MODUL HUKUM DAN KEBIJAKAN TEKNOLOGI INFORMASI

Mata Kuliah: Hukum dan Kebijakan Teknologi Informasi
Kode MK: INF2505
SKS: 2 (Teori)
Semester: 2
Program Studi: Informatika
Fakultas: Ekonomi dan Bisnis Islam
Universitas: UIN K.H. Abdurrahman Wahid Pekalongan

Dosen Pengampu: Mohammad Reza Maulana, M.Kom
NIP: 199110082025051002

Pertemuan: 6 dari 16
Durasi: 100 menit (2 × 50 menit)

Panduan Penggunaan Modul

Modul ini merupakan Pertemuan 6 (UU Perlindungan Data Pribadi No. 27/2022). Pertemuan ini adalah pasangan dari Pertemuan 5 — jika P5 membahas transaksi elektronik yang menghasilkan data, maka P6 menjelaskan bagaimana data pribadi itu dilindungi oleh hukum. Tugas 4 (Audit PDP) akan diumumkan resmi di Pertemuan 7, namun Anda dapat mulai memilih aplikasi yang akan diaudit sejak sekarang.

PERTEMUAN 6

Undang-Undang Perlindungan Data Pribadi (UU PDP No. 27/2022)

Sub-CPMK: Sub-CPMK02.1.1
Bobot: 7% dari Nilai Akhir
Waktu Tatap Muka: 2 × 50 menit (100 menit)

JEMBATAN DARI PERTEMUAN 5

PERTEMUAN 5                             PERTEMUAN 6
"Setiap transaksi e-commerce            "Data pribadi yang Anda
menghasilkan data: nama, alamat,        berikan dalam transaksi itu
nomor HP, riwayat pembelian,            kini dilindungi oleh hukum
kartu kredit, bahkan lokasi GPS         tersendiri: UU PDP No. 27/2022"
saat pengiriman"
        │                                       │
        └──────────────┬────────────────────────┘
                       ▼
    "Hak apa yang Anda miliki atas data Anda sendiri?
     Apa kewajiban platform yang menyimpan data Anda?
     Apa yang terjadi jika data Anda bocor?"

Pertanyaan jembatan dari P5: Di bagian Simulasi Kasus P5, TechMania88 dan marketplace menyimpan data Siti: nama, alamat pengiriman, nomor HP, data kartu kredit, riwayat pembelian. Pertanyaannya: Apa yang boleh dan tidak boleh mereka lakukan dengan data itu? Berapa lama mereka boleh menyimpannya? Apa yang harus mereka lakukan jika data itu bocor? UU PDP No. 27/2022 menjawab semua pertanyaan ini.

BAGIAN 6.1 — Mengapa Indonesia Membutuhkan UU PDP Tersendiri?

Era Sebelum UU PDP: Perlindungan yang Tersebar dan Tidak Memadai

Sebelum UU PDP lahir pada Oktober 2022, perlindungan data pribadi di Indonesia tersebar di lebih dari 30 regulasi sektoral yang tidak terkoordinasi:

SEBELUM UU PDP (Pre-Oktober 2022)
Perlindungan data tersebar di:

Sektor Keuangan:    UU Perbankan No. 10/1998 (rahasia bank)
Sektor Kesehatan:   UU Kesehatan (rekam medis)
Sektor Telekomunikasi: UU Telkom No. 36/1999 (kerahasiaan komunikasi)
Sektor Digital:     UU ITE Pasal 32 (larangan mengubah data orang lain)
                    PP PSTE Pasal 17 (data localization)
Umum:               TIDAK ADA regulasi lintas sektor yang komprehensif

MASALAH NYATA:
- Tidak ada definisi tunggal "data pribadi"
- Tidak ada hak eksplisit bagi subjek data
- Tidak ada kewajiban standar bagi pengendali data
- Tidak ada sanksi yang sepadan untuk pelanggaran data berskala besar
- Kebocoran data BPJS 2021 (279 juta data) — tidak ada UU yang bisa
  memberi sanksi memadai

Lahirnya UU PDP: Proses Legislasi yang Panjang

2014 ─── Kominfo mulai menyusun draft RUU Perlindungan Data Pribadi
          (terinspirasi GDPR yang sedang difinalisasi di Eropa)

2016 ─── GDPR disahkan di Eropa → mendorong urgensi regulasi di Indonesia

2019 ─── Draft RUU PDP masuk Prolegnas Prioritas

2020 ─── Pandemi COVID-19 — isu data pribadi (aplikasi PeduliLindungi,
          tracing data) memperlihatkan betapa rawannya data masyarakat

2021 ─── Kasus kebocoran data BPJS 279 juta record → tekanan publik
          semakin kuat untuk segera mengesahkan RUU PDP

2022 ─── Pembahasan intensif DPR dan pemerintah
          Perdebatan utama: independensi lembaga pengawas

2 Oktober 2022 ─── UU No. 27/2022 tentang PDP DISAHKAN
                   (setelah 8 tahun proses legislasi)

Oktober 2024 ─── Masa transisi 2 tahun berakhir
                  Seluruh pengendali data wajib penuh mematuhi UU PDP

Posisi UU PDP dalam Ekosistem Regulasi TI

Memahami di mana UU PDP "bertemu" dengan regulasi lain adalah kunci analisis hukum:

UU ITE No. 1/2024                    UU PDP No. 27/2022
Pasal 32: melarang                   Mengatur seluruh daur
pengubahan data orang lain ←────────► hidup data: pengumpulan,
Pasal 26: perlindungan               pemrosesan, penyimpanan,
privasi dasar                        penghapusan, transfer

Ketika data pribadi bocor:
- UU ITE Pasal 32: pelaku eksternal yang merusak/mencuri data
- UU PDP: pengendali data yang tidak menjaga sistem dengan baik
         → KEDUANYA bisa berlaku bersamaan

Ketika data disalahgunakan untuk iklan:
- UU ITE: tidak mengatur ini secara eksplisit
- UU PDP Pasal (purpose limitation): pengendali dilarang
  menggunakan data di luar tujuan yang dinyatakan

BAGIAN 6.2 — Definisi dan Kategorisasi Data Pribadi

Apa yang Dimaksud "Data Pribadi"?

UU PDP Pasal 1 angka 1:

"Data Pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasikan dengan informasi lainnya baik secara langsung maupun tidak langsung melalui Sistem Elektronik dan/atau nonelektronik."

Kata kunci: "teridentifikasi atau dapat diidentifikasi". Ini berarti bahwa bahkan data yang secara individual tidak langsung mengidentifikasi seseorang, tetapi jika dikombinasikan dengan data lain bisa mengidentifikasi, tetap termasuk data pribadi.

Contoh "dapat diidentifikasi" melalui kombinasi:

Data Tunggal (tidak identifikasi)	Dikombinasikan Menjadi (mengidentifikasi)
Pria, 35 tahun	Pria, 35 tahun, guru SMA, tinggal di Pekalongan → teridentifikasi
Pengguna yang login pukul 07.30	+ IP Address + User Agent → teridentifikasi
Cookie ID anonim	+ Riwayat pembelian + lokasi → teridentifikasi

Implikasi bagi pengembang: "Anonimisasi" data tidak cukup hanya dengan menghapus nama. Jika kombinasi atribut lain masih bisa mengidentifikasi seseorang, data tersebut tetap data pribadi dan UU PDP berlaku.

