Checklist Kepatuhan UU PDP: Langkah + Dokumen Wajib

Juni 30, 2026 / Ditulis oleh: Admin

UU PDP sudah berlaku penuh sejak Oktober 2024, dua tahun setelah disahkan pada 17 Oktober 2022. Masa transisinya sudah habis. Jadi kalau kamu masih bilang “kami sedang menyiapkan diri”, alasan itu sudah tidak berlaku lagi di mata regulator.

Sanksi pelanggaran UU PDP bertingkat dan nyata. Kalau kamu melanggar ketentuan administratif, misalnya tidak punya dasar hukum pemrosesan atau telat melapor saat data bocor, dendanya bisa sampai 2% dari pendapatan tahunan perusahaan, sesuai Pasal 57.

Kalau pelanggarannya masuk kategori pidana, contohnya memalsukan data pribadi demi keuntungan pribadi, ancamannya penjara sampai 6 tahun dan denda sampai Rp6 miliar, sesuai Pasal 68.

Dua jenis sanksi ini sering tertukar di artikel lain. Jangan samakan keduanya saat kamu menghitung risiko perusahaan sendiri.

Artikel ini adalah checklist kerja, bukan ringkasan undang-undang. Tiap langkah merujuk pasal UU PDP yang spesifik, disertai tenggat waktu dalam hitungan jam atau hari, bukan “secepatnya”.

Checklist ini juga dibagi berdasarkan skala bisnis, karena kewajiban startup berisi 10 orang dan perusahaan dengan ribuan pelanggan jelas tidak sama beratnya, meski dasar hukumnya sama persis.

Kenapa Checklist Ini Penting Sekarang

Karena masa transisi dua tahun yang diberikan UU PDP sudah berakhir. Regulator sekarang punya dasar hukum penuh untuk menjatuhkan sanksi, dan itu sudah berlaku sejak Oktober 2024.

Kalau perusahaanmu tidak patuh, konsekuensinya ada di tiga lapis:

  1. Sanksi administratif dari lembaga pengawas: teguran tertulis, penghentian sementara pemrosesan data, penghapusan paksa data, atau denda sampai 2% pendapatan tahunan, sesuai Pasal 57 ayat 2-3.
  2. Sanksi pidana untuk pelanggaran berat seperti memperoleh, mengungkap, atau menggunakan data pribadi orang lain secara melawan hukum. Ancamannya 4 sampai 6 tahun penjara, tergantung jenis pelanggarannya, sesuai Pasal 67-68.
  3. Gugatan ganti rugi perdata dari subjek data yang dirugikan, sesuai Pasal 12. Jalur ketiga ini yang paling sering diabaikan, karena tim legal biasanya fokus ke regulator, bukan ke individu yang datanya bocor.

Di luar risiko hukum, ada argumen yang lebih mudah kamu jual ke direksi: kepatuhan UU PDP itu syarat masuk kalau kamu mau bermitra dengan perusahaan multinasional atau masuk rantai pasok yang sudah tunduk pada GDPR.

Mitra yang melakukan due diligence vendor akan menanyakan RoPA dan DPA kamu sebelum tanda tangan kontrak, bukan sesudahnya.

Checklist 7 Langkah: Mulai dari Mana

NomorLangkahPasal AcuanPrioritas
1Petakan data pribadi yang kamu milikiPasal 31 (kewajiban perekaman)Wajib
2Tentukan dasar hukum tiap pemrosesanPasal 20Wajib
3Siapkan dokumen wajibPasal 21, 30, 46Wajib
4Bangun mekanisme hak subjek dataPasal 5 sampai 14, 30, 32Wajib
5Terapkan keamanan teknis dan organisasionalPasal 35 sampai 39Wajib
6Kelola DPA dengan vendor dan transfer dataPasal 51 sampai 56Penting
7Audit dan perbarui secara berkalaTidak ada pasal khususPenting

1. Petakan Data Pribadi yang Kamu Miliki

Mulai dengan tiga pertanyaan: data apa yang kamu simpan, ada di sistem mana, dan siapa yang punya akses ke situ.

