Apakah bank yang sudah patuh POJK 11 otomatis patuh UU PDP?

Tidak. POJK 11 berfokus pada keamanan siber infrastruktur dan sistem, sementara UU PDP mengatur pemrosesan dan perlindungan data pribadi nasabah. Ada irisan signifikan, tetapi ada pula kewajiban UU PDP yang tidak dicakup POJK 11, termasuk mekanisme persetujuan nasabah, hak-hak subjek data, dan kewajiban penunjukan DPO.

Wajibkah bank Indonesia menunjuk DPO?

Hampir pasti ya. Bank mengelola data pribadi jutaan nasabah secara sistematis dan berskala besar, yang merupakan salah satu pemicu kewajiban penunjukan DPO menurut Pasal 53 UU PDP. Multifinance dan fintech dengan basis nasabah besar menghadapi kewajiban serupa.

Bagaimana UU PDP mengatur transfer data nasabah ke pihak ketiga?

Pasal 56 UU PDP mewajibkan adanya perjanjian perlindungan data pribadi antara pengendali dan prosesor sebelum data nasabah dapat diproses oleh pihak ketiga, termasuk vendor teknologi, biro kredit, dan mitra co-marketing. Bank juga harus memastikan bahwa pihak ketiga memenuhi standar perlindungan yang setara.

Apa sanksi khusus untuk sektor keuangan jika melanggar UU PDP?

Selain sanksi UU PDP (administratif hingga 2% pendapatan, pidana hingga 6 tahun), lembaga keuangan juga menghadapi sanksi OJK berdasarkan POJK 11, termasuk peringatan tertulis, pembatasan kegiatan usaha, dan pencabutan izin usaha untuk pelanggaran berulang atau berat.

UU PDP kepatuhan perbankan jasa keuangan Indonesia

Sektor keuangan Indonesia berada di persimpangan dua rezim regulasi yang berlapis: UU PDP yang mengatur perlindungan data pribadi, dan POJK 11 yang mengatur keamanan siber lembaga jasa keuangan. Keduanya mewajibkan, tetapi cakupannya tidak sepenuhnya tumpang tindih. Bank, multifinance, fintech, dan asuransi harus memenuhi keduanya secara bersamaan.

Mengapa sektor keuangan punya kewajiban berlapis

Lembaga jasa keuangan memproses kategori data pribadi yang paling sensitif: data keuangan, data identitas lengkap, riwayat transaksi, dan dalam banyak kasus data biometrik. UU PDP mengkategorikan data keuangan dan data biometrik sebagai data pribadi spesifik dengan perlindungan tertinggi.

UU PDP: perlindungan data nasabah

Mengatur bagaimana data nasabah dikumpulkan, disimpan, diproses, dan dihapus. Mewajibkan persetujuan eksplisit, hak-hak subjek data (akses, koreksi, penghapusan), dan pemberitahuan insiden dalam 14 hari.

POJK 11: keamanan sistem keuangan

Mengatur standar keamanan siber infrastruktur teknologi lembaga keuangan, termasuk kewajiban penetration testing, monitoring, incident response, dan pelaporan insiden kepada OJK.

Irisan dan celah

Pemantauan 24/7 (POJK 11) membantu mendeteksi pelanggaran data (UU PDP). Tetapi mekanisme persetujuan nasabah, penunjukan DPO, dan hak subjek data adalah wilayah yang hanya diatur UU PDP.

Pemetaan kewajiban untuk lembaga keuangan

	Dicakup POJK 11	Dicakup UU PDP (tambahan)
Penetration testing berkala	Wajib (Pasal 10)	Tidak diatur secara spesifik
Monitoring keamanan 24/7	Wajib	Tidak diatur secara spesifik
Pelaporan insiden ke OJK	Wajib dalam 14 hari	Tidak berlaku (pelaporan ke BSSN)
Persetujuan nasabah untuk penggunaan data	Tidak diatur secara spesifik	Wajib, dengan kriteria persetujuan yang valid
Hak nasabah: akses, koreksi, penghapusan	Tidak diatur	Wajib diimplementasikan
Penunjukan DPO	Tidak diwajibkan	Wajib untuk lembaga yang memenuhi kriteria Pasal 53
Perjanjian dengan prosesor pihak ketiga	Parsial (vendor management)	Wajib, dengan klausul perlindungan data spesifik
Notifikasi insiden kepada nasabah terdampak	Tidak diwajibkan	Wajib dalam 14 hari

