Irisan PBI 10/2025 dan UU PDP: Dual Regulatory Framework
Pasal 97-99 dan 144 PBI 10/2025 menempatkan perlindungan data pribadi (personal data protection) sebagai kewajiban substansial bagi semua pelaku dalam ekosistem sistem pembayaran. Sekaligus, UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) telah berlaku efektif sejak November 2023 dan mengatur perlindungan data pribadi secara universal untuk seluruh pemroses data pribadi warga negara Indonesia.
Hasilnya adalah "double compliance": setiap PSP dan Penyelenggara Penunjang yang menangani data pembayaran harus mematuhi KEDUA-DUANYA regulasi:
| KONSEP KUNCI | Data sistem pembayaran mengandung data pribadi: nama, nomor rekening, nomor identitas, riwayat transaksi, pola belanja. Oleh karena itu, regulasi perlindungan data baik dari PBI 10/2025 maupun UU PDP berlaku bersamaan. PSP tidak dapat memilih salah satu saja — keduanya adalah mandatory. Pendekatan yang benar adalah compliance by design: setiap sistem, proses, dan kebijakan data harus dirancang untuk memenuhi KEDUA-DUANYA standard, bukan sekadar tumpang tindih kepatuhan. |
Kewajiban Perlindungan Data dalam PBI 10/2025
Pasal 97 ayat 5: Penyelenggara Infrastruktur Data SP
Penyelenggara infrastruktur data sistem pembayaran (termasuk PSP dan Penyelenggara Penunjang yang mengelola data) wajib menerapkan:
(a) Prinsip kehati-hatian (prudency principle)
(b) Tata kelola (governance) dan manajemen risiko
(c) Keamanan (security)
(d) Kerahasiaan (confidentiality)
(e) Perlindungan data pribadi sesuai perundangan dan kebijakan nasional
Pasal 99 ayat 1: Pihak Terhubung
Pihak Terhubung adalah pihak yang memanfaatkan atau menyediakan data sistem pembayaran melalui infrastruktur data BI (misalnya, melalui BI Fast, API Payment Gateway, atau sharing data platform). Pihak Terhubung wajib:
(a) Menerapkan prinsip kehati-hatian, kerahasiaan, dan perlindungan data pribadi
(b) Memiliki dasar pemrosesan data yang jelas (consent, legitimate interest, legal obligation, dll)
(c) Mematuhi standar keamanan serta tata kelola dan manajemen risiko
(d) Mematuhi standar, tata cara, dan mekanisme pemerolehan dan penyampaian data yang ditetapkan penyelenggara infrastruktur data SP
Prinsip Perlindungan Data Pribadi dalam UU PDP No. 27/2022
UU PDP menetapkan enam prinsip fundamental untuk pemrosesan data pribadi:
| Prinsip | Definisi | Implikasi untuk PSP dan Sistem Pembayaran |
|---|---|---|
| Legalitas (Lawfulness) | Data pribadi hanya dapat diproses atas dasar hukum yang jelas: consent subyek data, pelaksanaan kontrak, kewajiban hukum, atau legitimate interest yang seimbang | PSP harus memiliki dasar hukum yang jelas untuk setiap pemrosesan data. Untuk koleksi data dari pelanggan/pengguna akhir: informed consent tertulis diperlukan kecuali ada exemption (payment processing necessity, risk assessment untuk fraud) |
| Terbatas pada Tujuan (Purpose Limitation) | Data pribadi hanya dapat diproses sesuai tujuan spesifik yang telah diinformasikan kepada subyek data, dan tidak boleh diproses kembali untuk tujuan lain yang tidak compatible | PSP yang mengkoleksi data pembayaran untuk purpose payment processing tidak boleh kemudian menggunakan data tersebut untuk marketing atau business intelligence tanpa dasar hukum baru |
