6 Dasar Hukum Wajib Sebelum Memproses Data Pribadi: Panduan Pasal 20 UU PDP dan Perbandingannya dengan GDPR

Posted on Wednesday, 15 July 2026
Social Media Icon 1Social Media Icon 2Social Media Icon 3
image-1783926174575-707132704.jpg

6 Dasar Hukum Wajib Sebelum Memproses Data Pribadi: Panduan Pasal 20 UU PDP dan Perbandingannya dengan GDPR

Sebelum sebuah organisasi , baik itu perusahaan, instansi pemerintah, maupun individu yang mengelola data dalam skala tertentu mengumpulkan dan memproses data pribadi seseorang, ada satu pertanyaan mendasar yang wajib dijawab lebih dulu: "Apa dasar hukum saya untuk memproses data ini?"

Ini bukan pertanyaan administratif semata. Menurut UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), setiap pemrosesan data pribadi yang tidak memiliki dasar hukum yang sah dianggap melanggar hukum sejak awal, terlepas dari seberapa baik niat organisasi tersebut. Ketentuan ini diatur secara spesifik dalam Pasal 20 UU PDP.

Menariknya, struktur dasar hukum ini punya kemiripan yang cukup dekat dengan kerangka kerja internasional yang lebih dulu ada: Pasal 6 GDPR (General Data Protection Regulation) milik Uni Eropa, yang sudah lama jadi acuan global soal perlindungan data. Artikel ini akan membedah keenam dasar hukum dalam Pasal 20 UU PDP satu per satu, lengkap dengan contoh penerapannya, serta membandingkannya dengan enam basis hukum yang setara dalam GDPR.

Kenapa Dasar Hukum Ini Penting?

Berdasarkan Pasal 20 UU PDP, setiap Pengendali Data Pribadi wajib memiliki dasar pemrosesan yang sah sebelum mengumpulkan atau mengolah data pribadi seseorang. Tanpa dasar hukum yang jelas, pemrosesan data  sekecil apa pun  berpotensi dianggap ilegal dan bisa berujung pada sanksi administratif, bahkan pidana, tergantung tingkat pelanggarannya.

Prinsip ini konsisten dengan GDPR, yang secara tegas menyatakan bahwa pemrosesan data hanya sah jika minimal satu dari enam basis hukum terpenuhi (Pasal 6 ayat 1 GDPR). Kesamaan pendekatan ini bukan kebetulan. UU PDP memang dirancang selaras dengan standar perlindungan data internasional seperti GDPR, supaya Indonesia bisa lebih kompatibel dalam ekosistem digital global.

Baca artikel : Pentingnya Peran Konsultan ISO bagi Perusahaan Anda, Ketahui Faktanya Sekarang!

6 Dasar Hukum Pemrosesan Data Pribadi Menurut Pasal 20 UU PDP

1. Persetujuan Eksplisit dari Subjek Data

Dasar hukum paling umum digunakan: subjek data secara sadar dan sukarela memberikan persetujuan untuk satu atau beberapa tujuan tertentu yang sudah disampaikan sebelumnya oleh pengendali data.

Contoh penerapan: Sebuah aplikasi e-commerce meminta pengguna mencentang kotak persetujuan sebelum data nomor telepon dan alamatnya digunakan untuk keperluan pengiriman barang. Persetujuan ini harus jelas  bukan tersembunyi dalam syarat & ketentuan yang panjang dan tidak dibaca.

Padanan di GDPR: Consent Pasal 6(1)(a). GDPR bahkan lebih spesifik: persetujuan harus "freely given, specific, informed, and unambiguous" (diberikan secara bebas, spesifik, terinformasi, dan tidak ambigu), serta harus mudah ditarik kembali kapan saja oleh subjek data.

2. Pemenuhan Kewajiban Kontrak

Pemrosesan data dilakukan karena diperlukan untuk memenuhi perjanjian di mana subjek data adalah salah satu pihak, atau untuk mengambil langkah yang diminta subjek data sebelum perjanjian resmi dibuat.

