UU PDP untuk Founder SaaS: Langkah Praktis

1 Mei 2026

UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi membuat data pribadi menjadi topik operasional yang tidak bisa diabaikan founder SaaS Indonesia. Undang-undang ini berlaku sejak 17 Oktober 2022 menurut database resmi peraturan Indonesia, dan mengatur jenis data pribadi, hak subjek data, kewajiban pengendali dan prosesor, transfer data, sanksi, dan kelembagaan.

Artikel ini bukan nasihat hukum. Untuk kontrak, interpretasi kewajiban, atau sektor regulated, founder perlu bicara dengan counsel. Tetapi tim kecil tetap bisa mulai dari pekerjaan praktis: tahu data apa yang diproses, mengapa diproses, siapa yang mengakses, vendor apa yang terlibat, dan apa yang dilakukan saat terjadi incident.

Sumber rujukan awal: UU No. 27 Tahun 2022 di peraturan.go.id dan metadata/abstrak BPK.

Mulai dari data map

Founder tidak bisa melindungi data yang tidak diketahui. Buat data map sederhana:

• kategori data
• contoh field
• sumber data
• tujuan pemrosesan
• lokasi penyimpanan
• siapa yang bisa akses
• vendor/subprocessor
• retention
• cara export atau deletion

Contoh kategori: nama user, email, nomor telepon, jabatan, data login, data transaksi, dokumen invoice, data pelanggan end-user, log aktivitas, dan data support.

Data map tidak perlu sempurna di awal. Tetapi harus cukup jelas untuk menjawab pertanyaan buyer, security questionnaire, dan incident response.

Bedakan pengendali dan prosesor

Dalam praktik SaaS, posisi perusahaan bisa berbeda tergantung konteks. Kadang startup SaaS menentukan tujuan dan cara pemrosesan data tertentu. Kadang startup memproses data atas instruksi pelanggan bisnis.

Founder perlu memetakan:

• data mana yang diproses untuk operasional produk sendiri
• data mana yang diproses atas instruksi pelanggan
• kontrak mana yang perlu menjelaskan peran masing-masing pihak
• vendor mana yang ikut memproses data

Jangan menebak sendirian untuk kontrak besar. Tetapi mapping awal membantu counsel bekerja lebih cepat.

Tulis dasar dan tujuan pemrosesan

Untuk setiap kategori data, tulis tujuan:

• membuat akun
• menjalankan layanan
• support pelanggan
• billing
• keamanan dan audit
• analitik produk
• komunikasi layanan

Hindari mengumpulkan data "siapa tahu nanti berguna". Data yang tidak perlu menjadi risiko tambahan. Jika fitur tidak membutuhkan tanggal lahir, nomor identitas, atau data sensitif, jangan ambil.

Vendor dan subprocessor

SaaS kecil biasanya memakai banyak vendor: cloud, analytics, email, CRM, support tool, error logging, payment, AI tool, dan storage. Buat daftar:

• nama vendor
• fungsi
• data yang dikirim
• lokasi/data region jika diketahui
• link terms/privacy/security
• owner internal

Saat buyer bertanya "siapa saja vendor yang memproses data?", tim tidak perlu panik. Daftar ini juga membantu menilai risiko saat menambah tool baru.

Hak subjek data

UU PDP mengatur hak subjek data. Secara operasional, founder perlu menyiapkan proses untuk permintaan seperti akses, koreksi, penghapusan, atau penjelasan pemrosesan.

Untuk SaaS B2B, permintaan bisa datang dari pelanggan bisnis atau user akhir. Tentukan:

• channel permintaan
• siapa yang memverifikasi identitas
• siapa yang memutuskan apakah permintaan valid
• bagaimana data dicari
• bagaimana tindakan dicatat
• kapan counsel perlu dilibatkan

Jangan menunggu permintaan pertama untuk mencari data manual di database.

Incident response

Incident response minimum:

• siapa menerima laporan
• siapa triage teknis
• siapa komunikasi ke pelanggan
• siapa menyimpan timeline
• siapa memutuskan eskalasi legal
• template status update

Catat waktu, dampak, data yang mungkin terdampak, tindakan containment, dan langkah perbaikan. Untuk insiden serius, cari nasihat hukum tentang kewajiban notifikasi dan langkah formal.

