DPO-as-a-Service
DPO-as-a-Service untuk bank dan lembaga keuangan Indonesia
Ringkasnya
Mengapa bank dan perusahaan keuangan hampir selalu wajib menunjuk DPO menurut UU PDP, dan yang dicakup DPO-as-a-Service tanpa perlu merekrut penuh waktu.
Bank dan fintech jarang punya kesempatan untuk bertanya apakah mereka butuh DPO. Pasal 4 ayat 2 UU PDP menggolongkan data pribadi keuangan sebagai data pribadi yang bersifat spesifik, dan pemrosesan data spesifik dalam skala besar adalah salah satu dari tiga pemicu penunjukan yang dipenuhi kebanyakan lembaga bahkan sebelum struktur organisasinya selesai digambar. Yang tersisa untuk diputuskan adalah bagaimana peran ini disediakan sumber dayanya. Halaman ini membahas mengapa kewajiban itu jatuh khusus pada BFSI dan apa yang dicakup DPO-as-a-Service untuk sebuah bank. Untuk cara kerja layanan ini secara umum, lihat halaman DPO-as-a-Service kami.
Mengapa penunjukan ini tidak opsional bagi bank
Di luar pemicu data spesifik, banyak bank dan fintech secara mandiri juga memenuhi pemicu kedua Pasal 53: pemantauan sistematis dan rutin atas data pribadi dalam skala besar lewat deteksi penipuan, penilaian kredit, atau penyaringan anti pencucian uang. Lembaga keuangan adalah salah satu kasus paling jelas yang menjadi alasan UU PDP ditulis.
Dua tenggat pelaporan pelanggaran yang berjalan sekaligus
UU PDP mewajibkan pemberitahuan kepada subjek data dan lembaga pengawas dalam 3x24 jam sejak pelanggaran data pribadi. POJK 11/2022 dan SEOJK 29/2022 secara terpisah mewajibkan notifikasi awal insiden siber ke OJK dalam 24 jam. Peristiwa yang sama, misalnya akses tidak sah ke basis data nasabah, bisa memicu keduanya sekaligus, dan seseorang harus menjaga agar keduanya konsisten.
Regulator yang saling tumpang tindih
UU PDP, aturan TI dan siber OJK, regulasi pembayaran Bank Indonesia, dan undang-undang rahasia bank semuanya menyentuh data nasabah yang sama sekaligus, masing-masing dengan penekanan dan jalur penegakan sendiri. Seseorang harus memegang gambaran utuhnya, bukan memperlakukan tiap aturan sebagai kotak centang terpisah.
Batasan lokalisasi data
Pemrosesan transaksi pembayaran wajib dilakukan di dalam negeri menurut aturan Bank Indonesia, dan bank secara bawaan wajib memakai pusat data dalam negeri berdasarkan POJK 11/2022. Setiap migrasi cloud atau pengaturan vendor harus ditinjau terhadap aturan transfer UU PDP sekaligus persyaratan lokalisasi sektor keuangan ini.
Denda yang terikat pada pendapatan
Denda UU PDP bisa mencapai 2 persen dari pendapatan tahunan untuk lembaga keuangan besar, angka yang sangat berbeda dari denda tetap. Menjalankan penunjukan dan program dengan benar bukan sekadar urusan administratif pada skala itu.
DPO in-house atau DPO-as-a-Service
Tugasnya identik pada kedua model. Yang berbeda adalah siapa yang menanggung beban koordinasi regulasi dan bagaimana biayanya disusun.
| DPO in-house | DPO-as-a-Service | |
|---|---|---|
| Koordinasi regulasi | Satu orang melacak aturan UU PDP, OJK, dan Bank Indonesia sendirian | Didukung tim yang sudah melacak ketiganya untuk klien keuangan lain |
| Kapasitas respons insiden | Orang yang sama menyusun notifikasi pelanggaran saat insiden masih berlangsung | Berkoordinasi langsung dengan tim SOC dan respons insiden Alpha Code saat insiden berlangsung |
| Profil biaya | Gaji penuh waktu, tunjangan, dan pelatihan regulasi berkelanjutan | Retainer tetap yang disesuaikan dengan skala lembaga |
| Waktu hingga peran terisi | Melalui siklus rekrutmen dan onboarding sebelum peran benar-benar terisi | Peran langsung terisi sejak awal penugasan |
Untuk perbandingan biaya secara lengkap, lihat halaman kami tentang biaya DPO in-house vs outsourcing.
Yang dicakup DPO-as-a-Service untuk sebuah bank
3x24 jam
Tenggat UU PDP untuk memberi tahu subjek data dan lembaga pengawas setelah pelanggaran data pribadi (UU 27/2022, Pasal 46)
2%
Denda administratif maksimum sebagai persentase pendapatan tahunan untuk pelanggaran UU PDP (UU 27/2022)
Bagaimana ini berdampingan dengan aturan OJK
Peran DPO berdiri berdampingan dengan kewajiban OJK milik bank, bukan menggantikannya. POJK 11/2022 dan SEOJK 29/2022 mengatur manajemen risiko TI dan ketahanan siber; UU PDP secara khusus mengatur pelindungan data pribadi, dan kedua rezim ini tumpang tindih pada insiden yang sama tanpa saling menggantikan. Untuk rincian lengkap tentang bagaimana DPO sektor keuangan mengoordinasikan UU PDP, OJK, Bank Indonesia, dan rahasia bank, termasuk kedua tenggat pelanggaran dan aturan lokalisasi data secara penuh, lihat halaman kami tentang tanggung jawab DPO di sektor jasa keuangan Indonesia. Untuk proses penunjukan itu sendiri, halaman kami tentang apa itu DPO menurut UU PDP dan cara menunjuk DPO membahas pemicu dan struktur mandatnya secara umum.
Jika Anda ingin memastikan apakah lembaga Anda memenuhi pemicu penunjukan dan seperti apa DPO yang di-outsource untuk organisasi Anda, tim kami dapat menyusun langkah pertama yang konkret.
Referensi
Ditinjau oleh Tyas Suci, ISMS & Compliance Consultant
Pertanyaan umum
Hampir selalu, ya. Pasal 4 ayat 2 UU PDP menggolongkan data pribadi keuangan sebagai data pribadi yang bersifat spesifik, dan pemrosesan data spesifik dalam skala besar adalah salah satu dari tiga pemicu penunjukan pada Pasal 53 ayat 1. Sebagian besar bank dan fintech memenuhi pemicu itu sejak hari pertama beroperasi, dan banyak yang secara mandiri juga memenuhi pemicu kedua lewat deteksi penipuan, penilaian kredit, atau pemantauan AML.
Terkait
Terkait
Solusi
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.