UU No 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) – HR Wajib Paham Dalam Mengelola Data Karyawan?

UU No 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) yang telah diterbitkan pada tanggal 17 Oktober 2022 akan segera diberlakukan pada Oktober 2024 (2 tahun setelah diundangkan).

Banyak dari rekan-rekan DuniaHR.com yang masih bingung terkait pemberlakuan UU No 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) apakah akan berdampak pada pekerjaan Human Resources (HR) di Perusahaan? oleh karena itu kami sudah merangkum ketentuan UU PDP sebagai berikut:

Mari Kita Bahas……!!!

Apa latar belakang lahirnya UU No 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP)?

Bahwa pelindungan data pribadi merupakan salah satu hak asasi manusia yang merupakan bagian dari pelindungan diri pribadi maka perlu diberikan landasan hukum untuk memberikan keamanan atas data pribadi, berdasarkan Undang-Undang Dasar Negara Republik Indonesia Tahun 1945.

Bahwa pelindungan data pribadi ditujukan untuk menjamin hak warga negara atas pelindungan diri pribadi dan menumbuhkan kesadaran masyarakat serta menjamin pengakuan dan penghormatan atas pentingnya pelindungan data pribadi.

Bahwa pengaturan data pribadi saat ini terdapat di dalam beberapa peraturan perundang-undangan maka untuk meningkatkan efektivitas dalam peLaksanaan pelindungan data pribadi diperlukan pengaturan mengenai pelindungan data pribadi dalam suatu undang-undang.

Apa yang dimaksud dengan Data Pribadi?

Data Pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau non elektronik.

Apa yang dimaksud dengan Pelindungan Data Pribadi?

Pelindungan Data Pribadi adalah keseluruhan upaya untuk melindungi Data Pribadi dalam rangkaian pemprosesan Data Pribadi guna menjamin hak konstitusional subjek Data Pribadi.

Apa yang dimaksud dengan Informasi?

Informasi adalah keterangan, pernyataan, gagasan, dan tanda-tanda yang mengandung nilai, makna, dan pesan, baik data, fakta, maupun penjelasannya yang dapat dilihat, didengar, dan dibaca yang disajikan dalam berbagai kemasan dan format sesuai dengan perkembangan teknologi informasi dan komunikasi secara elektronik ataupun non elektronik.

Siapa yang dimaksud dengan Pengendali Data Pribadi Prosesor Data Pribadi?

Pengendali Data Pribadi dan Prosesor Data Pribadi meliputi:

1. Setiap Orang;
2. Badan Publik; dan
3. Organisasi Internasional.

Siapa yang tunduk dengan UU PDP?

1. Subjek Data Pribadi adalah orang perseorangan yang pada dirinya melekat Data Pribadi.
2. Setiap Orang baik orang perseorangan atau korporasi (Perusahaan).

Korporasi adalah kumpulan orang dan/ atau kekayaan yang terorganisasi baik yang berbadan hukum maupun tidak berbadan hukum.

Undang-Undang ini berlaku untuk Setiap Orang, Badan Publik, dan Organisasi Internasional yang melakukan perbuatan hukum sebagaimana diatur dalam Undang-Undang PDP.

Pengecualian Ketentuan:

UU PDP tidak berlaku untuk pemprosesan Data Pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga.

Apa Saja Jenis Data Pribadi yang diatur dalam UU PDP?

Data Pribadi yang Bersifat Spesifik meliputi:

1. Data dan informasi kesehatan;
2. Data biometrik;
3. Data genetika;
4. Catatan kejahatan;
5. Data anak;
6. Data keterangan pribadi; dan/ atau
7. Data lainnya sesuai dengan ketentuan peraturan perundang-undangan.

Data Pribadi yang Bersifat Umum meliputi:

1. Nama lengkap;
2. Jenis kelamin;
3. Kewarganegaraan;
4. Agama;
5. Status perkawinan
6. Data Pribadi yang dikombinasikan mengidentifikasi seseorang.

Bagaimana Persetujuan Pemprosesan Data Pribadi?

