Langsung ke konten utama

DPO-as-a-Service

DPO-as-a-Service untuk bank dan lembaga keuangan Indonesia

Ringkasnya

Mengapa bank dan perusahaan keuangan hampir selalu wajib menunjuk DPO menurut UU PDP, dan yang dicakup DPO-as-a-Service tanpa perlu merekrut penuh waktu.

Data protection officer

Bank dan fintech jarang punya kesempatan untuk bertanya apakah mereka butuh DPO. Pasal 4 ayat 2 UU PDP menggolongkan data pribadi keuangan sebagai data pribadi yang bersifat spesifik, dan pemrosesan data spesifik dalam skala besar adalah salah satu dari tiga pemicu penunjukan yang dipenuhi kebanyakan lembaga bahkan sebelum struktur organisasinya selesai digambar. Yang tersisa untuk diputuskan adalah bagaimana peran ini disediakan sumber dayanya. Halaman ini membahas mengapa kewajiban itu jatuh khusus pada BFSI dan apa yang dicakup DPO-as-a-Service untuk sebuah bank. Untuk cara kerja layanan ini secara umum, lihat halaman DPO-as-a-Service kami.

Mengapa penunjukan ini tidak opsional bagi bank

Di luar pemicu data spesifik, banyak bank dan fintech secara mandiri juga memenuhi pemicu kedua Pasal 53: pemantauan sistematis dan rutin atas data pribadi dalam skala besar lewat deteksi penipuan, penilaian kredit, atau penyaringan anti pencucian uang. Lembaga keuangan adalah salah satu kasus paling jelas yang menjadi alasan UU PDP ditulis.

Dua tenggat pelaporan pelanggaran yang berjalan sekaligus

UU PDP mewajibkan pemberitahuan kepada subjek data dan lembaga pengawas dalam 3x24 jam sejak pelanggaran data pribadi. POJK 11/2022 dan SEOJK 29/2022 secara terpisah mewajibkan notifikasi awal insiden siber ke OJK dalam 24 jam. Peristiwa yang sama, misalnya akses tidak sah ke basis data nasabah, bisa memicu keduanya sekaligus, dan seseorang harus menjaga agar keduanya konsisten.

Regulator yang saling tumpang tindih

UU PDP, aturan TI dan siber OJK, regulasi pembayaran Bank Indonesia, dan undang-undang rahasia bank semuanya menyentuh data nasabah yang sama sekaligus, masing-masing dengan penekanan dan jalur penegakan sendiri. Seseorang harus memegang gambaran utuhnya, bukan memperlakukan tiap aturan sebagai kotak centang terpisah.

Batasan lokalisasi data

Pemrosesan transaksi pembayaran wajib dilakukan di dalam negeri menurut aturan Bank Indonesia, dan bank secara bawaan wajib memakai pusat data dalam negeri berdasarkan POJK 11/2022. Setiap migrasi cloud atau pengaturan vendor harus ditinjau terhadap aturan transfer UU PDP sekaligus persyaratan lokalisasi sektor keuangan ini.

Denda yang terikat pada pendapatan

Denda UU PDP bisa mencapai 2 persen dari pendapatan tahunan untuk lembaga keuangan besar, angka yang sangat berbeda dari denda tetap. Menjalankan penunjukan dan program dengan benar bukan sekadar urusan administratif pada skala itu.

DPO in-house atau DPO-as-a-Service

Tugasnya identik pada kedua model. Yang berbeda adalah siapa yang menanggung beban koordinasi regulasi dan bagaimana biayanya disusun.

 DPO in-houseDPO-as-a-Service
Koordinasi regulasiSatu orang melacak aturan UU PDP, OJK, dan Bank Indonesia sendirianDidukung tim yang sudah melacak ketiganya untuk klien keuangan lain
Kapasitas respons insidenOrang yang sama menyusun notifikasi pelanggaran saat insiden masih berlangsungBerkoordinasi langsung dengan tim SOC dan respons insiden Alpha Code saat insiden berlangsung
Profil biayaGaji penuh waktu, tunjangan, dan pelatihan regulasi berkelanjutanRetainer tetap yang disesuaikan dengan skala lembaga
Waktu hingga peran terisiMelalui siklus rekrutmen dan onboarding sebelum peran benar-benar terisiPeran langsung terisi sejak awal penugasan

Untuk perbandingan biaya secara lengkap, lihat halaman kami tentang biaya DPO in-house vs outsourcing.

Yang dicakup DPO-as-a-Service untuk sebuah bank

Program pelindungan data yang selaras dengan UU PDPKoordinasi tenggat pelanggaran UU PDP dan OJKTinjauan vendor dan transfer data lintas batasKomunikasi dengan regulator dan dokumentasiPelaporan ke dewan dan manajemen
Memastikan pemicu penunjukan dan menentukan cakupan peranMembangun program pelindungan data dan playbook pelanggaranBerkoordinasi dengan SOC dan kepatuhan saat insiden berlangsungMelapor ke manajemen dan berkomunikasi dengan regulator

3x24 jam

Tenggat UU PDP untuk memberi tahu subjek data dan lembaga pengawas setelah pelanggaran data pribadi (UU 27/2022, Pasal 46)

2%

Denda administratif maksimum sebagai persentase pendapatan tahunan untuk pelanggaran UU PDP (UU 27/2022)

Bagaimana ini berdampingan dengan aturan OJK

Peran DPO berdiri berdampingan dengan kewajiban OJK milik bank, bukan menggantikannya. POJK 11/2022 dan SEOJK 29/2022 mengatur manajemen risiko TI dan ketahanan siber; UU PDP secara khusus mengatur pelindungan data pribadi, dan kedua rezim ini tumpang tindih pada insiden yang sama tanpa saling menggantikan. Untuk rincian lengkap tentang bagaimana DPO sektor keuangan mengoordinasikan UU PDP, OJK, Bank Indonesia, dan rahasia bank, termasuk kedua tenggat pelanggaran dan aturan lokalisasi data secara penuh, lihat halaman kami tentang tanggung jawab DPO di sektor jasa keuangan Indonesia. Untuk proses penunjukan itu sendiri, halaman kami tentang apa itu DPO menurut UU PDP dan cara menunjuk DPO membahas pemicu dan struktur mandatnya secara umum.

Jika Anda ingin memastikan apakah lembaga Anda memenuhi pemicu penunjukan dan seperti apa DPO yang di-outsource untuk organisasi Anda, tim kami dapat menyusun langkah pertama yang konkret.

Referensi

  1. 1.UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi
  2. 2.OJK, POJK No. 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum
  3. 3.OJK, SEOJK No. 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum

Ditinjau oleh Tyas Suci, ISMS & Compliance Consultant

Pertanyaan umum

Hampir selalu, ya. Pasal 4 ayat 2 UU PDP menggolongkan data pribadi keuangan sebagai data pribadi yang bersifat spesifik, dan pemrosesan data spesifik dalam skala besar adalah salah satu dari tiga pemicu penunjukan pada Pasal 53 ayat 1. Sebagian besar bank dan fintech memenuhi pemicu itu sejak hari pertama beroperasi, dan banyak yang secara mandiri juga memenuhi pemicu kedua lewat deteksi penipuan, penilaian kredit, atau pemantauan AML.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.