Banyak pemilik UMKM mengira Undang-Undang Pelindungan Data Pribadi (UU PDP) hanya urusan bank dan perusahaan teknologi besar. Anggapan itu kini semakin sulit dipertahankan. Sebuah putusan Mahkamah Konstitusi (MK) mengubah cara membaca salah satu pasal kunci UU PDP, dan dampaknya langsung terasa bagi siapa pun yang mengelola data pelanggan, termasuk toko online, klinik kecil, hingga jasa kursus di sekitar kita.

Artikel ini membahas apa yang sebenarnya berubah, mengapa hal itu penting bagi bisnis kecil, dan langkah praktis yang bisa Anda mulai tanpa harus menyewa tim hukum mahal. Fokusnya bukan sekadar teori, melainkan keputusan yang harus diambil pemilik bisnis dalam beberapa bulan ke depan.

Sekilas: Apa Itu UU PDP dan Siapa yang Terikat

UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi adalah aturan utama yang mengatur bagaimana data pribadi warga Indonesia boleh dikumpulkan, disimpan, dan digunakan. Masa transisi dua tahun untuk penyesuaian sudah berakhir sejak Oktober 2024, sehingga aturan ini sekarang berlaku penuh.

Hal yang sering disalahpahami: UU PDP tidak hanya mengikat korporasi besar. Aturan ini berlaku bagi setiap pengendali data pribadi, yaitu pihak yang menentukan tujuan dan mengendalikan pemrosesan data. Dalam praktik, kategori ini mencakup hampir semua bisnis yang menyimpan nomor telepon pelanggan, alamat pengiriman, foto KTP untuk verifikasi, atau riwayat transaksi. Artinya, sebuah warung kopi yang punya program member dengan database nomor WhatsApp pun secara hukum adalah pengendali data.

Yang membedakan UMKM dari perusahaan besar bukanlah bebas dari kewajiban, melainkan adanya beberapa kelonggaran teknis, misalnya soal cara memenuhi syarat tertentu. Kelonggaran bukan berarti pengecualian.

Putusan MK yang Mengubah Cara Baca Pasal 53

Inti perubahan terbaru ada pada Pasal 53 ayat (1) UU PDP, yang mengatur kapan sebuah organisasi wajib menunjuk Pejabat Pelindungan Data Pribadi atau lebih dikenal dengan istilah Data Protection Officer (DPO). Sebelumnya, pasal itu menyebut tiga kondisi yang dihubungkan dengan kata "dan", sehingga banyak yang menafsirkan kewajiban menunjuk DPO baru muncul bila ketiga kondisi terpenuhi sekaligus.

Mahkamah Konstitusi menilai penggunaan kata "dan" tersebut bertentangan dengan konstitusi dan tidak memiliki kekuatan hukum mengikat, kecuali dimaknai sebagai "dan/atau". Konsekuensinya jelas: memenuhi satu kondisi saja sudah cukup untuk memicu kewajiban menunjuk pejabat data, tidak perlu menunggu ketiga kondisi terpenuhi bersamaan.

Tiga kondisi dalam Pasal 53 itu adalah pemrosesan data untuk kepentingan pelayanan publik, kegiatan inti yang menuntut pemantauan teratur dan sistematis dalam skala besar, serta pemrosesan data pribadi yang bersifat spesifik (misalnya data kesehatan) atau data yang berkaitan dengan tindak pidana. Setelah putusan MK, sebuah bisnis yang, misalnya, secara rutin memantau perilaku pelanggan dalam skala besar tidak bisa lagi berkilah hanya karena tidak menangani data kesehatan.

Ilustrasi keamanan data pribadi dan kepatuhan hukum digital untuk bisnis

Apakah UMKM Wajib Menunjuk DPO?

Pertanyaan ini paling sering muncul, dan jawabannya bergantung pada apa yang sebenarnya dilakukan bisnis Anda terhadap data pelanggan, bukan semata pada ukuran omzet.

Sebagian besar UMKM yang hanya menyimpan data dalam jumlah wajar untuk keperluan operasional biasa, seperti mengirim barang atau menghubungi pelanggan, kemungkinan besar tidak masuk kriteria wajib DPO. Pemantauan "skala besar" merujuk pada aktivitas yang masif dan sistematis, bukan sekadar punya beberapa ratus kontak pelanggan.

