Struktur Hukum UU No. 27 Tahun 2022
Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) merupakan fondasi hukum komprehensif yang mengatur perlindungan data pribadi di Indonesia. Struktur hukum ini terdiri dari enam belas bab (XVI) dengan total 76 pasal, ditambah Penjelasan UU yang memberikan panduan interpretasi mendalam terhadap setiap ketentuan. Hierarki struktural ini dirancang untuk mengatur seluruh aspek pemrosesan data pribadi, mulai dari prinsip-prinsip dasar, hak subjek data, kewajiban pengendali dan prosesor data, hingga mekanisme penegakan dan sanksi.
Bab I (Ketentuan Umum) mengandung definisi-definisi esensial dan prinsip-prinsip dasar yang menjadi fondasi seluruh regulasi, termasuk konsep data pribadi, pemrosesan data, pengendali data, prosesor data, dan pihak ketiga. Bab II (Asas dan Tujuan) menetapkan sembilan asas pemrosesan data pribadi yang harus dipatuhi oleh setiap pengendali data: asas keabsahan, terbatas pada tujuan, keakuratan, keamanan, dan transparansi. Bab III (Ruang Lingkup) menjelaskan batasan aplikasi UU PDP terhadap pemrosesan data pribadi di Indonesia, termasuk ketentuan ekstrateritorial untuk pengendali data yang memproses data pribadi warga negara Indonesia.
| KONSEP KUNCI | UU PDP berfokus pada lima bab operasional utama: (1) Bab IV tentang hak-hak subjek data, (2) Bab V–VIII tentang kewajiban pengendali dan prosesor data, (3) Bab IX tentang transfer data lintas batas, (4) Bab X–XI tentang Lembaga Perlindungan Data Pribadi (LPDP), dan (5) Bab XII–XIII tentang mekanisme penegakan dan sanksi administatif. |
Mapping Lengkap Bab-Bab dan Pasal
Bab IV (Hak Subjek Data Pribadi) mencakup Pasal 18–27 dan mengatur hak-hak fundamental yang dimiliki oleh setiap individu atas data pribadinya: hak untuk mengetahui pemrosesan, hak akses, hak atas salinan data, hak untuk memperbaiki data, hak untuk menghapus data, hak membatasi pemrosesan, hak untuk keberatan, dan hak untuk tidak dikenai profiling otomatis. Bab V (Kewajiban Pengendali Data) merupakan bab terpanjang (Pasal 28–42) yang mengatur secara detail semua kewajiban pengendali data, termasuk kewajiban untuk memiliki dasar hukum pemrosesan, kewajiban transparency dan informed consent, kewajiban data minimization, kewajiban untuk melakukan penilaian dampak perlindungan data (DPIA), dan kewajiban untuk melapor ke LPDP.
Bab VI (Kewajiban Prosesor Data) melengkapi Bab V dengan mengatur kewajiban-kewajiban spesifik yang harus dilakukan oleh pihak yang memproses data atas nama pengendali, termasuk kewajiban untuk mematuhi instruksi pengendali, kewajiban confidentiality, kewajiban keamanan data, dan kewajiban untuk memfasilitasi pelaksanaan hak subjek data. Bab VII dan VIII masing-masing mengatur kewajiban-kewajiban lanjutan, termasuk kewajiban penunjukan Data Protection Officer (DPO), kewajiban dokumentasi, dan kewajiban-kewajiban khusus untuk sektor tertentu.
| Bab | Judul | Pasal | Fokus Utama |
|---|---|---|---|
| I | Ketentuan Umum | Pasal 1–3 | Definisi, asas, dan tujuan UU PDP |
| II | Asas dan Tujuan | Pasal 4–5 | Sembilan asas pemrosesan data pribadi |
| III | Ruang Lingkup | Pasal 6–8 | Aplikasi UU PDP di Indonesia dan ekstrateritorial |
| IV | Hak Subjek Data | Pasal 18–27 | Sepuluh hak fundamental individu |
| V | Kewajiban Pengendali | Pasal 28–42 | Kewajiban pemrosesan, consent, dan DPIA |
| VI | Kewajiban Prosesor | Pasal 43–49 | Keamanan, dokumentasi, dan hak subjek data |
Peraturan Pelaksana dan Hierarki Regulasi
Di bawah UU PDP, terdapat hierarki regulasi turunan yang terdiri dari Peraturan Pemerintah (PP), Peraturan Presiden (Perpres), dan Peraturan KOMINFO/LPDP. Peraturan Pemerintah No. 80 Tahun 2023 tentang Penyelenggaraan Pelindungan Data Pribadi mengatur mekanisme operasional pelaksanaan UU PDP, termasuk prosedur penanganan pengaduan, mekanisme sertifikasi, dan persyaratan-persyaratan administratif. Peraturan KOMINFO No. 1 Tahun 2023 tentang Lembaga Perlindungan Data Pribadi mengatur struktur, tata laksana, dan kewenangan LPDP dalam melakukan pengawasan dan penegakan.
