Langsung ke konten utama

Jasa keuangan

Tanggung jawab DPO di sektor jasa keuangan Indonesia

Ringkasnya

Bank dan fintech memproses data keuangan dalam skala besar, sehingga DPO hampir selalu wajib. Kewajiban UU PDP dan OJK yang tumpang tindih perlu dikoordinasi.

Konsultasi gratisLihat semua solusi
Data protection officer

Bank dan penyedia pembayaran berada di ujung spektrum yang paling jelas dalam hal kewajiban penunjukan berdasarkan UU PDP. Kegiatan inti bisnis mereka adalah mengumpulkan, menyimpan, dan mengolah data keuangan pribadi, yang oleh Pasal 4 ayat 2 UU PDP digolongkan sebagai data pribadi yang bersifat spesifik, sejajar dengan rekam medis, data biometrik, dan catatan kriminal. Pemrosesan data pribadi spesifik dalam skala besar merupakan salah satu dari tiga pemicu dalam Pasal 53 ayat 1. Sebagian besar bank dan fintech memenuhinya sejak hari pertama beroperasi. Banyak lagi yang secara mandiri memenuhi pemicu kedua: pemantauan sistematis dan rutin atas data pribadi dalam skala besar. Deteksi penipuan, penilaian kredit, dan penyaringan anti pencucian uang semuanya termasuk dalam kategori tersebut. Untuk memeriksa apakah pemrosesan Anda memenuhi salah satu pemicu ini, daftar periksa kewajiban DPO membahas setiap kondisi dengan contoh konkret.

Yang membuat sektor keuangan berbeda bukan sekadar bahwa penunjukan DPO itu wajib, melainkan bahwa pejabat tersebut mengemban peran koordinasi di antara beberapa rezim regulasi yang saling tumpang tindih, masing-masing membawa kewajiban tersendiri terkait penanganan data, pelaporan pelanggaran, dan penempatan data.

Aturan yang harus dipegang bersama oleh DPO sektor keuangan

DPO di perbankan atau fintech tidak hanya beroperasi di bawah UU PDP. Peraturan-peraturan berikut masing-masing memberlakukan kewajiban terkait data, dan pejabat ini menjadi titik koordinasi alami ketika semuanya bertemu pada kegiatan pemrosesan yang sama.

SumberYang dikoordinasikan DPO
UU PDP Ps 53-54Fungsi dan tugas pelindungan data pribadi
UU PDP Ps 46Pemberitahuan pelanggaran dalam 3x24 jam kepada subjek dan lembaga
POJK 11/POJK.03/2022Manajemen risiko TI dan penempatan data di dalam negeri
SEOJK 29/SEOJK.03/2022Ketahanan siber, unit siber independen, dan pelaporan insiden
POJK 22/2023Kerahasiaan data konsumen dan larangan penyalahgunaan
UU 10/1998 Pasal 40Kerahasiaan data deposan dan simpanan, rahasia bank
PBI 23/6/PBI/2021 Pasal 48Pemrosesan transaksi pembayaran di dalam negeri

Hubungan antara aturan-aturan ini tidak selalu mudah dipahami. UU PDP dan POJK 22 Tahun 2023 keduanya mengatur kerahasiaan data konsumen, namun melalui jalur penegakan yang berbeda dan dengan penekanan yang tidak sama. UU 10/1998 tentang rahasia bank mendahului UU PDP lebih dari dua dekade. Tidak ada satu pun instrumen ini yang menggantikan yang lain; semuanya berlaku berdampingan, dan DPO sektor keuangan harus memahami gambaran utuhnya.

Dua tenggat pelanggaran yang berjalan bersamaan

Insiden keamanan di bank kerap memicu dua kewajiban pemberitahuan yang berjalan paralel. Keduanya tidak dapat dipertukarkan. Masing-masing memiliki penerima, tenggat, dan dasar hukum tersendiri.

 Pemberitahuan pelanggaran UU PDPLaporan insiden siber OJK
PemicunyaKegagalan pelindungan data pribadiInsiden siber atau TI
Yang diberitahuSubjek data dan lembaga pengawasOJK
TenggatDalam 3x24 jam, yaitu 72 jamPemberitahuan awal dalam 24 jam, laporan lengkap dalam 5 hari
Dasar hukumUU PDP Pasal 46POJK 11/POJK.03/2022

Satu peristiwa yang sama, misalnya akses tidak sah ke basis data nasabah, bisa sekaligus mengaktifkan kedua kewajiban tersebut. DPO harus memastikan bank memenuhi kedua tenggat dan bahwa pemberitahuan yang dikirim ke masing-masing pihak akurat serta konsisten satu sama lain. Mengoordinasikan respons tersebut di antara tim hukum, keamanan TI, kepatuhan, dan komunikasi merupakan salah satu tugas paling sensitif terhadap waktu yang diemban oleh peran ini.

