Kerangka Regulasi Data Pribadi untuk PJP
Penyedia Jasa Pembayaran di Indonesia harus comply dengan dua kerangka regulasi utama yang mengatur perlindungan data pribadi: (1) UU Perlindungan Data Pribadi (UU PDP) No. 27 Tahun 2022, yang merupakan omnibus law yang berlaku untuk semua organisasi yang memproses data pribadi Indonesia, dan (2) PBI 23/2021, yang mengintegrasikan persyaratan keamanan dan perlindungan data yang specific untuk payment services. UU PDP No. 27/2022 adalah landmark legislation yang memindahkan Indonesia menuju stricter data protection standards yang sejalan dengan global trends seperti GDPR di Eropa. Law ini menempatkan emphasis pada consent management, data subject rights, privacy impact assessments, dan breach notification. PBI 23/2021 complement UU PDP dengan adding payment-specific requirements untuk security, incident response, dan regulatory reporting. PJP yang tidak comply dengan both frameworks dapat face substantial fines, operational restrictions, atau reputational damage.
Kategori Data Pribadi yang Diproses oleh PJP
Penyedia Jasa Pembayaran memproses berbagai kategori data pribadi sebagai bagian dari normal operations mereka. Kategori utama mencakup: (1) Identifying data—nama, nomor identitas (KTP/SIM), nomor NPWP, tanggal lahir—diperlukan untuk customer identification dan compliance dengan AML/KYC regulations; (2) Contact data—nomor telepon, email address, mailing address—digunakan untuk customer communication dan transaction notification; (3) Financial account data—nomor rekening bank, jenis rekening, saldo informasi—essential untuk executing payment transactions; (4) Transaction data—merchant information, transaction amount, timestamp, location (untuk e-wallet)—generated whenever customer melakukan payment; (5) Device data—IP address, device identifier, browser information—collected untuk security dan fraud prevention; dan (6) Behavioral data—transaction patterns, preferred payment methods, shopping preferences—collected untuk analytics dan personalization. Setiap kategori memiliki sensitivity level berbeda dan require berbeda protection measures.
| KONSEP KUNCI | UU PDP membedakan antara data pribadi dan data pribadi sensitif (special categories). Data pribadi sensitif mencakup: informasi tentang status kesehatan, ras/etnis, political opinions, religious beliefs, union membership, genetic data, dan biometric data. PJP umumnya tidak memproses health atau genetic data, tetapi mungkin kumpulkan biometric data untuk authentication, sehingga yang harus treat biometric dengan heightened protection. |
Legal Basis untuk Pemrosesan Data dalam Payment Services
UU PDP mengharuskan bahwa setiap pemrosesan data pribadi harus memiliki legal basis yang valid. Legal basis untuk payment services termasuk: (1) Consent—customer secara explicit memberikan persetujuan untuk PJP untuk memproses data mereka; (2) Contractual necessity—pemrosesan data adalah necessary untuk execute payment contracts yang customer masuki; (3) Legal obligation—PJP must process certain data untuk comply dengan regulatory requirements seperti AML/KYC atau tax reporting; (4) Vital interests—processing adalah necessary untuk protect life or health seseorang; (5) Public task—processing adalah necessary untuk perform functions untuk kepentingan publik. Untuk payment services, primary legal basis biasanya contractual necessity (karena payment execution require certain data) atau legal obligation (untuk AML/KYC compliance). Consent mungkin di-require untuk secondary uses seperti marketing atau behavior analytics. PJP harus document the legal basis untuk setiap processing activity dalam privacy policy dan privacy impact assessment.