Dua Kategori Utama Data Pribadi

Kategori 1: Data Pribadi Umum

Data yang bersifat umum dan tidak memerlukan perlindungan khusus yang sama dengan data sensitif:

DATA PRIBADI UMUM (Pasal 4 UU PDP)
├── Nama lengkap
├── Jenis kelamin
├── Kewarganegaraan/kebangsaan
├── Agama (dalam konteks umum, bukan keyakinan spesifik)
├── Status perkawinan
└── Data pribadi yang dikombinasikan untuk mengidentifikasi seseorang

Kategori 2: Data Pribadi Spesifik (Sensitif)

Data yang memerlukan perlindungan berlapis karena berpotensi menimbulkan diskriminasi, kerugian finansial, atau ancaman fisik jika bocor:

DATA PRIBADI SPESIFIK (Pasal 4 UU PDP) — PERLINDUNGAN BERLAPIS
├── Data kesehatan dan data medis
│   (rekam medis, riwayat penyakit, data laboratorium)
├── Data biometrik
│   (sidik jari, scan retina, pengenalan wajah, geometri tangan)
├── Data genetika
│   (DNA, RNA, penanda biologis)
├── Pandangan/keyakinan politik
│   (afiliasi partai, riwayat voting — bukan sekadar "agama umum")
├── Catatan kejahatan
│   (riwayat pidana, status hukum)
├── Data keuangan
│   (nomor rekening, data transaksi, informasi kartu kredit)
├── Data anak
│   (semua data yang berkaitan dengan anak di bawah 18 tahun)
└── Data lain sesuai ketentuan peraturan perundang-undangan

Mengapa Pembedaan Ini Penting?

DATA UMUM                          DATA SPESIFIK
    │                                    │
    ▼                                    ▼
Memerlukan:                        Memerlukan:
- Persetujuan (consent)            - Persetujuan EKSPLISIT
- Dasar hukum yang sah             - Dasar hukum yang kuat
- Tujuan yang jelas                - Penilaian dampak PDP (DPIA)
                                   - Enkripsi yang lebih ketat
                                   - Pembatasan akses lebih ketat
                                   - DPO wajib ditunjuk

Contoh platform:                   Contoh platform:
E-commerce (nama, alamat)          Aplikasi kesehatan (rekam medis)
Media sosial (profil umum)         Fintech dengan verifikasi KTP+wajah
HR system (data karyawan)          Sistem pengenalan wajah CCTV

BAGIAN 6.3 — Prinsip-Prinsip Pemrosesan Data Pribadi

Tujuh Prinsip Dasar (Pasal 16 UU PDP)

UU PDP menetapkan tujuh prinsip yang wajib dipatuhi oleh setiap pengendali data dalam setiap tahap pemrosesan data pribadi. Prinsip-prinsip ini adalah "jiwa" UU PDP dan harus dipahami bukan sekadar sebagai aturan, melainkan sebagai panduan desain sistem.

Prinsip 1: Pembatasan Pengumpulan (Collection Limitation)

Data pribadi hanya dapat dikumpulkan sesuai dengan tujuan yang telah dinyatakan.

Implikasi desain sistem: Jangan desain form registrasi yang meminta data "untuk jaga-jaga". Setiap field harus memiliki justifikasi yang jelas dan dikomunikasikan kepada pengguna.

Prinsip 2: Pembatasan Pemrosesan (Purpose Limitation)

Data hanya boleh diproses sesuai tujuan yang dinyatakan saat pengumpulan.

Contoh pelanggaran: Mengumpulkan data lokasi "untuk fitur pengiriman", lalu menggunakannya untuk profiling iklan tanpa izin tambahan.

Prinsip 3: Minimisasi Data (Data Minimization)

Hanya kumpulkan data yang benar-benar diperlukan untuk tujuan tersebut.

Implikasi desain sistem: Jika Anda membangun aplikasi kalkulator, tidak perlu meminta izin akses kamera, kontak, atau lokasi. Meminta izin berlebihan adalah pelanggaran prinsip ini.

Prinsip 4: Akurasi (Accuracy)

Data harus akurat, lengkap, tidak menyesatkan, selalu diperbarui, dan dapat dipertanggungjawabkan.

Implikasi: Sistem harus menyediakan mekanisme bagi pengguna untuk memperbarui dan mengoreksi data mereka sendiri (berkaitan langsung dengan "hak koreksi" di Bagian 6.4).

Prinsip 5: Pembatasan Penyimpanan (Storage Limitation)

Data tidak boleh disimpan lebih lama dari yang diperlukan untuk mencapai tujuan.

Implikasi bagi pengembang: Wajib mendesain data retention policy — kebijakan berapa lama data disimpan sebelum dihapus secara permanen. Tidak ada "simpan selamanya untuk jaga-jaga".

Contoh praktis:

Jenis Data	Masa Simpan yang Wajar	Catatan
Data transaksi	5 tahun (mengikuti kewajiban perpajakan)	Bisa lebih panjang jika ada kewajiban hukum
Log akses sistem	90 hari (untuk keamanan/debugging)	—
Data pengguna yang menutup akun	30–90 hari setelah penghapusan diminta	Setelah itu wajib dihapus
Data rekrutmen yang ditolak	Maksimal 1 tahun	Tidak ada alasan menyimpan lebih lama

Prinsip 6: Integritas dan Kerahasiaan (Integrity & Confidentiality)

Data harus dilindungi dari pemrosesan yang tidak sah, pengungkapan tidak sah, perubahan, penghapusan, dan/atau kerusakan.

Implikasi teknis: Enkripsi data at rest dan in transit, kontrol akses berbasis peran (RBAC), audit log, pengujian keamanan berkala (penetration testing).

Prinsip 7: Pertanggungjawaban (Accountability)

Pengendali data bertanggung jawab atas kepatuhan terhadap prinsip-prinsip di atas dan harus dapat membuktikannya.

Implikasi: Dokumentasi kebijakan pemrosesan, catatan aktivitas pemrosesan, laporan kepatuhan — semuanya harus tersedia dan dapat ditunjukkan kepada otoritas jika diminta.

Prinsip-Prinsip dalam Perspektif Desain Sistem

PRINSIP UU PDP          IMPLEMENTASI DALAM SISTEM INFORMASI
─────────────────       ─────────────────────────────────────
Collection limitation → Form registrasi minimal, privacy notice sebelum pengumpulan
Purpose limitation    → Tidak gunakan data untuk fitur yang tidak dideklarasikan
Data minimization     → Hanya izin yang diperlukan, field form seperlunya
Accuracy              → Fitur edit profil, notifikasi pembaruan data
Storage limitation    → Auto-delete policy, data retention schedule
Integrity &           → Enkripsi AES-256, HTTPS, access control, security audit
  confidentiality
Accountability        → Dokumentasi pemrosesan, DPO, DPIA untuk data sensitif

BAGIAN 6.4 — Sembilan Hak Subjek Data

UU PDP No. 27/2022 memberikan 9 hak kepada subjek data — satu lebih banyak dibanding GDPR yang hanya memberikan 8 hak. Hak ke-9 adalah hak yang spesifik Indonesia dan sangat relevan di era AI.

