UU 27/2022
Undang-Undang Nomor 27 Tahun 2022 tentang PELINDUNGAN DATA PRIBADI
Isi dokumen
KETENTUAN UMUM
Pasal 1
Dalam Undang-Undang ini yang dimaksud dengan: 1. Data Pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik. 2. Pelindungan Data Pribadi adalah keseluruhan upaya untuk melindungi Data Pribadi dalam rangkaian pemrosesan Data Pribadi guna menjamin hak konstitusional subjek Data Pribadi. 3. Informasi adalah keterangan, pernyataan, gagasan, dan tanda-tanda yang mengandung nilai, makna, dan pesan, baik data, fakta, maupun penjelasannya yang dapat dilihat, didengar, dan dibaca yang disajikan dalam berbagai kemasan dan format sesuai dengan perkembangan teknologi informasi dan komunikasi secara elektronik ataupun nonelektronik. 4. Pengendali Data Pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi. 5. Prosesor Data Pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi. 6. Subjek Data Pribadi adalah orang perseorangan yang pada dirinya melekat Data Pribadi. 7. Setiap Orang adalah orang perseorangan atau korporasi. 8. Korporasi adalah kumpulan orang dan/atau kekayaan yang terorganisasi baik yang berbadan hukum maupun tidak berbadan hukum. 9. Badan Publik adalah lembaga eksekutif, legislatif, yudikatif, dan badan lain yang fungsi dan tugas pokoknya berkaitan dengan penyelenggaraan negara, yang sebagian atau seluruh dananya bersumber dari Anggaran Pendapatan dan Belanja Negara dan/atau Anggaran Pendapatan dan Belanja Daerah, atau organisasi nonpemerintah sepanjang sebagian atau seluruh dananya bersumber dari Anggaran Pendapatan dan Belanja Negara dan/atau Anggaran Pendapatan dan Belanja Daerah, sumbangan masyarakat, dan/atau luar negeri. 10. Organisasi Internasional adalah organisasi yang diakui sebagai subjek hukum internasional dan mempunyai kapasitas untuk membuat perjanjian internasional. 11. Pemerintah Pusat yang selanjutnya disebut Pemerintah adalah Presiden Republik Indonesia yang memegang kekuasaan pemerintahan Negara Republik Indonesia sebagaimana dimaksud dalam Undang-Undang Dasar Negara Republik Indonesia Tahun 1945.
ASAS
Pasal 3
Undang-Undang ini berasaskan: a. pelindungan; b. kepastian hukum; c. kepentingan umum; d. kemanfaatan; e. kehati-hatian; f. keseimbangan; g. pertanggungjawaban; dan h. kerahasiaan.
JENIS DATA PRIBADI
HAK SUBJEK DATA PRIBADI
Pasal 5
Subjek Data Pribadi berhak mendapatkan Informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi, dan akuntabilitas pihak yang meminta Data Pribadi.
Pasal 6
Subjek Data Pribadi berhak melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi tentang dirinya sesuai dengan tujuan pemrosesan Data Pribadi.
Pasal 7
Subjek Data Pribadi berhak mendapatkan akses dan memperoleh salinan Data Pribadi tentang dirinya dari Pengendali Data Pribadi sesuai dengan jenis Data Pribadi yang ditentukan oleh peraturan perundang-undangan.
Pasal 8
Subjek Data Pribadi berhak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 9
Subjek Data Pribadi berhak menarik kembali persetujuan pemrosesan Data Pribadi tentang dirinya yang telah diberikan kepada Pengendali Data Pribadi.
Pasal 11
Subjek Data Pribadi berhak menunda atau membatasi pemrosesan Data Pribadi secara proporsional sesuai dengan tujuan pemrosesan Data Pribadi.
Pasal 14
Pelaksanaan hak Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 6 sampai dengan Pasal 13 diajukan dengan mengajukan permohonan tertulis kepada Pengendali Data Pribadi.
PEMROSESAN DATA PRIBADI
KEWAJIBAN PENGENDALI DATA PRIBADI DAN PROSESOR DATA PRIBADI
Pasal 19
Pengendali Data Pribadi dan Prosesor Data Pribadi meliputi: a. Setiap Orang; b. Badan Publik; dan c. Organisasi Internasional.
