Sebuah Bagian Umum di salah satu kementerian sedang menyiapkan publikasi SK pengangkatan 320 PNS hasil seleksi CPNS. File sudah jadi dalam bentuk PDF besar 180 MB. Untuk diunggah ke website JDIH dan portal kepegawaian, file harus dikompres. Petugas membuka iLovePDF, drop file, tekan kompres, dapat versi 22 MB, unduh, unggah. Pekerjaan selesai dalam tiga menit.
Dalam tiga menit tersebut, sebuah file berisi data pribadi 320 PNS — nama lengkap, NIP baru, NIK, tanggal lahir, alamat asal, golongan, formasi jabatan — sudah dikirim ke server di Spanyol, diproses oleh perusahaan yang tidak punya kontrak dengan instansi tersebut, lalu file diunduh kembali dan dipublikasikan. Dari sisi UU Pelindungan Data Pribadi (UU 27/2022) yang berlaku penuh sejak 16 Oktober 2024, langkah tersebut memicu sejumlah kewajiban yang tidak terpenuhi: dasar hukum pemrosesan oleh pihak ketiga (Pasal 20), kewajiban cross-border transfer (Pasal 56), kewajiban menjamin keamanan pemrosesan (Pasal 35), dan kewajiban dokumentasi yang dapat diaudit (Pasal 31).
Tulisan ini ditujukan untuk pegawai, supervisor, dan pengambil keputusan di lingkungan pemerintahan — kementerian, lembaga, pemda, BUMN, BUMD, dan instansi penyelenggara pelayanan publik — yang membutuhkan kerangka praktis untuk memilih alat PDF yang sesuai dengan kewajiban UU PDP dan tata kelola informasi pemerintahan. Tujuannya bukan untuk menakut-nakuti — UU PDP tidak melarang penggunaan layanan asing — tapi untuk membantu memilih alat yang tepat per jenis dokumen, dengan biaya minimum dan risiko kepatuhan minimum.
Ringkasan: untuk dokumen instansi yang berisi data pribadi pegawai, penerima manfaat publik, atau pihak berkepentingan — gunakan alat yang memproses file di browser pegawai sendiri (lokal) atau di server domestik. Untuk dokumen publik dan non-sensitif, layanan cloud apapun aman selama dasar pemrosesannya jelas.
Mengapa pertanyaan ini relevan untuk instansi pada 2026
UU Pelindungan Data Pribadi (UU Nomor 27 Tahun 2022) ditandatangani Presiden Joko Widodo pada 17 Oktober 2022 dan memberi masa transisi dua tahun. Masa transisi berakhir pada 16 Oktober 2024. Artinya, sejak akhir 2024 seluruh kewajiban substantif UU PDP — termasuk yang berhubungan dengan pemrosesan oleh badan publik, dan termasuk kewajiban cross-border transfer di Pasal 56 — sudah berlaku penuh.
Lembaga PDP yang akan menjadi otoritas penegakan diamanatkan oleh Pasal 58 UU PDP. Hingga awal 2026, lembaga ini masih dalam tahap pembentukan kelembagaan, dengan rancangan peraturan pelaksana sedang dalam harmonisasi di Kementerian Hukum. Penegakan terhadap pelanggaran masih terbatas karena institusinya belum sepenuhnya operasional. Tapi kewajiban hukumnya sudah berlaku, dan audit internal — BPK, Inspektorat Jenderal, Inspektorat Daerah — sudah mulai memasukkan kepatuhan UU PDP dalam ruang lingkup pemeriksaan tata kelola data dan informasi.
Untuk instansi, ini berarti: kepatuhan UU PDP bukan opsional, dan tools default yang dipakai pegawai sehari-hari (kompres PDF, merge, OCR, redaksi) adalah salah satu titik di mana audit paling mudah menemukan pelanggaran yang tidak terdokumentasi.