Contoh penerapan: Sebuah perusahaan asuransi memproses data kesehatan calon nasabah untuk menghitung premi polis sebelum kontrak asuransi ditandatangani. Data ini diperlukan langsung untuk pelaksanaan kontrak, bukan untuk tujuan lain.

Padanan di GDPR: Contract Pasal 6(1)(b). Prinsipnya sama: organisasi tidak boleh memproses data melebihi apa yang benar-benar diperlukan untuk pelaksanaan kontrak tersebut.

3. Pemenuhan Kewajiban Hukum

Pemrosesan data dilakukan karena diwajibkan oleh peraturan perundang-undangan yang berlaku bagi pengendali data.

Contoh penerapan: Perusahaan wajib menyimpan data slip gaji dan pajak karyawan sesuai ketentuan perpajakan dan ketenagakerjaan yang berlaku, meskipun karyawan tidak diminta memberi persetujuan khusus untuk itu karena ini kewajiban hukum, bukan pilihan.

Padanan di GDPR: Legal Obligation Pasal 6(1)(c). Contoh serupa: kewajiban pelaporan pajak, pencatatan ketenagakerjaan, atau kepatuhan terhadap regulasi sektor keuangan.

4. Perlindungan Kepentingan Vital Subjek Data

Pemrosesan data dilakukan untuk melindungi nyawa atau kesehatan subjek data atau orang lain, biasanya dalam situasi darurat.

Contoh penerapan: Rumah sakit mengakses riwayat medis pasien yang tidak sadarkan diri untuk menentukan penanganan darurat yang tepat, tanpa sempat meminta persetujuan lebih dulu karena situasinya mendesak.

Padanan di GDPR: Vital Interests Pasal 6(1)(d). GDPR menekankan bahwa dasar ini sifatnya sempit dan spesifik hanya digunakan ketika benar-benar tidak ada dasar hukum lain yang lebih sesuai, dan situasinya menyangkut ancaman langsung terhadap nyawa.

5. Pelaksanaan Tugas Kepentingan Umum atau Pelayanan Publik

Pemrosesan data dilakukan dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan pengendali data berdasarkan peraturan perundang-undangan.

Contoh penerapan: Dinas Kependudukan dan Pencatatan Sipil memproses data KTP dan Kartu Keluarga warga untuk keperluan administrasi kependudukan dan penyaluran bantuan sosial pemerintah.

Padanan di GDPR: Public Task Pasal 6(1)(e). Biasanya digunakan oleh otoritas publik yang menjalankan fungsi resmi, seperti administrasi pemilu atau program kesehatan masyarakat.

6. Pemenuhan Kepentingan Sah Lainnya

Dasar hukum ini bersifat lebih fleksibel; pemrosesan data dilakukan demi kepentingan sah pengendali data, dengan tetap memperhatikan tujuan, kebutuhan, dan keseimbangan antara kepentingan pengendali data dan hak subjek data.

Contoh penerapan: Sebuah perusahaan retail menganalisis data transaksi pelanggan (tanpa mengidentifikasi individu secara spesifik) untuk mendeteksi potensi penipuan kartu kredit  ini demi melindungi kepentingan bisnis dan pelanggan lain, tapi tetap harus dipertimbangkan apakah ini tidak melanggar hak privasi pelanggan yang bersangkutan.

Padanan di GDPR: Legitimate Interests Pasal 6(1)(f). Ini salah satu basis yang paling sering disalahgunakan di Eropa karena sifatnya yang fleksibel banyak denda otoritas pengawas data Eropa (termasuk CNIL di Prancis) dijatuhkan justru karena organisasi mengklaim "kepentingan sah" tanpa penilaian yang memadai (dikenal sebagai Legitimate Interests Assessment). Ini jadi pelajaran penting: dasar hukum yang paling fleksibel justru butuh dokumentasi paling hati-hati.