| Minimisasi Data (Data Minimization) | Hanya data pribadi yang benar-benar diperlukan untuk mencapai tujuan yang dapat dikumpulkan (tidak boleh excessive) | PSP hanya mengkoleksi data pembayaran yang essential: nama, rekening, nominal transaksi. Jika mengkoleksi data tambahan (lokasi, device fingerprint), harus justified sesuai purpose dan necessity |
| Akurasi (Accuracy) | Data pribadi harus akurat, lengkap, dan diperbarui; PSP wajib melakukan update jika data sudah tidak akurat | PSP harus memiliki mekanisme untuk verify accuracy data pembayaran (misalnya, verification of bank account ownership) dan update data jika ada perubahan |
| Retensi Terbatas (Storage Limitation) | Data pribadi hanya dapat disimpan selama diperlukan untuk mencapai tujuan, dan harus dihapus atau di-pseudonymize jika sudah tidak dibutuhkan | PSP tidak boleh menyimpan data pembayaran selamanya. Sesuai regulasi BI (kemungkinan dalam PADG), data harus di-delete atau di-archive setelah periode tertentu (misalnya 7 tahun untuk audit trail, kemudian di-pseudonymize) |
| Integritas dan Kerahasiaan (Integrity and Confidentiality) | Data pribadi harus dilindungi dari unauthorized access, modification, atau disclosure melalui technical dan organizational measures | PSP harus mengimplementasikan encryption (at rest dan in transit), access control, audit trail, incident response untuk data breach |
Hak Subyek Data (Data Subject Rights) dalam UU PDP
UU PDP memberikan hak-hak fundamental kepada setiap individu yang data pribadinya diproses:
(a) Hak untuk Diinformasikan
Subyek data berhak untuk diinformasikan tentang: identitas pengontrol data, tujuan pemrosesan, dasar hukum, pihak penerima data, retention period, hak-hak mereka
(b) Hak Akses
Subyek data berhak untuk mengakses dan memperoleh copy data pribadi mereka yang diproses PSP
(c) Hak Koreksi
Subyek data berhak untuk meminta PSP melakukan koreksi terhadap data pribadi mereka yang tidak akurat
(d) Hak Penghapusan
Subyek data berhak untuk meminta penghapusan data pribadi mereka dalam kondisi tertentu (data tidak lagi diperlukan, consent ditarik, dll)
(e) Hak Pembatasan Pemrosesan
Subyek data berhak untuk membatasi pemrosesan data pribadi mereka (misalnya, hanya untuk payment settlement, tidak untuk analytics)
(f) Hak Data Portability
Subyek data berhak untuk menerima data pribadi mereka dalam format terstruktur dan dapat mentransfer ke data controller lain
| PENTING | Implementasi hak-hak subyek data memerlukan infrastruktur data yang sophisticated. PSP harus memiliki sistem untuk merespons request akses, koreksi, penghapusan dalam timeframe yang ditentukan (umumnya 30 hari). Kegagalan memenuhi hak subyek data dapat mengakibatkan sanksi administratif hingga 4% dari global revenue (UU PDP). |
Pembatasan Transfer Data ke Luar Negeri (Pasal 144)
Pasal 144 ayat 3 PBI 10/2025 menetapkan bahwa transfer data sistem pembayaran ke pihak di luar NKRI (Nusantara Kepulauan Republik Indonesia) hanya dapat dilakukan sepanjang tidak bertentangan dengan perundangan dan kebijakan nasional.
Seiring dengan ini, UU PDP Pasal 36 juga membatasi transfer data pribadi ke luar negeri: hanya dapat dilakukan ke negara yang memiliki tingkat perlindungan data setara dengan Indonesia, atau dengan safeguards tambahan (standard contractual clauses, binding corporate rules, dll).
