JAKARTA- Penerapan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) dinilai tidak hanya menjadi kewajiban hukum bagi perusahaan, tetapi juga bagian penting dalam menjaga reputasi, kepercayaan publik, hingga keberlangsungan bisnis perusahaan.
Managing Partner Manurung Fachrulian Siregar Law Firm, Novio Manurung, mengatakan terdapat sejumlah alasan mengapa perusahaan wajib mematuhi ketentuan pelindungan data pribadi. Selain karena merupakan hukum positif di Indonesia, kepatuhan terhadap UU PDP juga berkaitan erat dengan reputasi perusahaan.
“Yang paling penting adalah melindungi reputasi dan kepercayaan publik. Ini menurut saya poin yang lebih penting,” ujar Novio dalam regulatory breakout session pada rangkaian acara Indonesia Regulatory Compliance Awards 2026, dikutip Bergelora.com di Jakarta Selasa (26/5).
Kepatuhan terhadap UU PDP juga berkaitan dengan penerapan good corporate governance (GCG), peningkatan kepercayaan mitra bisnis, kepercayaan karyawan, hingga menghindari sanksi hukum. Novio menjelaskan, UU PDP mendefinisikan pelindungan data pribadi sebagai keseluruhan upaya untuk melindungi data pribadi dalam rangkaian pemrosesan data guna menjamin hak konstitusional subjek data pribadi.
Dalam konteks tersebut, advokat yang ahli dalam litigasi dan dispute resolution itu mengingatkan pelanggaran terhadap UU PDP dapat menimbulkan dua konsekuensi hukum sekaligus, yakni sanksi administratif dan sanksi pidana.
Pada aspek administratif, Pasal 57 UU PDP mengatur sejumlah sanksi mulai dari peringatan tertulis, penghentian sementara kegiatan pemrosesan data, penghapusan dan pemusnahan data, hingga denda administratif maksimal 2 persen dari pendapatan tahunan perusahaan.
“Ini yang cukup tricky buat Board of Directors karena kalau kasus seperti ini makin banyak terjadi, ini bisa menjadi penggerus profitabilitas perusahaan,” tuturnya.
Selain sanksi administratif, Novio juga menyoroti sejumlah larangan dalam Pasal 65 UU PDP, seperti memperoleh data pribadi milik orang lain untuk keuntungan pribadi, mengungkapkan data pribadi, menggunakan data pribadi tanpa hak, hingga membuat data pribadi palsu.
Ia mencontohkan kasus di Tangerang yang menjerat pedagang kartu SIM karena menggunakan data pribadi orang lain untuk mengaktivasi starter pack demi memenuhi target penjualan.
“Dia input data-data orang lain supaya capai target. Itu kena pasal menggunakan data pribadi yang bukan miliknya dan divonis 1 tahun 6 bulan,” katanya.
Contoh lain terjadi di Bali, ketika seseorang mengaku sebagai anggota kepolisian dan menggunakan identitas palsu untuk memeras pengusaha.
“Akhirnya diketahui bukan yang bersangkutan dan dilaporkan. Itu masuk membuat data pribadi palsu,” tambahnya.
Novio juga menyinggung kasus yang melibatkan praktik penagihan oleh “mata elang” di sektor pembiayaan. Menurutnya, praktik memperoleh data nasabah tanpa hak untuk kepentingan tertentu berpotensi melanggar ketentuan pidana UU PDP.
“Karena dengan mendapatkan data pribadi tersebut dia akan mendapatkan fee,” kata dia.
Ia menjelaskan sanksi pidana dalam UU PDP tidak hanya menyasar individu, tetapi juga korporasi. Bentuk sanksinya antara lain perampasan keuntungan, pembekuan usaha, pencabutan izin, hingga pembubaran korporasi. Menurutnya, tantangan terbesar implementasi UU PDP bagi perusahaan terletak pada banyaknya aspek administratif dan dokumentasi yang harus dipenuhi.
“Untuk achieve bahwa perusahaan comply terhadap UU PDP ini ada sekitar 40-an dokumen yang harus dipenuhi,” bebernya.
Sejumlah tantangan lain yang dihadapi perusahaan antara lain kompleksitas regulasi, integrasi kepatuhan ke dalam operasional bisnis, penyesuaian pemahaman karyawan, belum adanya divisi khusus PDP, hingga belum tersedianya kebijakan dan SOP internal.
Meski demikian, Novio menegaskan perusahaan tetap harus melakukan penyesuaian agar terhindar dari sanksi yang justru dapat memperberat kondisi bisnis perusahaan.
Dalam praktik pendampingan kepatuhan UU PDP, pihaknya biasanya memulai dengan proses identifikasi pemrosesan data pribadi, penyusunan skema pemrosesan data, pembuatan dokumen, hingga pengawasan berkala. Beberapa dokumen yang wajib dimiliki perusahaan antara lain privacy policy, cookie consent, consent form, Data Protection Impact Assessment (DPIA), perjanjian pemrosesan data, hingga Record of Processing Activities (ROPA).
“Memang ini menambah pekerjaan perusahaan, tapi mau enggak mau harus dilakukan,” tandasnya. (Calvin G. Eben-Haezer)
