UU PDP No. 27/2022 untuk Data Peserta Pelatihan: Panduan Operasional Pengendali–Prosesor, DPO, Notifikasi, Retensi, dan Sanksi

Jawaban singkat: Data peserta pelatihan (daftar hadir, hasil asesmen, rekaman sesi, foto kelas) adalah data pribadi menurut UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), yang berlaku penuh sejak 17 Oktober 2024. Perusahaan pembeli adalah Pengendali Data; vendor pelatihan yang memproses data atas nama Anda menjadi Prosesor. Tanggung jawab utama tetap di Pengendali walau pelanggaran terjadi di vendor, sehingga kontrak vendor wajib memuat sembilan klausul minimum: peran, tujuan, retensi, keamanan, sub-prosesor, transfer lintas batas, notifikasi insiden ≤24 jam, pemusnahan bukti, dan hak audit. Sanksi mencapai 2% pendapatan tahunan (administratif) dan pidana 6 tahun + Rp60 miliar untuk korporasi.

Sebagian besar artikel UU PDP berhenti pada definisi data pribadi dan ringkasan sanksi. Pembeli pelatihan yang harus mempertanggungjawabkan kontrak vendor butuh lebih dari itu: pemetaan operasional peran pengendali–prosesor, kewajiban DPO pascaputusan MK 151/2024, mekanisme konsen rekaman sesi, masa retensi data pelatihan, jalur transfer lintas batas, dan klausul kontrak yang memindahkan risiko ke pihak yang seharusnya menanggungnya. Panduan ini menutup celah itu dengan rujukan pasal yang spesifik, bukan generalisasi.

Pembaca yang dituju: tim HR / HC / L&D / SDM, Legal & Compliance, DPO/Privacy, dan Procurement di perusahaan swasta, BUMN/BUMD, instansi pemerintah, lembaga, asosiasi, dan organisasi nonprofit yang membeli atau menyelenggarakan pelatihan untuk karyawan/anggotanya.

Navigasi cepat

1. Mengapa pelatihan = pemrosesan data pribadi
2. Peran pengendali dan prosesor (Pasal 1, 47–51)
3. Hak subjek data peserta (Pasal 5–13)
4. DPO: kewajiban pascaputusan MK No. 151/PUU-XXII/2024
5. Konsen yang sah untuk foto, video, dan rekaman sesi
6. Minimisasi data dan retensi data pelatihan
7. Notifikasi insiden: tenggat 3x24 jam (Pasal 46)
8. Transfer data lintas batas (Pasal 56) untuk LMS global
9. Sanksi: administratif 2% dan pidana sampai 6 tahun
10. Klausul kontrak vendor pelatihan: sembilan wajib
11. Checklist due diligence vendor (siap pakai)
12. Contoh kasus: program akademi internal multi-batch
13. Kesalahan umum & cara menghindarinya
14. FAQ
15. Langkah berikutnya

Mengapa pelatihan = pemrosesan data pribadi

Mulai dari definisi yang resmi. UU PDP Pasal 1 ayat (1) menyebut data pribadi sebagai data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik. Hampir semua artefak pelatihan masuk definisi ini:

• Daftar hadir (nama + NIP + email kantor).
• Hasil pre/post-test, asesmen kompetensi, hasil 360-feedback.
• Rekaman video sesi, transkrip diskusi, foto kelompok.
• Laporan progres yang menautkan kinerja ke individu.
• Data demografi peserta yang dikumpulkan untuk personalisasi.

Sebagian naik kelas menjadi data pribadi yang bersifat spesifik (Pasal 4 ayat 2), data kesehatan, biometrik, genetik, anak, pandangan politik/agama, catatan keuangan pribadi, yang memerlukan perlindungan lebih ketat. Pelatihan kesejahteraan mental, pelatihan keselamatan kerja yang merekam kondisi fisik, atau coaching eksekutif yang menyentuh data finansial keluarga, semuanya berisiko menyentuh kategori spesifik.

Konsekuensi praktisnya tunggal: setiap program pelatihan adalah aktivitas pemrosesan data pribadi, dan tunduk pada seluruh kewajiban UU PDP, bukan hanya bila ada kebocoran.

Peran pengendali dan prosesor (Pasal 1, 47–51)

Dua peran ini menentukan siapa menanggung apa.