Perbandingan Ringkas: Pasal 20 UU PDP vs Pasal 6 GDPR

No

Pasal 20 UU PDP

Pasal 6 GDPR

Kesamaan Inti

1

Persetujuan eksplisit

Consent

Sama persis keduanya menekankan persetujuan harus jelas dan spesifik

2

Pemenuhan kewajiban kontrak

Contract

Sama persis

3

Pemenuhan kewajiban hukum

Legal Obligation

Sama persis

4

Perlindungan kepentingan vital

Vital Interests

Sama persis

5

Kepentingan umum/pelayanan publik

Public Task

Sama persis

6

Kepentingan sah lainnya

Legitimate Interests

Sama persis, sama-sama butuh penilaian keseimbangan kepentingan

Kemiripan struktural ini menunjukkan bahwa UU PDP memang dirancang untuk selaras dengan standar internasional, sesuatu yang penting bagi perusahaan Indonesia yang ingin berhubungan bisnis dengan mitra atau klien di Eropa, karena kerangka berpikirnya sudah sejalan.

Kesalahan Umum yang Perlu Dihindari

  1. Memilih dasar hukum setelah data sudah dikumpulkan. Baik UU PDP maupun GDPR menegaskan bahwa dasar hukum harus ditentukan sebelum pemrosesan dimulai, bukan dicari-cari belakangan sebagai pembenaran.
  2. Menggunakan "persetujuan" untuk semua jenis pemrosesan. Padahal, kalau pemrosesan memang wajib secara hukum (misalnya pelaporan pajak), organisasi tidak perlu bahkan tidak seharusnya  meminta persetujuan, karena kewajiban hukum tidak bisa "dibatalkan" hanya karena seseorang menolak.
  3. Mengklaim "kepentingan sah lainnya" tanpa dokumentasi. Ini adalah dasar hukum paling fleksibel sekaligus paling berisiko disalahgunakan. Organisasi wajib bisa menunjukkan bukti bahwa kepentingan mereka memang seimbang dengan hak subjek data, bukan sekadar klaim sepihak.
  4. Tidak mendokumentasikan dasar hukum yang dipilih. Baik untuk keperluan audit internal maupun jika suatu saat ada sengketa hukum, organisasi harus punya catatan jelas tentang dasar hukum apa yang dipakai untuk setiap aktivitas pemrosesan data.

Baca artikel : Kebijakan Privasi Ditulis untuk Disetujui, Bukan untuk Dibaca dan Itu Adalah Masalah yang Menguntungkan Perusahaan, Bukan Kamu

Kesimpulan

Menentukan dasar hukum yang tepat sebelum memproses data pribadi bukan sekadar formalitas administratif; ini adalah fondasi yang menentukan apakah seluruh sistem pemrosesan data organisasi berjalan sah atau berisiko melanggar hukum sejak awal. Kesalahan dalam memilih atau mendokumentasikan dasar hukum sering menjadi akar masalah yang baru terlihat saat terjadi audit, sengketa, atau insiden kebocoran data, saat itu sudah terlambat untuk memperbaikinya secara diam-diam.

Bagi organisasi yang ingin memastikan sistem pemrosesan data pribadinya sudah sesuai UU PDP  sekaligus siap menghadapi standar internasional seperti GDPR jika berencana ekspansi bisnis ke luar negeri , pendampingan dari konsultan yang memahami kedua kerangka hukum ini bisa jadi langkah yang tepat untuk memulai.

 

Banner Image Mitra Berdaya Optima
Logo MItra Berdaya Optima
PT Mitra Berdaya Optima

Yogyakarta Office

Partner Space Coworking
Jalan Dladan No. 98 Tamanan, Banguntapan, Bantul, Daerah Istimewa Yogyakarta 55191

Jakarta Office

Jalan Mampang Prapatan Raya No.73A Lantai 3 Jakarta Selatan 12790

Follow Us

Social Media Icon 1Social Media Icon 2Social Media Icon 3Social Media Icon 4Social Media Icon 5

Subscribe newsletter

Get the latest insights on organizational management, corporate governance, and information security delivered straight to your inbox.

By subscribing, you agree to our Privacy Policy.

© Copyright 2026 PT Mitra Berdaya Optima - All Rights Reserved