Peta Sembilan Hak Subjek Data

SEMBILAN HAK SUBJEK DATA (UU PDP Pasal 8–18)
                        │
    ┌───────────────────┼───────────────────┐
    │                   │                   │
    ▼                   ▼                   ▼
HAK UNTUK           HAK UNTUK           HAK UNTUK
MENGETAHUI          MENGONTROL          MELINDUNGI
    │                   │                   │
    ├── (1) Hak         ├── (4) Hak         ├── (8) Hak
    │   mendapat        │   penarikan       │   keberatan
    │   informasi       │   persetujuan     │   otomasi
    │                   │                   │   ← HAK KE-9
    ├── (2) Hak akses   ├── (5) Hak         │   (tidak ada
    │   atas data       │   keberatan       │   di GDPR!)
    │   sendiri         │                   │
    │                   ├── (6) Hak         └── (9) Hak
    └── (3) Hak         │   portabilitas    gugat & ganti
        mendapat        │                   rugi
        informasi       └── (7) Hak
        pelanggaran         penghapusan
        data                (*right to
                             be forgotten*)

Uraian Detail Sembilan Hak

Hak 1: Hak Mendapatkan Informasi tentang Kejelasan Identitas dan Tujuan Pemrosesan

Sebelum data diproses, subjek data berhak mengetahui:

Siapa yang mengumpulkan data (identitas pengendali data).
Untuk tujuan apa data dikumpulkan dan diproses.
Berapa lama data akan disimpan.
Apakah data akan dibagikan ke pihak lain dan siapa.
Apa hak-hak subjek data dan bagaimana cara menggunakannya.

Implementasi: Privacy Notice / Kebijakan Privasi yang ditulis dalam bahasa yang mudah dipahami, bukan legalese yang panjang dan membingungkan.

Hak 2: Hak Akses (Right of Access)

Subjek data berhak meminta salinan data pribadi yang sedang diproses oleh pengendali data. Pengendali wajib merespons dalam waktu yang wajar.

Implementasi: Fitur "Unduh Data Saya" atau mekanisme permintaan akses yang mudah digunakan (bukan hanya email ke tim hukum yang jarang direspons).

Hak 3: Hak Mendapatkan Informasi tentang Pelanggaran Data

Jika terjadi kebocoran data yang berisiko tinggi bagi subjek data, pengendali wajib memberitahukan kepada subjek data yang terdampak.

Timeline: 14 hari kerja sejak diketahui adanya pelanggaran (kepada otoritas); notifikasi ke subjek data sesegera mungkin setelahnya.

Hak 4: Hak Memperbaiki dan Memperbarui Data (Right to Rectification)

Subjek data berhak meminta pengendali untuk memperbaiki data yang tidak akurat, tidak lengkap, atau menyesatkan.

Implementasi: Fitur edit profil, mekanisme permintaan koreksi yang mudah diakses.

Hak 5: Hak Mengakhiri Pemrosesan dan Menghapus Data (Right to Erasure / Right to be Forgotten)

Subjek data berhak meminta penghapusan data pribadi mereka dalam kondisi tertentu:

Data tidak lagi diperlukan untuk tujuan awalnya.
Persetujuan ditarik dan tidak ada dasar hukum lain untuk memproses.
Data diproses secara melawan hukum.

Pengecualian: Hak ini tidak berlaku jika data masih diperlukan untuk:

Mematuhi kewajiban hukum (misalnya: data transaksi untuk pajak).
Kepentingan penelitian ilmiah dan statistik.
Menegakkan klaim hukum.

Contoh praktis: Pengguna yang menutup akun e-commerce meminta datanya dihapus. Platform wajib menghapus data profil, preferensi, dan aktivitas — tetapi boleh mempertahankan data transaksi untuk keperluan pajak selama 5 tahun.

Hak 6: Hak Menarik Persetujuan (Right to Withdraw Consent)

Subjek data berhak mencabut persetujuan yang pernah diberikan untuk pemrosesan data. Pencabutan tidak berlaku surut (tidak membatalkan pemrosesan yang sudah terjadi sebelum pencabutan).

Syarat penting: Menarik persetujuan harus semudah memberikan persetujuan. Jika mendaftar newsletter 1 klik, maka berhenti berlangganan juga harus 1 klik — bukan melalui proses yang rumit (lihat dark pattern "Roach Motel" di Bagian 5.4).

Hak 7: Hak Keberatan (Right to Object)

Subjek data berhak menolak pemrosesan data mereka untuk tujuan tertentu, terutama:

Pemasaran langsung (direct marketing).
Pemrosesan untuk kepentingan sah pengendali yang berdampak pada kepentingan subjek data.

Implikasi bagi pengembang: Sistem wajib menyediakan mekanisme opt-out yang mudah untuk email marketing, notifikasi promosi, dan penggunaan data untuk iklan.

Hak 8: Hak Portabilitas Data (Right to Data Portability)

Subjek data berhak mendapatkan data pribadi mereka dalam format yang terstruktur, umum digunakan, dan dapat dibaca mesin (machine-readable) — misalnya: JSON, CSV, XML.

Tujuan hak ini: Memungkinkan subjek data berpindah dari satu platform ke platform lain tanpa kehilangan data mereka. Ini adalah hak anti-lock-in.

Contoh: Pengguna Spotify berhak mendapatkan data playlist, riwayat dengar, dan preferensi musiknya dalam format yang bisa diimpor ke platform streaming lain.

Hak 9: Hak Keberatan atas Pengambilan Keputusan Otomatis (Right NOT to be Subject to Solely Automated Decision-Making)

Ini adalah hak yang TIDAK ADA dalam GDPR dan menjadi kekhasan UU PDP Indonesia.

Subjek data berhak menolak untuk menjadi subjek keputusan yang dibuat semata-mata berdasarkan pemrosesan otomatis (termasuk profiling) yang menimbulkan akibat hukum atau dampak signifikan terhadap dirinya.

Contoh kasus:

Aplikasi pinjaman online yang menolak permohonan kredit seseorang berdasarkan skor AI tanpa ada manusia yang meninjau keputusan tersebut.
Sistem rekrutmen yang secara otomatis mengeliminasi kandidat berdasarkan algoritma tanpa pernah ada manusia yang mereview profil mereka.
Sistem asuransi yang menetapkan premi berdasarkan profiling otomatis riwayat kesehatan.

Relevansi untuk Pertemuan 12 (AI & Fintech): Hak ke-9 ini menjadi sangat penting saat kita membahas AI Act dan regulasi fintech. Sistem AI yang digunakan untuk pengambilan keputusan yang berdampak signifikan wajib memiliki mekanisme human oversight yang memungkinkan subjek data meminta peninjauan oleh manusia.

BAGIAN 6.5 — Peran dalam Ekosistem Pemrosesan Data

Tiga Pihak Utama dalam UU PDP

UU PDP mendefinisikan tiga peran berbeda yang memiliki kewajiban berbeda:

┌─────────────────────────────────────────────────────────┐
│              EKOSISTEM PEMROSESAN DATA                  │
├──────────────────┬──────────────────┬────────────────────┤
│   PENGENDALI DATA│   PEMROSES DATA  │   SUBJEK DATA      │
│  (Data Controller│  (Data Processor │  (Data Subject)    │
│       )          │        )         │                    │
├──────────────────┼──────────────────┼────────────────────┤
│ Menentukan       │ Memproses data   │ Orang yang data    │
│ tujuan &         │ atas nama dan    │ pribadinya         │
│ cara pemrosesan  │ instruksi        │ diproses           │
│                  │ pengendali       │                    │
├──────────────────┼──────────────────┼────────────────────┤
│ Contoh:          │ Contoh:          │ Contoh:            │
│ - Platform       │ - Perusahaan     │ - Pengguna         │
│   e-commerce     │   cloud (AWS,    │   platform         │
│ - Rumah sakit    │   GCP, Azure)    │ - Pasien RS        │
│ - Perusahaan     │ - Vendor email   │ - Karyawan         │
│                  │   marketing      │ - Pelanggan        │
├──────────────────┼──────────────────┼────────────────────┤
│ TANGGUNG JAWAB   │ TANGGUNG JAWAB   │ MEMILIKI           │
│ PENUH atas       │ sesuai perjanjian│ 9 HAK yang         │
│ kepatuhan        │ dengan pengendali│ dijamin UU PDP     │
│ UU PDP           │                  │                    │
└──────────────────┴──────────────────┴────────────────────┘

Kasus yang sering membingungkan: Siapa pengendali, siapa pemroses?

