Disclaimer: Template dan panduan dalam artikel ini bersifat ilustratif sebagai contoh pembelajaran. Setiap sekolah disarankan berkonsultasi dengan ahli hukum untuk finalisasi dokumen kebijakan privasi yang sesuai dengan kondisi spesifik sekolah Anda.
Menyusun kebijakan privasi data siswa adalah kewajiban hukum — bukan pilihan — sejak UU No. 27 Tahun 2022 (UU PDP) berlaku penuh Oktober 2024. Sekolah adalah pengendali data pribadi yang mengelola NISN, NIK, nilai akademik, hingga data biometrik. Tanpa kebijakan privasi yang transparan, sekolah berisiko sanksi administratif, denda hingga 2% pendapatan tahunan, dan kehilangan kepercayaan orang tua.
Artikel ini memandu Anda menyusun dokumen kebijakan privasi yang comply UU PDP, lengkap dengan template siap pakai, formulir persetujuan orang tua, dan checklist kepatuhan — semua dalam satu panduan.
Mengapa Sekolah Wajib Memiliki Kebijakan Privasi Data?
UU No. 27 Tahun 2022 (UU PDP) menempatkan sekolah dalam posisi strategis sekaligus rentan. Setiap hari, sekolah mengumpulkan dan memproses data pribadi dalam jumlah besar — dari pendaftaran siswa baru hingga laporan Dapodik Kemendikbud.
Beberapa fakta yang perlu Anda ketahui:
- Sekolah adalah Pengendali Data Pribadi — sama seperti bank, rumah sakit, atau e-commerce. Status ini membawa tanggung jawab hukum yang sama besarnya.
- Data yang dikelola sangat beragam: NISN, NIK, nama lengkap, tanggal lahir, alamat, nama orang tua, nilai akademik, data kesehatan, riwayat pembayaran SPP, bahkan data biometrik (fingerprint, foto wajah) — semuanya termasuk data pribadi yang dilindungi UU PDP.
- Kebocoran data siswa bukan hanya isu teknis — ini isu hukum dan reputasi. Pelajari lebih dalam di mengapa data siswa termasuk data sensitif yang harus dilindungi.
Tanpa kebijakan privasi yang terdokumentasi dan transparan, sekolah tidak bisa membuktikan kepatuhan saat terjadi insiden. Dokumen kebijakan privasi adalah benteng pertama — dan paling murah untuk dibangun.
Komponen Wajib dalam Dokumen Kebijakan Privasi Sekolah
Berdasarkan UU PDP Pasal 25-28, dokumen kebijakan privasi sekolah minimal harus mencakup lima komponen berikut. Jangan ada yang terlewat:
1. Jenis Data Pribadi yang Dikumpulkan
Sebutkan secara eksplisit dan rinci — bukan kalimat generik seperti "data yang diperlukan." Rincikan:
- Data identitas: Nama lengkap, NISN, NIK, tempat dan tanggal lahir, alamat, nama orang tua/wali
- Data akademik: Nilai, rapor, absensi, riwayat kelas, prestasi
- Data kesehatan: Riwayat penyakit, alergi, data imunisasi (jika dikumpulkan melalui UKS)
- Data keuangan: Riwayat pembayaran SPP, uang gedung, dana BOS
- Data biometrik: Fingerprint, foto wajah, rekaman CCTV
Pisahkan mana data yang WAJIB (diperlukan untuk layanan pendidikan dan pelaporan Dapodik) dan mana yang TAMBAHAN (untuk fasilitas tambahan seperti foto kegiatan). Orang tua berhak tahu perbedaannya.