Kewajiban kunci UU PDP untuk badan publik
Pasal 20 — Dasar pemrosesan. Pengendali data pribadi wajib memiliki dasar pemrosesan yang sah. Untuk badan publik, dasar pemrosesan yang paling sering relevan adalah: persetujuan eksplisit subjek data, pelaksanaan kewajiban hukum pengendali, perlindungan kepentingan vital subjek data, pelaksanaan tugas dalam rangka kepentingan umum atau pelayanan publik, dan pelaksanaan kewenangan pengendali berdasarkan peraturan perundang-undangan. Pemilihan dasar harus terdokumentasi.
Pasal 21 — Kewajiban transparansi. Pengendali wajib menyampaikan kepada subjek data antara lain: dasar hukum dan tujuan pemrosesan, jenis dan relevansi data yang diproses, periode retensi, hak subjek data, dan akuntabilitas pengendali. Untuk instansi, ini biasanya diwujudkan dalam notice of processing atau privacy notice yang dipublikasikan di website resmi.
Pasal 22-26 — Hak subjek data. Tujuh hak utama yang harus dapat dilayani: hak mendapat informasi, hak akses, hak perbaikan, hak penghentian pemrosesan, hak penghapusan, hak menarik persetujuan, dan hak mengajukan keberatan. Instansi harus punya mekanisme operasional untuk melayani permintaan ini dalam jangka waktu yang ditentukan peraturan pelaksana.
Pasal 35 — Pengamanan pemrosesan. Pengendali wajib menjamin keamanan pemrosesan data pribadi melalui upaya teknis dan organisasi yang memadai. Untuk instansi, ini berhubungan langsung dengan kebijakan ISMS, klasifikasi informasi, kontrol akses, enkripsi, dan — yang sering dilupakan — pilihan tooling yang dipakai pegawai sehari-hari.
Pasal 56 — Cross-border transfer. Pengendali yang mentransfer data pribadi ke luar wilayah hukum Indonesia wajib memastikan: (a) negara penerima memiliki tingkat perlindungan yang setara atau lebih tinggi daripada UU PDP, atau (b) terdapat perlindungan yang memadai dan mengikat (standard contractual clauses, persetujuan eksplisit subjek data, kontrak yang mengikat), atau (c) persetujuan subjek data. Praktiknya, transfer ke negara Uni Eropa (GDPR) relatif mudah dipertanggungjawabkan; transfer ke AS atau yurisdiksi tanpa kerangka komprehensif membutuhkan justifikasi tambahan.
Pasal 65-67 — Sanksi. Sanksi administratif maksimal 2% dari pendapatan tahunan atau penerimaan tahunan pengendali. Untuk badan publik, definisi “pendapatan tahunan” diterjemahkan sebagai pagu anggaran atau total penerimaan instansi. Sanksi pidana untuk individu pengelola: penjara hingga 6 tahun dan denda hingga Rp6 miliar untuk pelanggaran berat; untuk korporasi (termasuk badan hukum yang sebagian dimiliki negara seperti BUMN/BUMD), denda dapat dikalikan hingga 10 kali sehingga maksimal mencapai Rp50-60 miliar.
Kerangka hukum tambahan: UU ITE, PP PSTE, dan TTE Tersertifikasi
UU PDP tidak berdiri sendiri. Untuk dokumen elektronik yang membutuhkan tanda tangan dan otentikasi, instansi juga tunduk pada:
UU 11/2008 tentang Informasi dan Transaksi Elektronik (UU ITE), sebagaimana diubah dengan UU 19/2016. Pasal 11 UU ITE mengatur dua kategori tanda tangan elektronik: tidak tersertifikasi (dibuat tanpa menggunakan jasa Penyelenggara Sertifikasi Elektronik) dan tersertifikasi (dibuat dengan menggunakan sertifikat elektronik dari PSrE yang terakreditasi). Hanya TTE Tersertifikasi yang memiliki kekuatan pembuktian penuh setara tanda tangan basah di hadapan pengadilan tanpa pembuktian tambahan.
PP 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) mencabut PP 82/2012 dan menjadi kerangka utama bagi Penyelenggara Sistem Elektronik (PSE). PSE dibagi dua: PSE Lingkup Publik (instansi pemerintah dan lembaga negara) dan PSE Lingkup Privat. PP PSTE mewajibkan PSE — termasuk badan publik yang menyelenggarakan sistem elektronik — untuk mendaftar, menjamin keandalan dan keamanan sistem, dan melindungi data pribadi.