1. Persetujuan pemprosesan Data Pribadi dilakukan melalui persetujuan tertulis atau terekam;
2. Persetujuan dapat disampaikan secara elektronik atau nonelektronik mempunyai kekuatan hukum yang sama;
3. Persetujuan harus memuat tujuan lain, permintaan persetujuan harus memenuhi ketentuan:
   1. dapat dibedakan secara jelas dengan hal lainnya;
   2. dibuat dengan forrnat yang dapat dipahami dan mudah diakses; dan
   3. menggunalan bahasa yang sederhana dan jelas.
4. Persetujuan yang tidak memenuhi ketentuan sebagaimana dimaksud dinyatakan batal demi hukum.
5. Klausul perjanjian yang di dalamnya terdapat permintaan pemprosesan Data Pribadi yang tidak memuat persetujuan yang sah secara eksplisit dari Subjek Data      Pribadi dinyatakan batal demi hukum.

 

Apa saja kewajiban-kewajiban Pengendali Data Pribadi?

1. Pengendali Data Pribadi wajib menyampaikan Informasi mengenai:
   1. legalitas dari pemprosesan Data Pribadi;
   2. tujuan pemprosesan Data Pribadi;
   3. jenis dan relevansi Data Pribadi yang akan diproses;
   4. jangka waktu retensi dokumen yang memuat Data Pribadi;
   5. rincian mengenai Informasi yang dikumpulkan
   6. jangka waktu pemprosesan Data Pribadi; dan
   7. hak Subjek Data Pribadi.
2. Pengendali Data Pribadi wajib melakukan pemprosesan Data Pribadi secara terbatas dan spesifik, sah secara hukum, dan transparan.
3. Pengendali Data Pribadi wajib melakukan pemprosesan Data Pribadi sesuai dengan tujuan pemprosesan Data Pribadi.
4. Pengendali Data Pribadi wajib memastikan akurasi, kelengkapan, dan konsistensi Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan.
5. Dalam memastikan akurasi, kelengkapan, dan konsistensi Data Pribadi sebagaimana dimaksud Pengendali Data Pribadi wajib melakukan verifikasi.
6. Pengendali Data Pribadi wajib memperbarui dan/ atau memperbaiki kesalahan dan/atau ketidakakuratan Data Fribadi paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan pembaruan dan/atau perbaikan Data Pribadi.
7. Pengendali Data Pribadi wajib memberitahukan hasil pembaruan dan/atau perbaikan Data Pribadi kepada Subjek Data Pribadi.
8. Pengendali Data Pribadi wajib melakukan perekaman terhadap seluruh kegiatan pemprosesan Data Pribadi.
9. Pengendali Data Pribadi wajib memberikan akses kepada Subjek Data Pribadi terhadap Data Pribadi yang diproses beserta rekam jejak pemprosesan Data Pribadi sesuai dengan jangka waktu penyimpanan Data Pribadi.
10. Pengendali Data Pribadi wajib menolak memberikan akses perubahan terhadap Data Fribadi kepada Subjek Data Pribadi.
11. Pengendali Data Pribadi wajib melakukan penilaian dampak Pelindungan Data Pribadi dalam hal pemprosesan Data Pribadi memiliki potensi risiko tinggi terhadap Subjek Data Pribadi.
12. Pengendali Data Pribadi wajib melindungi dan memastikan keamanan Data Pribadi yang diprosesnya.
13. Dalam melakukan pemprosesan Data Pribadi, Pengendali Data Pribadi wajib menjaga kerahasiaan Data Pribadi.
14. Pengendali Data Pribadi wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemprosesan Data Pribadi di bawah kendali Pengendali Data Pribadi.
15. Pengendali Data Pribadi wajib melindungi Data Pribadi dari pemprosesan yang tidak sah.
16. Pengendali Data Pribadi wajib mencegah Data Pribadi diakses secara tidak sah.
17. Pengendali Data Pribadi wajib menghentikan pemprosesan Data Pribadi dalam hal Subjek Data Pribadi menarik kembali persetujuan pemprosesan Data Pribadi.
18. Pengendali Data Pribadi wajib melakukan penundaan dan pembatasan pemprosesan Data Fribadi baik sebagian maupun seluruhnya paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan penundaan dan pembatasan pemprosesan Data Pribadi.
19. Pengendali Data Pribadi wajib memberitahukan telah dilaksanakan penundaan dan pembatasan pemprosesan Data Pribadi kepada Subjek Data Pribadi.
20. Pengendali Data Pribadi wajib mengakhiri pemprosesan Data Pribadi dalam hal:
    1. telah mencapai masa retensi;
    2. tujuan pemprosesan Data Pribadi telah tercapai; atau
    3. terdapat permintaan dari Subjek Data Pribadi.
21. Pengendali Data Pribadi wajib menghapus Data Pribadi dalam hal:
    1. Data Pribadi tidak lagi diperlukan untuk pencapaian tujuan pemprosesan Data Pribadi;
    2. Subjek Data Pribadi telah melakukan penarikan kembali persetuiuan pemprosesan Data Pribadi;
    3. terdapat permintaan dari Subjek Data Pribadi; atau
    4. Data Pribadi diperoleh dan/ atau diproses dengan cara melawan hukum
22. Pengendali Data Pribadi wajib memusnahkan Data Pribadi dalam hal:
    1. telah habis masa retensinya dan berketerangan dimusnahkan berdasarkarr jadwal retensi arsip;
    2. terdapat permintaan dari Subjek Data Pribadi;
    3. tidak berkaitan dengan penyelesaian proses hukum suatu perkara; dan/ atau
    4. Data Pribadi diperoleh dan/ atau diproses dengan cara melawan hukum.
23. Pengendali Data Pribadi wajib memberitahukan penghapusan dan/atau pemusnahan Data Pribadi kepada Subjek Data Pribadi.
24. Dalam hal terjadi kegagalan Pelindungan Data Pribadi, Pengendali Data Pribadi wajib pemberitahuan secara tertulis paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada:
    1. Subjek Data Pribadi; dan
    2.  lembaga;
    3. Pemberitahuan tertulis sebagaimana dimaksud memuat:
       • Data Pribadi yang terungkap;
       • kapan dan bagaimana Data Pribadi terungkap; dan
       • upaya penanganan dan pemulihan atas terungkapnya Data Pribadi oleh Pengendali Data Pribadi.
25. Pengendali Data Pribadi wajib bertanggung jawab atas pemprosesan Data Pribadi dan menunjukkan pertanggungiawaban dalam pemenuhan kewajiban pelaksanaan prinsip Pelindungan Data Pribadi.
26. Pengendali Data Pribadi berbentuk badan hukum yang melakukan penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran badan hukum wajib menyampaikan pemberitahuan pengalihan Data Pribadi kepada Subjek Data Pribadi.
27. Pengendali Data Pribadi dan/ atau Prosesor Data Pribadi wajib melaksanakan perintah lembaga dalam rangka penyelenggaraan Pelindungan Data Pribadi sesuai dengan Undang-Undang ini.