Tanpa peta ini, kamu tidak bisa mengerjakan langkah 2 sampai 5. Kamu tidak mungkin menentukan dasar hukum untuk data yang bahkan belum teridentifikasi.

Pasal 31 UU PDP mewajibkan pengendali data melakukan perekaman terhadap seluruh kegiatan pemrosesan data pribadi. Pemetaan adalah langkah konkret untuk memenuhi kewajiban itu.

Cara paling mudah memulainya adalah pakai spreadsheet dengan enam kolom:

  1. jenis data,
  2. lokasi penyimpanan,
  3. tujuan pemrosesan,
  4. siapa yang mengakses,
  5. dasar hukum, dan
  6. masa retensi.

Kalau perusahaanmu punya lebih dari satu sistem (CRM, data warehouse, spreadsheet tim marketing, sistem HR), proses ini biasanya memakan waktu lebih lama dari perkiraan awal. Bukan karena datanya rumit, tapi karena tim yang berbeda sering menyimpan salinan data yang sama tanpa saling tahu.

Saat melakukan inventarisasi awal, kamu mungkin akan menemukan data pelanggan tersebar di tiga sampai lima sistem yang tidak saling terhubung, termasuk salinan informal di spreadsheet tim yang lupa dihapus setelah proyek selesai.

2. Tentukan Dasar Hukum Tiap Pemrosesan

Pasal 20 ayat (2) UU PDP menetapkan enam dasar hukum yang sah untuk memproses data pribadi:

  1. persetujuan eksplisit,
  2. pemenuhan kewajiban perjanjian,
  3. pemenuhan kewajiban hukum,
  4. perlindungan kepentingan vital subjek data,
  5. pelaksanaan tugas kepentingan umum, dan
  6. kepentingan sah lainnya (legitimate interest) dengan syarat ada keseimbangan kepentingan.

Kesalahan yang paling sering terjadi adalah memakai “kepentingan yang sah” sebagai dasar default tanpa analisis tertulis. Dasar ini memang paling fleksibel, tapi juga paling rentan digugat, karena syaratnya eksplisit.

Kamu harus ada penilaian keseimbangan antara kepentingan perusahaan dan hak subjek data secara tertulis, bukan sekadar diasumsikan.

Ada satu hal yang sering terlewat: dasar hukum UU PDP bisa berbenturan dengan kewajiban di regulasi sektoral. Perusahaan jasa keuangan, misalnya, sering punya kewajiban retensi data dari OJK yang lebih panjang dari masa retensi “wajar” menurut UU PDP.

Dalam kasus seperti ini, dasar hukum yang kamu pakai bukan persetujuan subjek data, tapi “pemenuhan kewajiban hukum”. Ini harus didokumentasikan secara eksplisit, karena kedua dasar hukum itu punya implikasi berbeda saat subjek data meminta penghapusan data.

3. Siapkan Dokumen Wajib

Tiga dokumen yang paling mendesak adalah kebijakan privasi, formulir persetujuan, dan prosedur penanganan pelanggaran data. Detail lengkapnya ada di bagian berikutnya.

Dokumen bukan hanya untuk formalitas administratif. Saat lembaga pengawas melakukan pemeriksaan, mereka punya wewenang untuk meminta keterangan, data, dan dokumen terkait dugaan pelanggaran, sesuai Pasal 60.

Dokumen wajib ini yang jadi bukti kepatuhan kamu. Tanpa dokumen tertulis, klaim “kami sudah patuh” tidak punya dasar untuk dibuktikan.

4. Bangun Mekanisme Hak Subjek Data

UU PDP memberikan delapan hak ke subjek data, dan beberapa di antaranya punya tenggat waktu eksplisit dalam hitungan jam, bukan “waktu yang wajar”.

Berikut beberapa hak subjek data:

  • Permintaan akses data harus kamu penuhi paling lambat 3×24 jam sejak diterima, sesuai Pasal 32 ayat 2.
  • Permintaan koreksi data juga punya tenggat 3×24 jam, sesuai Pasal 30 ayat 1.
  • Penghentian pemrosesan setelah penarikan persetujuan, 3×24 jam juga, sesuai Pasal 40 ayat 2.
  • Penundaan dan pembatasan pemrosesan, 3×24 jam lagi, sesuai Pasal 41 ayat 1.

