UU PDP · UU 27/2022

·

Perlindungan Data

UU Pelindungan Data Pribadi Indonesia, dijelaskan untuk tim HR.

Berlaku penuh sejak 17 Oktober 2024. Setiap pemberi kerja Indonesia adalah Pengendali Data — inilah artinya bagi praktik HR Anda.

Berlaku penuh sejak Okt 2024

SECARA SINGKAT

Dasar Hukum
UU No. 27/2022
Berlaku
17 Oktober 2022
Penegakan Penuh
17 Oktober 2024
Denda Maksimum
2% dari pendapatan tahunan
Notifikasi Pelanggaran
Dalam 72 jam
DPO Wajib
Ya, untuk sebagian besar processor

SIAPA YANG TERPENGARUH

Setiap pemberi kerja Indonesia adalah Pengendali Data.

UU PDP berlaku untuk setiap orang pribadi, badan hukum, badan publik, atau organisasi internasional yang memproses data pribadi warga negara Indonesia — di dalam atau di luar Indonesia. Definisinya sengaja dibuat luas.

Untuk tim HR, ini berarti saat Anda mengumpulkan nama, NIK, nomor BPJS, alamat, foto, atau detail bank karyawan, Anda menjadi Pengendali Data menurut Pasal 1. Anda bertanggung jawab atas pemrosesan data tersebut secara sah dan bertanggung gugat atas pelanggaran.

Saat Anda memberikan data tersebut kepada platform HR, penyedia payroll, atau akuntan, mereka menjadi Prosesor Data. Pengendali (Anda) tetap menjadi pihak utama yang bertanggung gugat; processor berbagi tanggung jawab di bawah DPA mereka.

UU ini bukan teoretis. Masa transisi dua tahun berakhir pada 17 Oktober 2024 — setiap ketentuan penegakan kini aktif. Otoritas Perlindungan Data Pribadi sedang dibentuk dan Komisioner Informasi telah mulai menerima keluhan.

CHECKLIST KEPATUHAN

Tujuh kontrol yang perlu dimiliki setiap tim HR.

Gunakan ini sebagai audit dasar. Jika Anda tidak bisa menjawab 'ya' untuk ketujuh hal ini, Anda memiliki celah kepatuhan yang membutuhkan owner dan tenggat.

  • Tunjuk Data Protection Officer (DPO)

    Wajib untuk setiap organisasi yang memproses data pribadi dalam skala besar atau menangani data sensitif. DPO bisa internal atau outsourced tetapi harus dapat dihubungi oleh subjek data.

  • Bangun inventaris data pribadi

    Dokumentasikan data pribadi apa yang Anda kumpulkan, di mana disimpan, siapa yang memiliki akses, berapa lama Anda menyimpannya, dan dasar hukum pemrosesan. Ini adalah fondasi setiap kontrol PDP lainnya.

  • Implementasikan alur persetujuan dan transparansi

    Kumpulkan persetujuan eksplisit dan terinformasi sebelum memproses. Berikan pemberitahuan privasi yang jelas dalam Bahasa Indonesia. Izinkan subjek data menarik persetujuan, meminta akses, koreksi, dan penghapusan.

  • Atur kontrol akses berbasis peran

    Hanya staf dengan kebutuhan bisnis yang boleh mengakses data pribadi. Audit log harus mencatat setiap baca dan tulis. Akun 'admin' generik yang dibagikan di tim tidak patuh.

  • Enkripsi data di penyimpanan dan transit

    Data pribadi di disk harus dienkripsi (AES-256 atau setara). Data yang berpindah antar sistem harus menggunakan TLS 1.2+. Salinan cadangan mewarisi persyaratan yang sama.

  • Tetapkan proses respons pelanggaran 72-jam

    Saat pelanggaran terjadi, Anda harus memberi tahu Otoritas Perlindungan Data Pribadi dan subjek data yang terkena dampak dalam 72 jam. Siapkan playbook, daftar kontak, dan template sebelum dibutuhkan.

  • Manajemen vendor dengan DPA

    Setiap pihak ketiga yang memproses data pribadi atas nama Anda (penyedia payroll, platform HR, hosting, analitik) memerlukan Data Processing Agreement (DPA) yang mencerminkan kewajiban Anda.