Skenario	Pengendali Data	Pemroses Data
Startup menggunakan AWS untuk menyimpan data pengguna	Startup	Amazon Web Services
Perusahaan menggunakan Mailchimp untuk kirim newsletter	Perusahaan	Mailchimp
Google Analytics diinstal di website e-commerce	E-commerce (dan Google)	—
Rumah sakit yang menggunakan sistem HIS vendor	Rumah sakit	Vendor HIS

BAGIAN 6.6 — Kewajiban Pengendali dan Pemroses Data

Tujuh Kewajiban Utama Pengendali Data

Kewajiban 1: Mendapatkan Persetujuan yang Sah

Persetujuan (consent) dalam UU PDP harus memenuhi kriteria:

Kriteria	Penjelasan	Contoh Pelanggaran
Bebas	Tidak ada tekanan atau konsekuensi negatif jika menolak	"Setujui penggunaan data ATAU tidak bisa menggunakan layanan"
Spesifik	Untuk tujuan yang jelas dan tertentu	Consent umum "untuk semua keperluan perusahaan"
Terinformasi	Subjek data mengetahui apa yang mereka setujui	ToS 50 halaman tanpa ringkasan
Tidak ambigu	Persetujuan aktif, bukan persetujuan diam-diam (silence ≠ consent)	Opsi default "Saya setuju diberi-ceklis"

Kewajiban 2: Dasar Hukum Pemrosesan yang Sah

Persetujuan bukan satu-satunya dasar hukum yang sah. UU PDP mengakui 6 dasar hukum:

No	Dasar Hukum	Kondisi	Contoh Penggunaan
1	Persetujuan	Subjek data memberikan izin eksplisit	Newsletter marketing, notifikasi promosi
2	Kontrak	Diperlukan untuk melaksanakan kontrak dengan subjek data	Nama & alamat untuk pengiriman barang
3	Kewajiban hukum	Diperlukan untuk mematuhi regulasi	Data untuk pelaporan pajak
4	Kepentingan vital	Untuk melindungi nyawa seseorang	Data medis dalam keadaan darurat
5	Tugas publik	Pengendali melaksanakan tugas kepentingan publik	Data untuk sensus, statistik nasional
6	*Kepentingan sah (legitimate interest)*	Kepentingan pengendali yang tidak merugikan subjek data	Keamanan sistem, deteksi fraud

Catatan kritis: Penggunaan dasar "legitimate interest" harus diimbangi dengan uji keseimbangan (balancing test) — kepentingan pengendali tidak boleh lebih besar dari hak dan kepentingan subjek data.

Kewajiban 3: Memberikan Notifikasi Pelanggaran Data

Jika terjadi kebocoran data yang berpotensi menimbulkan risiko bagi subjek data:

KEBOCORAN DATA TERJADI
        │
        ▼
  Pengendali mengetahui
        │
        ▼
    14 HARI KERJA
  ───────────────────
  Wajib melaporkan ke:
  (1) Otoritas (Komdigi)
  (2) Subjek data yang terdampak
        │
        ▼
  Laporan harus memuat:
  - Jenis & kategori data yang bocor
  - Kapan & bagaimana terjadinya
  - Langkah mitigasi yang diambil
  - Kontak untuk informasi lebih lanjut

Konsekuensi tidak melapor: Sanksi administratif + potensi sanksi pidana + kerusakan reputasi yang jauh lebih besar jika publik mengetahui sebelum pengendali melapor.

Kewajiban 4: Menunjuk Data Protection Officer (DPO)

DPO adalah pejabat internal yang bertugas memastikan kepatuhan UU PDP. Penunjukan DPO wajib dalam kondisi tertentu:

Kondisi	Wajib DPO?
PSE yang memproses data dalam skala besar	Ya
Memproses data pribadi spesifik secara rutin	Ya
Memantau subjek data secara sistematis dalam skala besar	Ya
Startup kecil yang tidak memproses data sensitif	Dianjurkan, tidak wajib

Tugas DPO:

Memberikan saran tentang kewajiban UU PDP.
Memantau kepatuhan kebijakan pemrosesan data.
Menjadi kontak point antara pengendali data dan otoritas/subjek data.
Melaksanakan Data Protection Impact Assessment (DPIA) untuk pemrosesan berisiko tinggi.

Kewajiban 5: Melaksanakan DPIA (Data Protection Impact Assessment)

DPIA wajib dilakukan sebelum memulai pemrosesan yang berpotensi menimbulkan risiko tinggi terhadap hak dan kebebasan subjek data, misalnya:

Membangun sistem pengenalan wajah di ruang publik.
Membangun profil perilaku pengguna untuk targeting iklan.
Memproses data kesehatan dalam skala besar.

Kewajiban 6: Menjamin Keamanan Data

Pengendali wajib mengimplementasikan langkah-langkah teknis dan organisatoris yang tepat untuk menjamin keamanan data, proporsional dengan risiko pemrosesan.

Kewajiban 7: Mematuhi Ketentuan Transfer Data Internasional

Transfer data ke luar Indonesia hanya diizinkan jika negara tujuan memiliki tingkat perlindungan data yang setara dengan Indonesia, atau melalui perjanjian transfer yang menjamin perlindungan yang memadai.

BAGIAN 6.7 — Sanksi: Konsekuensi Nyata Pelanggaran UU PDP

Dua Jalur Sanksi

Jalur Administratif

Dijatuhkan oleh otoritas pengawas (Komdigi) tanpa proses peradilan pidana:

Sanksi Administratif	Kondisi
Peringatan tertulis	Pelanggaran ringan, pertama kali
Denda administratif maks. 2% dari pendapatan tahunan	Pelanggaran sedang/berat
Penghentian sementara pemrosesan data	Risiko serius dan segera
Pengumuman publik tentang pelanggaran	Pelanggaran berat
Pemusnahan data pribadi	Jika diperlukan untuk perlindungan subjek data

Perbandingan dengan GDPR: GDPR memungkinkan denda hingga 4% dari omset global tahunan atau €20 juta (mana yang lebih tinggi). Denda 2% UU PDP lebih rendah dari standar GDPR, namun tetap signifikan untuk perusahaan besar.