Penyelenggara Sertifikasi Elektronik (PSrE) yang terakreditasi Kominfo dan tervalidasi BSSN melalui Balai Sertifikasi Elektronik (BSrE) adalah pihak yang sah menerbitkan sertifikat elektronik untuk TTE Tersertifikasi. Daftar PSrE yang terakreditasi mencakup: BSrE (BSSN, untuk PNS dan instansi pemerintah pusat, gratis untuk lembaga negara), Peruri Sign (Perum Peruri, BUMN), PrivyID, VIDA, Digisign, TekenAja, dan beberapa lainnya. Daftar terkini dapat diverifikasi di tte.kominfo.go.id.
Peraturan ANRI tentang kearsipan elektronik. Untuk arsip jangka panjang, instansi tunduk pada UU 43/2009 tentang Kearsipan dan peraturan pelaksana ANRI. Format PDF/A (ISO 19005) adalah standar de facto untuk preservasi PDF jangka panjang dan dianjurkan untuk arsip statis dan dinamis yang dipreservasi instansi.
Skenario kerja sehari-hari di instansi: tool yang tepat
Berikut beberapa skenario yang sering ditemukan di lingkungan instansi, dengan rekomendasi tool yang sesuai:
Publikasi SK pengangkatan, mutasi, atau pensiun PNS
Data yang terkandung: nama lengkap, NIP, NIK, golongan, jabatan, instansi asal/tujuan, kadang alamat lengkap. Semua masuk kategori data pribadi UU PDP.
Rekomendasi: kompres dan redaksi awal di alat in-browser (imisspdf) atau desktop offline (PDF24 Creator). Untuk publikasi resmi di JDIH atau website kepegawaian, redaksi yang benar mencakup penghapusan NIK dan alamat lengkap kecuali kewajiban publikasi tegas (misal beberapa Permenpan tertentu). Tandatangani dengan TTE Tersertifikasi BSrE sebelum publikasi.
Dokumen anggaran (DIPA, RKAKL, Lembar Kerja)
Data yang terkandung: pagu anggaran per program, target output, kadang nama pelaksana kegiatan dan pemilik akun bank. Sebagian klasifikasi internal-only sampai disahkan; sebagian publik setelah pengesahan.
Rekomendasi: pemrosesan internal harus di lingkungan PSE Lingkup Publik instansi atau di alat lokal/in-browser. Tidak boleh dikirim ke layanan cloud asing tanpa kontrak yang jelas. Untuk versi publik yang sudah disahkan, kompres dan finalisasi PDF/A di alat lokal sebelum publikasi.
Surat dinas dan nota dinas
Data yang terkandung: nama, jabatan, instansi penandatangan; konten yang sering berisi pertimbangan internal yang sensitif.
Rekomendasi: alur penuh internal dengan TTE Tersertifikasi (BSrE untuk PNS pusat, PSrE swasta untuk BUMN/BUMD). Hindari layanan e-signature umum (DocuSign, Adobe Sign) untuk surat dinas resmi kecuali sudah ada perjanjian khusus dan kebijakan internal yang mengizinkan.
Arsip jangka panjang (PerKa ANRI compliance)
Data yang terkandung: semua kategori, dengan retensi sesuai jadwal retensi arsip instansi.
Rekomendasi: konversi ke PDF/A (ISO 19005-1 atau -2) untuk arsip statis. Alat lokal seperti Adobe Acrobat Pro desktop, Foxit PDF Editor, atau in-browser imisspdf mendukung konversi PDF/A. Simpan di repositori arsip elektronik instansi sesuai pedoman ANRI; jangan simpan sebagai copy di layanan cloud konsumen.
Akta notaris pemerintah dan kontrak pengadaan
Data yang terkandung: pihak-pihak (sering individual), nilai kontrak, sertifikat hak milik, identitas pejabat penandatangan.
