Undang-undang Perlindungan Data Pribadi (UU PDP) ialah undang-undang yang baru disahkan oleh DPR RI pada tanggal 20 September 2022. Undang-undang ini terdiri dari 16 BAB dan 76 Pasal, mengatur hal-hal mendasar untuk melindungi data pribadi individual.
Definisi data pribadi menurut Pasal 1 angka 1 undang-undang ini ialah setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau nonelektronik
UU PDP mengatur beberapa poin antara lain:
1. Hak subjek Data Pribadi atau hak orang perseorangan yang pada dirinya melekat Data Pribadi.
Adapun hak seseorang dalam Data Pribadinya antara lain berdasarkan Pasal 5-15 UU PDP:
a. Mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi dan akuntabilitas orang yang meminta Data Pribadi. (Pasal 5 UU PDP)
b. Melengkapi,memperbarui dan memperbaiki Data Pribadinya sesuai dengan tujuan pemrosesan Data Pribadi. (Pasal 6 UU PDP)
c. Mendapatkan akses dan memperoleh salinan Data Pribadinya. (Pasal 7 UU PDP)
d. Mengakhiri pemrosesan, menghapus dan atau memusnahkan Data Pribadinya. (Pasal 8 UU PDP)
e. Menarik kembali pemrosesan Data Pribadi miliknya yang telah diberikan kepada pengendali Data Pribadi. (Pasal 9 UU PDP)
f. Mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis, termasuk pemrofilan, yang menimbulkan akibat hukum atau berdampak signifrkan pada Subjek Data Pribadi.
(Pasal 10 ayat (1) UU PDP)
g. Menunda atau membatasi pemrosesan Data Pribadi secara proporsional sesuai dengan tujuan pemrosesan Data Pribadi. (Pasal 11 UU PDP)
h. Menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi tentang dirinya. (Pasal 12 ayat (1) UU PDP)
i. Mendapatkan dan/atau menggunakan Data Pribadi tentang dirinya dari Pengendali Data Pribadi dalam bentuk yang sesuai dengan struktur dan/ atau format yang lazim digunakan atau dapat dibaca oleh sistem elektronik. (Pasal 13 ayat (1) UU PDP)
j. Menggunakan dan mengirimkan Data Pribadi tentang dirinya ke Pengendali Data Pribadi lainnya. (Pasal 13 ayat (2) UU PDP)
2. Ketentuan pemrosesan data pribadi, kewajiban para pengendali dan prosesor Data Pribadi.
Pemrosesan Data Pribadi meliputi:
a. Pemerolehan dan pengumpulan;
b. Pengolahan dan penganalisisan;
c. Penyimpanan;
d. Perbaikan dan pembaruan;
e. Penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan; dan/ atau
f. Penghapusan atau pemusnahan.
Kewajiban para pengendali berdasarkan Pasal 27 UU PDP ialah melakukan pemrosesan Data Pribadi secara terbatas dan spesifik, sah secara hukum, dan transparan. Sedangkan kewajiban prosesor Data Pribadi ada dalam Pasal 51 UU PDP yakni melakukan pemrosesan Data Pribadi berdasarkan perintah Pengendali Data Pribadi sesuai ketentuan yang diatur dalam Undang-Undang ini.
3. Pembentukan lembaga pelindungan data pribadi.
Tugas lembaga pengawas PDP ialah (1) Perumusan dan penetapan kebijakan serta strategi pelindungan data pribadi, (2) Pengawasan penyelenggaraan pelindungan data pribadi, (3) Penegakan hukum administratif terhadap pelanggaran UU PDP, dan (4) Fasilitasi penyelesaian sengketa di luar pengadilan terkait pelindungan data pribadi.
4. Larangan dan sanksi.
Berdasarkan Pasal 65&66 UU PDP terdapat larangan yang dapat membantu melindungi data pribadi, larangan tersebut antara lain:
a. Memperoleh dan mengumpulkan data pribadi milik orang lain;
b. Mengungkapkan data pribadi orang lain;
c. Menggunakan data pribadi orang lain;
d. Membuat dan atau memalsukan data pribadi.
Berdasarkan Pasal 67&68 UU PDP terdapat sanksi ancaman pidana penjara dan pidana denda antara lain:
a. Bagi pelaku yang memperoleh atau mengumpulkan data pribadi yang bukan miliknya adalah pidana penjara paling lama 5 tahun dan/atau pidana denda paling banyak Rp 5 miliar. (Pasal 67 ayat (1) UU PDP).
b. Bagi pelaku yang mengungkapkan data pribadi yang bukan miliknya adalah pidana penjara paling lama 4 tahun dan/atau pidana denda paling banyak Rp 4 miliar. (Pasal 67 ayat (2) UU PDP).
c. Bagi pelaku yang menggunakan data pribadi yang bukan miliknya adalah pidana penjara paling lama 5 tahun dan/atau pidana denda paling banyak Rp 5 miliar. (Pasal 67 ayat (3) UU PDP).
d. Bagi pelaku yang memalsukan data pribadi adalah pidana penjara paling lama 6 tahun dan/atau pidana denda paling banyak Rp 6 miliar. (Pasal 68 UU PDP).
Dengan adanya UU PDP terdapat aturan baru yang sebelumnya tidak ada antara lain:
1. Masyarakat sebagai Subjek Data Pribadi mendapatkan hak untuk meminta akses dan salinan, perbaikan atau penghapusan data pribadi miliknya yang berada di dalam pengelolaan penyelenggara Data Pribadi.
2. Dalam melakukan pemrosesan Data Pribadi, Pengendali Data Pribadi wajib menunjukkan bukti persetujuan yang telah diberikan oleh Subjek Data Pribadi. (Pasal 24 UU PDP)
Pasal diatas menyatakan bahwa bagi Pengendali Data Pribadi wajib untuk mendapatkan persetujuan dari Subjek Data Pribadi untuk melakukan pemrosesan data, artinya tindakan Pengendali Data Pribadi kini harus mendapatkan persetujuan dari Subjek data Pribadi yang mana akan memberikan perlindungan bagi Subjek Data Pribadi dalam menjaga Data Pribadi miliknya.
3. Membolehkan Pengendali Data Pribadi melakukan transfer data di luar wilayah hukum Indonesia.
Sebelumnya berdasarkan Peraturan Pemerintah melalui PP No. 82 Tahun 2012 sempat mewajibkan perusahaan asing untuk menyimpan data warga Indonesia di dalam fasilitas penyimpanan data yang terletak di dalam wilayah Indonesia. Namun berdasarkan UU PDP Pasal 56 Pengendali Data Pribadi dalam hal ini dperusahaan asing dapat melakukan transfer data di luar wilayah hukum Indonesia dengan syarat negara tempat kedudukan Pengendali Data Pribadi dan/ atau Prosesor Data Pribadi yang menerima transfer Data Pribadi memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi dari yang diatur dalam UU PDP.