2. Tujuan Pengumpulan dan Penggunaan Data
Setiap jenis data yang dikumpulkan harus punya tujuan spesifik. UU PDP melarang penggunaan data di luar tujuan yang sudah disebutkan. Contoh:
- Data identitas dan NISN → administrasi akademik dan pelaporan Dapodik
- Data nilai dan absensi → evaluasi pembelajaran dan pelaporan ke orang tua
- Data pembayaran SPP → pencatatan dan pelaporan keuangan ke yayasan
- Data kesehatan → penanganan darurat oleh UKS
3. Dasar Hukum Pemrosesan Data
UU PDP mengakui beberapa dasar hukum pemrosesan data. Untuk sekolah, tiga yang paling relevan:
- Persetujuan (consent): Untuk data tambahan di luar kewajiban — misalnya, foto kegiatan untuk media sosial sekolah. WAJIB ada formulir persetujuan tertulis dari orang tua.
- Kewajiban hukum: Untuk data yang wajib dilaporkan ke Dapodik dan Dinas Pendidikan. Ini tidak memerlukan consent — sekolah WAJIB melakukannya.
- Kepentingan sah: Untuk operasional normal sekolah — misalnya, data alamat untuk surat-menyurat. Harus proporsional dan tidak melanggar hak subjek data.
4. Hak Subjek Data (Siswa dan Orang Tua)
Orang tua dan siswa (jika sudah cukup umur) memiliki hak yang dijamin UU PDP:
- Hak akses: Meminta salinan data pribadi yang disimpan sekolah
- Hak koreksi: Memperbaiki data yang tidak akurat
- Hak penghapusan: Meminta data dihapus — dengan pengecualian untuk data yang wajib disimpan karena kewajiban hukum (Dapodik, arsip akademik)
- Hak menarik persetujuan: Untuk data yang diproses berdasarkan consent, orang tua bisa menarik persetujuan kapan saja
5. Keamanan dan Retensi Data
Jelaskan langkah keamanan: akses terbatas (hanya staf berwenang), enkripsi data digital, backup rutin, dan prosedur pemusnahan data fisik. Detail teknis: standar keamanan informasi data siswa dan enkripsi data sebagai lapisan keamanan.
Kebijakan retensi: berapa lama data disimpan? Kemendikbud melalui Juknis Dapodik mengharuskan penyimpanan minimal 5 tahun setelah siswa lulus. Setelah masa retensi berakhir, data harus dimusnahkan atau dianonimkan.
Template Dokumen Kebijakan Privasi Data Siswa
Berikut template yang bisa Anda adaptasi. Ganti placeholder [dalam kurung] dengan informasi sekolah Anda. Template ini mencakup semua komponen wajib:
Dokumen ini menjelaskan bagaimana [Nama Sekolah] mengumpulkan, menggunakan, menyimpan, dan melindungi data pribadi siswa sesuai Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi.
A. Data yang Kami Kumpulkan
[Nama Sekolah] mengumpulkan data pribadi berikut: (1) Data Identitas: nama lengkap, NISN, NIK, alamat, nama orang tua/wali; (2) Data Akademik: nilai, rapor, absensi; (3) Data Kesehatan: riwayat penyakit/alergi; (4) Data Keuangan: riwayat pembayaran SPP. Data WAJIB (*) untuk layanan pendidikan dan Dapodik; tanpa (*) bersifat tambahan.
B. Tujuan Penggunaan
Data digunakan untuk: (1) administrasi akademik dan pelaporan Dapodik; (2) komunikasi perkembangan ke orang tua; (3) pengelolaan pembayaran SPP; (4) penanganan kesehatan darurat UKS. Kami TIDAK menggunakan data di luar daftar ini tanpa persetujuan Anda.
C. Dasar Hukum
Pemrosesan data dilakukan berdasarkan: (1) Kewajiban hukum (pelaporan Dapodik); (2) Kepentingan sah (operasional pendidikan); (3) Persetujuan (untuk data tambahan — lihat Formulir Persetujuan terlampir).
D. Hak Anda sebagai Orang Tua/Wali
Anda berhak: (1) mengakses salinan data anak Anda; (2) mengoreksi data yang tidak akurat; (3) meminta penghapusan data — kecuali data yang wajib disimpan karena ketentuan hukum; (4) menarik persetujuan untuk data tambahan. Kirim permintaan ke: [Email/Nomor Kontak DPO].