Rekomendasi: pemrosesan internal eksklusif. TTE Tersertifikasi PSrE wajib untuk semua pihak. Penyimpanan di sistem dokumen pengadaan instansi (LPSE atau sistem ePurchasing terkait), tidak di layanan cloud konsumen.
Sosialisasi dan materi publik
Data yang terkandung: tidak ada data pribadi (atau sudah disetujui untuk publikasi sebelumnya).
Rekomendasi: alat manapun aman. Untuk efisiensi, instansi boleh memakai iLovePDF, Smallpdf, atau PDF24 Tools untuk batch processing materi publik tanpa kekhawatiran UU PDP.
Bandingan 7 alat PDF untuk konteks instansi
| Alat | Lokasi pemrosesan | UU PDP Pasal 56? | TTE Tersertifikasi | Cocok untuk instansi? | Biaya |
|---|---|---|---|---|---|
| imisspdf | Browser pegawai (lokal) | Tidak memicu | Tanda tangan dasar (bukan TTE Tersertifikasi) | Ya — default daily work | Gratis |
| iLovePDF | Spanyol (EU) | Memicu, EU adequacy memudahkan | Ya, eIDAS (bukan PSrE Indonesia) | Dokumen non-sensitif | Free / ~Rp110rb/bln |
| Smallpdf | Swiss + AWS EU | Memicu, EU adequacy memudahkan | Ya, eIDAS (bukan PSrE Indonesia) | Dokumen non-sensitif | Free / ~Rp135rb/bln |
| Adobe Acrobat Pro | Desktop lokal + opsional cloud AS | Tidak (desktop) / Memicu (cloud) | Adobe Sign (bukan PSrE Indonesia) | Pengganti enterprise untuk pejabat | $19.99/bln |
| PDF24 Creator | Desktop offline (Windows) | Tidak memicu | Tidak ada e-sign penuh | Ya — desktop alternative | Gratis |
| PrivyID | Server Indonesia (data center lokal) | Tidak memicu | Ya — PSrE terakreditasi Kominfo, BSrE-validated | Tanda tangan resmi instansi/BUMN | Custom enterprise |
| VIDA | Server Indonesia (data center lokal) | Tidak memicu | Ya — PSrE terakreditasi Kominfo, BSrE-validated | Tanda tangan resmi instansi/BUMN | Custom enterprise |
Catatan baca tabel:
- “Tidak memicu Pasal 56” berarti tidak ada cross-border transfer yang dipicu oleh penggunaan alat tersebut. UU PDP tetap berlaku untuk semua pemrosesan, tetapi kewajiban spesifik Pasal 56 tidak terpicu.
- TTE Tersertifikasi di kolom alat asing (Adobe Sign, DocuSign) mengacu pada eIDAS atau ESIGN, bukan PSrE Indonesia. Untuk dokumen dinas resmi yang membutuhkan kekuatan pembuktian penuh di hadapan pengadilan Indonesia tanpa pembuktian tambahan, PSrE Indonesia (BSrE, PrivyID, VIDA, dll) yang dianjurkan.
- BSrE (Balai Sertifikasi Elektronik BSSN) menerbitkan sertifikat elektronik untuk PNS dan instansi pemerintah pusat, biasanya gratis untuk lembaga negara dan disosialisasikan melalui Pusdatin atau Biro Umum masing-masing K/L.
Sketsa stack PDF untuk instansi skala berbeda
Kementerian/Lembaga pusat skala besar
- Daily work: imisspdf (in-browser, gratis) sebagai default. Adobe Acrobat Pro untuk pejabat yang membutuhkan Bates numbering atau fitur PDF/A lanjutan.
- TTE: BSrE untuk semua PNS (gratis), dengan kebijakan internal yang mewajibkan TTE Tersertifikasi untuk semua dokumen yang membutuhkan tanda tangan formal.
- Arsip jangka panjang: konversi PDF/A di Adobe Acrobat Pro dan repositori arsip elektronik internal sesuai pedoman ANRI.
- Materi publik: layanan cloud manapun OK untuk batch processing brosur dan materi sosialisasi.
