UU PDP 27/2022 untuk Sewa Laptop Perusahaan: Checklist
Ringkasan
Panduan UU PDP 27/2022 untuk pengadaan laptop perusahaan: kewajiban pengendali vs prosesor, DPO, breach notification 72 jam, plus checklist procurement.
Undang-Undang Perlindungan Data Pribadi Nomor 27 Tahun 2022 — biasa disebut UU PDP — adalah perubahan besar dalam lanskap regulasi data di Indonesia. Sejak masa transisi berakhir, perusahaan yang memproses data pribadi karyawan, pelanggan, atau pengguna tidak bisa lagi menganggap sewa laptop hanya sebagai keputusan procurement. Setiap unit yang menyimpan atau mengakses data pribadi adalah bagian dari sistem pengolahan data yang tunduk pada UU PDP — dan vendor sewa laptop adalah pihak yang ikut bertanggung jawab.
Artikel ini menerjemahkan UU PDP ke bahasa procurement praktis: apa kewajiban perusahaan sebagai pengendali, apa kewajiban vendor sebagai prosesor, apa yang harus ada di kontrak sewa laptop, dan checklist konkret yang bisa Anda pakai untuk audit internal. Teks lengkap UU 27/2022 tersedia di JDIH BPK dan ringkasan resmi di kominfo.go.id.
Apa Itu UU PDP dan Mengapa Relevan untuk Sewa Laptop
UU PDP mengatur perlindungan data pribadi setiap orang Indonesia, dari nama dan NIK sampai data biometrik dan data kesehatan. Undang-undang ini mengadopsi banyak prinsip dari GDPR (regulasi data Uni Eropa), termasuk konsep pengendali data pribadi (controller) dan prosesor data pribadi (processor) — dua peran dengan kewajiban yang berbeda namun saling terkait.
Dalam konteks sewa laptop perusahaan, distribusi peran biasanya seperti ini: perusahaan klien adalah pengendali — mereka yang menentukan tujuan dan cara pemrosesan data karyawan dan pelanggannya. Vendor sewa laptop adalah prosesor ketika mereka menyimpan atau memproses data pribadi atas nama klien (misalnya saat menyiapkan custom OS image yang berisi data karyawan, atau saat melakukan data sanitization). Saat unit kembali ke vendor di akhir kontrak, data yang tersisa di unit tersebut tetap tanggung jawab pengendali — tetapi prosesor wajib memastikan data dihapus dengan benar.
Kewajiban Pengendali vs Prosesor: Tabel Pembagian
| Aspek | Pengendali (Klien) | Prosesor (Vendor) |
|---|---|---|
| Dasar pemrosesan | Wajib punya dasar hukum (consent, kontrak, kewajiban hukum) | Mengikuti instruksi pengendali |
| Pemberitahuan ke subjek data | Wajib | Tidak (kecuali atas instruksi pengendali) |
| Penyimpanan terbatas tujuan | Wajib | Wajib hanya sesuai instruksi |
| Keamanan teknis & organisasi | Wajib | Wajib |
| Breach notification | Wajib lapor ke Komdigi & subjek data dalam 72 jam | Wajib lapor ke pengendali tanpa penundaan |
| Penunjukan DPO | Wajib untuk kriteria tertentu (Pasal 53) | Wajib jika kriteria terpenuhi |
| Data sanitization | Wajib memastikan terjadi | Wajib mengeksekusi sesuai kontrak |
| Penalty (sanksi administratif) | Sampai 2% dari pendapatan tahunan | Sama, sebagai pihak yang ikut bertanggung jawab |
Klien yang baru kepikiran UU PDP saat audit datang biasanya menemukan satu hal kaget: vendor sewa laptop mereka tidak punya Data Processing Agreement (DPA) yang valid. Tanpa DPA, hubungan pengendali-prosesor tidak diatur secara hukum, dan pertanggungjawaban kalau ada insiden menjadi abu-abu.
Data Protection Officer (DPO): Siapa Wajib Menunjuk
Pasal 53 UU PDP mewajibkan penunjukan DPO untuk pengendali atau prosesor yang memenuhi salah satu kriteria: (a) memproses data pribadi untuk pelayanan publik; (b) kegiatan inti memerlukan pemantauan data pribadi secara teratur dan sistematis dalam skala besar; (c) kegiatan inti melibatkan pemrosesan data pribadi spesifik (kesehatan, keuangan, biometrik, anak, kriminal) dalam skala besar.
Vendor sewa laptop yang melayani bank, fintech, rumah sakit, atau lembaga pendidikan dengan ribuan unit aktif kemungkinan besar masuk kriteria (b) dan/atau (c). Klien dari industri tersebut wajib menanyakan apakah vendor sudah menunjuk DPO yang terdaftar. Lihat juga konteks vertical compliance di sewa laptop bank & fintech Jakarta dan sewa laptop rumah sakit & healthcare Jakarta.
