Akhir April 2026, seorang pemilik toko online fashion di Bandung menerima email keluhan dari pelanggan. Pertanyaannya singkat tapi membuat panik: "Data saya yang sudah daftar akun di website kakak dipakai untuk apa saja? Tolong hapus." Pemilik toko bingung. Website-nya memang menyimpan email, alamat pengiriman, dan riwayat pesanan, tapi tidak ada halaman privacy policy, tidak ada formulir untuk menghapus akun, dan tidak jelas siapa yang harus dihubungi untuk urusan ini. Tujuh hari kemudian, email serupa datang dari empat pelanggan lain.

Cerita di atas bukan kasus terisolasi. Sejak UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) mulai berlaku efektif dan masa transisinya berakhir, kesadaran publik terhadap hak atas data pribadi meningkat tajam. UMKM yang menjalankan website—baik toko online, jasa, maupun website profil—kini berada dalam posisi sebagai pengendali data pribadi, dengan kewajiban hukum yang sama besarnya seperti korporasi besar (meskipun dengan keringanan sanksi).

Panduan ini menjelaskan secara praktis cara membuat privacy policy website UMKM yang patuh UU PDP, lengkap dengan template komponen wajib, contoh kalimat siap pakai, dan langkah implementasi teknis. Tidak perlu menyewa pengacara untuk versi dasarnya—tapi tetap perlu disesuaikan dengan kondisi bisnis Anda.

Status UU PDP di 2026: Sudah Wajib atau Belum?

UU PDP disahkan 17 Oktober 2022 dan diberi masa transisi dua tahun. Artinya, sejak 17 Oktober 2024 seluruh kewajiban pengendali data pribadi sudah berlaku efektif. Sampai pertengahan 2026, tantangan terbesar bukan lagi soal kapan UU berlaku, melainkan soal pengawasan: Badan Pelindungan Data Pribadi (Badan PDP) yang diberi mandat sebagai otoritas pengawas belum sepenuhnya operasional, sehingga penegakan administratif masih bersifat reaktif berdasarkan pengaduan.

Bukan berarti UMKM bisa santai. Pertama, sanksi pidana di UU PDP (Pasal 67–73) tetap dapat dijalankan melalui aparat penegak hukum biasa tanpa menunggu Badan PDP—termasuk ancaman penjara hingga 6 tahun dan denda hingga Rp6 miliar untuk pemalsuan data. Kedua, pelanggan dan kompetitor bisa mengadukan langsung. Ketiga, perusahaan besar yang ingin bermitra dengan Anda (misalnya marketplace, payment gateway, atau perusahaan korporat) akan menanyakan kepatuhan UU PDP sebagai syarat vendor onboarding.

Soal denda administratif, ketentuan umumnya mencapai 2% dari pendapatan tahunan korporasi. Pada praktiknya, denda untuk UMKM dapat dikurangi 50–70% dibandingkan korporasi besar dengan mempertimbangkan kapasitas finansial dan tingkat pelanggaran. UMKM juga tidak diwajibkan memiliki Data Protection Officer (DPO) internal—boleh menyewa konsultan eksternal atau berhimpun di bawah asosiasi sektoral.

Apakah UMKM Anda Termasuk Pengendali Data Pribadi?

Jawaban hampir pasti: ya, jika website Anda mengumpulkan minimal salah satu dari ini:

  • Nama, email, atau nomor WhatsApp pelanggan (formulir kontak, langganan newsletter, pemesanan)
  • Alamat pengiriman (toko online)
  • Akun pelanggan dengan password
  • Data analytics yang bisa mengidentifikasi pengunjung (Google Analytics, Meta Pixel, fingerprinting)
  • Foto profil atau dokumen yang diunggah pengguna
  • Data karyawan atau mitra yang ditampilkan/disimpan

UU PDP membedakan dua peran: pengendali (yang menentukan tujuan dan pengelolaan data) dan prosesor (yang memproses atas instruksi pengendali). UMKM yang punya website sendiri umumnya adalah pengendali. Hosting Anda, payment gateway, dan jasa pengiriman umumnya berperan sebagai prosesor—Anda tetap bertanggung jawab atas mereka.