Dokumentasi yang perlu ada

Minimal:

• privacy policy
• data map
• daftar vendor/subprocessor
• access review
• incident response note
• data export/deletion process
• template DPA atau klausul data untuk pelanggan bisnis
• log permintaan subjek data

Dokumen ini tidak harus panjang. Yang penting hidup dan diperbarui.

Checklist UU PDP untuk founder SaaS

• data map versi pertama selesai
• tujuan pemrosesan ditulis
• data yang tidak perlu dikurangi
• vendor/subprocessor dicatat
• akses internal direview
• privacy policy tersedia
• proses export/deletion ada
• incident owner ditunjuk
• kontrak pelanggan dicek untuk peran data
• counsel dilibatkan untuk kontrak besar atau sektor regulated

Contoh data map sederhana

Gunakan tabel seperti ini:

• Field: email user
• Tujuan: login, notifikasi, support
• Sumber: form signup atau admin pelanggan
• Akses internal: support lead dan engineer tertentu
• Vendor: email provider, auth provider
• Retention: selama akun aktif dan periode kontrak
• Export/deletion: lewat admin request

Contoh lain:

• Field: data transaksi pelanggan
• Tujuan: menjalankan workflow produk dan laporan
• Sumber: import CSV/API/manual input
• Akses internal: dibatasi untuk support incident
• Vendor: cloud database, backup storage
• Retention: mengikuti kontrak pelanggan
• Export/deletion: export CSV dan proses deletion tertulis

Tabel seperti ini membuat diskusi compliance lebih konkret. Founder bisa melihat data mana yang tidak perlu, vendor mana yang belum dicatat, dan akses mana yang terlalu luas.

Pertanyaan untuk tool baru

Sebelum tim memasang tool analytics, AI, support, atau CRM baru, tanyakan:

• data pribadi apa yang masuk?
• apakah data dipakai untuk training atau profiling?
• siapa di tim yang bisa akses?
• apakah ada data export/deletion?
• apakah vendor punya terms dan privacy policy yang jelas?
• apakah tool ini benar-benar perlu?

Tool murah bisa menjadi mahal jika memasukkan data sensitif tanpa kontrol. Buat proses review ringan sebelum menambah vendor baru.

Proses permintaan data

Tulis alur internal:

• permintaan diterima lewat channel resmi
• identitas dan otorisasi diverifikasi
• scope data dicatat
• owner menilai permintaan
• tindakan dilakukan
• hasil dan tanggal dicatat

Untuk SaaS B2B, pelanggan bisnis mungkin perlu menjadi perantara untuk user akhir. Jangan membuat janji umum tanpa melihat kontrak dan peran data. Untuk kasus rumit, eskalasikan ke counsel.

Latihan incident tabletop

Sekali per kuartal, lakukan latihan 30 menit:

• skenario: akses support salah dikonfigurasi
• siapa tahu pertama?
• siapa menghentikan akses?
• siapa mengecek data terdampak?
• siapa menghubungi pelanggan?
• kapan counsel dilibatkan?
• dokumen apa yang perlu diisi?

Latihan kecil membuat tim tidak panik saat incident nyata.

Apa yang perlu ditulis di kontrak pelanggan

Untuk SaaS B2B, kontrak perlu menjelaskan:

• peran masing-masing pihak terhadap data
• tujuan pemrosesan
• instruksi pelanggan
• batas penggunaan data oleh vendor
• vendor/subprocessor penting
• keamanan minimum
• proses export atau deletion setelah kontrak
• respons terhadap incident

Jangan memakai template tanpa memahami isinya. Kontrak data yang terlalu berat bisa tidak sanggup dipenuhi tim kecil. Kontrak yang terlalu kosong bisa membuat buyer enterprise tidak nyaman. Gunakan data map sebagai dasar diskusi dengan counsel.

Langkah berikutnya

Jadwalkan sesi dua jam dengan founder, engineering, support, dan finance. Isi data map untuk 20 field data terpenting. Dari situ, pilih tiga risiko paling praktis: akses internal terlalu luas, vendor belum tercatat, atau data deletion belum jelas. Perbaiki yang paling dekat dengan pelanggan sebelum membuat dokumen panjang.

Bacaan terkait

• Menjawab Security Questionnaire Tanpa Tim Compliance Besar
• UU PDP untuk Founder SaaS: Langkah Praktis