Breach Notification: Aturan 72 Jam yang Sering Diabaikan
Pasal 46 ayat (3) UU PDP mewajibkan pemberitahuan ke Komdigi (dan subjek data) maksimal 3x24 jam sejak pengendali mengetahui adanya kegagalan pelindungan data. Untuk vendor sebagai prosesor, kewajibannya adalah lapor ke pengendali tanpa penundaan — biasanya diterjemahkan ke kontrak sebagai dalam 24 jam sejak diketahui.
Ini berarti kontrak sewa laptop yang serius harus memuat:
1. Definisi insiden data: apa yang dianggap breach (unit hilang sebelum di-sanitize, akses tidak sah ke image OS, dst); 2. Channel notifikasi: email + telepon ke PIC bernama, bukan helpdesk umum; 3. Konten notifikasi: kategori data terdampak, perkiraan jumlah subjek, dampak yang sudah terjadi, mitigasi yang sudah dilakukan; 4. Cooperation clause: vendor wajib bantu pengendali memenuhi kewajiban notifikasinya sendiri ke Komdigi.
Kalau vendor Anda tidak bisa menjamin notifikasi 24 jam karena alasan operasional, Anda mustahil memenuhi kewajiban 72 jam Anda sendiri — dan sanksi administratif jatuhnya ke Anda sebagai pengendali, bukan ke vendor.
Data Subject Rights: Akses, Koreksi, Portabilitas, Hapus
UU PDP memberi subjek data hak untuk: (a) mendapatkan informasi atas pemrosesan; (b) mengakses dan menyalin data; (c) memperbarui/mengoreksi; (d) menghapus atau memusnahkan; (e) menarik persetujuan; (f) keberatan atas keputusan berbasis pemrosesan otomatis; (g) memindahkan data ke pengendali lain (portabilitas).
Di konteks sewa laptop, hak yang paling sering tersentuh adalah hak hapus. Saat karyawan resign atau pelanggan minta data dihapus, perusahaan harus memastikan data di unit yang dipakai karyawan tersebut juga dihapus — termasuk kalau unitnya unit sewa yang sudah dikembalikan ke vendor. Inilah alasan teknis kenapa data sanitization dengan standar NIST 800-88 bukan opsional, melainkan basis pemenuhan hak subjek data.
Implication Praktis untuk Pengadaan Laptop Sewa
Beberapa pasal UU PDP punya implikasi langsung pada bagaimana kontrak sewa laptop ditulis — terutama saat memilih armada sewa laptop perusahaan yang UU PDP-compliant:
Custom OS image yang berisi data karyawan. Saat vendor menyiapkan image untuk 100 unit baru, dan image itu berisi data karyawan (template email yang sudah login, file referensi yang berisi nama karyawan, dst), vendor telah memproses data pribadi atas nama klien. Wajib ada DPA yang mengatur penggunaan terbatas pada konfigurasi awal saja dan penghapusan sumber image dalam jangka tertentu (misal 30 hari setelah deployment).
Data sanitization saat unit kembali. Cryptographic erase atau sanitization sesuai NIST 800-88 Purge level adalah standar minimum. Vendor wajib menerbitkan Certificate of Data Destruction per unit, di-archive minimal 3 tahun untuk audit.
Transfer data lintas batas. Pasal 56 UU PDP melarang transfer data pribadi ke luar negeri kecuali negara tujuan punya tingkat perlindungan setara, atau ada perlindungan kontraktual yang memadai. Kalau vendor menggunakan cloud asing untuk asset management atau telemetri MDM, ini perlu dipetakan dalam DPA.
Sub-prosesor. Kalau vendor sewa laptop pakai pihak ketiga (misal subkontraktor logistik atau teknisi on-site), itu sub-prosesor. Klien punya hak setuju atau menolak. Pastikan ada daftar sub-prosesor dalam DPA dan klausul notifikasi penambahan.
Compliance Status Arental — Snapshot Mei 2026
Untuk transparansi, berikut posisi compliance Arental terhadap UU PDP:
| Komponen | Status |
|---|---|
| Data Processing Agreement (DPA) template | Tersedia, di-customize per klien |
| Penunjukan DPO | Sudah, terdaftar |
| Breach notification protocol | 24 jam ke klien, channel via email + HP DPO |
| Data sanitization standard | NIST 800-88 Purge level untuk semua media |
| Certificate of Data Destruction | Diterbitkan per unit, di-archive 5 tahun |
| Sub-prosesor list | Disclosed di DPA |
| Audit logs MDM | Retained 1 tahun, akses klien on-request |
| Data center / cloud lokasi | Onshore Indonesia |
Posisi ini wajar bagi vendor sewa laptop kelas korporat — bukan keistimewaan, melainkan baseline. Bandingkan dengan vendor Anda saat ini menggunakan checklist di bawah.