Pola tenggat 3×24 jam ini konsisten di seluruh undang-undang, termasuk untuk notifikasi kebocoran data yang akan kita bahas di bagian dokumen wajib.

Artinya untuk operasional, tim yang menangani permintaan subjek data butuh SOP yang jelas. Mereka perlu tahu:

  • siapa yang menerima permintaan,
  • bagaimana cara verifikasi identitas pemohon, dan
  • ke mana eskalasi kalau tenggat 3 hari itu mepet karena permintaan masuk di akhir pekan atau hari libur.

Undang-undang ini tidak memberi pengecualian untuk hari kerja.

5. Terapkan Keamanan Teknis dan Organisasional

Pasal 35 UU PDP mewajibkan pengendali data menyusun langkah teknis operasional dan menentukan tingkat keamanan sesuai sifat dan risiko data yang diproses.

Bahasa undang-undang ini memang sengaja tidak menyebut teknologi spesifik, jadi banyak perusahaan memakai standar seperti ISO 27001 sebagai acuan implementasi praktis.

Langkah teknis minimum yang bisa kamu mulai:

  • enkripsi data saat transit (TLS) dan saat disimpan (AES-256),
  • autentikasi dua faktor untuk akses sistem data,
  • pembatasan akses berdasarkan prinsip least privilege, dan
  • log aktivitas akses data yang bisa diaudit.

Langkah organisasionalnya mencakup pelatihan keamanan data untuk seluruh karyawan minimal setahun sekali, kebijakan penggunaan perangkat dan akses jarak jauh, serta perjanjian kerahasiaan untuk karyawan yang menangani data sensitif.

Ada satu friksi yang jarang disebut di banyak tempat: kontrol teknis dan kontrol organisasional sering berjalan di kecepatan berbeda.

Tim IT bisa memasang enkripsi dan 2FA dalam hitungan minggu. Tapi mengubah kebiasaan karyawan, misalnya menghentikan kebiasaan mengekspor data pelanggan ke spreadsheet pribadi untuk laporan cepat, butuh waktu jauh lebih lama dan butuh penegakan berulang.

6. Kelola DPA dengan Vendor dan Transfer Data

Kalau ada vendor yang ikut memproses data pelangganmu, seperti cloud provider, platform email marketing, atau sistem HR pihak ketiga, mereka berstatus Prosesor Data Pribadi menurut Pasal 51 UU PDP.

Kewajiban mereka adalah mengikuti perintah dan tujuan yang ditetapkan pengendali data, yaitu kamu.

Tindakan minimum yang bisa dilakukan: tandatangani Perjanjian Pemrosesan Data (DPA) dengan setiap vendor yang menyentuh data pribadi.

Pasal 51 ayat (6) menegaskan, kalau prosesor memproses data di luar perintah atau tujuan yang ditetapkan, tanggung jawab beralih ke prosesor itu. Tapi tanpa DPA tertulis, kamu akan kesulitan membuktikan apa sebenarnya “perintah dan tujuan” yang disepakati di awal.

Untuk transfer data ke luar negeri, Pasal 56 mensyaratkan negara tujuan punya tingkat perlindungan data yang setara atau lebih tinggi dari UU PDP.

Kalau syarat itu tidak terpenuhi, kamu wajib memastikan ada perlindungan yang memadai dan mengikat secara kontraktual. Kalau itu pun tidak terpenuhi, kamu wajib mendapat persetujuan eksplisit dari subjek data untuk transfer tersebut, sesuai Pasal 56 ayat 2-4.

7. Audit dan Perbarui Secara Berkala

Kepatuhan bukan proyek yang sekali jalan lalu selesai.

Lakukan review internal minimal setahun sekali, atau lebih cepat kalau ada perubahan signifikan: produk baru yang mengumpulkan jenis data baru, migrasi sistem, akuisisi perusahaan, atau terbitnya peraturan turunan UU PDP.