E. Keamanan Data
Kami menerapkan: (1) akses data terbatas untuk staf berwenang; (2) enkripsi data digital; (3) backup rutin; (4) pemusnahan dokumen fisik yang aman. Data disimpan [X] tahun setelah siswa lulus, lalu dimusnahkan/dianonimkan.
F. Kontak Petugas Perlindungan Data (DPO)
Untuk pertanyaan tentang privasi data: [Nama DPO], [Email], [Telepon], [Alamat Sekolah].
G. Perubahan Kebijakan
Kebijakan ini ditinjau setiap tahun. Perubahan signifikan akan diberitahukan melalui surat edaran ke orang tua.
Prosedur Penanganan Pelanggaran Data (Data Breach)
Setiap kebijakan privasi harus dilengkapi prosedur respons insiden. Jika terjadi kebocoran data — akses tidak sah, pencurian perangkat, atau penyebaran data tanpa izin — ikuti protokol ini:
- Identifikasi dan Isolasi. Segera setelah insiden terdeteksi, isolasi sistem atau dokumen yang terdampak. Putuskan akses jaringan jika kebocoran digital. Amankan bukti fisik jika berupa dokumen tercetak. Jangan hapus log atau jejak digital — ini akan diperlukan untuk investigasi.
- Assessment Dampak. Tentukan: data apa yang bocor? Berapa jumlah subjek data terdampak? Apa potensi kerugiannya? Kategorikan tingkat keparahan: rendah (data non-sensitif), sedang (data kontak), tinggi (NIK, data keuangan), kritis (data biometrik, kesehatan).
- Notifikasi dalam 3×24 Jam. Beri tahu orang tua/wali yang terdampak dan — jika insiden kategori tinggi/kritis — laporkan ke otoritas terkait (Kementerian Komunikasi dan Informatika sesuai UU PDP). Notifikasi harus mencakup: apa yang terjadi, data apa yang terdampak, apa yang sudah dilakukan, dan apa yang harus dilakukan orang tua.
- Remediasi dan Pencegahan Berulang. Perbaiki celah keamanan yang menyebabkan insiden. Perbarui SOP agar insiden serupa tidak terulang. Dokumentasikan seluruh proses sebagai pembelajaran organisasi.
Formulir Persetujuan Orang Tua (Consent Form)
Untuk data tambahan di luar kewajiban hukum, sekolah wajib memperoleh persetujuan eksplisit dari orang tua. Berikut template formulir yang bisa langsung digunakan:
Saya yang bertanda tangan di bawah ini, orang tua/wali dari:
Nama Siswa: ____________________
Kelas: ____________________
Setelah membaca Kebijakan Privasi Data Siswa [Nama Sekolah], dengan ini menyatakan:
☐ MENYETUJUI pemrosesan data pribadi anak saya untuk tujuan yang tercantum dalam Kebijakan Privasi.
Untuk data tambahan berikut (opsional):
☐ MENYETUJUI penggunaan foto/video kegiatan sekolah untuk dokumentasi internal dan media sosial sekolah.
☐ TIDAK MENYETUJUI penggunaan foto/video kegiatan sekolah untuk media sosial (hanya untuk dokumentasi internal).
Saya memahami bahwa saya dapat menarik persetujuan ini sewaktu-waktu secara tertulis.
Tanda tangan: ____________________
Nama: ____________________
Tanggal: ____________________
Sosialisasi Kebijakan Privasi ke Guru, Staf, dan Orang Tua
Kebijakan privasi tidak berguna jika hanya tersimpan di lemari arsip. Strategi sosialisasi yang efektif:
- Pelatihan staf: Setiap guru dan staf administrasi harus memahami kebijakan ini — bukan hanya membaca. Adakan sesi wajib 60 menit di awal tahun ajaran dengan studi kasus nyata: "Apa yang Anda lakukan jika orang tua meminta data nilai anak lain?"