Jalur Pidana

Dijatuhkan melalui proses peradilan pidana oleh pengadilan:

Pelanggaran	Sanksi Pidana
Memproses data pribadi tanpa dasar hukum yang sah secara sengaja	Penjara maks. 5 tahun + denda maks. Rp5 miliar
Memperoleh data pribadi dengan cara tidak sah yang menguntungkan diri sendiri	Penjara maks. 5 tahun + denda maks. Rp5 miliar
Mengungkapkan data pribadi tanpa hak (pembelian/penjualan data ilegal)	Penjara maks. 4 tahun + denda maks. Rp4 miliar
Pemalsuan data pribadi yang menimbulkan kerugian subjek data	Penjara maks. 6 tahun + denda maks. Rp6 miliar

BAGIAN 6.8 — Perbandingan Mendalam: GDPR vs UU PDP

Mengapa Memahami GDPR Penting?

Standar de facto global: Banyak perusahaan internasional yang beroperasi di Indonesia sudah GDPR-compliant. Memahami perbandingan membantu analisis kesenjangan.
Sumber inspirasi: UU PDP banyak mengadopsi framework GDPR, sehingga dokumentasi dan praktik terbaik GDPR dapat menjadi panduan implementasi UU PDP.
Ekstrateritorialitas GDPR: Jika Anda membangun sistem yang menangani data warga negara EU, GDPR berlaku untuk Anda — bahkan jika Anda berbasis di Indonesia.

Tabel Perbandingan Komprehensif

Dimensi Perbandingan	🇪🇺 GDPR (2018)	🇮🇩 UU PDP (2022)
Tahun berlaku	25 Mei 2018	2 Oktober 2022 (masa transisi s.d. Okt 2024)
Ruang lingkup	Ekstrateritorial penuh: berlaku untuk semua entitas yang menangani data warga EU, di mana pun mereka berada	Territorial + ekstrateritorial terbatas: berlaku untuk yang memengaruhi WNI atau berada di Indonesia
Jumlah hak subjek data	8 hak	9 hak (+ hak keberatan keputusan otomatis)
Dasar hukum pemrosesan	6 dasar hukum	6 dasar hukum (setara)
Denda administratif maks.	€20 juta ATAU 4% omset global tahunan (mana yang lebih tinggi)	2% dari pendapatan tahunan
Lembaga pengawas	Independen: DPA (Data Protection Authority) per negara anggota EU	Di bawah pemerintah: Komdigi (independensi dipertanyakan)
Kewajiban DPO	Wajib untuk pemrosesan skala besar, data sensitif, atau monitoring sistematis	Wajib dalam kondisi serupa (belum sedetail GDPR)
DPIA	Wajib untuk pemrosesan berisiko tinggi, dengan daftar kondisi yang spesifik	Wajib untuk pemrosesan berisiko tinggi (detail belum selengkap GDPR)
Transfer data internasional	Diizinkan ke negara yang "adequately protected" (keputusan kecukupan EC) atau dengan safeguard	Diizinkan ke negara dengan perlindungan setara atau dengan perjanjian
Notifikasi pelanggaran	72 jam ke otoritas; notifikasi ke subjek data jika risiko tinggi	14 hari kerja ke otoritas dan subjek data terdampak
Sanksi pidana	Tidak diatur (hanya sanksi administratif)	Ada sanksi pidana (penjara 4–6 tahun)
Maturity implementasi	Sudah 6+ tahun diterapkan, ekosistem compliance matang	Baru, masih dalam proses pembangunan ekosistem compliance

Kesenjangan Utama yang Menjadi Tantangan Indonesia

Kesenjangan 1: Independensi Lembaga Pengawas

GDPR mensyaratkan DPA (Data Protection Authority) yang benar-benar independen dari pemerintah. Di Indonesia, pengawasan UU PDP dipegang Komdigi — lembaga pemerintah yang juga menjadi pengendali data dalam kapasitasnya sebagai instansi publik.

Potensi masalah: Komdigi mungkin enggan menjatuhkan sanksi pada instansi pemerintah lain yang melanggar UU PDP, mengingat mereka adalah sesama bagian dari pemerintah.

Kesenjangan 2: Detail Teknis Implementasi

GDPR didukung oleh ratusan guideline teknis dari European Data Protection Board (EDPB) yang menjelaskan cara implementasi di berbagai konteks spesifik. Indonesia belum memiliki ekosistem panduan teknis yang sekaya ini.

Kesenjangan 3: Masa Transisi yang Singkat

Dua tahun masa transisi (2022–2024) sangat singkat dibanding 2 tahun masa transisi GDPR yang terasa masih kurang. Banyak perusahaan — terutama UKM — belum siap sepenuhnya.

BAGIAN 6.9 — Praktik UU PDP untuk Pengembang Sistem

Checklist Kepatuhan UU PDP untuk Pengembang

Gunakan checklist ini sebagai panduan saat membangun atau mengaudit sistem:

A. Sebelum Mengumpulkan Data

Identifikasi: data apa yang dikumpulkan, untuk tujuan apa, berapa lama disimpan
Tentukan dasar hukum pemrosesan untuk setiap jenis data
Siapkan privacy notice yang jelas dan mudah diakses
Desain form pengumpulan data mengikuti prinsip minimisasi
Lakukan DPIA jika memproses data sensitif atau dalam skala besar

B. Saat Memproses Data

Implementasikan enkripsi untuk data at rest dan in transit
Terapkan access control berbasis peran (RBAC)
Catat semua aktivitas pemrosesan (audit log)
Pastikan pemroses data pihak ketiga terikat perjanjian yang memadai

C. Memenuhi Hak Subjek Data

Sediakan mekanisme akses data yang mudah
Sediakan mekanisme koreksi data yang mudah
Sediakan mekanisme penghapusan/penutupan akun
Sediakan mekanisme keberatan marketing dan profiling
Sediakan mekanisme ekspor data (portabilitas)

D. Respons terhadap Insiden

Miliki SOP deteksi dan respons insiden keamanan data
Siapkan template notifikasi pelanggaran untuk otoritas dan subjek data
Tunjuk PIC (person in charge) atau DPO untuk komunikasi insiden

E. Dokumentasi dan Tata Kelola

Tunjuk DPO jika wajib
Buat dan perbarui Records of Processing Activities (RoPA)
Lakukan privacy training untuk seluruh anggota tim
Review dan perbarui kebijakan privasi secara berkala

Skenario Praktis: Startup Kesehatan dan Risiko UU PDP

Sebuah startup bernama HealthTrack membangun aplikasi mobile yang memungkinkan pengguna mencatat kondisi kesehatan harian, menghubungkannya dengan dokter, dan mendapatkan rekomendasi obat berbasis AI.

Data yang dikumpulkan: nama, email, nomor HP, usia, berat badan, tinggi badan, riwayat penyakit, obat yang dikonsumsi, hasil lab yang diunggah, lokasi GPS (untuk "cari dokter terdekat"), data biometrik (sensor detak jantung smartwatch).

HealthTrack menjual data "anonim" pengguna ke perusahaan farmasi untuk riset pasar.

Analisis pelanggaran UU PDP:

Jenis data: Hampir semua data yang dikumpulkan adalah data pribadi spesifik (kesehatan, biometrik) → memerlukan perlindungan berlapis.
Dasar hukum: Jual data ke farmasi memerlukan persetujuan eksplisit terpisah dari persetujuan penggunaan aplikasi → tidak bisa digabungkan dalam satu ToS.
Prinsip purpose limitation: Menggunakan data yang dikumpulkan "untuk layanan kesehatan" untuk keperluan "riset pasar farmasi" = pelanggaran.
Klaim "anonim" yang meragukan: Kombinasi data kesehatan + usia + lokasi GPS sangat mungkin masih dapat mengidentifikasi individu tertentu → bukan benar-benar anonim → tetap data pribadi.
Sanksi potensial:
- Administratif: denda 2% pendapatan tahunan + perintah berhenti memproses.
- Pidana: penjara hingga 5 tahun + denda Rp5 miliar (jika disengaja).
- Reputasi: kehilangan kepercayaan pengguna, kemungkinan class action.