Dokumentasikan setiap temuan audit dan tindak lanjutnya. Dokumentasi inilah yang membedakan perusahaan yang benar-benar mengaudit dirinya sendiri dari yang sekadar mengklaim sudah patuh.

Dokumen Wajib yang Harus Kamu Siapkan

Ada 4 dokumen wajib yang harus dimiliki perusahaan untuk patuh UU PDP: kebijakan privasi, formulir persetujuan, prosedur penanganan data, dan catatan RoPA.

Kebijakan Privasi

Kebijakan privasi adalah dokumen publik yang menjelaskan ke subjek data: data apa yang dikumpulkan, untuk apa, berapa lama disimpan, dan apa hak mereka.

Dokumen ini wajib ada di website atau aplikasimu, dan harus ditulis dengan bahasa yang sederhana dan jelas. Pasal 22 ayat (4) UU PDP secara eksplisit mensyaratkan format yang mudah dipahami dan diakses untuk permintaan persetujuan, dan prinsip yang sama berlaku untuk kebijakan privasi secara keseluruhan.

Elemen wajibnya:

  • identitas pengendali data,
  • jenis data yang dikumpulkan,
  • dasar hukum pemrosesan,
  • tujuan pemrosesan,
  • kebijakan retensi,
  • hak subjek data, dan
  • kontak pengendali data.

Formulir Persetujuan

Kalau dasar hukum pemrosesanmu adalah persetujuan, formulir ini wajib ada, dan harus memenuhi syarat spesifik di Pasal 22.

Pasal 22 menjelaskan bahwa persetujuan (consent) dilakukan secara tertulis atau terekam, dan kalau memuat tujuan lain, harus bisa dibedakan secara jelas, dibuat dalam format yang mudah dipahami, serta pakai bahasa yang sederhana.

Pasal 22 ayat (5) menegaskan: persetujuan yang tidak memenuhi syarat ini dinyatakan batal demi hukum. Ini bukan sanksi administratif yang bisa kamu negosiasikan. Secara hukum, persetujuan itu dianggap tidak pernah ada.

Artinya, bundled consent, yaitu mensyaratkan persetujuan pemrosesan data sebagai syarat memakai layanan tanpa kasih opsi memilih, bukan cuma praktik buruk. Praktik ini bisa membatalkan dasar hukum pemrosesanmu secara keseluruhan.

Prosedur Penanganan Pelanggaran Data

Notifikasi pelanggaran data wajib disampaikan secara tertulis paling lambat 3×24 jam sejak kegagalan perlindungan data diketahui, bukan 14 hari, sesuai Pasal 46 ayat 1.

Notifikasi ini wajib disampaikan ke subjek data yang terdampak dan ke lembaga pengawas secara bersamaan, bukan berurutan.

Tenggat 3 hari ini jauh lebih ketat dari yang biasanya diasumsikan orang. Tim legal dan tim forensik IT harus bekerja paralel sejak insiden terdeteksi, bukan menunggu investigasi forensik selesai dulu baru menyusun notifikasi.

Draf notifikasi awal, meski isinya masih bisa berubah seiring investigasi berjalan, harus sudah siap dalam 24 jam pertama.

Isi minimal notifikasinya, sesuai Pasal 46 ayat (2) adalah:

  • jenis data pribadi yang terungkap,
  • kapan dan bagaimana data tersebut terungkap, serta
  • upaya penanganan dan pemulihan yang sudah atau akan kamu lakukan.

Dalam kondisi tertentu, dan Pasal 46 ayat (3) belum merinci kondisi spesifiknya, jadi ini area yang masih menunggu peraturan turunan, kamu juga wajib memberitahukan kegagalan tersebut ke masyarakat luas, bukan hanya ke subjek data yang terdampak langsung.