Namun, putusan MK membuat garis ini lebih sensitif. Jika model bisnis Anda bertumpu pada pengumpulan dan analisis perilaku pengguna, misalnya aplikasi loyalti dengan ribuan pengguna aktif, platform marketplace lokal, atau layanan yang menyimpan data kesehatan dan biometrik, maka kewajiban menunjuk pejabat data menjadi jauh lebih relevan untuk dipertimbangkan secara serius.

Kabar baiknya, pejabat data tidak harus karyawan tetap bergaji mahal. UU PDP memungkinkan pejabat data berasal dari luar perusahaan, misalnya konsultan yang memiliki kompetensi di bidang hukum dan praktik pelindungan data. Untuk UMKM, ada pula kemungkinan berbagi tenaga ahli melalui asosiasi usaha, sehingga beban biaya bisa ditekan secara kolektif.

Sanksi yang Tidak Bisa Diabaikan

Bagian inilah yang membuat UU PDP berbeda dari sekadar imbauan. Pelanggaran dapat dikenai sanksi administratif berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data, penghapusan data pribadi, hingga denda administratif yang besarannya bisa mencapai 2 persen dari pendapatan tahunan terhadap variabel pelanggaran tertentu.

Bagi bisnis kecil dengan margin tipis, denda sebesar 2 persen dari pendapatan setahun bukan angka yang bisa dianggap remeh. Itu pun belum termasuk potensi gugatan ganti rugi perdata dari pelanggan yang datanya bocor.

Lebih jauh, UU PDP juga membuka pintu sanksi pidana untuk pelanggaran tertentu, misalnya mengumpulkan atau membocorkan data pribadi secara melawan hukum. Untuk badan hukum, sanksi tambahan dapat berupa perampasan keuntungan hasil pelanggaran hingga pencabutan izin usaha dalam kasus berat. Dengan kata lain, risiko hukumnya menyentuh bukan hanya kas perusahaan, tetapi juga keberlangsungan usaha itu sendiri.

Disclaimer: Artikel ini disusun sebagai informasi umum dan edukasi, bukan nasihat hukum. Penerapan UU PDP pada bisnis Anda bisa berbeda tergantung jenis data, skala usaha, dan model operasional. Untuk keputusan yang berdampak hukum atau finansial signifikan, konsultasikan dengan penasihat hukum atau konsultan pelindungan data yang berkompeten.

Kewajiban Notifikasi Kebocoran Data dalam 3x24 Jam

Satu kewajiban yang kerap luput dari perhatian UMKM adalah aturan pemberitahuan kebocoran data. Berdasarkan Pasal 46 UU PDP, jika terjadi kegagalan pelindungan data pribadi, pengendali data wajib menyampaikan pemberitahuan tertulis selambat-lambatnya 3x24 jam (72 jam) kepada subjek data pribadi yang terdampak dan kepada lembaga yang berwenang.

Pemberitahuan itu setidaknya memuat jenis data yang terungkap, kapan dan bagaimana insiden terjadi, serta langkah penanganan dan pemulihan yang diambil. Tenggat 72 jam terasa singkat ketika sebuah insiden benar-benar terjadi, terutama bila bisnis belum punya rencana respons. Inilah alasan mengapa menyiapkan prosedur darurat jauh sebelum insiden adalah investasi, bukan beban administratif belaka.

Langkah Praktis Kepatuhan untuk UMKM

Kabar melegakan: kepatuhan tidak harus dimulai dari menyewa firma hukum besar. Berikut langkah bertahap yang realistis untuk bisnis kecil.

1. Petakan data yang Anda miliki. Buat daftar sederhana: data apa saja yang dikumpulkan (nama, nomor HP, alamat, foto identitas), di mana disimpan (spreadsheet, aplikasi kasir, database website), siapa yang punya akses, dan untuk apa digunakan. Tanpa peta ini, kepatuhan lain sulit dibangun.

2. Minta persetujuan yang jelas. UU PDP menekankan pentingnya dasar pemrosesan yang sah, salah satunya persetujuan (consent) yang spesifik dan tidak menyesatkan. Hindari mengumpulkan data yang tidak Anda butuhkan, dan sampaikan dengan bahasa sederhana untuk apa data dipakai.

3. Pasang pengamanan teknis dasar. Aktifkan HTTPS/SSL pada website, terapkan kontrol akses sehingga tidak semua karyawan bisa membuka seluruh data, gunakan kata sandi yang kuat dan autentikasi dua faktor, serta lakukan pencadangan (backup) berkala. Banyak kebocoran data UMKM justru bermula dari hal mendasar yang terabaikan.