AKTIVITAS PEMBELAJARAN PERTEMUAN 6

Jadwal Sesi (100 Menit)

Waktu	Durasi	Aktivitas	Metode
0–45 mnt	45 mnt	Ceramah interaktif: latar belakang, kategorisasi data, 7 prinsip, 9 hak, kewajiban, sanksi, GDPR vs UU PDP	Ceramah + tanya jawab
45–80 mnt	35 mnt	Diskusi kelompok: Analisis kasus HealthTrack (atau kasus lain yang ditentukan dosen)	Collaborative learning
80–100 mnt	20 mnt	Presentasi tiap kelompok + klarifikasi dosen	Presentasi + diskusi

Diskusi Kelompok: Kasus Startup Biometrik

Skenario untuk Diskusi:

Startup FaceAttend mengembangkan sistem absensi berbasis pengenalan wajah untuk sekolah dan kampus. Data biometrik (foto wajah yang diolah menjadi facial embedding) disimpan di server FaceAttend yang berlokasi di Singapura. Sekolah membayar biaya langganan bulanan. FaceAttend berencana menggunakan data biometrik ini untuk meningkatkan akurasi model AI mereka dan menjualnya ke pengembang AI lain.

Pertanyaan diskusi:

Kategorikan semua jenis data yang terlibat dalam sistem FaceAttend berdasarkan UU PDP. Apakah ada data pribadi spesifik? Apa konsekuensinya?
Identifikasi setidaknya 5 potensi pelanggaran UU PDP yang mungkin terjadi dalam operasional FaceAttend yang digambarkan. Untuk masing-masing pelanggaran, sebutkan pasal/prinsip UU PDP yang dilanggar.
Siapa yang berperan sebagai pengendali data dan siapa yang berperan sebagai pemroses data dalam ekosistem ini (FaceAttend, sekolah, guru, siswa)?
Penyimpanan data di Singapura — apakah ini melanggar UU PDP? Apa syarat yang harus dipenuhi jika data biometrik warga Indonesia disimpan di luar negeri?
Sebagai pengembang yang ditugasi membangun sistem serupa oleh klien Anda, perubahan apa yang harus Anda rekomendasikan agar sistem tersebut compliant dengan UU PDP?

EVALUASI PERTEMUAN 6

Jenis Evaluasi: Kuis | Dilakukan di kelas

Kuis Online via Ngaji UIN Gusdur

Instrumen: Kuis pilihan ganda dan isian singkat Waktu: 15 menit di akhir pertemuan atau via Ngaji UIN Gusdur sebelum Pertemuan 7 Bobot: Komponen partisipasi

Contoh Soal Pilihan Ganda:

1. Menurut UU PDP No. 27/2022, data manakah yang termasuk kategori "data pribadi spesifik"?

A. Nama lengkap dan jenis kelamin
B. Status perkawinan dan kewarganegaraan
C. Data biometrik dan data kesehatan
D. Alamat email dan nomor telepon

2. Berdasarkan UU PDP, batas waktu pengendali data untuk melaporkan pelanggaran data kepada otoritas adalah...

A. 3 hari kalender sejak diketahui
B. 7 hari kalender sejak diketahui
C. 14 hari kerja sejak diketahui
D. 30 hari kalender sejak diketahui

3. Prinsip "data minimization" dalam UU PDP berarti...

A. Menggunakan teknologi kompresi data untuk menghemat penyimpanan
B. Hanya mengumpulkan data dari pengguna yang minimal aktivitasnya
C. Hanya mengumpulkan data yang benar-benar diperlukan untuk tujuan yang dinyatakan
D. Membatasi jumlah pengguna yang datanya dapat diproses

4. Hak yang ADA dalam UU PDP Indonesia tetapi TIDAK ADA dalam GDPR adalah...

A. Hak akses atas data pribadi
B. Hak portabilitas data
C. Hak penghapusan data
D. Hak keberatan atas pengambilan keputusan semata-mata berdasarkan otomasi

Contoh Soal Isian:

5. Jelaskan dalam 3–4 kalimat apa yang dimaksud dengan "prinsip purpose limitation" dalam UU PDP dan berikan satu contoh konkret pelanggarannya dalam konteks aplikasi e-commerce.

6. Sebutkan 3 perbedaan utama antara GDPR dan UU PDP Indonesia yang menurut Anda paling signifikan bagi pengembang aplikasi di Indonesia. Jelaskan mengapa setiap perbedaan tersebut penting.

Kunci penilaian: PG = 1 poin/soal benar; Isian = 2–3 poin tergantung kelengkapan dan ketepatan jawaban.

BAHAN BACAAN UTAMA PERTEMUAN 6

Regulasi (Wajib Dibaca)

Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi. (Bab I, II, III, IV, V, VII) — seluruh substansi utama → https://jdih.go.id (opens in a new tab)
Regulation (EU) 2016/679 (GDPR) — untuk perbandingan. (Article 4–9, 12–23) → https://eur-lex.europa.eu (opens in a new tab) (tersedia juga versi informal di gdpr.eu)

Laporan LSM

ELSAM. (2022). Laporan penilaian dampak terhadap perlindungan data pribadi: Ekosistem digital Indonesia. https://elsam.or.id (opens in a new tab) — (Analisis mendalam kondisi perlindungan data sebelum UU PDP berlaku penuh)

Artikel Jurnal

Bygrave, L. A. (2020). Minding the machine: Article 22 of the GDPR and its mind the gap. European Data Protection Law Review, 6(2), 158–169. (Tentang hak keberatan keputusan otomatis — relevan dengan Hak ke-9 UU PDP)
Koops, B.-J. (2021). The concept of function creep. Law, Innovation and Technology, 13(1), 29–56. (Tentang bagaimana data yang dikumpulkan untuk satu tujuan akhirnya digunakan untuk tujuan lain — pelanggaran purpose limitation)
Wahyudi, A. (2020). Perlindungan data pribadi dalam perspektif hukum Indonesia. Jurnal Hukum IUS QUIA IUSTUM, 27(1), 92–115.