Pasal 23
Klausul perjanjian yang di dalamnya terdapat permintaan pemrosesan Data Pribadi yang tidak terlebih dahulu mendapatkan persetujuan dari Subjek Data Pribadi harus dinyatakan batal demi hukum.
Pasal 24
Dalam melakukan pemrosesan Data Pribadi, Pengendali Data Pribadi wajib menunjukkan adanya bukti persetujuan yang telah diberikan oleh Subjek Data Pribadi.
Pasal 27
Pengendali Data Pribadi wajib melakukan pemrosesan Data Pribadi secara terbatas dan spesifik, sah secara hukum, dan transparan.
Pasal 29
Pengendali Data Pribadi wajib melakukan pemrosesan Data Pribadi secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan dengan memperhatikan tujuan pemrosesan Data Pribadi.
Pasal 31
Pengendali Data Pribadi wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan Data Pribadi.
Pasal 33
Pengendali Data Pribadi wajib menolak memberikan akses perubahan terhadap Data Fribadi kepada Subjek Data Pribadi dalam hal: a. membahayakan keamanan, kesehatan fisik, atau kesehatan mental Subjek Data Pribadi dan/ atau orang lain; b. berdampak. . A b. pada pengungkapan Data Pribadi milik berdampak orang lain; dan/ atau c bertentangan dengan kepentingan pertahanan dan keamanan nasional.
Pasal 35
Pengendali Data Pribadi wajib melindungi dan memastikan keamanan Data Pribadi yang diprosesnya, dengan melakukan: a. pen]rusunan. . a. penyusunan dan penerapan langkah teknis ' untuk melindungi Data Pribadi operasional dari gangguan pemrosesan Data Pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan; dan b. penentuan tingkat keamanan Data Pribadi dengan memperhatikan sifat dan risiko dari Data Pribadi yang harus dilindungi dalam pemrosesan Data Pribadi.
Pasal 36
Dalam melakukan pemrosesan Data Pribadi, Pengendali Data Pribadi wajib menjaga kerahasiaan Data Pribadi.
Pasal 37
Pengendali Data Pribadi wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi.
Pasal 38
Pengendali Data Pribadi wajib melindungi Data Pribadi dari pemrosesan yang tidak sah.
Pasal 45
Pengendali Data Pribadi wajib memberitahukan penghapusan dan/atau pemusnahan Data Pribadi kepada Subjek Data Pribadi.
Pasal 47
Pengendali Data Pribadi wajib bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggungiawaban dalam kewajiban pelaksanaan prinsip Pelindungan Data Pribadi.
Pasal 49
Pengendali Data Pribadi dan/ atau Prosesor Data Pribadi wajib melaksanakan perintah lembaga dalam rangka penyelenggaraan Pelindungan Data Pribadi sesuai dengan Undang-Undang ini.
Pasal 52
Ketentuan mengenai kewajiban Pengendali Data Pribadi sebagaimana dimaksud dalam Pasal 29, Pasal 31, Pasal 35, Pasal 36, Pasal 37, Pasal 38, dan Pasal 39 berlaku juga terhadap Prosesor Data Pribadi. Bagian A
TRANSFER DATA PRIBADI
SANKSI ADMINISTRATIF
Pasal 60
Lembaga sebagaimana dimaksud dalam Pasal 58 ayat (2) berwenang: a.. merumuskan dan menetapkan kebijakan di bidang Pelindungan Data Pribadi; b. melakukan. . A b. melakukan pengawasan terhadap kepatuhan Pengendali Data Pribadi; c. menjatuhkan sanksi administratif atas pelanggaran Pelindungan Data Pribadi yang dilakukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi; d. membantu aparat penegak hukum dalam penanganan dugaan tindak pidana Data Pribadi sebagaimana dimaksud dalam Undang-Undang ini; e. bekerja sama dengan lembaga Pelindungan Data Pribadi negara lain dalam rangka penyelesaian dugaan. pelanggaran Pelindungan Data Pribadi lintas negara; f. melakukan penilaian terhadap pemenuhan persyaratan transfer Data Pribadi ke luar wilayah hukum Negara Republik Indonesia; g. memberikan perintah lanjut dalam rangka tindak hasil pengawasan kepada Pengendali Data Pribadi dan/ atau Prosesor Data Pribadi; h. melakukan publikasi hasil pelaksanaan pengawasan Pelindungan Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan i. menerima aduan dan/atau laporan tentang dugaan terjadinya pelanggaran Pelindungan Data Pribadi; j. melakukan dan atas pengaduan, laporan, dan/atau hasil pengawasan terhadap dugaan terjadinya pelanggaran Pelindungan Data Pribadi; k. memanggil dan menghadirkan Setiap Orang dan/ atau Badan Publik yang terkait dengan dugaan pelanggaran Pelindungan Data Pribadi; l. meminta keterangan, data, Informasi, dan dokumen dari Setiap Orang dan/ atau Badan Publik terkait dugaan pelanggaran Pelindungan Data Pribadi; m. memanggil dan menghadirkan ahli yang diperlukan dalam pemeriksaan dan penelusuran terkait dugaan pelanggaran Pelindungan Data Pribadi; n. melakukan. . A n melakukan pemeriksaan dan penelusuran terhadap sistem elektronik, sarana, ruang, dan/ atau tempat yang digunakan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi, termasuk memperoleh akses terhadap data dan/atau menunjuk pihak ketiga; dan o meminta bantuan hukum kepada kejaksaan dalam penyelesaian sengketa Pelindungan Data Pribadi.