Lokalisasi data yang harus diperhitungkan DPO

Penempatan data bukan variabel bebas bagi lembaga keuangan. PP 71 Tahun 2019 mempertahankan kewenangan regulator sektor keuangan untuk memberlakukan ketentuan lokalisasi mereka sendiri, terpisah dari aturan transfer lintas batas yang mungkin mengikuti dari UU PDP. POJK 11/POJK.03/2022 menetapkan bawaan penempatan data di dalam negeri bagi bank umum: bank yang ingin menempatkan datanya di luar negeri memerlukan persetujuan OJK. Bank Indonesia lebih jauh lagi untuk layanan pembayaran: Pasal 48 PBI 23/6/PBI/2021 mewajibkan pemrosesan transaksi pembayaran dilakukan di dalam negeri, kecuali Bank Indonesia menyetujui alternatif lain secara khusus.

Dalam praktiknya, ini berarti DPO yang meninjau migrasi ke cloud, pengaturan prosesor pihak ketiga baru, atau alur data lintas batas harus memetakan usulan pengaturan tersebut terhadap kontrol transfer UU PDP sekaligus aturan lokalisasi khusus sektornya. Dua kumpulan batasan tersebut tidak selalu selaras dalam cakupan maupun waktunya, sehingga penilaian harus memperlakukan keduanya secara terpisah.

Apa artinya bagi peran DPO

DPO di sektor keuangan bekerja di persimpangan antara privasi, risiko TI, pelindungan konsumen, rahasia bank, serta data yang dihasilkan oleh proses AML dan KYC. Perannya lebih dari sekadar mengelola program pelindungan data pribadi. Pejabat ini secara rutin menghadapi ketegangan antara apa yang dituntut oleh prinsip minimisasi data dan apa yang diwajibkan oleh ketentuan retensi AML. Mereka bersinggungan dengan berbagai lini bisnis, kerangka kepatuhan, dan pengawas regulasi yang berbeda.

Bagi organisasi yang sedang memutuskan cara menyusun atau mengisi peran ini, halaman cara menunjuk DPO berdasarkan UU PDP membahas proses penunjukan, struktur mandat, dan hubungan pejabat tersebut dengan fungsi hukum dan kepatuhan yang sudah ada. Secara terpisah, artikel blog tentang persyaratan keamanan siber OJK untuk bank di Indonesia menguraikan kewajiban keamanan TI secara lebih rinci bagi mereka yang sedang menelaah ketentuan POJK 11 dan SEOJK 29 bersama dengan kerangka privasi.

Halaman ini merupakan panduan umum tentang UU PDP dan regulasi sektor keuangan, bukan nasihat hukum. Konfirmasikan kewajiban Anda terhadap ketentuan yang berlaku saat ini.

References

  1. 1.UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi
  2. 2.POJK 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum
  3. 3.SEOJK 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum, OJK
  4. 4.POJK 22 Tahun 2023 tentang Pelindungan Konsumen dan Masyarakat di Sektor Jasa Keuangan
  5. 5.UU Nomor 10 Tahun 1998 tentang Perbankan
  6. 6.PBI 23/6/PBI/2021 tentang Penyedia Jasa Pembayaran, Bank Indonesia

Pertanyaan umum

Kegiatan inti mereka adalah pemrosesan data keuangan pribadi dalam skala besar, yang oleh Pasal 4 ayat 2 UU PDP digolongkan sebagai data pribadi yang bersifat spesifik. Kondisi tersebut memenuhi pemicu Pasal 53 ayat 1. Banyak lembaga juga memenuhi pemicu pemantauan melalui deteksi penipuan, penilaian kredit, dan penyaringan AML.

Terkait

Layanan kami

SOC-as-a-ServiceOperasi Keamanan Terkelola 24/7 untuk Perusahaan IndonesiaPenetration TestingSimulasi Serangan Nyata untuk Menemukan Celah Sebelum PenyerangKonsultasi Kepatuhan & GRCNavigasi Regulasi Indonesia dan Internasional dengan Percaya DiriDPO as a Service (DPOaaS)Pejabat Pelindungan Data alih daya untuk UU PDPRespons Insiden & Forensik DigitalPenahanan Cepat dan Investigasi Ahli Saat DibutuhkanKeamanan Cloud & DevSecOpsTransformasi Cloud Aman dan Pipeline Pengembangan Terintegrasi KeamananVulnerability AssessmentIdentifikasi dan Prioritisasi Kelemahan Keamanan secara SistematisManajemen Risiko SDMBangun Budaya Sadar Keamanan di Seluruh Tenaga Kerja Indonesia Anda

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Hubungi tim kami

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.