Data pribadi spesifik dalam layanan keuangan

UU PDP menetapkan kategori data yang memerlukan perlindungan lebih tinggi. Hampir semua lembaga keuangan memproses sebagian besar dari daftar ini.

Data keuangan dan transaksi (Pasal 4 UU PDP)Data identitas lengkap (NIK, paspor, KK)Data biometrik (finger print untuk nasabah digital, face recognition)Data kesehatan (untuk asuransi jiwa dan kesehatan)Data lokasi (untuk fintech lending dan e-wallet)Nomor telepon dan email sebagai penghubung identitas

Pemrosesan data spesifik memerlukan dasar hukum yang lebih kuat dari sekadar kepentingan bisnis biasa, dan sanksi pidana untuk pelanggarannya lebih tinggi: Pasal 68 UU PDP mengancam pidana penjara hingga 5 tahun dan denda Rp 5 miliar.

Implementasi praktis: langkah prioritas

1
Pemetaan data (data mapping)
Identifikasi semua data pribadi yang diproses: dari mana asalnya, disimpan di mana, siapa yang mengaksesnya, dan berapa lama dipertahankan. Tanpa peta data yang akurat, tidak ada program kepatuhan yang bisa dibangun.
2
Audit mekanisme persetujuan
Review formulir pendaftaran, perjanjian kredit, dan syarat layanan digital. Apakah persetujuan untuk penggunaan data marketing, scoring kredit oleh pihak ketiga, dan berbagi data dengan mitra diperoleh secara eksplisit dan terpisah?
3
Implementasi hak subjek data
Bangun mekanisme bagi nasabah untuk mengakses, mengoreksi, atau meminta penghapusan data mereka. UU PDP mewajibkan respons dalam 30 hari. Untuk bank dengan jutaan nasabah, ini membutuhkan sistem otomatis.
4
Review kontrak pihak ketiga
Semua vendor yang memproses data nasabah memerlukan addendum perjanjian perlindungan data sesuai Pasal 56 UU PDP. Ini termasuk cloud provider internasional yang memproses data nasabah Indonesia.
5
Penunjukan DPO dan pembentukan fungsi
Tentukan apakah lembaga Anda wajib menunjuk DPO berdasarkan kriteria Pasal 53. Jika ya, tentukan apakah DPO internal atau outsourced lebih sesuai dengan kapasitas dan anggaran yang tersedia.

Posisi OJK terhadap UU PDP

OJK mengakui bahwa lembaga jasa keuangan di bawah pengawasannya tunduk pada UU PDP di samping regulasi OJK sendiri. Dalam beberapa peraturan terbaru, OJK semakin menyelaraskan persyaratannya dengan UU PDP, termasuk dalam POJK 34/2025 untuk Bank Perkreditan Rakyat.

Kepatuhan terhadap UU PDP bukan sekadar kewajiban hukum tambahan. Ia adalah bagian dari tata kelola data yang diharapkan OJK dari lembaga keuangan yang beroperasi di era digital.

Alpha Code mendukung lembaga jasa keuangan Indonesia dalam membangun program kepatuhan UU PDP yang terintegrasi dengan kerangka keamanan siber POJK yang sudah ada.

Kepatuhan UU PDP untuk perbankan dan jasa keuangan Indonesia

Mengapa sektor keuangan punya kewajiban berlapis

Pemetaan kewajiban untuk lembaga keuangan

Data pribadi spesifik dalam layanan keuangan

Implementasi praktis: langkah prioritas

Posisi OJK terhadap UU PDP

Pertanyaan umum

Terkait

Layanan kami

Siap memperkuat keamanan siber Anda?