat
keahliannya
• memastikan PPDP mendapatkan akses yang sesuai dengan
aktivitas pemrosesan
• memberikan akses yang sesuai ke layanan lainnya untuk
mendapatkan informasi penting yang berkaitan dengan pemrosesan
Data Pribadi
• meminta saran dari PPDP pada saat melakukan penilaian dampak
Pelindungan Data Pribadi; dan
• mendokumentasikan detail dan kegiatan dari PPDP.
Dalam hal PPDP melaksanakan tugas dan kewajiban lain, Pengendali Data
Pribadi atau Prosesor Data Pribadi harus memastikan bahwa tugas tersebut
tidak mengakibatkan konflik kepentingan.
Pasal 169 RPP PDP
PPDP harus bekerja sama dengan unit, pejabat, atau pihak
yang bertanggung jawab dalam keamanan Data Pribadi. PPDP
berkewajiban untuk:
• memberikan rekomendasi dan saran kepada unit, pejabat,
atau pihak tersebut agar penyelenggaraan keamanan
pemrosesan Data Pribadi sesuai dengan ketentuan
peraturan perundang-undangan;
• melakukan upaya yang dibutuhkan untuk memastikan unit,
pejabat, atau pihak tersebut menerapkan langkah teknis
dan operasional yang turut mempertimbangkan
pelindungan hak dan kebebasan Subjek Data Pribadi; dan
• melaporkan kinerja unit, pejabat, atau pihak tersebut
kepada direksi dan/atau Lembaga PDP dalam hal PPDP
menilai unit, pejabat, atau pihak tersebut telah atau tidak
menerapkan langkah teknis dan operasional yang turut
mempertimbangkan pelindungan Subjek Data Pribadi
sesuai kebutuhan Pengendali Data Pribadi.
 Ilustrasi Penempatan DPO dalam Struktur Perusahaan

Ilustrasi Struktur Organisasi PPDP Decentralised Ilustrasi Struktur Organisasi PPDP Centralised
(Data Office)

(Kajian Grand Design

Pembentukan Ekosistem PPDP,
Kemkominfo, 2021)

Ilustrasi Struktur Organisasi PPDP Hybrid

 Best Practices: Strategi Bagi Organisasi

1 2 3 4 Mitigasi Risiko
Sumber Daya
Kultur Teknologi (Jaringan, Sistem,
Manusia
Data)

Persiapan Pelaksanaan Pengawasan & Mitigasi

1. Mengidentifikasi jenis data pribadi, tujuan, dan legal basis 1. Memastikan dan melaksanakan kepatuhan 1. Melakukan evaluasi secara berkala
(persetujuan, kontrak, kewenangan, dsb) dari data pribadi terhadap regulasi PDP dan kebijakan/SOP terhadap aktivitas pemrosesan data
yang dikumpulkan, diproses, diberikan ke pihak lain, internal pribadi
disimpan, dan dimusnahkan. 2. Menerapkan sistem keamanan yang andal 2. Penerapan risk assessment dan
2. Mengevaluasi semua perjanjian/kontrak dengan pihak dalam pemrosesan maupun penyimpanan data prosedur mitigasi jika terjadi kebocoran
ketiga (prosesor, penyedia komputasi awan, jaringan pribadi data pribadi
pengiklanan, dsb) yang melibatkan data pribadi 3. Menggunakan alat/teknologi yang menunjang 3. Mendokumentasikan rekam jejak
3. Membuat dan/atau mengevaluasi Kebijakan Privasi/PDP privasi dan pelindungan data pribadi pengguna pemrosesan, permintaan informasi dari
(privacy/data protection policy) yang komprehensif, (privacy-enhancing tools) seperti end-to-end subjek data pribadi ataupun dari otoritas
ditampilkan secara jelas, & dapat dipahami oleh encryption berwenang
pengguna. 4. Menyediakan layanan/kontak bantuan untuk 4. Berkoordinasi dan melapor kepada
4. Menyusun kebijakan/SOP internal yang mengatur pengguna Pemerintah/lembaga berwenang jika
pemrosesan data pribadi (mulai dari pengumpulan hingga 5. Memberikan edukasi/pelatihan mengenai terjadi kebocoran data pribadi
penghapusan/pemusnahan) kebijakan dan implementasi PDP untuk semua
5. Menunjuk pejabat/petugas untuk menangani PDP (Data pegawai
Protection Officer) di internal organisasi 6. Mendukung kerja-kerja pejabat/petugas yang
melaksanakan PDP (Data Protection Officer)
Terima Kasih