Pelanggaran terhadap PELINDUNGAN data pribadi dapat dikenakan sanksi hukum. Tujuan penelitian ini adalah untuk menjelaskan dan menganalisis Penerapan dan Penegakan Sanksi Hukum Penyalahgunaan Data Pribadi yang dilakukan oleh Pengendali dan atau Prosesor Data Pribadi Ditinjau dari Undang-Undang No. 27 Tahun 2022 tentang PELINDUNGAN Data Pribadi. Metode penelitian yang digunakan adalah penelitian yuridis normatif dengan analisis data deskriptif kualitatif. Hasil penelitian menunjukkan bahwa pertama, penerapan dan penegakan sanksi hukum terhadap penyalahgunaan data pribadi di Indonesia sudah dilaksanakan dengan baik, tetapi mekanisme penegakan hukum tersebut masih belum optimal. Beberapa faktor yang mempengaruhi hal ini antara lain keterbatasan sumber daya, lemahnya pengawasan, serta minimnya kesadaran masyarakat. Selain itu, mekanisme penegakan hukum yang ada belum cukup efektif karena keterbatasan koordinasi antarinstansi yang terlibat dalam pengawasan dan penegakan hukum terkait data pribadi. Oleh karena itu, perlu dilakukan peningkatan dalam kapasitas aparat penegak hukum, pengembangan teknologi forensik, serta penguatan mekanisme pengawasan dan pelaporan. Kedua, Kewajiban dan tanggung jawab pengendali serta prosesor data pribadi berdasarkan Undang-Undang No. 27 Tahun 2022 telah dijalankan dengan baik. Pengendali dan prosesor data sudah mematuhi ketentuan untuk menjamin Pelindunganhak privasi individu, termasuk pengumpulan dan pemrosesan data secara sah, penerapan langkah-langkah keamanan yang memadai, memberikan transparansi terkait penggunaan data kepada pemiliknya, serta melaporkan kebocoran data kepada pihak berwenang dan individu yang terdampak. Ketiga, Upaya hukum yang dapat dilakukan oleh pemilik data pribadi meliputi pendekatan preventif dan represif. Pendekatan preventif lebih menekankan pada upaya pencegahan, seperti implementasi kebijakan data yang kuat, pelatihan kepada pengelola data, serta audit dan pengawasan berkala untuk memastikan bahwa data pribadi dikelola secara aman dan tidak disalahgunakan. Sementara itu, pendekatan represif mencakup pelaporan pelanggaran kepada otoritas Pelindungandata, pengajuan gugatan perdata untuk mendapatkan ganti rugi, serta penggunaan mekanisme penyelesaian sengketa alternatif seperti mediasi atau arbitrase. / Violations of personal data protection can be subject to legal sanctions. This study aims to explain and analyze the implementation and enforcement of legal sanctions against the misuse of personal data committed by data controllers and/or data processors, as reviewed from Law No. 27 of 2022 concerning Personal Data Protection. The research method used is normative juridical research with descriptive qualitative data analysis. The results show that, first, the implementation and enforcement of legal sanctions against personal data misuse in Indonesia have been carried out, but the enforcement mechanism is not yet optimal. Several factors contributing to this include limited resources, weak supervision, and low public awareness. In addition, the current legal enforcement mechanism is still ineffective due to limited coordination among the institutions involved in the supervision and enforcement of personal data protection laws. Therefore, there is a need to enhance the capacity of law enforcement officers, develop forensic technology, and strengthen supervision and reporting mechanisms. Second, the obligations and responsibilities of data controllers and processors under Law No. 27 of 2022 have been properly implemented. Data controllers and processors have complied with the requirements to ensure the protection of individual privacy rights, including the lawful collection and processing of data, implementation of adequate security measures, transparency regarding data use to the data subject, and reporting of data breaches to authorities and affected individuals. Third, legal remedies available to data subjects include both preventive and repressive approaches. Preventive measures emphasize the importance of strong data protection policies, training for data handlers, and periodic audits and supervision to ensure secure and proper data management. Meanwhile, repressive measures involve reporting violations to the data protection authority, filing civil lawsuits for compensation, and utilizing alternative dispute resolution mechanisms such as mediation or arbitration.