4. Siapkan rencana respons insiden. Tentukan siapa yang dihubungi, langkah apa yang diambil, dan bagaimana memenuhi kewajiban notifikasi 3x24 jam bila terjadi kebocoran. Cukup satu lembar prosedur yang dipahami tim sudah jauh lebih baik daripada tidak ada sama sekali.

5. Tinjau apakah Anda perlu pejabat data. Setelah putusan MK, lakukan penilaian jujur: apakah kegiatan inti bisnis Anda melibatkan pemantauan data skala besar, data kesehatan, atau data spesifik lain? Bila ya, pertimbangkan menunjuk pejabat data, baik internal maupun melalui konsultan atau asosiasi.

6. Bangun kesadaran tim. Banyak insiden bermula dari kelalaian manusia, misalnya klik tautan phishing atau berbagi akses sembarangan. Pelatihan singkat dan berkala membuat pelindungan data menjadi budaya, bukan sekadar dokumen.

Mengapa Ini Justru Peluang, Bukan Sekadar Beban

Mudah memandang UU PDP sebagai daftar kewajiban yang merepotkan. Tetapi ada sisi lain yang sering terlewat. Di tengah maraknya kebocoran data dan penipuan digital, kepercayaan pelanggan menjadi mata uang yang sangat berharga. Bisnis kecil yang bisa menunjukkan bahwa mereka serius menjaga data justru memperoleh keunggulan dibanding pesaing yang abai.

Data dari Badan Siber dan Sandi Negara (BSSN) menunjukkan tren serangan siber ke Indonesia yang terus meningkat tajam, dan polanya kini bergeser ke arah UMKM yang dianggap lebih lemah pertahanannya. Membenahi pelindungan data, dengan demikian, bukan sekadar memenuhi aturan, melainkan melindungi kelangsungan bisnis dari risiko nyata.

Penerapan secara bertahap jauh lebih bijak daripada menunda hingga terjadi masalah. Mulailah dari memetakan data dan mengamankan hal-hal dasar, lalu tingkatkan seiring pertumbuhan bisnis. Kepatuhan yang dibangun perlahan tetapi konsisten akan jauh lebih kokoh daripada perombakan mendadak ketika sanksi sudah di depan mata.

Tiga Kesalahpahaman yang Sering Menjebak UMKM

"Bisnis saya terlalu kecil untuk diawasi." Ukuran usaha memang memengaruhi sebagian kewajiban teknis, tetapi tidak membuat bisnis kebal hukum. Kebocoran data dari toko online kecil pun bisa berujung laporan pelanggan dan pemeriksaan. Justru karena sumber daya terbatas, bisnis kecil perlu menutup celah dasar lebih awal agar tidak menanggung biaya pemulihan yang jauh lebih mahal.

"Saya pakai platform marketplace, jadi tanggung jawabnya ada di sana." Sebagian benar, namun tidak sepenuhnya. Selama Anda mengumpulkan dan menyimpan data pelanggan secara mandiri, misalnya menyalin nomor kontak ke spreadsheet pribadi untuk promosi, Anda tetap menjadi pengendali data atas salinan tersebut dan ikut bertanggung jawab atas keamanannya.

"Cukup buat halaman kebijakan privasi, selesai." Kebijakan privasi penting sebagai bentuk transparansi, tetapi ia hanya satu bagian kecil. Tanpa praktik pengamanan nyata di belakang layar, dokumen itu tidak melindungi siapa pun ketika insiden benar-benar terjadi. Kepatuhan adalah tindakan, bukan sekadar teks di kaki halaman website.

Penutup

Putusan MK soal Pasal 53 adalah pengingat bahwa lanskap aturan data di Indonesia terus bergerak, dan UMKM bukan lagi penonton. Memenuhi satu kondisi saja kini cukup untuk memicu kewajiban menunjuk pejabat data, sementara sanksi denda hingga 2 persen pendapatan tahunan dan kewajiban notifikasi 72 jam menanti mereka yang lalai.

Kabar baiknya, langkah awal kepatuhan sepenuhnya berada dalam jangkauan bisnis kecil: pahami data Anda, amankan yang mendasar, dan siapkan rencana bila terjadi insiden. Bila bisnis Anda membutuhkan pendampingan untuk membangun website yang aman dan sesuai prinsip pelindungan data, tim Wardigi siap membantu mewujudkannya.

Sumber rujukan: UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi, Kementerian Komunikasi dan Digital (Komdigi), Mahkamah Konstitusi RI, dan Badan Siber dan Sandi Negara (BSSN).