Prosedur internal yang perlu kamu siapkan:

  • identifikasi dan isolasi insiden,
  • asesmen dampak (berapa subjek data terdampak, jenis data apa yang bocor),
  • notifikasi internal ke manajemen,
  • penyusunan dan pengiriman notifikasi formal dalam tenggat 3×24 jam, serta
  • dokumentasi insiden dan langkah pemulihan untuk keperluan audit di kemudian hari.

Catatan Pemrosesan Data (RoPA)

RoPA adalah dokumen internal yang mencatat seluruh aktivitas pemrosesan data, semacam inventaris resmi yang bisa kamu tunjukkan saat lembaga pengawas melakukan pemeriksaan berdasarkan wewenangnya di Pasal 60.

Dokumen ini tidak perlu dipublikasikan, tapi harus terus diperbarui setiap kali ada sistem baru, vendor baru, atau jenis data baru yang diproses.

Format minimalnya menampilkan:

  • nama proses,
  • kategori data,
  • tujuan,
  • dasar hukum,
  • pihak yang mengakses, dan
  • periode retensi.

Kolomnya sama dengan peta data di langkah 1, hanya lebih terstruktur dan jadi dokumen resmi yang siap diaudit.

Self-Assessment: Pertanyaan yang Harus Bisa Kamu Jawab

Pakai ini sebagai evaluasi mandiri sebelum audit formal. Bukan checklist ya atau tidak yang dangkal, tapi pertanyaan yang harus bisa kamu jawab dengan detail spesifik, bukan sekadar “sudah” atau “belum”.

Soal data governance:

  • Apakah kamu punya peta data yang mencakup semua sistem, bukan cuma sistem utama?
  • Apakah setiap kategori data yang diproses sudah tercatat dasar hukumnya secara tertulis, bukan diasumsikan begitu saja?
  • Apakah ada SOP tertulis untuk merespons permintaan hak subjek data dalam tenggat 3×24 jam yang disyaratkan undang-undang?

Soal penunjukan DPO: UU PDP tidak secara eksplisit mewajibkan semua perusahaan menunjuk DPO. Pasal 53 ayat (1) mewajibkannya untuk tiga kondisi spesifik:

  • Pemrosesan data untuk kepentingan pelayanan publik,
  • Kegiatan inti yang memerlukan pemantauan sistematis atas data skala besar,
  • Kegiatan inti yang melibatkan pemrosesan data spesifik atau data terkait tindak pidana dalam skala besar.

Kalau perusahaanmu tidak masuk tiga kategori ini, DPO (PPDP di Indonesia) tetap sangat dianjurkan tapi bukan kewajiban hukum langsung. Perusahaan di sektor jasa keuangan punya lapisan kewajiban tambahan dari regulasi OJK yang perlu kamu cek terpisah.

Soal keamanan dan respons insiden:

  • Apakah sistemmu mengenkripsi data sensitif, baik saat transit maupun saat disimpan?
  • Apakah ada prosedur tertulis untuk 24 jam pertama setelah kebocoran terdeteksi, mengingat tenggat notifikasinya cuma 3×24 jam total?
  • Apakah semua vendor yang mengakses datamu sudah menandatangani DPA, atau baru sebagian?
  • Apakah karyawan yang menangani data pribadi sudah dapat pelatihan dalam 12 bulan terakhir?
  • Apakah log akses data tersimpan dan bisa diaudit kapan saja?

Kalau lebih dari tiga pertanyaan di atas tidak bisa kamu jawab dengan spesifik, bukan sekadar “kira-kira sudah”, perusahaanmu kemungkinan besar belum siap menghadapi pemeriksaan regulator.

Checklist UU PDP Berdasarkan Skala Bisnis

Prioritas kewajiban UU PDP cukup berbeda untuk startup atau UKM dan perusahaan besar, meski dasar hukumnya sama untuk semua.