Tujuh Komponen Wajib Privacy Policy Menurut UU PDP

Prinsip transparansi (Pasal 16) mewajibkan pengendali untuk memberitahukan secara jelas tujuan, proses, dan cara penggunaan data pribadi. Dari pasal-pasal UU PDP, ada tujuh komponen yang minimal harus ada di privacy policy Anda:

1. Identitas dan Kontak Pengendali

Cantumkan nama legal usaha (bukan hanya nama brand), alamat usaha (boleh alamat domisili pemilik kalau belum ada kantor), email dan nomor WhatsApp khusus urusan data, serta nama penanggung jawab. Contoh: "Pengendali data dalam website ini adalah CV Sinar Maju (Nama Brand: SinarShop), beralamat di Jl. Merdeka No. 12, Bandung. Untuk pertanyaan atau permintaan terkait data pribadi: privasi@sinarshop.id atau WhatsApp +62 812-xxx-xxxx (jam kerja Senin–Jumat 09.00–17.00 WIB)."

2. Jenis Data yang Dikumpulkan

Daftar konkret, bukan "informasi yang Anda berikan". Pisahkan menjadi tiga kategori: (a) data yang diberikan langsung—nama, email, telepon, alamat; (b) data yang dikumpulkan otomatis—alamat IP, jenis browser, halaman yang dikunjungi, cookie; (c) data dari pihak ketiga—jika Anda menerima data dari mitra atau marketplace.

3. Tujuan Pemrosesan dan Dasar Hukum

UU PDP mengakui lima dasar hukum pemrosesan (Pasal 20): persetujuan, pemenuhan kontrak, kewajiban hukum, kepentingan vital subjek, dan kepentingan sah pengendali. Untuk setiap tujuan, sebutkan dasar hukumnya. Contoh: "Mengirim pesanan—dasar: pemenuhan kontrak. Mengirim newsletter promosi—dasar: persetujuan yang dapat dicabut kapan saja."

4. Pihak Ketiga yang Menerima Data

Daftarkan secara terbuka semua pihak ketiga yang menerima data pelanggan: penyedia hosting (misalnya Hostinger, Niagahoster), payment gateway (Midtrans, Xendit), jasa pengiriman (JNE, J&T), email marketing (Mailchimp, Brevo), serta analytics (Google Analytics, Meta Pixel). Jika ada transfer data ke luar negeri, sebutkan negaranya dan jelaskan dasar transfer lintas batas (Pasal 56 UU PDP).

5. Jangka Waktu Retensi

UU PDP mewajibkan penghapusan data setelah tujuan pemrosesan tercapai (Pasal 43). Buat aturan retensi yang masuk akal, contoh: data pesanan disimpan 10 tahun (kewajiban perpajakan), akun pelanggan dihapus jika tidak aktif 24 bulan, data marketing dihapus segera setelah persetujuan dicabut.

6. Hak-Hak Subjek Data

Sebutkan secara eksplisit hak yang dijamin UU PDP (Pasal 5–13): hak mendapat informasi yang jelas, hak melengkapi/memperbarui, hak menghapus, hak menarik persetujuan, hak menolak pemrosesan otomatis (profiling), hak mendapat salinan data, serta hak mengajukan keberatan. Lebih penting lagi: jelaskan cara menggunakan hak-hak itu—formulir, email, atau WhatsApp—dan kewajiban Anda merespons dalam jangka waktu paling lama 3x24 jam untuk konfirmasi penerimaan dan 14 hari kerja untuk eksekusi.

7. Prosedur Pemberitahuan Pelanggaran

Pasal 46 UU PDP mewajibkan pengendali menotifikasi subjek data dan Badan PDP paling lambat 3x24 jam jika terjadi kegagalan pelindungan (kebocoran, peretasan, kesalahan kirim). Cantumkan komitmen ini di privacy policy dan rancang prosedur internal—siapa yang mengirim notifikasi, lewat saluran apa, dengan template seperti apa.