Buku

Solove, D. J. (2013). Nothing to hide: The false tradeoff between privacy and security. Yale University Press. (Chapter 1–3) — (Mengapa privasi penting, membantah argumen "saya tidak punya yang disembunyikan")
Zuboff, S. (2019). The age of surveillance capitalism. Public Affairs. (Chapter 1) — (Bagaimana data perilaku pengguna menjadi komoditas ekonomi)

REFLEKSI INTEGRASI: BENANG MERAH PERTEMUAN 5 & 6

Dua Sisi Koin yang Sama

Pertemuan 5 dan 6 tidak bisa dipisahkan karena mereka menghadapi dua sisi masalah yang sama:

PERTEMUAN 5                          PERTEMUAN 6
"Hukum yang mengatur                 "Hukum yang mengatur
TINDAKAN TRANSAKSI                   DATA YANG DIHASILKAN
(siapa boleh melakukan               oleh transaksi tersebut"
apa, dengan syarat apa)"

Kewajiban PSE:                       Kewajiban Pengendali Data:
- Menyediakan ToS jelas              - Memberikan privacy notice
- Menjamin keamanan sistem           - Mengamankan data pribadi
- Merespons keluhan                  - Memberikan hak akses & hapus
- Memberikan bukti transaksi         - Melaporkan jika ada breach

Hak Konsumen:                        Hak Subjek Data:
- Informasi produk jujur             - Mengetahui tujuan pemrosesan
- Ganti rugi jika dirugikan          - Mengakses data sendiri
- Akses mekanisme sengketa           - Menghapus data

Koneksi ke Pertemuan 7

Pertemuan 7 adalah kelanjutan langsung dari Pertemuan 6:

P6 membahas teks hukum UU PDP (apa yang wajib dilakukan).
P7 membahas realitas ketika UU PDP dilanggar — studi kasus kebocoran data BPJS (279 juta record), MyPertamina (44 juta), dan PDN 2024 (ransomware).
P7 juga mengajarkan privacy by design — bagaimana prinsip-prinsip UU PDP seharusnya tertanam dalam proses pengembangan sistem sejak awal.

Yang perlu Anda persiapkan untuk P7: Pahami betul ke-9 hak subjek data dan 7 prinsip pemrosesan dari P6, karena analisis kasus kebocoran data di P7 akan menggunakan framework tersebut sebagai pisau bedah.

Koneksi ke Pertemuan 8 (UTS)

Modul 5–6 adalah dua dari tujuh pertemuan yang akan diuji dalam UTS. Antisipasi format soal berikut:

Tipe Soal UTS	Contoh Pertanyaan dari Materi P5–P6
PG konsep	"Dark pattern yang melanggar hak konsumen untuk mendapat info yang jujur adalah..."
PG regulasi	"Dasar hukum utama kewajiban marketplace merespons pengaduan konsumen adalah..."
Analisis regulasi	"Sebuah startup mengumpulkan data biometrik tanpa DPIA. Pasal UU PDP mana yang dilanggar?"
Esai analitik	"Analisis kasus [deskripsi kasus kebocoran data]. Siapa yang melanggar UU PDP? Sanksi apa yang dapat dijatuhkan?"

Koneksi ke Pertemuan 12 (Regulasi AI & Fintech)

Hak ke-9 subjek data (keberatan terhadap keputusan otomatis) yang dipelajari di P6 akan menjadi sangat relevan saat kita membahas AI Act di P12. EU AI Act mengklasifikasikan sistem AI yang membuat keputusan berdampak tinggi (credit scoring, rekrutmen, dll.) sebagai "high-risk AI" yang wajib memiliki human oversight — selaras dengan semangat Hak ke-9 UU PDP.

Koneksi ke Pertemuan 15 (Etika Profesi TI)

Dark patterns yang dibahas di P5 dan privacy by design yang akan dibahas di P7 keduanya terhubung ke Etika Profesi TI:

Membangun dark pattern adalah dilema etika yang akan menjadi skenario role play di P15.
ACM Code of Ethics (P15) menyatakan pengembang wajib menghindari bahaya bagi pengguna — dark patterns yang merugikan konsumen dan ketidakpatuhan UU PDP keduanya termasuk "harm".

RANGKUMAN EVALUASI PERTEMUAN 5 & 6

Pertemuan	Instrumen Evaluasi	Jenis	Bobot
5	Lembar kerja simulasi kasus e-commerce (3 pertanyaan)	Kelompok, dikumpulkan akhir pertemuan	Tugas & Kuis
6	Kuis pilihan ganda & isian singkat (6 soal)	Individu, via Ngaji UIN Gusdur / akhir pertemuan	Tugas & Kuis
4–7	Tugas 3: Analisis Kasus UU ITE (deadline P7)	Individu	Tugas
6–10	Tugas 4: Audit PDP (deadline P10)	Individu	Tugas
1–7	UTS (mencakup materi P1–P7)	Individu, P8	30%

Catatan tentang Tugas 4 (Audit PDP): Tugas 4 akan diumumkan resmi di Pertemuan 7, namun Anda dapat mulai memilih aplikasi yang akan diaudit sejak sekarang. Gunakan materi P6 (9 hak subjek data dan 7 prinsip pemrosesan) sebagai framework utama audit Anda.

PERSPEKTIF ISLAMI: PERLINDUNGAN DATA PRIBADI DAN KONSEP AURAT DIGITAL

Dalam pandangan Islam, konsep aurat tidak terbatas pada aspek fisik semata. Di era digital, informasi pribadi seseorang — seperti data kesehatan, keyakinan agama, riwayat keuangan, dan lokasi — dapat dipahami sebagai "aurat digital" yang wajib dijaga dan dilindungi. Sebagaimana tubuh memiliki bagian yang tidak boleh diperlihatkan tanpa hak, data pribadi pun memiliki dimensi yang tidak boleh diakses, disebarkan, atau dieksploitasi tanpa persetujuan pemiliknya. Islam secara tegas melarang tajassus (memata-matai), sebagaimana firman Allah SWT dalam QS. Al-Hujurat [49]: 12 — "…dan janganlah kamu mencari-cari kesalahan orang lain…". Larangan ini sangat relevan dengan praktik pengumpulan data tanpa izin, surveillance massal, dan data scraping ilegal yang menjadi perhatian utama dalam UU PDP. Konsep sitr (menutupi aib/privasi orang lain) juga memperkuat prinsip ini: Islam mendorong umatnya untuk menjaga kerahasiaan informasi pribadi orang lain, sejalan dengan prinsip purpose limitation dan data minimization dalam hukum perlindungan data modern.

Lebih jauh, data pribadi yang dipercayakan kepada pengendali data (data controller) dan prosesor data (data processor) pada hakikatnya merupakan amanah (titipan kepercayaan). Dalam Islam, menyia-nyiakan atau menyalahgunakan amanah termasuk perbuatan khiyanah (pengkhianatan) yang dilarang keras. Rasulullah SAW bersabda: "Tanda orang munafik ada tiga: apabila berbicara berdusta, apabila berjanji mengingkari, dan apabila dipercaya berkhianat" (HR. Bukhari & Muslim). Dengan demikian, kebocoran data akibat kelalaian, penjualan data tanpa izin, atau penyalahgunaan data oleh pihak yang diberi kepercayaan bukan hanya pelanggaran hukum positif (UU PDP), tetapi juga pelanggaran moral dan spiritual dalam perspektif Islam. Konvergensi antara nilai-nilai Islam dan regulasi modern ini menunjukkan bahwa perlindungan data pribadi bukanlah semata urusan hukum, melainkan juga bagian dari menjaga kehormatan (karamah) manusia yang diperintahkan agama.

KONEKSI KE PERTEMUAN-PERTEMUAN BERIKUTNYA

Ke Pertemuan 7 — Privasi Digital

Pertemuan 7 akan membawa konsep hukum UU PDP ke ranah praktis: bagaimana data breaches terjadi di dunia nyata, dampaknya terhadap subjek data, dan pendekatan Privacy by Design sebagai strategi pencegahan. Pemahaman mendalam tentang 9 hak subjek data dan 7 prinsip pemrosesan dari pertemuan ini menjadi fondasi wajib untuk memahami implementasi teknis privasi digital.