• Pengendali Data Pribadi (Pasal 1 ayat 4), pihak yang menentukan tujuan dan melakukan kendali pemrosesan. Saat perusahaan Anda memutuskan menjalankan program kepemimpinan, memilih siapa pesertanya, dan apa yang ingin diukur, Anda adalah Pengendali.
• Prosesor Data Pribadi (Pasal 1 ayat 5), pihak yang melakukan pemrosesan atas nama Pengendali. Vendor pelatihan yang menerima daftar peserta, menjalankan asesmen, dan mengirim laporan adalah Prosesor.

Konsekuensi yang sering diabaikan: tanggung jawab utama atas pelanggaran tetap di Pengendali (Pasal 47 & 51). Walaupun kebocoran terjadi di server vendor, Subjek Data dan Lembaga PDP akan menyasar perusahaan Anda terlebih dahulu. Klausul indemnifikasi vendor memindahkan beban finansial, tetapi tidak memindahkan beban reputasi atau kewajiban notifikasi.

Aturan praktis: Pengendali bertanggung jawab; Prosesor menjalankan. Bila tidak ada perjanjian tertulis yang mengikat Prosesor pada standar Pengendali, Prosesor menjadi cermin Pengendali, dan kelalaian Prosesor menjadi pelanggaran Pengendali.

Hak subjek data peserta (Pasal 5–13)

UU PDP memberi sepuluh hak kepada subjek data. Untuk konteks peserta pelatihan, terjemahannya operasional:

Pasal	Hak	Implikasi praktis untuk pelatihan
5	Mendapat informasi (kejelasan & tujuan)	Sediakan privacy notice singkat di awal program
6	Melengkapi, memperbarui, memperbaiki data	Peserta berhak mengoreksi hasil asesmen yang keliru
7	Akses dan salinan data	Permintaan salinan asesmen wajib difasilitasi
8	Menarik konsen	Tarik konsen rekaman tanpa kehilangan hak ikut kelas
9	Mengajukan keberatan tindakan otomatis	Skoring otomatis pemeringkatan harus bisa ditinjau manual
10	Menunda atau membatasi pemrosesan	Permintaan tunda diproses sementara verifikasi
11	Menuntut & menerima ganti rugi	Jalur klaim harus jelas di kebijakan privasi
12	Penghapusan/pemusnahan data	Sediakan SOP pemusnahan tepat waktu
13	Memperoleh data dalam format terstruktur (portabilitas)	Salinan laporan kompetensi dapat di-export
,	(Pasal 14–15) Hak khusus skala spesifik & dikecualikan dalam hal hukum	Periksa per kasus

Perusahaan wajib membangun kanal resmi yang bisa diakses peserta (email DPO, formulir di portal HR) dengan tenggat respons internal terdokumentasi. Vendor yang memproses data harus dikontrak agar meneruskan permintaan dalam tenggat lebih ketat (mis. ≤2 hari kerja) agar Anda sebagai Pengendali sempat memenuhi kewajiban hukum.

DPO: kewajiban pascaputusan MK No. 151/PUU-XXII/2024

Pasal 53 UU PDP mewajibkan penunjukan Data Protection Officer (DPO) bila salah satu kriteria terpenuhi: (i) pemrosesan untuk pelayanan publik; (ii) kegiatan inti memerlukan pemantauan teratur dan sistematis pada skala besar; (iii) kegiatan inti berupa pemrosesan skala besar data pribadi yang bersifat spesifik atau data terkait tindak pidana.

Pada 16 Juli 2025, Mahkamah Konstitusi RI mengeluarkan Putusan No. 151/PUU-XXII/2024 yang menyatakan kata penghubung "dan" pada Pasal 53 ayat (1) inkonstitusional, ambangnya turun. Memenuhi salah satu kriteria saja sudah cukup untuk wajib menunjuk DPO. Implikasinya pada pembeli pelatihan:

• Perusahaan menengah–besar dengan akademi internal yang menjalankan asesmen kompetensi rutin lintas unit besar kemungkinan masuk ambang "pemantauan teratur dan sistematis pada skala besar".
• Instansi pemerintah dan BUMN yang memproses data pelatihan ASN/pegawai untuk pelayanan publik otomatis masuk kriteria (i).
• Vendor pelatihan dengan ratusan peserta lintas-klien berbasis platform berkemungkinan menjadi Prosesor wajib DPO (Pasal 53 ayat 2).