Pemerintah daerah skala menengah
- Daily work: imisspdf (in-browser) sebagai default untuk semua pegawai. PDF24 Creator desktop sebagai backup offline di PC Bagian Umum.
- TTE: BSrE atau PSrE swasta yang sudah terakreditasi (PrivyID, VIDA). Pertimbangkan paket enterprise PrivyID/VIDA untuk fitur workflow tanda tangan multi-pihak yang lebih lengkap.
- Arsip: koordinasi dengan Dinas Kearsipan Daerah untuk standar PDF/A dan sistem arsip elektronik daerah.
BUMN/BUMD skala besar
- Daily work: stack mirip kementerian, dengan tambahan kebijakan klasifikasi informasi yang lebih rinci sesuai perusahaan.
- TTE: kombinasi BSrE (untuk dokumen yang berinteraksi dengan instansi pemerintah pusat) dan PSrE swasta (PrivyID, VIDA, atau Peruri Sign) untuk dokumen komersial. Pertimbangkan integrasi PSrE dengan sistem ERP atau dokumen-management yang sudah ada.
- Compliance: setup DPIA untuk pemrosesan data pelanggan dan pegawai. Audit ulang vendor PDF dan e-signature setiap tahun.
Penyelenggara Pelayanan Publik (instansi tingkat unit kerja)
- Daily work: imisspdf in-browser untuk semua pegawai. Tidak perlu lisensi berbayar untuk fungsi dasar.
- TTE: BSrE wajib untuk PNS yang menandatangani surat resmi.
- Klasifikasi: jangan upload SK kepegawaian, dokumen klien, atau data pelayanan ke layanan cloud konsumen. Pakai alat lokal atau internal sistem.
Cek daftar 7 pertanyaan sebelum mengadopsi alat PDF untuk instansi
Sebelum instansi menstandardisasi alat PDF, atau sebelum unit pengadaan memilih lisensi software berbayar, jawab tujuh pertanyaan berikut secara tertulis. Dokumentasi ini menjadi pendukung kepatuhan UU PDP, evidence untuk audit Inspektorat/BPK, dan dasar pertanggungjawaban jika pernah ada keberatan dari subjek data.
-
Apakah vendor terdaftar sebagai PSE Lingkup Privat di Kominfo? Sesuai PP PSTE 71/2019, layanan elektronik yang melayani pengguna di Indonesia harus terdaftar. Verifikasi di pse.kominfo.go.id sebelum mengadopsi vendor asing.
-
Di mana data fisik diproses dan disimpan? Server lokal (Indonesia), server EU, server AS, atau multi-region? Untuk dokumen yang berisi data pribadi WNI, lokasi server di Indonesia atau EU yang paling mudah dipertanggungjawabkan di bawah Pasal 56.
-
Apakah vendor menyediakan kontrak/DPA dalam Bahasa Indonesia atau hanya English? Untuk instansi pemerintah, kontrak yang berlaku di yurisdiksi Indonesia idealnya berbahasa Indonesia dan tunduk pada UU 24/2009 tentang Bendera, Bahasa, Lambang Negara, dan Lagu Kebangsaan (yang mewajibkan kontrak yang melibatkan pihak Indonesia memuat versi Bahasa Indonesia).
-
Sertifikasi keamanan apa yang dimiliki vendor (ISO 27001, SOC 2, ISNP)? Untuk vendor PSrE, akreditasi Kominfo dan validasi BSrE adalah keharusan, bukan opsional.
-
Bagaimana mekanisme pelaporan insiden data? Apakah vendor wajib memberi tahu instansi dalam jangka waktu yang ditentukan jika ada breach? Pasal 46 UU PDP mewajibkan pemberitahuan kebocoran data dalam 3×24 jam kepada pengendali dan Lembaga PDP.
-
Untuk fitur redaksi: apakah benar-benar menghapus content stream, membersihkan metadata, dan lulus uji copy-paste pada hasil? Uji sendiri pada dokumen non-sensitif sebelum dipakai untuk publikasi resmi yang membutuhkan redaksi NIK atau data pribadi lain.