Hak-Hak Subjek Data (Data Subject Rights)
UU PDP memberikan kepada individuals ("data subjects") berbagai rights terkait dengan personal data mereka yang diproses oleh PJP. Rights ini include: (1) Right of access—individual dapat request access ke personal data yang PJP punya tentang mereka, dan PJP harus provide copy dalam format yang understandable; (2) Right of rectification—individual dapat request correction dari inaccurate atau incomplete data; (3) Right of erasure (right to be forgotten)—individual dapat request deletion dari personal data, subject to some exceptions (e.g., jika data required untuk legal compliance); (4) Right to restrict processing—individual dapat request bahwa PJP restrict penggunaan dari data mereka; (5) Right to data portability—individual dapat request bahwa PJP provide personal data dalam machine-readable format untuk transfer ke organization lain; (6) Right to object—individual dapat object kepada processing untuk certain purposes seperti direct marketing; dan (7) Right to information—individual dapat request information tentang what personal data PJP process, why, dengan siapa it is shared, and untuk berapa lama di-retain. PJP harus memiliki procedures untuk handle data subject requests dalam reasonable timeframe (typically 30 days per UU PDP).
Data Retention dan Deletion Procedures
UU PDP mengharuskan bahwa personal data tidak disimpan lebih lama dari diperlukan untuk purposes yang data dikumpulkan ("data minimization and retention limitation principle"). Untuk payment services, retention periods dapat ditentukan oleh: regulatory requirements (e.g., AML/KYC data harus retained untuk minimum 5 years per BI regulations), operational needs (e.g., transaction records untuk dispute resolution), dan statute of limitations untuk legal claims (e.g., keep records untuk 3 years untuk potential litigation). PJP harus develop data retention schedule yang specify retention periods untuk setiap kategori dari personal data, dan harus implement automated deletion atau anonymization procedures ketika retention period expired. Deletion atau anonymization harus dilakukan secara secure untuk prevent recovery. PJP harus able to demonstrate kepada regulators bahwa personal data dihapus sesuai dengan data retention policy.
| PENTING | Data deletion adalah complex dari perspective of distributed systems dan backups. Jika personal data dihapus dari production system tetapi tetap exist dalam backup files, deletion tidak truly complete. PJP harus have procedures untuk ensure bahwa deleted data benar-benar removed dari backups juga, atau that backups diencrypt dengan keys yang dihapus sehingga data tidak dapat diakses. |
Data Breach Notification Requirements
Jika terjadi security breach yang menghasilkan unauthorized access atau disclosure dari personal data, UU PDP dan PBI 23/2021 mengharuskan PJP untuk notify affected individuals dan regulators. Timeline untuk notification adalah: PJP harus discover breach dalam reasonable time (ideally immediately, certainly dalam beberapa jam untuk major breaches), investigate ke determine scope dari breach, dan notify affected individuals dan regulators within specific timeframe (generally 72 hours per UU PDP principles, tetapi PBI mungkin require faster untuk payment incidents). Notification harus include: description dari breach, categories dan approximate number dari individuals affected, likely consequences dari breach, dan steps PJP taking untuk mitigate harm. PJP juga harus notify Bank Indonesia dan BSSN dalam parallel dengan individual notifications, karena breach dari payment data mungkin have broader systemic implications.
Cross-Border Data Transfer Restrictions
UU PDP memiliki strict requirements terkait dengan transfer dari personal data ke jurisdictions lain, khususnya outside Indonesia. General principle adalah bahwa personal data dari Indonesian residents harus di-process dan disimpan dalam Indonesian territory, atau dalam jurisdictions yang Indonesian regulator determine untuk provide "adequate level of protection". Transfer ke countries tanpa adequate protection harus accompanied dengan additional safeguards seperti: Standard Contractual Clauses (SCCs) yang establish contractual commitments untuk data protection, Binding Corporate Rules (BCRs) untuk transfers within group perusahaan, atau explicit customer consent untuk specific transfer. Untuk payment services, requirement ini adalah particularly important karena PJP mungkin operate dengan global payment networks atau use cloud providers yang operate servers di multiple countries. PJP harus implement controls untuk ensure bahwa customer data tetap dalam Indonesia atau properly protected jika transfer ke luar negeri adalah necessary.
Butuh Bantuan dari Strategi sampai Implementasi?