DPO tidak perlu manajer baru, fungsi dapat dirangkap pejabat eksisting (legal, compliance, atau privacy) sepanjang independensinya terjaga. Yang tidak dapat dirangkap: peran yang menentukan tujuan/cara pemrosesan (mis. CIO/CTO yang juga merancang sistem) karena akan menciptakan konflik kepentingan.

Inti: Pascaputusan MK, ambang DPO turun. Bila Anda menjalankan akademi internal aktif atau pemrosesan data pelatihan skala besar, asumsikan wajib, dan tunjuk sebelum audit menemukannya.

Konsen yang sah untuk foto, video, dan rekaman sesi

Banyak vendor masih memakai klausul selimut "dengan mendaftar Anda menyetujui semua dokumentasi". Pasal 22 UU PDP menutup pintu itu. Konsen yang sah harus:

1. Eksplisit, pernyataan setuju yang jelas, bukan diam atau pre-ticked box.
2. Spesifik per tujuan, konsen kehadiran berbeda dari konsen rekaman sesi, foto kelompok, publikasi testimoni, dan rekaman audio coaching.
3. Informasi lengkap, peserta tahu data apa, untuk apa, berapa lama, siapa yang menerima.
4. Bebas, penolakan satu jenis pemrosesan tidak menghilangkan hak ikut pelatihan (kecuali pemrosesan itu inheren ke layanan, mis. nama untuk sertifikat).
5. Dapat ditarik, penarikan konsen mudah dan tidak boleh lebih sulit daripada pemberiannya.

Praktik sehat untuk sesi pelatihan: gunakan formulir konsen berlapis dengan checkbox terpisah:

• ☐ Saya setuju kehadiran saya dicatat untuk keperluan sertifikat dan laporan internal.
• ☐ Saya setuju sesi direkam (audio/video) untuk dokumentasi internal selama maksimal 90 hari.
• ☐ Saya setuju foto kelompok dipakai di komunikasi internal organisasi.
• ☐ Saya setuju nama dan testimoni dipakai di komunikasi eksternal/marketing vendor.

Penarikan konsen wajib disambungkan ke mekanisme operasional: bila peserta menarik konsen rekaman pada hari ke-30, rekaman wajib dihapus dalam tenggat internal (mis. ≤14 hari) dengan bukti pemusnahan.

Minimisasi data dan retensi data pelatihan

UU PDP Pasal 16 ayat (2) memuat prinsip-prinsip pemrosesan, termasuk huruf (b) terbatas dan spesifik, huruf (c) sesuai tujuan, huruf (f) akurat & terkini, dan huruf (g) batas waktu sesuai keperluan (prinsip minimisasi-retensi). Pasal 43 mengatur penghapusan; Pasal 44 mengatur pemusnahan setelah masa retensi berakhir atau tujuan tercapai.

Untuk data pelatihan, pemetaan retensi yang sehat:

Jenis data	Saran retensi	Dasar
Daftar hadir & sertifikat	5–10 tahun	Audit HR & ketenagakerjaan; PMK pengadaan untuk instansi
Hasil asesmen final yang masuk laporan kompetensi	Sesuai siklus pengembangan karier (mis. 3–5 tahun)	Kebutuhan HR
Asesmen mentah (jawaban individu pre/post test)	30–90 hari pasca-laporan akhir	Sudah diserap ke laporan; tujuan tercapai
Rekaman sesi video/audio	60–90 hari (bila tujuan dokumentasi internal)	Tujuan terbatas; risiko tinggi
Foto kelas	Mengikuti masa konsen + maksimal 1 tahun	Konsen spesifik
Catatan diskusi pribadi/coaching	Sesuai kontrak coaching, biasanya 30 hari	Sensitif
Daftar dropout/penolak konsen	Hanya kebutuhan administrasi internal	Minimisasi

Kontrak vendor wajib memuat masa retensi spesifik per kategori data, kewajiban pemusnahan otomatis di akhir tenggat, dan bukti pemusnahan tertulis (mis. surat pernyataan + log sistem) sebagai prasyarat pencairan termin akhir.

Notifikasi insiden: tenggat 3x24 jam (Pasal 46)

Pasal 46 UU PDP mewajibkan Pengendali memberi pemberitahuan tertulis paling lambat 3x24 jam (72 jam) sejak insiden diketahui kepada Subjek Data Pribadi dan Lembaga (otoritas PDP). Pemberitahuan harus memuat: jenis data yang terungkap, waktu dan cara kejadian, dan upaya penanganan/pemulihan. Bila berdampak luas, wajib disampaikan juga kepada masyarakat.