-
Apa jalur exit (terminasi kontrak)? Bagaimana data instansi diambil kembali jika kontrak diakhiri? Apakah ada biaya terminasi? Apakah backup audit log dapat di-export untuk kebutuhan retensi sesuai jadwal arsip ANRI?
Jika vendor memberi jawaban lemah atau tidak jelas pada salah satu pertanyaan ini — terutama 1, 2, dan 4 — pertimbangkan ulang. Untuk fungsi dasar (kompres, merge, OCR, redaksi awal), alat in-browser seperti imisspdf menjawab tujuh pertanyaan ini dengan jawaban yang sederhana: tidak ada PSE pihak ketiga, tidak ada server vendor, tidak ada DPA yang perlu dinegosiasikan, tidak ada cross-border transfer yang dipicu.
Catatan tentang BSrE dan dukungan untuk lembaga pemerintah
Untuk PNS dan pegawai instansi pemerintah pusat, Balai Sertifikasi Elektronik (BSrE) di bawah BSSN menerbitkan sertifikat elektronik untuk TTE Tersertifikasi secara gratis. Proses pendaftaran biasanya dilakukan kolektif melalui Pusdatin atau Biro Umum masing-masing K/L, atau melalui Inspektorat Jenderal/Sekretariat Jenderal. Sertifikat dikeluarkan dengan masa berlaku tertentu dan diperbarui secara berkala.
Untuk BUMN, BUMD, perguruan tinggi negeri, dan lembaga semi-otonom, biasanya BSrE tidak secara default tersedia gratis — alternatifnya adalah Peruri Sign, PrivyID, VIDA, atau PSrE terakreditasi lain dengan paket enterprise berbayar. Verifikasi langsung ke vendor untuk pricing instansi.
Daftar terkini PSrE yang terakreditasi Kominfo dan tervalidasi BSrE dapat diakses di:
- tte.kominfo.go.id (daftar PSrE)
- bsre.bssn.go.id (informasi BSrE)
Kesimpulan praktis untuk instansi
Pilihan alat PDF di lingkungan pemerintahan bukan keputusan IT semata — ini keputusan kepatuhan UU PDP, tata kelola informasi, dan akuntabilitas penggunaan anggaran. Kerangka praktisnya:
- Untuk pekerjaan harian yang menyentuh data pribadi pegawai, penerima manfaat, atau pihak berkepentingan: alat in-browser (imisspdf) atau desktop offline (PDF24 Creator) menghilangkan kewajiban Pasal 56 sama sekali. Gratis, tidak butuh kontrak vendor, mudah dipertanggungjawabkan ke auditor.
- Untuk tanda tangan dinas resmi yang membutuhkan kekuatan pembuktian penuh: TTE Tersertifikasi PSrE — BSrE untuk PNS, atau PSrE swasta terakreditasi (PrivyID, VIDA, Peruri Sign) untuk BUMN/BUMD. Hindari e-signature vendor asing tanpa kebijakan internal yang tegas mengizinkan.
- Untuk arsip jangka panjang: konversi PDF/A di alat lokal dan penyimpanan di repositori arsip elektronik internal sesuai pedoman ANRI.
- Untuk dokumen publik dan materi sosialisasi: layanan cloud apapun OK selama dasar pemrosesan jelas dan dokumen memang sudah disetujui untuk publikasi.
Frame yang penting: putuskan per dokumen, bukan per tool. SK pengangkatan PNS dan brosur sosialisasi program adalah dua jenis dokumen yang sangat berbeda dari sisi UU PDP, walaupun sama-sama berupa PDF. Pakai alat yang sesuai dengan klasifikasi informasi dokumennya.
Coba alat in-browser yang sesuai untuk pekerjaan instansi
Jika argumentasi di atas masuk akal, imisspdf menyediakan alat PDF lengkap — merge, split, compress, convert, OCR, sign, edit, watermark, page numbers, redact, password protect — yang berjalan 100% di browser pegawai. Tidak ada upload, tidak ada signup, tidak ada batas harian, tidak ada watermark, tidak ada cross-border transfer yang dipicu. UI tersedia dalam Bahasa Indonesia.