SANKSI

Ketidakpatuhan itu mahal — dan personal.

UU PDP melapisi denda administratif di atas sanksi pidana. Direktur dan DPO bisa secara pribadi bertanggung jawab.

Hingga 2% dari pendapatan tahunan

Denda administratif — pelanggaran berulang atau serius terhadap prinsip pemrosesan

Hingga Rp 4 miliar atau 4 tahun penjara

Pengungkapan data pribadi tanpa izin (Pasal 67)

Hingga Rp 6 miliar atau 6 tahun penjara

Memalsukan data pribadi dengan niat merugikan (Pasal 68)

Penangguhan layanan

Ketidakpatuhan berkelanjutan setelah peringatan tertulis

ALAT GRATIS TERKAIT

Perhitungan payroll yang sadar-kepatuhan.

Kalkulator BPJS

Lihat biaya karyawan sebenarnya dalam 5 detik.

Buka kalkulator

Kalkulator PPh 21

Take-home pay bersih, bulanan dan tahunan.

Buka kalkulator

Kalkulator THR

Lebaran, Natal, atau Nyepi — aturan yang sama.

Buka kalkulator

FAQ

Pertanyaan yang sering ditanyakan

Apakah UU PDP berlaku untuk bisnis kecil saya?

Ya. UU ini berlaku untuk setiap 'Pengendali Data Pribadi' — didefinisikan sebagai siapa saja, individu atau organisasi, yang menentukan tujuan dan cara pemrosesan data pribadi. Tidak ada ambang batas karyawan atau pendapatan. Perusahaan 5 orang yang menyimpan nomor BPJS dan alamat karyawan adalah Pengendali Data.

Apakah berlaku untuk perusahaan asing yang mempekerjakan pekerja remote Indonesia?

Ya, dengan jangkauan ekstrateritorial. Pasal 2(2) memperluas UU ke setiap entitas di luar Indonesia yang pemrosesannya memengaruhi subjek data Indonesia. Perusahaan AS yang mempekerjakan kontraktor Indonesia harus mematuhi aturan PDP atas data tersebut.

Apakah kami perlu DPO jika hanya memiliki 10 karyawan?

Jika bisnis Anda hanya memproses data karyawan dalam skala kecil, DPO mungkin tidak wajib — tetapi menunjuk satu orang sangat disarankan. DPO bisa peran paruh waktu atau outsourced. Persyaratan menjadi wajib setelah Anda memproses data sensitif (kesehatan, biometrik, agama, riwayat kriminal) atau memproses dalam skala besar.

Apa perbedaan antara UU PDP dan GDPR?

Secara konseptual mirip — keduanya berbasis dasar hukum, hak subjek data, notifikasi pelanggaran, kewajiban DPO, dan sanksi berat. Perbedaan utama: UU PDP memiliki sanksi pidana untuk individu (GDPR hanya denda), jendela notifikasi sama (72 jam), dan Indonesia belum memfinalisasi otoritas independennya (Otoritas PDP sedang dibentuk).

Catatan apa yang perlu disimpan untuk tujuan audit?

Minimum: register pemrosesan data (Pasal 31), catatan persetujuan dengan timestamp, log akses, catatan insiden pelanggaran, salinan DPA untuk setiap processor, dan hasil DPIA untuk pemrosesan berisiko tinggi. Simpan selama yang lebih lama dari 2 tahun pasca-insiden atau batas waktu hukum yang relevan.

Bagaimana Checkly membantu kepatuhan PDP?

Checkly dibangun sebagai data processor yang patuh PDP: akses berbasis peran untuk data HR, audit log pada setiap baca dan tulis catatan karyawan, penyimpanan terenkripsi, periode retensi yang dapat dikonfigurasi, peringatan deteksi pelanggaran, dan DPA standar yang dapat Anda tandatangani saat onboarding. Kewajiban Anda sebagai pengendali tidak hilang, tetapi Checkly menghapus celah dari sisi processor.

HR yang patuh PDP, langsung pakai.

Akses berbasis peran, audit log, penyimpanan terenkripsi, retensi yang dapat dikonfigurasi, dan DPA standar — tertanam. Demo dalam 30 menit.

UU PDP Indonesia (UU 27/2022) — Panduan Lengkap | Checkly | Checkly