Tenggat 72 jam terasa panjang sampai Anda menjalankan timeline-nya secara realistis:

Jam	Aktivitas
0–6	Identifikasi awal + konfirmasi insiden + isolasi sistem
6–24	Investigasi cakupan: data apa, berapa subjek, vektor masuk
24–48	Drafting notifikasi + review legal + DPO + komunikasi internal
48–72	Pengiriman ke subjek data + Lembaga PDP; persiapan komunikasi publik bila berdampak luas

Inilah alasan kontrak vendor wajib memuat tenggat notifikasi internal ≤24 jam dari saat vendor mengetahui insiden, agar Anda sebagai Pengendali masih punya 48 jam untuk menjalankan empat tahap di atas. Klausul "notifikasi dalam waktu yang wajar" tidak memadai; pasang angka.

Callout: Insiden yang ditemukan vendor pada hari Jumat sore, dilaporkan ke Anda hari Senin pagi, sudah membakar 60+ jam dari kuota 72 jam Anda. SLA notifikasi internal vendor adalah perisai utama Pengendali.

Transfer data lintas batas (Pasal 56) untuk LMS global

Banyak organisasi memakai LMS/LXP global (Cornerstone, Docebo, Coursera for Business, LinkedIn Learning) atau cloud yang server-nya di luar Indonesia. Pasal 56 UU PDP mengizinkan transfer data ke luar negeri dengan salah satu dasar:

1. Negara tujuan memiliki tingkat perlindungan setara atau lebih tinggi dari UU PDP (penilaian dilakukan Lembaga PDP).
2. Terdapat perlindungan memadai yang mengikat, misalnya klausul kontraktual standar, sertifikasi privasi (ISO/IEC 27701, BCR), atau kebijakan perlindungan intra-grup.
3. Konsen Subjek Data Pribadi.

Praktik sehat untuk pembeli pelatihan korporat:

• Pilih layanan dengan region penyimpanan di Indonesia bila tersedia (banyak vendor cloud besar sekarang menyediakan region Jakarta).
• Bila tidak tersedia, gunakan klausul kontraktual standar yang merefleksikan kewajiban UU PDP (mirip pola SCC ala EU GDPR; konsultasikan dengan legal).
• Dokumentasikan basis transfer per kategori data di register pemrosesan.
• Cantumkan transfer di privacy notice peserta secara eksplisit, termasuk negara tujuan.
• Untuk sektor diatur (perbankan tunduk POJK No. 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum, kesehatan tunduk PMK Kemenkes terkait rekam medis elektronik), tambahkan kepatuhan sektoral.

Sanksi: administratif 2% dan pidana sampai 6 tahun

Konsekuensi pelanggaran membuat investasi kepatuhan ekonomis dengan cepat.

Sanksi administratif (Pasal 57) berjenjang dari ringan ke berat:

1. Peringatan tertulis.
2. Penghentian sementara kegiatan pemrosesan.
3. Penghapusan atau pemusnahan data pribadi.
4. Denda administratif paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.

Sanksi pidana lebih berat:

Pasal	Pelanggaran	Pidana penjara	Denda
67(1)	Mengumpulkan data secara melawan hukum	maks 5 tahun	maks Rp5 miliar
67(2)	Mengungkapkan data secara melawan hukum	maks 4 tahun	maks Rp4 miliar
67(3)	Menggunakan data secara melawan hukum	maks 5 tahun	maks Rp5 miliar
68	Memalsukan data	maks 6 tahun	maks Rp6 miliar
69	Membuat data palsu/pemalsuan data	maks 6 tahun	maks Rp6 miliar

Pasal 70 menaikkan denda sampai 10× lipat bila pelaku korporasi, ditambah sanksi tambahan: perampasan keuntungan/aset, pembekuan seluruh atau sebagian kegiatan, larangan sementara, penutupan, hingga pembubaran korporasi.

Implikasi untuk pembeli pelatihan: pelanggaran yang terjadi di vendor (kebocoran, penggunaan data peserta untuk marketing tanpa konsen, transfer lintas batas tanpa dasar) tetap dapat menjadi pelanggaran Pengendali. Klausul kontrak adalah pengalihan risiko utama sebelum klausul indemnifikasi.