Untuk eksplorasi lebih lanjut:
Bagi instansi yang membutuhkan workflow tanda tangan tersertifikasi, pasangkan dengan PSrE terakreditasi (BSrE untuk PNS, PrivyID/VIDA/Peruri untuk BUMN/BUMD). Stack dua-lapis ini menutupi sebagian besar kebutuhan PDF instansi tanpa biaya lisensi yang signifikan.
Pertanyaan yang sering ditanyakan
Blok FAQ di bagian atas artikel ini mencakup pertanyaan paling umum dari pegawai dan supervisor instansi. Untuk panduan UU PDP yang lebih umum, lihat Alat PDF Online Gratis Indonesia (UU PDP 2026). Untuk perbandingan tool spesifik, lihat imisspdf vs iLovePDF dan imisspdf vs Adobe Acrobat Online. Untuk checklist audit kepatuhan yang structured (cocok untuk Inspektorat & SPI), lihat PDF Security Checklist for Business — 50+ item mencakup ISO 27001, GDPR, dan UU PDP Pasal 35/56. Pembanding internasional: instansi pemerintah US menggunakan framework FedRAMP + FISMA + Section 508 — pelajari di PDF Tools for US Government sebagai referensi baseline yang sering dijadikan rujukan vendor global.
Sumber
- UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi — JDIH BPK
- UU PDP — JDIH Kemkomdigi
- UU Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik
- PP Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
- Daftar PSrE Terakreditasi — Kominfo TTE
- Balai Sertifikasi Elektronik (BSrE) — BSSN
- Analisis Pasal 56 UU PDP — Review Unes Law
- Membedah Aturan Transfer Data ke Luar Negeri dalam UU PDP — Periskop.id
- Pasal 56 UU PDP Dinilai Belum Memadai — Hukum Online
- Mengenal PSrE dan Perannya dalam Tanda Tangan Digital — VIDA
- Penilaian Legalitas dan Keamanan Penerapan TTE di Lingkungan Pemerintah — Bappeda Babel
- JDIH ANRI — Peraturan Arsip Nasional
- Peraturan ANRI Nomor 6 Tahun 2021 — JDIH BPK
Frequently asked questions
Ya, dan kewajibannya bahkan lebih ketat. Pasal 1 UU 27/2022 mendefinisikan pengendali data pribadi sebagai 'setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi'. Frasa 'badan publik' mencakup kementerian, lembaga, pemerintah daerah, BUMN, BUMD, dan instansi penyelenggara pelayanan publik lainnya. Pasal 21 UU PDP mewajibkan pengendali — termasuk badan publik — untuk menyampaikan informasi yang jelas tentang dasar hukum pemrosesan, tujuan pemrosesan, jenis dan relevansi data pribadi yang diproses, periode penyimpanan, hak subjek data, serta akuntabilitas pengendali. Tidak ada pengecualian umum untuk instansi pemerintah; yang ada adalah pengecualian terbatas untuk kepentingan pertahanan dan keamanan nasional, penegakan hukum, dan kepentingan umum lainnya yang diatur peraturan perundang-undangan.
Risikonya tiga lapis. Pertama, sebagian besar SK pengangkatan, mutasi, atau dokumen kepegawaian mengandung data pribadi PNS (nama, NIP, NIK, alamat, riwayat jabatan) yang masuk kategori data pribadi UU PDP. Mengirim file ini ke server di Spanyol (iLovePDF) atau Swiss (Smallpdf) memicu Pasal 56 tentang cross-border transfer, yang membutuhkan justifikasi tertulis bahwa negara penerima memiliki tingkat perlindungan setara. Kedua, dokumen anggaran seperti DIPA, RKAKL, atau Lembar Kerja Anggaran sering kali masuk klasifikasi internal-only di bawah ketentuan klasifikasi informasi PerMenpan atau PerKa lembaga, dan upload ke pihak ketiga tanpa kontrak yang jelas berpotensi melanggar tata kelola informasi internal. Ketiga, dari sudut pandang audit BPK atau Inspektorat, tidak ada jejak audit yang dapat ditunjukkan jika file diolah di layanan pihak ketiga tanpa kontrak. Solusi paling sederhana adalah memakai alat in-browser (file tidak pernah keluar device) atau aplikasi desktop offline.
