UU PDP untuk UMKM 2026: Kewajiban Basic + Cara Comply Tanpa Lawyer

UU 27/2022 tentang Perlindungan Data Pribadi (PDP) berlaku efektif Oktober 2024. Banyak UMKM ignore karena dianggap "regulasi korporat" — padahal berlaku universal, hanya proporsional sanksinya.

Apa yang berubah dengan UU PDP?

Sebelum UU PDP, perlindungan data pribadi tersebar di banyak peraturan (UU ITE, PP 71/2019, sectoral). Sekarang dikodifikasi jadi satu UU dengan:

• Definisi jelas data pribadi (umum vs sensitif)
• Hak subjek data explicit (akses, koreksi, hapus, portability)
• Kewajiban pengontrol/pemroses data detail
• Sanksi administratif + pidana
• Lembaga pengawas (PPN PDP) dibentuk

UMKM yang collect & process data pribadi orang = pengontrol data. Tanggung jawab langsung.

Data pribadi yang dilindungi

Umum (consent biasa cukup):

• Nama lengkap
• Email
• Nomor telepon
• Alamat
• Tanggal lahir
• Gender
• Foto (kalau identifiable)

Sensitif (consent eksplisit + safeguard ekstra):

• Data kesehatan
• Data keuangan (saldo, riwayat transaksi)
• Data biometrik (sidik jari, face ID)
• Keyakinan agama
• Pandangan politik
• Data anak (di bawah 18 tahun)
• Data kriminal
• Data genetik

UMKM scenario common: wajib comply atau tidak?

Warung kopi yang collect email customer untuk newsletter: WAJIB. Customer database = data pribadi.

UMKM yang hanya jualan di Tokopedia/Shopee: Marketplace handle compliance untuk customer mereka. Tapi UMKM tetap wajib untuk data karyawan + supplier.

Personal trainer / freelancer dengan client list di WhatsApp: WAJIB. Bahkan list 50 nomor WA = data pribadi yang harus dilindungi.

Konveksi dengan database supplier + employee: WAJIB. Data employee termasuk data pribadi. Lihat juga CRM sederhana untuk bisnis kecil untuk simpan customer data dengan akses control proper.

Daycare dengan database anak (medical history, foto): WAJIB + data sensitif (anak). Compliance lebih ketat.

Untuk platform digital (website, aplikasi), UU PDP biasanya berbarengan dengan kewajiban PSE Kominfo. Compliance kedua-duanya sebaiknya dilakukan paralel.

Checklist compliance minimum untuk UMKM kecil

1. Privacy Policy publish + akurat

Wajib publish (website, atau setidaknya bisa diminta customer). Konten minimum:

• Identitas pengontrol data (nama UMKM, kontak)
• Jenis data yang dikumpulkan
• Tujuan pemrosesan
• Dasar hukum (consent, kontrak, kewajiban hukum)
• Pihak ketiga yang menerima data
• Retensi data
• Hak subjek data
• Cara hubungi PIC privacy

2. Mekanisme consent

Untuk data marketing/non-essential:

• Checkbox opt-in (default unchecked)
• Pisahkan consent: "Saya setuju S&K" vs "Saya mau terima newsletter"
• Log: kapan consent, oleh siapa, versi policy mana

3. Inventarisasi data (data mapping)

Catat di spreadsheet:

• Jenis data: nama, email, alamat, dll
• Sumber: dari form, dari purchase, dari sosmed
• Lokasi simpan: Google Sheet, MailerLite, CRM, dll
• Siapa yang akses: owner, staff X, admin Y
• Retensi: berapa lama disimpan

4. Security minimum

• Password manager (1Password, Bitwarden)
• 2FA semua akun penting
• Encryption untuk file sensitif (Veracrypt, atau native OS)
• Backup terpisah (Google Drive personal terpisah dari workspace)
• Akses minimum principle (staff hanya bisa akses data yang dibutuhkan)

5. SOP data subject request

Customer minta:

• Akses datanya — siapkan dalam 30 hari
• Koreksi data salah — update + konfirmasi
• Hapus data — verify identitas, hapus dari semua sistem
• Export/portability — export ke format yang readable (CSV biasanya)

6. SOP data breach

Kalau ada bocor:

• 72 jam: report ke Kominfo
• 72 jam: notify subject data terdampak
• Dokumentasi: timeline, scope, mitigasi, lesson learned

Common mistake UMKM dengan UU PDP

1. Copy privacy policy tanpa baca — banyak menyebut GDPR, jenis data yang tidak relevan, retensi yang tidak praktis.

2. Default opt-in untuk marketing — wajib opt-in eksplisit, bukan opt-out.

3. Simpan password customer plain text — pelanggaran serius. Wajib hashing (bcrypt minimum) di sistem custom.

4. Share data ke partner tanpa consent — affiliate program, exchange data dengan vendor lain, dll wajib disclosed di privacy policy.

5. Tidak ada SOP saat ada complaint — customer komplain "saya tidak setuju datanya dipakai", staff bingung. Set SOP simple: forward ke owner, respond 7 hari.

6. Pakai foto customer di marketing tanpa consent — wajib consent terpisah untuk usage marketing.

Cost compliance realistic untuk UMKM kecil

Bukan ribuan dolar. Minimum compliance untuk UMKM < Rp 1M omzet/tahun:

Item	Cost
Privacy policy custom (DIY dengan template)	Rp 0-500rb
Password manager (1Password tier basic)	Rp 50rb/bulan
2FA enable semua akun	Rp 0
Backup terpisah (Google Drive personal)	Rp 30rb/bulan
Konsultasi awal pengacara (opsional)	Rp 1,5-3jt
Total bulan pertama	Rp 2-4jt

Cost ongoing: Rp 100-200rb/bulan.

Kapan butuh DPO (Data Protection Officer)?

DPO wajib kalau:

• Pemrosesan data dalam skala besar (puluhan ribu+ subject)
• Pemrosesan data sensitif sistematis (rumah sakit, lembaga keuangan)
• Pemerintah / penyelenggara layanan publik

UMKM standar tidak wajib DPO. Owner bisa double sebagai PIC privacy. Tapi kalau scale up (50K+ customer), pertimbangkan hire/outsource DPO.

Langkah praktis 14 hari ke depan

Hari 1-3: Data mapping. List semua data yang UMKM kamu pegang.

Hari 4-7: Tulis/edit privacy policy sesuai praktik aktual. Publish di website.

Hari 8-10: Setup mekanisme consent di semua form. 2FA semua akun.

Hari 11-12: Tulis SOP data subject request + breach response (1 halaman cukup).

Hari 13-14: Brief tim (kalau ada) tentang UU PDP. Sebar SOP.

Compliance UU PDP bukan ribet kalau bisnismu skala kecil. Yang berat hanya kalau scale besar dengan banyak data sensitif. Untuk UMKM standar, 2 minggu effort awal + 1 jam review per kuartal sudah cukup.