KewajibanStartup / UKMPerusahaan Besar
Kebijakan privasiWajibWajib
Formulir persetujuanWajibWajib
Prosedur pelanggaran data (3×24 jam)WajibWajib
Pemetaan data (RoPA)Sederhana, spreadsheet cukupLengkap dan terstruktur
DPA dengan vendorMinimal vendor inti (cloud, payment)Semua vendor yang akses data
Penunjukan DPOTergantung kategori Pasal 53Wajib kalau masuk kategori Pasal 53, sangat dianjurkan meski tidak wajib
DPIA (Pasal 34)Kalau ada pemrosesan risiko tinggiWajib untuk proyek baru berskala besar
Audit vendor berkalaTahunan, informalTahunan, formal dengan laporan
Pelatihan karyawanMinimal setahun sekaliProgram terstruktur dan terdokumentasi

Kalau kamu startup atau UKM: fokus dulu pada tiga dokumen inti, yaitu kebijakan privasi, formulir persetujuan, dan prosedur pelanggaran data. Pastikan dasar hukum pemrosesanmu tercatat tertulis, bukan diingat secara informal.

Mulailah sederhana, dokumentasikan semuanya, lalu tingkatkan bertahap begitu volume datamu bertambah.

Kalau kamu perusahaan besar: kepatuhan harus sistematis dan terprogram, bukan reaktif. Penilaian dampak perlindungan data (DPIA) wajib kamu lakukan sebelum meluncurkan produk atau fitur baru yang melibatkan pemrosesan data berisiko tinggi, sesuai kriteria Pasal 34 ayat (2).

Termasuk di dalamnya pengambilan keputusan otomatis, pemrosesan data spesifik, atau penggunaan teknologi baru dalam pemrosesan data.

Rujukan Hukum dan Template Pendukung

Dokumen resmi UU PDP, termasuk naskah lengkap dan penjelasan pasal demi pasal, ada di situs JDIH Kementerian Komunikasi dan Digital (jdih.komdigi.go.id). Ini sumber primer yang sebaiknya jadi rujukanmu, bukan artikel sekunder seperti artikel ini.

Untuk template dokumen, International Association of Privacy Professionals atau IAPP menyediakan template kerangka RoPA dan DPA yang bisa kamu adaptasi untuk konteks Indonesia, meski perlu disesuaikan dengan tenggat waktu spesifik UU PDP yang beda dari GDPR.

Kalau perusahaanmu mau mengelola kepatuhan secara sistematis dengan tools khusus, platform GRC seperti OneTrust, TrustArc, atau Adaptist Privee yang banyak dipakai di level enterprise untuk pemetaan data dan manajemen consent.

Untuk skala UKM, kombinasi spreadsheet terstruktur dengan kolom yang konsisten, seperti yang dijelaskan di langkah 1, biasanya sudah cukup di tahap awal sebelum kamu investasi ke tools berbayar.

Siap Mengelola Kepatuhan Privasi sebagai Risiko Bisnis?

Lihat bagaimana GRC membantu memetakan risiko data pribadi, memantau kepatuhan UU PDP, dan menyiapkan perusahaan menghadapi audit tanpa proses manual yang rumit.

Kesimpulan: Apa Langkah Selanjutnya?

Mulai dari langkah yang paling mendasar: petakan datamu pakai template enam kolom di langkah 1, lalu cocokkan setiap kategori data dengan dasar hukum di Pasal 20. Dua langkah ini fondasinya. Tanpa keduanya, dokumen wajib yang dibahas di atas tidak akan punya isi yang akurat untuk kamu tulis.

Kepatuhan UU PDP bukan proyek IT semata. Ini komitmen organisasi untuk menghormati hak privasi setiap orang yang mempercayakan datanya kepadamu.

Semakin cepat kamu bangun fondasinya, semakin kecil risiko yang harus kamu tanggung saat regulator atau pelanggan mulai bertanya.


Artikel ini ditulis berdasarkan teks resmi UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi. Bukan pengganti nasihat hukum. Untuk kasus spesifik perusahaanmu, terutama yang menyangkut sektor teregulasi seperti jasa keuangan atau kesehatan, konsultasikan dengan penasihat hukum yang relevan.

Profil Adaptist Consulting

Adaptist Consulting adalah perusahaan teknologi dan kepatuhan yang berdedikasi untuk membantu organisasi membangun ekosistem bisnis yang aman, berbasis data, dan patuh.

Baca Artikel Terkait