Apa saja Pengecualiaan Kewajiban Pengendali Data Pribadi?

Kewajiban Pengendali Data Pribadi dikecualikan untuk:

1. kepentingan pertahanan dan keamanan nasional’
2. kepentingan proses penegakan hukum;
3. kepentingan urnum dalam rangka negara; atau
4. kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara.

Apa saja Larangan Penggunaan Data Pribadi?

1. Setiap Orang dilarang secara melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi.
2. Setiap Orang dilarang secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya.
3. Setiap orang dilarang secara melawan hukum menggunakan Data Pribadi yang bukan miliknya.
4. Setiap Orang dilarang membuat Data Pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain.

Apa saja ketentuan Sanksi dalam UU PDP?

1. Sanksi administratif berupa:
   1. peringatan tertulis;
   2. penghentian sementara kegiatan pemprosesan Data Pribadi;
   3. penghapusan atau pemusnahan Data Pribadi; dan/atau
   4. denda administratif.
2. Sanksi Pidana:
   1. Setiap Orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 65 ayat (1) UU PDP dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).
   2. Setiap Orang yang dengan sengaja dan melawan hukum mengunglapkan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (2) UU PDP dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp4.000.000.000,00 (empat miliar rupiah).
   3. Setiap Orang yang dengan senqaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (3) UU PDP dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.00O.OOO.000,00 (lima miliar rupiah).
   4. Setiap Orang yang dengan sengaja membuat Data Pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntrrngkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 66 UU PDP tindak pidana dengan pidana penjara paling tama 6 (enam) tahun dan/atau pidana denda paling banyak Rp 6.0OO. 000.000,00 (enam miliar rupiah).
   5. Selain dijatuhi pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 UU PDP juga dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/ atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti Kerugian.
3. Sanksi Pidana dilakukan oleh Korporasi (Perusahaan): Dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 UU PDP dilakukan oleh Korporasi, pidana dapat dljatuhkan kepada:

1. 1. pengurus,
   2. pemegang kendali,
   3. pemberi perintah,
   4. pemilik manfaat, dan/ atau

Pidana yang dapat dijatuhkan terhadap Korporasi hanya Pidana Denda.

Pidana denda yang dijatuhkan kepada Korporasi paling banyak 10 (sepuluh) kali dari maksimal pidana denda yang diancamkan.

Selain dijatuhi pidana denda, Korporasi dapat dijatuhi pidana tambahan berupa:

1. 1. perampasan keuntungan dan/ atau harta kekayaan yang diperoleh atau hasil dari tindak pidana;
   2. pembekuan seluruh atau sebagian usaha Korporasi;
   3. pelarangan permanen melakukan perbuatan tertentu;
   4. penutupan seluruh atau sebagian tempat usaha dan/ atau kegiatan Korporasi;
   5. melaksanakan kewajiban yang telah dilalaikan;
   6. pembayaran ganti kerugian;
   7. pencabutan izin; dan/atala
   8. pembubaranKorporasi

Dengan diberlakukannya UU PDP HR Bisa Apa?:

Dengan berlakunya UU No 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) Mengingat adanya risiko hukum atau sanksi bagi perusahaan yang tidak menjaga keamanan dan kerahasiaan data yang dimiliki, maka kita sebagai Human Resources (HR) kedepanya wajib bertanggung jawab terhadap pemprosesan data dalam hal ini Pengelolaan Data Pribadi Karyawan (Ijasah, KTP, Data Personal Karyawan & Keluarga dst) dengan menunjukkan pertanggungjawaban terhadap pemenuhan kewajiban pelaksanaan prinsip perlindungan data pribadi karyawan tersebut sebagaimana ketentuan dalam UU PDP.

Perlu diketahui, kegagalan pelindungan Data Pribadi Karyawan dapat dimaknai sebagai kegagalan melindungi Data Pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan Data Pribadi termasuk pelanggaran keamanan, yang mengarah pada kerusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap Data Pribadi sebagaimana ketentuan dalam UU PDP.

UU PDP memiliki beberapa konsekuensi sanksi hukum atas pelanggaran tersebut:

1. 1. Sanksi pidana, seperti penjara dan denda, bagi pelaku tindak pidana yang melanggar UU PDP.
   2. Denda administratif bagi operator data yang melanggar UU PDP.
   3. Pidana tambahan, seperti perampasan keuntungan, pembekuan usaha, atau pembubaran korporasi, bagi korporasi yang melanggar UU PDP.

Dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 UU PDP dilakukan oleh Korporasi (Korporasi), pidana dapat dijatuhkan kepada:

1. 1. pengurus,
   2. pemegang kendali,
   3. pemberi perintah,
   4. pemilik manfaat, dan/ atau
   5. Korporasi.

Demikian beberapa hal penting mengenai pemberlakuan UU No 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).

 Salam,

 

Redaksi DuniaHR.com

 

[YAP]

 

Ingin bertanya seputar dunia kerja dan permasalahan praktis yang ditemui kini lebih mudah melalui forum WAG Dunia HR Discussion:

https://weare.duniahr.com

Dukung dan support kegiatan Dunia HR dengan cara follow/subscribe:

Instagram: https://www.instagram.com/duniahrcom/

Youtube: https://www.youtube.com/channel/UCnIChHnIPZEz5BqB0jTxoxQ

Linkedin: https://www.linkedin.com/company/duniahr-com/

Mitra Kolaborasi :

Pasang Lowongan Kerja Gratis 100% tanpa syarat hanya di Rekruter Indonesia Bersatu

Komunitas Belajar HR sesuai SKKNI PeopleUp

Konsultan SDM & Layanan Transformasi Organisasi HeaRt Squad Indonesia