Beda fundamental. Tanda tangan elektronik di Adobe Sign atau DocuSign umumnya berkategori Tanda Tangan Elektronik Tidak Tersertifikasi — sah secara hukum di bawah Pasal 11 UU ITE 11/2008, tapi kekuatan pembuktiannya bergantung pada audit trail vendor. Tanda Tangan Elektronik Tersertifikasi (TTE Tersertifikasi) dibuat menggunakan sertifikat elektronik yang dikeluarkan Penyelenggara Sertifikasi Elektronik (PSrE) yang terakreditasi oleh Kominfo dan tervalidasi oleh BSSN melalui Balai Sertifikasi Elektronik (BSrE). PSrE yang terakreditasi di Indonesia mencakup BSrE (pemerintah, untuk PNS), Peruri, PrivyID, Vida, Digisign, dan beberapa lainnya. Untuk dokumen dinas pemerintah — SK, surat tugas, persetujuan anggaran — banyak instansi sudah mewajibkan TTE Tersertifikasi melalui BSrE atau PSrE swasta terakreditasi, bukan tanda tangan elektronik biasa. Verifikasi kebijakan internal instansi Anda sebelum memilih platform e-signature.
Jangan pernah hanya menutup dengan kotak hitam di atas teks. Kasus pengadilan internasional yang paling sering dirujuk adalah filing Manafort 2019, di mana 'redaksi' berbentuk kotak hitam ternyata bisa dibobol dengan copy-paste sederhana karena teks asli masih ada di content stream PDF. Untuk redaksi NIK, KTP, atau data pribadi lain yang benar di dokumen instansi: (1) gunakan alat redaksi yang menghapus konten dasar, bukan hanya menutupinya secara visual; (2) flatten atau rasterize PDF setelah redaksi sehingga tidak ada lapisan teks yang tersisa; (3) bersihkan metadata — nama penulis, riwayat edit, judul asli file, fragmen XMP; (4) verifikasi dengan membuka file hasil di viewer berbeda dan coba copy-paste dari area yang sudah diredaksi. Untuk publikasi resmi di JDIH atau website instansi, langkah rasterisasi sangat dianjurkan sebagai pengaman tambahan.
Stack tiga lapis biasanya bekerja paling baik. Lapis pertama, alat in-browser (imisspdf) untuk pekerjaan harian — merge, split, compress, OCR, redaksi awal, watermark — gratis, file tidak pernah keluar laptop pegawai, tidak ada cross-border transfer yang dipicu. Lapis kedua, aplikasi desktop offline (PDF24 Creator di Windows, atau lisensi Adobe Acrobat Pro untuk pejabat yang membutuhkan Bates numbering atau fitur PDF/A penuh) untuk dokumen yang lebih kompleks. Lapis ketiga, platform TTE Tersertifikasi PSrE seperti BSrE (untuk PNS, gratis untuk lembaga pemerintah pusat), PrivyID, atau Vida untuk tanda tangan resmi pada SK, surat tugas, kontrak pengadaan, dan dokumen anggaran. Hindari menjadikan layanan cloud asing sebagai tool default tanpa kontrak dan DPIA yang dinegosiasikan; pakai itu hanya untuk dokumen non-sensitif (brosur publik, materi sosialisasi yang sudah disetujui untuk publikasi).
Related articles
Digital vs Electronic Signature
Electronic signature is any e-mark made with intent; a digital signature is a cryptographic subset. Learn the difference, legal tiers, and when you need each.
How Does PDF Compression Work?
PDF compression shrinks files by downsampling images, re-encoding streams, and stripping metadata. Learn lossy vs lossless, DPI, and why text barely shrinks.
How to Redact a PDF (Remove Sensitive Info)
Redact a PDF the right way. Permanently remove sensitive text and images, not just black them out, plus strip hidden metadata, all free in your browser.