Implikasi Praktis:
(a) Lokalisasi Data: Data pembayaran harus disimpan dan diproses di Indonesia. Jika menggunakan cloud provider internasional, data harus tetap dienkripsi dan hanya decrypted saat pemrosesan di server lokal
(b) Audit dan Monitoring: PSP harus memastikan bahwa data tidak di-transfer ke negara yang tidak memiliki adequacy decision dari regulator data protection Indonesia
(c) Kontrak dengan Vendor Internasional: Jika menggunakan vendor luar negeri, perjanjian harus menekankan bahwa data tidak boleh di-transfer dari Indonesia tanpa explicit written permission
(d) Hak BI untuk Menghentikan: Pasal 144 ayat 4 memberikan BI wewenang untuk menghentikan transfer data jika bertentangan dengan peraturan atau kebijakan nasional
Membangun Program Perlindungan Data Terpadu: Checklist Implementasi
Mengintegrasikan kewajiban PBI 10/2025 dan UU PDP memerlukan program perlindungan data yang comprehensive:
| Area Program | Aktivitas Kunci | Responsible Party | Timeline Implementasi |
|---|---|---|---|
| Data Governance dan Policy | Develop data protection policy yang memenuhi PBI 10/2025 dan UU PDP; establish data governance structure; define roles dan responsibilities; define data classification dan handling procedures | Chief Data Officer / Chief Information Security Officer | Q2-Q3 2026 |
| Data Mapping dan Inventory | Identify semua jenis data pribadi yang diproses; map data flow (koleksi, pemrosesan, transfer, penyimpanan, penghapusan); identify basis pemrosesan untuk setiap jenis data | Data Protection Officer / Compliance Officer | Q2-Q3 2026 |
| Consent Management dan Privacy Notice | Develop informed consent forms yang clear dan comprehensive; create privacy notices untuk setiap touchpoint data collection; implement consent management system (CMS) | Legal / Privacy Officer | Q3 2026 |
| Technical dan Organizational Measures | Implement encryption (at rest dan in transit); establish access control dan audit trail; implement DLP (Data Loss Prevention); establish incident response procedure; conduct regular security assessment dan penetration testing | CISO / IT Security Officer | Q2 2026 - Q1 2027 |
| Data Subject Rights Procedures | Establish procedure untuk respond to data access requests; establish procedure untuk data correction dan deletion; implement system untuk track dan manage data subject requests | Privacy Officer / Customer Service | Q3-Q4 2026 |
| Data Protection Impact Assessment (DPIA) | Conduct DPIA untuk setiap new processing activity atau system yang involves data pribadi; document risk assessment dan mitigation measures | Privacy Officer / Project Management Office | Ongoing for new projects |
| Training dan Awareness | Develop data protection training for all staff; implement role-specific training (developers, data handlers, supervisors); conduct regular awareness campaigns | HR / Compliance Officer | Q3 2026 and Ongoing |
| Third-Party Risk Management | Assess data protection capability of Penyelenggara Penunjang dan partners; include data protection clause dalam agreements; conduct regular audit of third-party compliance | Chief Risk Officer / Procurement | Q2-Q4 2026 and Ongoing |
| Data Retention dan Deletion | Define retention period untuk setiap type of data sesuai purpose dan legal requirement; implement automated deletion atau pseudonymization process; maintain deletion audit trail | Data Governance / IT Operations | Q3 2026 - Q1 2027 |
| Reporting dan Accountability | Prepare annual data protection compliance report; establish incident notification procedure untuk data breach; maintain documentation untuk demonstrate compliance (accountability principle) | Privacy Officer / Compliance Officer | Ongoing (Annual Report Q4) |
Kesimpulan: Perlindungan Data sebagai Competitive Advantage
Perlindungan data pribadi bukan hanya kewajiban regulatory — tetapi juga competitive advantage dan trust builder di ekosistem pembayaran. PSP yang memiliki program perlindungan data yang robust dan transparent akan lebih dipercaya oleh pelanggan dan mitra bisnis, sekaligus mengurangi risiko regulasi dan reputasi.
Sebaliknya, PSP yang negligent dalam perlindungan data tidak hanya menghadapi risiko sanksi administratif dari BI dan regulator data protection, tetapi juga kehilangan kepercayaan pasar dan mengalami data breach yang costly.
| WAWASAN BITLION | Dual compliance dengan PBI 10/2025 dan UU PDP adalah new normal untuk industri pembayaran Indonesia. Tidak ada lagi pilihan untuk mengabaikan salah satu regulasi. Bagi PSP yang masih dalam proses build-out, momentum ini adalah kesempatan untuk build data protection from the start (privacy by design). Bagi PSP yang sudah existing, ini adalah waktunya untuk melakukan comprehensive data protection audit dan remediation. Kompleksitas tidak hanya terletak pada technical measures, tetapi juga pada governance, culture, dan continuous monitoring. Investasi dalam data protection infrastructure dan talent adalah investasi jangka panjang yang akan meningkatkan resiliensi dan trust di industri pembayaran. |