Klausul kontrak vendor pelatihan: sembilan wajib

Jadikan sembilan klausul ini sebagai lampiran perlindungan data pribadi yang menempel pada NDA/kontrak vendor, bukan paragraf tersembunyi:

1. Penegasan peran, vendor adalah Prosesor; perusahaan adalah Pengendali; vendor hanya memproses atas instruksi tertulis Pengendali.
2. Tujuan, jenis & kategori data, daftar terbatas (mis. nama, email kantor, jabatan, hasil asesmen kompetensi X); larangan pemrosesan tujuan lain (marketing vendor, pelatihan model AI, dst.).
3. Durasi & retensi eksplisit, masa retensi per kategori data dengan tanggal pemusnahan otomatis.
4. Standar keamanan teknis & organisasi, enkripsi transit (TLS 1.2+) dan at-rest (AES-256), kontrol akses berbasis peran, audit log, MFA untuk akses admin, pelatihan PDP staf vendor.
5. Sub-prosesor, larangan tanpa persetujuan tertulis Pengendali; daftar sub-prosesor disclosed di lampiran; perubahan diberitahukan ≥30 hari sebelumnya.
6. Transfer lintas batas, basis Pasal 56 yang dipakai, dengan dokumentasi per kategori data.
7. Notifikasi insiden, kewajiban memberitahu Pengendali dalam ≤24 jam sejak diketahui; mencakup jenis data, perkiraan jumlah subjek terdampak, dan upaya penanganan.
8. Pemusnahan & bukti, di akhir program, vendor memusnahkan seluruh data peserta dan menyerahkan surat pernyataan pemusnahan + log sistem sebagai prasyarat pencairan termin akhir.
9. Hak audit & indemnifikasi, Pengendali berhak melakukan audit (langsung atau via auditor independen) dengan pemberitahuan wajar; vendor menanggung ganti rugi atas pelanggaran yang berasal dari kelalaiannya.

Untuk panduan kontrak lebih luas (termasuk dimensi pajak dan pengadaan), lihat Prosedur PO, PPN & Faktur Pajak Pelatihan.

Checklist due diligence vendor (siap pakai)

Sebelum tanda tangan, pastikan semua tercentang:

• Kebijakan privasi internal vendor diterima dan ditelaah.
• Peta aliran data (data flow diagram) program pelatihan disertakan.
• Daftar sub-prosesor dan region penyimpanan diketahui.
• Prosedur respons insiden tertulis disertakan, dengan tenggat internal ≤24 jam dijanjikan.
• Bukti pelatihan PDP untuk staf vendor yang menangani data peserta.
• Sertifikasi sistem manajemen keamanan informasi (ISO/IEC 27001) atau privasi (ISO/IEC 27701) bila relevan.
• Klausul transfer lintas batas dengan basis Pasal 56 yang jelas.
• Konsen peserta berlapis (kehadiran/rekaman/foto/testimoni terpisah).
• Masa retensi per kategori data terdokumentasi.
• Komitmen pemusnahan + bukti tertulis terikat di kontrak.
• Hak audit Pengendali eksplisit.
• Klausul ganti rugi/indemnifikasi disepakati.

Vendor yang menolak menjawab atau menyodorkan jawaban generik adalah red flag berat, setara vendor yang menolak menerbitkan faktur pajak. Untuk panduan rubrik skoring vendor pelatihan lebih luas, lihat Cara Memilih Vendor Pelatihan Korporat.

Contoh kasus: program akademi internal multi-batch

Skenario peraga (ilustrasi metode, bukan klien nyata):

Sebuah BUMN menjalankan Akademi Leadership untuk 600 supervisor dalam 12 batch sepanjang tahun. Vendor pelatihan eksternal menjalankan asesmen 360, sesi tatap muka, dan coaching follow-up. Pemetaan UU PDP:

Peran: BUMN = Pengendali; vendor = Prosesor; platform asesmen 360 dari vendor pihak ketiga = sub-prosesor.

Kategori data: nama/NIP/jabatan (umum); hasil 360 feedback dengan komentar atasan-bawahan-sejawat (sensitif konteks); rekaman sesi coaching (sangat sensitif).

DPO: Pemrosesan reguler skala besar lintas unit → BUMN wajib menunjuk DPO (kriteria Pasal 53). Vendor wajib menunjuk DPO sendiri (Pasal 53 ayat 2).

Konsen: Berlapis, kehadiran (basis kontrak kerja), 360 feedback (konsen + kerahasiaan rater), rekaman coaching (konsen eksplisit, opt-out tanpa konsekuensi karier).