Status regulasi pelaksana per April 2026 menunjukkan bahwa PP 80/2023 telah disahkan dan efektif, Peraturan KOMINFO 1/2023 sudah berlaku, sedangkan beberapa peraturan teknis pelaksanaan masih dalam proses finalisasi atau pengkajian, termasuk pedoman penilaian DPIA, standar keamanan data, dan mekanisme notifikasi pelanggaran data pribadi. Regulasi sektoral dari OJK (POJK 11/2022 tentang Implementasi Tata Kelola Teknologi Informasi Perusahaan Fintech), Peraturan BI No. 26/2023 tentang Implementasi Tata Kelola Teknologi Informasi, dan peraturan dari badan sektoral lainnya juga mengintegrasikan persyaratan UU PDP ke dalam framework mereka masing-masing.
| PENTING | Organisasi yang beroperasi di berbagai sektor harus memahami bahwa regulasi sektoral (seperti POJK untuk fintech, PBI untuk perbankan, UU Kesehatan untuk healthcare) seringkali menambahkan atau mengkhususkan persyaratan UU PDP sesuai karakteristik bisnis sektor tersebut. Prinsip lex specialis berlaku, di mana regulasi yang lebih khusus dapat menambah standar perlindungan yang lebih tinggi daripada UU PDP. |
| Jenis Regulasi | Nama/Status | Ruang Lingkup | Status (April 2026) |
|---|---|---|---|
| Undang-Undang | UU No. 27 Tahun 2022 | Hukum material PDP | Berlaku efektif |
| Peraturan Pemerintah | PP No. 80 Tahun 2023 | Mekanisme operasional | Berlaku efektif |
| Peraturan KOMINFO | Peraturan KOMINFO 1/2023 | Struktur dan kewenangan LPDP | Berlaku efektif |
| Peraturan Sektoral | POJK 11/2022 (Fintech) | Implementasi TI fintech | Berlaku efektif |
| Peraturan Sektoral | PBI 26/2023 (Perbankan) | Implementasi TI perbankan | Berlaku efektif |
| Pedoman Teknis | Standar DPIA, Keamanan | Mekanisme teknis | Dalam finalisasi |
Hubungan UU PDP dengan Regulasi Eksisting
UU PDP tidak menghapus atau mengganti seluruh ketentuan regulasi yang sudah ada sebelumnya, tetapi mengamandemen, melengkapi, dan memperkuat kerangka perlindungan data pribadi yang telah diatur dalam berbagai undang-undang sektor. UU ITE No. 11 Tahun 2008 (sebagaimana telah diubah dengan UU No. 19 Tahun 2016) tetap berlaku untuk aspek keamanan siber dan elektronik, dan UU PDP menambahkan lapisan perlindungan spesifik untuk data pribadi dalam konteks transaksi elektronik. UU Perbankan No. 7 Tahun 1992 mengatur kerahasiaan data nasabah, dan UU PDP memperkuat standar perlindungan ini dengan menambahkan hak-hak subjek data dan mekanisme penegakan yang lebih terstruktur.
Penjelasan UU PDP (yang merupakan bagian integral dari peraturan perundang-undangan) memberikan pedoman interpretasi yang sangat berharga bagi praktisi dan pengambil keputusan. Penjelasan ini menjelaskan latar belakang pembentukan UU, asumsi-asumsi normatif, cara membaca pasal-pasal tertentu yang ambigu atau multitafsir, serta contoh-contoh kasus yang relevan. Transisi dari UU No. 8 Tahun 1997 tentang Dokumen Perusahaan menuju UU PDP juga menciptakan periode implementasi yang memerlukan pemahaman mendalam tentang kompatibilitas kedua regulasi ini, terutama untuk organisasi yang sudah memiliki sistem manajemen dokumen berbasis regulasi lama.