Checklist Compliance UU PDP untuk Procurement Sewa Laptop
Gunakan checklist berikut saat RFP, vendor screening, atau audit kontrak existing:
- Vendor menyediakan DPA template terpisah dari kontrak utama;
- DPA memuat purpose limitation, retention period, dan deletion protocol;
- Vendor menunjuk DPO dengan nama, email, dan HP eksplisit;
- Breach notification clause maksimal 24 jam ke klien;
- Cooperation clause: vendor bantu klien penuhi notifikasi 72 jam ke Komdigi;
- Data sanitization protocol mengacu standar NIST 800-88 atau setara;
- Certificate of Data Destruction per unit, di-archive minimal 3 tahun;
- Daftar sub-prosesor disclosed, klien punya hak veto sub-prosesor baru;
- Data center / cloud onshore Indonesia (atau ada perlindungan kontraktual sesuai Pasal 56);
- Audit logs (MDM, dispatch, akses image) retained dan dapat diakses klien;
- Right-to-audit clause untuk pemeriksaan kepatuhan DPA;
- Indemnity clause: pembagian tanggung jawab kalau ada sanksi administratif.
Untuk konteks dokumen pengadaan secara lebih luas, lihat syarat dan dokumen sewa laptop perusahaan dan panduan pengadaan laptop perusahaan.
Sanksi: Apa yang Sebenarnya Bisa Terjadi
UU PDP memberi Komdigi kewenangan menjatuhkan sanksi administratif sampai 2% dari pendapatan tahunan perusahaan yang melanggar (Pasal 57). Untuk perusahaan dengan pendapatan Rp 500 miliar/tahun, ini berarti potensi sanksi Rp 10 miliar — angka yang membuat investasi compliance jadi sangat layak.
Selain sanksi administratif, ada juga sanksi pidana untuk pelanggaran berat seperti mengumpulkan data secara melawan hukum (Pasal 67) atau mengungkapkan data tanpa hak (Pasal 68). Tetapi yang lebih sering terjadi dalam praktik adalah reputational damage — pelanggaran data yang viral merusak kepercayaan klien dan karyawan secara permanen.
Pertanyaan yang Sering Diajukan
Apakah UU PDP berlaku untuk vendor yang juga proses data karyawannya sendiri?
Ya. Saat vendor memproses data karyawan kliennya (misal dalam custom image), vendor adalah prosesor untuk klien. Saat vendor memproses data karyawannya sendiri (payroll, HRIS), vendor adalah pengendali. Dua peran ini bisa berjalan bersamaan.
Apakah BYOD (Bring Your Own Device) terkena UU PDP?
Ya, kalau perangkat tersebut memproses data pribadi atas nama perusahaan. Justru BYOD sering lebih sulit di-comply karena perangkat tidak sepenuhnya dikontrol perusahaan. Sewa laptop dengan MDM lebih mudah dipertanggungjawabkan dari sisi compliance.
Apakah DPA bisa digabung ke kontrak utama?
Bisa, asalkan semua elemen wajib (purpose, retention, deletion, sub-prosesor, breach notification, audit rights) ada dalam dokumen. Tapi praktik baik adalah memisahkan DPA sebagai annex agar mudah di-revisi tanpa membuka ulang kontrak utama.
Bagaimana posisi UU PDP terhadap GDPR?
UU PDP mengadopsi banyak prinsip GDPR (kepatuhan, transparansi, breach notification 72 jam), tetapi struktur sanksi dan mekanisme penegakan berbeda. Perusahaan yang sudah GDPR-compliant umumnya sudah 80% UU PDP-compliant, tinggal menyesuaikan format dokumen ke bahasa Indonesia dan menyesuaikan dasar hukum ke UU 27/2022.
Penutup
UU PDP bukan beban — ia adalah kerangka yang merapikan apa yang seharusnya sudah dilakukan perusahaan yang serius mengelola data. Sewa laptop perusahaan dalam kerangka UU PDP berarti memilih vendor yang memperlakukan compliance bukan sebagai checklist, melainkan sebagai cara kerja sehari-hari. Untuk pembahasan operasionalnya, lihat IT asset management laptop perusahaan.
Untuk diskusi compliance UU PDP yang spesifik ke profil perusahaan Anda, hubungi tim Arental via halaman kontak.
Referensi & Sumber
Teks resmi: UU PDP 27/2022 di JDIH BPK; pedoman implementasi dari Kominfo.