Ke Pertemuan 10 — Forensik Digital

Ketika terjadi kebocoran data, proses investigasi melalui forensik digital harus dilakukan untuk mengungkap pelaku dan modus operandi. Namun, proses pengumpulan bukti digital itu sendiri juga harus mematuhi ketentuan UU PDP — misalnya, data pribadi korban yang ditemukan saat investigasi tidak boleh disebarluaskan tanpa dasar hukum yang sah. Pertemuan 10 akan mengeksplorasi keseimbangan antara kebutuhan penegakan hukum dan perlindungan data pribadi.

Ke Pertemuan 12 — Regulasi AI

Salah satu hak subjek data dalam UU PDP adalah hak untuk keberatan terhadap keputusan yang dibuat secara otomatis (automated decision-making). Hak ini menjadi semakin krusial di era kecerdasan buatan, di mana algoritma AI membuat keputusan terkait kredit, rekrutmen, hingga penegakan hukum. Pertemuan 12 akan membahas bagaimana regulasi AI bersinggungan langsung dengan prinsip-prinsip perlindungan data yang dipelajari hari ini.

Ke UTS (P8)

UU PDP merupakan salah satu materi yang paling banyak diujikan dalam UTS. Pastikan Anda menguasai 9 hak subjek data, 7 prinsip pemrosesan data, perbedaan data pribadi umum vs spesifik, serta perbandingan kunci antara UU PDP dan GDPR. Gunakan tabel rangkuman di bawah sebagai checklist persiapan Anda.

RANGKUMAN MATERI PERTEMUAN 6

Topik	Poin Kunci
Konteks Global	GDPR berlaku sejak 2016 (adopted) / 2018 (enforced), memicu gelombang undang-undang perlindungan data di seluruh dunia termasuk Indonesia.
Struktur UU PDP	Terdiri atas 16 Bab dan 76 Pasal; disahkan 17 Oktober 2022 dan berlaku penuh Oktober 2024 setelah masa transisi 2 tahun.
Kategorisasi Data Pribadi	Data umum (nama, kewarganegaraan, jenis kelamin, dll.) dan data spesifik (kesehatan, biometrik, genetika, catatan kejahatan, data anak, keuangan, dll.) dengan perlindungan lebih ketat untuk data spesifik.
9 Hak Subjek Data	Hak informasi, hak akses, hak koreksi, hak penghapusan (right to erasure), hak penarikan persetujuan, hak keberatan atas pemrosesan otomatis, hak penundaan/pembatasan, hak menggugat & ganti rugi, hak menunjuk pihak lain (pasca-meninggal).
7 Prinsip Pemrosesan Data	Pengumpulan terbatas & spesifik, pemrosesan sesuai tujuan, menjamin hak subjek, akurat & mutakhir, perlindungan keamanan, pemberitahuan tujuan & dasar hukum, pemusnahan setelah retensi habis.
Kewajiban Pengendali & Prosesor Data	Dasar pemrosesan yang sah, perjanjian pemrosesan, penunjukan DPO, DPIA, notifikasi breach (3×24 jam), record of processing activities.
Sanksi	Administratif: peringatan, penghentian, penghapusan data, denda hingga 2% pendapatan tahunan. Pidana: penjara maks. 4–6 tahun dan/atau denda maks. Rp4–6 miliar.
Perbandingan GDPR vs UU PDP	Perbedaan kunci: GDPR memiliki right to portability eksplisit, DPA independen, denda hingga €20 juta/4% global turnover; UU PDP memiliki sanksi pidana, masa transisi 2 tahun, lembaga pengawas di bawah Presiden.
Perspektif Islami	Data pribadi sebagai aurat digital, larangan tajassus (QS. Al-Hujurat: 12), prinsip sitr (menutupi privasi), data sebagai amanah yang wajib dijaga — khiyanah terhadapnya merupakan pelanggaran moral dan hukum.

DAFTAR REFERENSI

Format APA edisi ke-7

Peraturan Perundang-Undangan

Undang-Undang Nomor 8 Tahun 1999 tentang Perlindungan Konsumen. Lembaran Negara Republik Indonesia Tahun 1999 Nomor 22.

Undang-Undang Nomor 7 Tahun 2014 tentang Perdagangan. Lembaran Negara Republik Indonesia Tahun 2014 Nomor 45.

Undang-Undang Nomor 1 Tahun 2024 tentang Perubahan Kedua atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik. Lembaran Negara Republik Indonesia Tahun 2024 Nomor 1.

Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi. Lembaran Negara Republik Indonesia Tahun 2022 Nomor 196.

Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Lembaran Negara Republik Indonesia Tahun 2019 Nomor 185.

Peraturan Menteri Perdagangan Nomor 31 Tahun 2023 tentang Perizinan Usaha, Periklanan, Pembinaan, dan Pengawasan Pelaku Usaha Perdagangan Melalui Sistem Elektronik.

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (General Data Protection Regulation — GDPR). Official Journal of the European Union, L 119, 1–88. https://eur-lex.europa.eu (opens in a new tab)

Buku Teks

Makarim, E. (2005). Pengantar hukum telematika: Suatu kompilasi kajian. PT RajaGrafindo Persada.

Solove, D. J. (2013). Nothing to hide: The false tradeoff between privacy and security. Yale University Press.

Zuboff, S. (2019). The age of surveillance capitalism: The fight for a human future at the new frontier of power. Public Affairs.

Artikel Jurnal

Bygrave, L. A. (2020). Minding the machine: Article 22 of the GDPR and its mind the gap. European Data Protection Law Review, 6(2), 158–169.

Koops, B.-J. (2021). The concept of function creep. Law, Innovation and Technology, 13(1), 29–56.

Pratama, I. P. A. E. (2020). Perlindungan hukum terhadap konsumen dalam transaksi e-commerce di era digital. Jurnal Magister Hukum Udayana, 9(1), 186–203.

Ramli, T. S. (2018). Penerapan prinsip perlindungan data pribadi konsumen dalam e-commerce di Indonesia. Padjadjaran Jurnal Ilmu Hukum, 5(2), 250–268.

Schwartz, P. M. (2013). The EU-U.S. privacy collision: A turn to institutions and procedures. Harvard Law Review, 126(7), 1966–2009.

Wahyudi, A. (2020). Perlindungan data pribadi dalam perspektif hukum Indonesia. Jurnal Hukum IUS QUIA IUSTUM, 27(1), 92–115.

Laporan & Dokumen Resmi

ELSAM (Lembaga Studi dan Advokasi Masyarakat). (2022). Laporan penilaian dampak terhadap perlindungan data pribadi: Ekosistem digital Indonesia. ELSAM. https://elsam.or.id (opens in a new tab)

Katadata Insight Center. Laporan dan riset ekonomi digital Indonesia. https://katadata.co.id/insight (opens in a new tab)

Modul ini dikembangkan oleh Mohammad Reza Maulana, M.Kom untuk mata kuliah INF2505 Hukum dan Kebijakan Teknologi Informasi, Program Studi Informatika, Fakultas Ekonomi dan Bisnis Islam, UIN K.H. Abdurrahman Wahid Pekalongan — Tahun Akademik 2025/2026.

Regulasi dapat berubah sewaktu-waktu. Teks lengkap UU PDP No. 27/2022 tersedia di JDIHN (jdih.go.id). Untuk panduan implementasi terbaru, kunjungi Komdigi.go.id.

Pertemuan 5: Transaksi Elektronik & Perlindungan Konsumen Pertemuan 7: Privasi Digital & Studi Kasus Kebocoran Data