Retensi: Daftar hadir 10 tahun (sesuai audit HR); hasil 360 yang masuk laporan pengembangan 3 tahun; data mentah 360 dimusnahkan 90 hari pasca-laporan; rekaman coaching 30 hari pasca-sesi.

Transfer lintas batas: Bila platform 360 di-host di Singapura, basis Pasal 56(b) dengan klausul kontraktual standar; cantumkan di privacy notice.

Insiden: Vendor wajib notifikasi BUMN ≤24 jam; DPO BUMN aktivasi prosedur 72 jam.

Pemusnahan: Akhir program → surat pernyataan pemusnahan + log dari vendor + sub-prosesor → prasyarat pencairan termin akhir 10%.

Pelajaran kasus: kepatuhan PDP bukan tambahan; ia memetakan ulang lima kategori keputusan program (konsen, retensi, transfer, DPO, kontrak) sebelum batch pertama berjalan.

Kesalahan umum & cara menghindarinya

Inti yang perlu diingat:

• Menganggap data pelatihan "bukan data sensitif" → semua artefak pelatihan = data pribadi; sebagian = data spesifik.
• Memakai klausul konsen selimut → bangun konsen berlapis per tujuan (Pasal 22).
• Tidak menunjuk DPO karena "terlalu ribet" → pascaputusan MK 151/2024 ambang turun; asumsikan wajib bila akademi internal aktif.
• Tidak mengatur retensi dan pemusnahan → pelanggaran prinsip Pasal 16(2)(g); rancang masa retensi per kategori.
• Tenggat notifikasi vendor "wajar" → pasang angka ≤24 jam agar tenggat Pengendali 72 jam terjaga.
• Memakai LMS global tanpa basis transfer → dokumentasikan Pasal 56 per kategori data.
• Mengandalkan indemnifikasi vendor → tanggung jawab Pengendali tetap; klausul preventif lebih kuat dari klausul kuratif.

FAQ

Apakah daftar hadir, hasil asesmen, dan foto sesi pelatihan termasuk data pribadi menurut UU PDP?

Ya. UU No. 27 Tahun 2022 Pasal 1 ayat (1) mendefinisikan data pribadi sebagai data tentang orang perseorangan teridentifikasi atau dapat diidentifikasi. Nama, jabatan, email kantor, hasil asesmen kompetensi, skor pre/post-test, rekaman sesi, dan foto kelas semuanya teridentifikasi pada individu, sehingga tunduk penuh pada UU PDP. Bila pelatihan menyentuh data kesehatan, kepercayaan, atau data anak, ia naik kelas menjadi data pribadi yang bersifat spesifik (Pasal 4 ayat 2) dengan kewajiban perlindungan lebih ketat.

Siapa pengendali dan siapa prosesor saat perusahaan membeli pelatihan dari vendor?

Perusahaan pembeli adalah Pengendali Data Pribadi karena ia menentukan tujuan dan kendali pemrosesan (Pasal 1 ayat 4). Vendor pelatihan yang memproses data atas nama pembeli adalah Prosesor Data Pribadi (Pasal 1 ayat 5). Tanggung jawab utama tetap pada Pengendali walaupun pemrosesan dijalankan Prosesor, sehingga perjanjian tertulis yang mengikat vendor pada standar keamanan, tujuan, retensi, dan pelaporan insiden adalah kewajiban, bukan formalitas.

Apakah perusahaan kami wajib menunjuk Data Protection Officer (DPO) untuk program pelatihan?

Pasal 53 UU PDP mewajibkan penunjukan DPO jika pemrosesan untuk pelayanan publik, atau kegiatan inti memerlukan pemantauan teratur dan sistematis pada skala besar, atau pemrosesan skala besar atas data pribadi spesifik. Putusan MK No. 151/PUU-XXII/2024 (Juli 2025) menyatakan kata 'dan' di Pasal 53(1) inkonstitusional sehingga ambangnya turun, memenuhi salah satu kriteria saja sudah cukup. Banyak perusahaan menengah–besar dengan program pelatihan rutin lintas unit kini masuk ambang ini, terutama bila menjalankan akademi internal dengan asesmen berkelanjutan.

Apakah vendor harus minta konsen tertulis untuk merekam atau memotret sesi pelatihan?