KELEMBAGAAN
KELEMBAGAAN
Pasal 59
l,embaga sebagaimana dimaksud dalam Pasal 58 ayat (2) melaksanakan: a. perumusan dan penetapan kebijakan dan strategi Pelindungan Data Pribadi yang menjadi panduan bagi Subjek Data Pribadi, Pengendali Data Pribadi, dan ' Prosesor Data Fribadi; b. pengawasan terhadap penyelenggaraan Pelindungan Data Pribadi; c. penegakan hukum administratif terhadap pelanggaran Undang-Undang ini; dan d. fasilitasi penyelesaian di luar pengadilan. sengketa
KERJA SAMA INTERNASIONAL
PARTISIPASI MASYARAKAT
PARTISIPASI MASYARAKAT
Pasal 61
Ketentuan mengenai tata cara pelaksanaan wewenang lembaga sebagaimana dimaksud dalam Pa6al 60 diatur dalam Peraturan Pemerintah.
PENYELESAIAN SENGKETA DAN HUKUM ACARA
PENYELESAIAN SENGKETA DAN HUKUM ACARA
LARANGAN DALAM PENGGUNAAN DATA PRIBADI
Pasal 66
Setiap Orang dilarang membuat Data Pribadi palsu atau memalsul<an Data Pribadi dengan maksud r.rntuk diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain.
KETENTUAN PIDANA
Pasal 68
Setiap Orang yang dengan sengaja membuat Data Pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntrrngkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 66 .tipidana dengan pidana penjara paling tama 6 (enam) tahun dan/atau pidana denda paling banyak Rp6.0OO. 000.000,00 (enam miliar rupiah). 69... Pasal PRESIDEN BLIK INDONES -31 -
Pasal 69
Selain dijatuhi pidana ssfagaimana dimaksud dalam Pasal 67 dan Pasal 68 juga dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/ atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian.
Pasal 72
Tindak pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 merupakan delik aduan.
Pasal 73
Ketentuan sebagaimana dimaksud dalam Pasal 71 dan Pasal 72 juga berlaku dalam hal penjatuhan pidana tambahan berupa pembayaran ganti kerugian.
KETENTUAN PERALIHAN
Pasal 74
Pada saat Undang-Undang ini mulai berlaku, Pengendali Data Pribadi, Prosesor Data Pribadi, dan pihak lain yang terkait dengan pemrosesan Data Pribadi, wajib menyesuaikan dengan ketentuan pemrosesan Data Pribadi berdasarkan Undang-Undang ini paling lama 2 (dua) tahun sejak Undang-Undang ini diundangkan.
Pasal 75
Pada saat Undang-Undang ini mulai berlaku, semua ketentuan peraturan perundang-undangan yang mengatur mengenai Pelindungan Data Pribadi, dinyatakan masih tetap berlaku sepanjang tidak bertentangan dengan ketentuan dalam Undang-Undang ini.
KETENTUAN PENUTUP
Pasal 76
Undang-Undang ini mulai berlaku pada tanggal diundangkan.