Pemilik UMKM Indonesia mengelola data pelanggan di laptop sesuai UU PDP

Template Privacy Policy Singkat untuk Website UMKM

Berikut kerangka 12 bagian yang bisa Anda salin dan sesuaikan. Letakkan di URL /privacy-policy atau /kebijakan-privasi:

  1. Pembukaan dan tanggal berlaku — "Kebijakan privasi ini berlaku efektif sejak [tanggal]. Versi sebelumnya dapat dilihat di [tautan arsip]."
  2. Identitas pengendali — nama legal, alamat, kontak (lihat komponen 1 di atas).
  3. Data yang kami kumpulkan — daftar konkret per kategori.
  4. Tujuan pemrosesan dan dasar hukum — tabel atau bullet per tujuan.
  5. Cookie dan teknologi pelacakan — daftar cookie dengan tujuan, durasi, dan opsi opt-out.
  6. Berbagi data dengan pihak ketiga — daftar vendor.
  7. Transfer data lintas batas — sebutkan jika ada.
  8. Jangka waktu penyimpanan — matriks retensi per kategori.
  9. Keamanan data — pengamanan teknis (HTTPS, enkripsi password, akses terbatas).
  10. Hak Anda sebagai subjek data — daftar dan cara penggunaannya.
  11. Notifikasi pelanggaran — komitmen 3x24 jam.
  12. Perubahan kebijakan — cara pengguna diberitahu jika ada revisi.

Hindari jebakan umum: jangan menyalin mentah-mentah privacy policy versi Inggris dari template SaaS asing (GDPR-style). Banyak ketentuan GDPR tidak persis sama dengan UU PDP—misalnya istilah "legitimate interest" di GDPR setara dengan "kepentingan sah" di Pasal 20 UU PDP tapi cakupannya lebih sempit. Tulis ulang dalam bahasa Indonesia yang mudah dipahami pelanggan UMKM.

Implementasi Teknis: Bukan Sekadar Halaman Statis

Privacy policy yang patuh UU PDP membutuhkan empat hal di luar konten halaman itu sendiri:

Tautan di Setiap Halaman

Letakkan tautan ke kebijakan privasi di footer setiap halaman. Praktik bagus: tampilkan juga tautan di formulir registrasi, kontak, dan checkout dengan kalimat seperti "Dengan mendaftar, Anda menyetujui Kebijakan Privasi dan Syarat Penggunaan kami."

Cookie Banner yang Benar

Banner cookie yang hanya menampilkan tombol "OK" bukan persetujuan yang sah menurut UU PDP. Persetujuan harus spesifik dan dapat dicabut. Solusi minimal: banner dengan tiga tombol—"Terima semua", "Tolak non-esensial", "Pengaturan" yang membuka pengelolaan kategori cookie (Esensial, Analytics, Marketing). Plugin gratis seperti Klaro, CookieYes, atau Cookiebot versi gratis cukup untuk UMKM.

Formulir Permintaan Hak Subjek Data

Sediakan satu jalur khusus untuk pelanggan yang ingin mengakses, mengoreksi, atau menghapus datanya. Format paling sederhana: alamat email khusus (misalnya privasi@brandanda.id) yang dipantau aktif. Lebih baik lagi, formulir di halaman /permintaan-data-pribadi dengan kolom: nama, email akun, jenis permintaan, dan verifikasi identitas (misalnya OTP ke email akun).

Rancangan Tanggapan Kebocoran (Incident Response)

Walaupun belum pernah bocor, siapkan dokumen internal dengan: daftar kontak BSSN dan calon kontak Badan PDP, template email notifikasi pelanggan, prosedur isolasi sistem, dan kontak konsultan IT/legal yang bisa diaktifkan. Tanpa rancangan ini, deadline 3x24 jam mustahil dipenuhi.

Lima Kesalahan yang Membatalkan Kepatuhan

Privacy policy yang ada di website bukan jaminan patuh. Lima kesalahan paling sering ditemukan di website UMKM Indonesia:

  1. Tetap menyimpan data setelah pelanggan minta hapus. Banyak yang sekadar menonaktifkan akun, padahal Pasal 43 UU PDP menuntut penghapusan kecuali ada dasar penyimpanan lain seperti kewajiban perpajakan.
  2. Newsletter opt-out bukan opt-in. Centang persetujuan newsletter yang sudah tercentang otomatis tidak sah—persetujuan harus eksplisit dan aktif.
  3. Berbagi data ke WhatsApp Business pribadi. Jika nomor WhatsApp customer service adalah nomor pribadi pemilik, semua chat masuk ke perangkat pribadi. Pisahkan dengan WhatsApp Business API atau minimal nomor terpisah dengan akses tim terbatas.
  4. Cookie analytics jalan sebelum persetujuan. Google Analytics dan Meta Pixel sering ditanam di tag global yang aktif sejak halaman dimuat. Set agar baru aktif setelah pengguna menerima cookie.
  5. Privacy policy hanya dalam bahasa Inggris. UU PDP berlaku di Indonesia—bahasa kebijakan harus bisa dipahami subjek data Indonesia. Bahasa Inggris boleh ditambahkan sebagai versi pendamping, tapi versi Indonesia yang berlaku.

Roadmap 30 Hari untuk UMKM

Kepatuhan UU PDP terasa berat jika dilihat sekaligus. Bagi dalam 30 hari:

  • Hari 1–7: inventarisasi data—jenis data apa saja yang dikumpulkan website Anda, di mana disimpan, siapa yang mengaksesnya, siapa pihak ketiga yang menerima. Hasilnya: data flow map sederhana di spreadsheet.
  • Hari 8–14: tulis privacy policy menggunakan 12 bagian di atas, publikasi di /kebijakan-privasi, tambahkan tautan di footer dan formulir kunci.
  • Hari 15–21: pasang cookie banner yang memenuhi syarat persetujuan, ubah tag analytics agar terkondisi pada persetujuan, buat alamat email khusus privasi.
  • Hari 22–28: susun prosedur respons hak subjek data dan template notifikasi pelanggaran, latih tim CS untuk mengenali permintaan terkait data.
  • Hari 29–30: audit mandiri—buka website seperti pengunjung baru, coba minta hapus akun, ukur waktu respons.

Kapan Harus Melibatkan Konsultan Hukum?

Template di artikel ini cukup untuk website UMKM standar—toko online, jasa, website profil. Anda perlu konsultasi hukum yang lebih dalam jika: (a) memproses data anak di bawah 13 tahun, (b) memproses data sensitif sesuai Pasal 4 ayat (2) UU PDP seperti data kesehatan, biometrik, keuangan, atau orientasi seksual, (c) memindahkan data ke luar negeri secara reguler, (d) terkena permintaan resmi dari Komdigi atau aparat penegak hukum, atau (e) menghadapi pengaduan dari subjek data yang serius. Untuk kasus-kasus tersebut, sumber daya gratis seperti klinik hukum online dan bantuan asosiasi UMKM bisa jadi titik awal sebelum mengeluarkan biaya konsultasi penuh.

Disclaimer

Artikel ini bersifat panduan umum dan bukan nasihat hukum. Setiap UMKM punya situasi unik: jenis data, model bisnis, struktur badan usaha, dan mitra pihak ketiga yang berbeda. Konsultasikan privacy policy final Anda dengan konsultan hukum atau praktisi yang memahami UU PDP sebelum dipublikasi, terutama jika usaha Anda menangani data sensitif atau memproses data dalam skala besar. Untuk teks resmi UU Nomor 27 Tahun 2022, rujuk peraturan.bpk.go.id dan JDIH Komdigi. Untuk pembaruan regulasi turunan dari Badan PDP, pantau situs resmi Komdigi.

Penutup

Privacy policy bukan dokumen pajangan untuk menghindari sanksi. Buat dengan benar, dokumen ini menjadi kontrak transparan antara Anda dan pelanggan—dan ini justru menjadi keunggulan kompetitif UMKM Indonesia yang ingin bermain di level yang lebih tinggi. Pelanggan yang tahu datanya dihormati cenderung lebih loyal dan lebih percaya membagikan kontaknya untuk newsletter dan program loyalitas. Mulai dari template dasar, sesuaikan dengan bisnis Anda, lalu perbarui setiap kali ada perubahan signifikan dalam pengelolaan data. Tiga puluh hari ke depan adalah waktu yang cukup untuk membawa website UMKM Anda ke level kepatuhan yang layak.

Jika Anda butuh bantuan praktis menyiapkan privacy policy, audit data flow website, atau mengintegrasikan cookie banner sesuai UU PDP, tim Wardigi siap membantu UMKM Indonesia membangun website yang patuh sejak hari pertama.