Ya. Konsen yang sah menurut Pasal 22 UU PDP harus eksplisit, spesifik per tujuan, informasi lengkap, bebas, dan dapat ditarik. Klausa selimut 'dengan mendaftar Anda setuju semua bentuk dokumentasi' tidak memenuhi syarat. Praktik sehat: pisahkan konsen kehadiran (basis kontrak pelatihan) dari konsen rekaman sesi, foto kelas, publikasi testimoni, dan rekaman audio coaching. Sediakan opsi opt-out tanpa konsekuensi terhadap partisipasi pelatihan.

Berapa lama batas notifikasi kebocoran data dan kepada siapa harus dilapor?

Pasal 46 UU PDP mewajibkan pemberitahuan tertulis paling lambat 3x24 jam (72 jam) sejak diketahui kepada Subjek Data Pribadi dan Lembaga (otoritas PDP). Pemberitahuan memuat jenis data yang terungkap, waktu dan cara kejadian, dan upaya penanganan. Bila berdampak luas, wajib disampaikan juga kepada masyarakat. Kontrak dengan vendor harus mengikat vendor memberi notifikasi internal jauh lebih cepat (idealnya ≤24 jam dari diketahui) agar Pengendali sempat memenuhi tenggat 72 jam ke publik.

Berapa lama data peserta pelatihan boleh disimpan dan kapan wajib dimusnahkan?

UU PDP Pasal 16(2)(g) menetapkan prinsip retensi sesuai keperluan; Pasal 43 mengatur penghapusan dan Pasal 44 mengatur pemusnahan saat masa retensi berakhir, tujuan sudah tercapai, atau atas permintaan subjek (kecuali pengecualian hukum). Praktik sehat untuk data pelatihan: simpan daftar hadir dan sertifikat sesuai kebutuhan audit/HR (umumnya 5–10 tahun mengikuti ketentuan ketenagakerjaan/audit), rekaman sesi dan draf asesmen dimusnahkan dalam 30–90 hari pasca-laporan, hasil asesmen mentah diserap ke laporan akhir lalu dimusnahkan. Kontrak harus memuat masa retensi spesifik plus kewajiban penyerahan bukti pemusnahan.

Berapa besar sanksi pelanggaran UU PDP dan apakah ada konsekuensi pidana?

Sanksi administratif Pasal 57 berjenjang: peringatan tertulis, penghentian sementara pemrosesan, penghapusan/pemusnahan, dan denda administratif paling tinggi 2% dari pendapatan tahunan terhadap variabel pelanggaran. Sanksi pidana Pasal 67–69 jauh lebih berat: pengumpulan ilegal hingga 5 tahun + Rp50 miliar, pengungkapan ilegal hingga 4 tahun + Rp4 miliar, pemalsuan hingga 6 tahun + Rp60 miliar. Korporasi (Pasal 70) dapat dikenakan denda 10× lipat plus sanksi tambahan (perampasan keuntungan, pembekuan, pembubaran). Tanggung jawab Pengendali tetap walau pelanggaran terjadi di Prosesor, sehingga klausul vendor adalah perisai pertama.

Apa saja klausul wajib yang harus ada di kontrak vendor pelatihan agar selaras UU PDP?

Minimal sembilan klausul: (1) penegasan peran Pengendali–Prosesor; (2) tujuan, jenis, dan kategori data yang diproses; (3) durasi pemrosesan & masa retensi eksplisit; (4) standar keamanan teknis & organisasi (enkripsi transit/at-rest, kontrol akses berbasis peran, log); (5) larangan sub-prosesor tanpa persetujuan tertulis; (6) larangan transfer lintas batas tanpa basis Pasal 56 (negara dengan tingkat perlindungan setara, perlindungan memadai, atau konsen subjek); (7) kewajiban notifikasi insiden ≤24 jam internal; (8) kewajiban pemusnahan dengan bukti tertulis di akhir program; (9) hak audit Pengendali dan klausul ganti rugi/indemnifikasi. Klausa ini bukan tambahan, ia syarat kontrak.

Apakah data peserta boleh ditransfer ke vendor LMS atau cloud di luar Indonesia?

Boleh, dengan basis hukum Pasal 56. Tiga jalur: (a) negara tujuan memiliki tingkat perlindungan setara atau lebih tinggi dari UU PDP; (b) terdapat perlindungan memadai dan mengikat (mis. klausul kontraktual standar, sertifikasi); (c) konsen subjek data. Praktik sehat: pilih cloud dengan region Indonesia jika tersedia, pakai standar kontraktual yang merefleksikan kewajiban UU PDP, dokumentasikan basis transfer per kategori data, dan informasikan transfer di kebijakan privasi peserta. Untuk sektor diatur (perbankan, kesehatan), tambahkan kepatuhan sektoral (POJK, regulasi Kemenkes).