- Komunikasi ke orang tua: Sertakan ringkasan kebijakan dalam paket pendaftaran siswa baru. Tempelkan QR code ke dokumen lengkap di papan pengumuman. Untuk strategi komunikasi yang lebih komprehensif, baca komunikasi efektif antara sekolah dan orang tua secara digital.
- Integrasi ke SOP harian: Kebijakan privasi harus tercermin dalam SOP administrasi — misalnya, SOP penerimaan siswa baru yang menyertakan langkah "Serahkan dan jelaskan Formulir Persetujuan ke orang tua."
Checklist Kepatuhan Privasi Data untuk Sekolah
Gunakan checklist ini sebagai self-audit cepat. Jika semua item tercentang, sekolah Anda sudah memiliki fondasi kepatuhan yang solid:
- ☐ Dokumen kebijakan privasi terdokumentasi dan tersedia untuk diakses orang tua
- ☐ Formulir persetujuan (consent) dikumpulkan untuk setiap siswa
- ☐ Jenis data yang dikumpulkan tercantum eksplisit — bukan kalimat generik
- ☐ Tujuan penggunaan setiap jenis data disebutkan spesifik
- ☐ Dasar hukum pemrosesan data diidentifikasi per kategori
- ☐ Hak subjek data (akses, koreksi, penghapusan, penarikan consent) dikomunikasikan ke orang tua
- ☐ Prosedur penanganan data breach terdokumentasi
- ☐ Staf sudah mendapatkan pelatihan privasi data
- ☐ Ada petugas yang ditunjuk sebagai kontak privasi data (DPO)
- ☐ Kebijakan ditinjau minimal setahun sekali
Pertanyaan Yang Sering Diajukan
Apakah semua sekolah wajib memiliki dokumen kebijakan privasi?
Ya. UU No. 27 Tahun 2022 (UU PDP) berlaku untuk SEMUA pengendali data pribadi — termasuk sekolah negeri dan swasta, dari SD hingga SMA/SMK. Sekolah mengelola data pribadi siswa dalam jumlah besar sehingga WAJIB memiliki kebijakan privasi yang transparan.
Apa sanksi jika sekolah tidak memiliki kebijakan privasi data?
UU PDP mengatur sanksi administratif hingga pidana untuk pelanggaran serius — denda maksimal 2% pendapatan tahunan atau Rp 6 miliar. Sekolah juga dapat digugat perdata oleh orang tua jika terjadi kebocoran data. Yang paling merugikan adalah hilangnya kepercayaan orang tua dan reputasi sekolah.
Apa perbedaan kebijakan privasi dengan SOP keamanan data?
Kebijakan privasi adalah dokumen EKSTERNAL yang menjelaskan kepada publik (orang tua/siswa) data apa yang dikumpulkan dan bagaimana digunakan. SOP keamanan data adalah dokumen INTERNAL yang mengatur prosedur teknis — siapa boleh akses, kapan backup, kapan data dimusnahkan. Sekolah butuh KEDUANYA: kebijakan privasi untuk transparansi, SOP untuk operasional harian.
Berapa lama data siswa boleh disimpan setelah lulus?
Berdasarkan prinsip retensi minimal UU PDP, data pribadi hanya disimpan selama diperlukan. Untuk data akademik, Juknis Dapodik Kemendikbud mengharuskan penyimpanan minimal 5 tahun setelah siswa lulus. Setelah masa retensi berakhir, data harus dimusnahkan atau dianonimkan — kecuali ada kewajiban hukum yang mengharuskan penyimpanan lebih lama.
Apakah orang tua bisa meminta data anaknya dihapus dari sistem sekolah?
Orang tua memiliki hak penghapusan (right to erasure) berdasarkan UU PDP. Pengecualian: data untuk kewajiban hukum — pelaporan Dapodik dan arsip akademik — TIDAK bisa dihapus. Sekolah harus merespons dalam 3×24 jam; jika ditolak, wajib memberikan alasan tertulis.
Ingin sistem informasi sekolah yang sudah comply dengan standar keamanan? Jadwalkan demo Seqolah untuk melihat bagaimana kami melindungi data siswa Anda.