Bagaimana memastikan vendor pelatihan memenuhi UU PDP sebelum kontrak?

Lakukan due diligence singkat: minta kebijakan privasi internal vendor, peta aliran data (data flow) program pelatihan, daftar sub-prosesor dan region penyimpanan, prosedur respons insiden, bukti pelatihan PDP staf, dan jika relevan sertifikasi sistem manajemen keamanan informasi (ISO/IEC 27001) atau privasi (ISO/IEC 27701). Cantumkan jawaban-jawaban ini sebagai lampiran kontrak agar mengikat. Vendor yang menolak menjawab atau menyodorkan jawaban generik adalah red flag yang sama beratnya dengan vendor yang menolak menerbitkan faktur pajak.

Apa hak subjek data pelatihan dan bagaimana perusahaan memfasilitasinya?

Pasal 5–13 UU PDP memberi sepuluh hak subjek, termasuk hak akses, perbaikan, penghapusan, penarikan konsen, penundaan/pembatasan pemrosesan, portabilitas, dan ganti rugi. Untuk konteks pelatihan: peserta berhak meminta salinan asesmen mereka, koreksi data yang tidak akurat, dan menarik konsen rekaman tanpa kehilangan hak ikut pelatihan. Buat kanal resmi (alamat email DPO atau formulir) dengan tenggat respons internal (mis. ≤7 hari) dan SLA dengan vendor untuk meneruskan permintaan dalam ≤2 hari kerja.

Apakah perusahaan asing dengan karyawan di Indonesia tunduk UU PDP?

Ya. UU PDP berlaku ekstrateritorial: Pasal 2 mengikat siapa saja yang memproses data pribadi Subjek Data warga Indonesia, terlepas dari lokasi pengendali. Perusahaan asing yang menyelenggarakan pelatihan global untuk karyawan Indonesia tetap menjadi Pengendali tunduk UU PDP, termasuk kewajiban penunjukan perwakilan di Indonesia bila masuk kriteria Pasal 53, kewajiban basis transfer Pasal 56, dan kewajiban notifikasi insiden 3x24 jam. Tata kelola pelatihan lintas-negara harus memetakan ini sejak rancangan program.

Langkah berikutnya

Anda kini punya peta operasional UU PDP No. 27/2022 yang spesifik untuk data peserta pelatihan: peran pengendali–prosesor, ambang DPO pascaputusan MK, konsen berlapis, retensi per kategori, notifikasi 72 jam dengan SLA vendor 24 jam, basis transfer lintas batas, sembilan klausul kontrak, dan jenjang sanksi. Langkah berikutnya yang masuk akal adalah memetakan vendor pelatihan aktif Anda terhadap checklist due diligence, sebelum batch berikutnya berjalan.

Neksus merancang setiap program dengan perlindungan data pribadi tertanam sejak rancangan (privacy by design): perjanjian Pengendali–Prosesor, konsen berlapis, masa retensi terdokumentasi, dan komitmen notifikasi internal ≤24 jam. Diskusikan kebutuhan tim Anda dan minta sesi TNA awal lewat halaman kontak Neksus, tanpa kewajiban, sebagai titik mulai yang aman.

Pelajari juga panduan yang melengkapi keputusan kepatuhan Anda:

• Cara Memilih Vendor / Lembaga Pelatihan Korporat
• Prosedur PO, PPN & Faktur Pajak Pelatihan
• Training Needs Analysis (TNA): Apa, Kenapa, Cara
• Keamanan Siber & Kesadaran Karyawan
• Lihat seluruh katalog pelatihan →

---

Terakhir diperbarui: 18 Mei 2026. Panduan ini menjelaskan mekanisme umum UU No. 27 Tahun 2022, Putusan MK No. 151/PUU-XXII/2024, dan kebiasaan praktik kepatuhan; bukan nasihat hukum final. Validasi penerapan pada konteks Anda dengan tim Legal/Privacy dan ikuti peraturan pelaksana terbaru. Neksus tidak menampilkan nama klien atau angka keberhasilan; rujukan eksternal diatribusikan sebagai eksternal.