Dari pemetaan kewajiban PBI 23 hingga penguatan governance, risk, dan security controls, Bitlion membantu perusahaan bergerak lebih cepat dengan pendekatan konsultatif dan praktis.
Data Protection Officer dan Privacy Impact Assessments
PBI 23/2021 dan industry best practices mengharuskan bahwa PJP appoint Data Protection Officer (DPO) yang responsible untuk overseeing compliance dengan data protection regulations. DPO harus memiliki expertise dalam data protection law dan should report directly kepada senior management atau board level untuk ensure independence. DPO responsibilities termasuk: develop data protection policies, oversee compliance dengan UU PDP dan PBI requirements, handle data subject requests, conduct privacy impact assessments, provide training kepada staff tentang data protection, dan liaison dengan regulators. Untuk major changes ke data processing activities (seperti introduction dari new payment product atau technology), PJP should conduct Data Protection Impact Assessment (DPIA) untuk identify risks dan mitigating measures. DPIA adalah structured process untuk assess privacy risks dan design appropriate controls.
Privacy by Design dan Data Protection in Payment Products
UU PDP mengharuskan implementasi dari "privacy by design"—embedding data protection considerations sejak awal dari product development phase, bukan as an afterthought. Untuk payment products, privacy by design mencakup: collect hanya data yang truly necessary untuk payment function (avoid collecting data yang mungkin useful untuk analytics tetapi tidak essential untuk transaction), minimize access kepada personal data (use principle of least privilege), encrypt sensitive data both in-transit dan at-rest, implement strong access controls dengan audit logging, use data anonymization atau pseudonymization where possible untuk reduce risks, provide customers dengan transparency tentang data usage, dan build-in customer consent mechanisms untuk non-essential data uses. Privacy harus be considered dari architecture stage, implementation stage, testing stage, dan launch stage dari new product.
Consent Management dan Customer Preferences
Untuk data processing yang bukan contractually necessary atau legally required, UU PDP mengharuskan explicit consent dari customer. Consent harus be: (1) freely given—tidak dapat be forced atau coerced; (2) specific—customer must be informed tentang exact purposes dari processing; (3) informed—customer must understand implications; dan (4) unambiguous—clear affirmative action (tidak dapat be implied dari silence atau pre-checked boxes). PJP harus maintain consent records yang demonstrate bahwa customer memberikan valid consent, dan must be able to show what consent given untuk. Customers harus be able untuk withdraw consent at any time. PJP harus implement consent management system yang tracks yang permissions customer granted untuk apa, dan yang menggunakan untuk govern data processing activities. Consent management terutama important untuk optional uses seperti marketing atau analytics.
| Aspek Perlindungan Data | Persyaratan UU PDP & PBI 23/2021 | Implementasi Praktis untuk PJP |
|---|---|---|
| Data Collection | Collect hanya necessary data, transparent purposes | Inventory semua data collected per product, justify necessity |
| Legal Basis | Must identify valid legal basis setiap processing | Document legal basis di privacy policy per data category |
| Data Subject Rights | Support access, rectification, deletion, portability | Build data subject request handling process, 30-day SLA |
| Consent Management | Explicit consent untuk non-essential uses | Implement consent management platform, track granular consents |
| Data Retention | Retain tidak lebih lama dari necessary | Define retention schedule per data type, automate deletion |
| Breach Notification | Notify individuals & regulators within 72 hours | Establish incident response process, breach notification template |
| Data Protection Officer | Appoint qualified DPO untuk oversight | Dedicate DPO role, report ke management/board level |
| Privacy by Design | Embed protection dalam product development | Conduct DPIA sebelum launching new product/technology |
Kominfo/KOMDIGI dan Oversight Interaction dengan BI
Di Indonesia, data protection oversight berada di bawah Ministry of Communication and Digital Infrastructure (Kominfo/KOMDIGI), yang menyelenggarakan Personal Data Protection Agency (Otoritas Jaminan Informasi Pribadi—AJIP). Sementara BI adalah regulator untuk payment services, KOMDIGI adalah regulator untuk general data protection. Untuk PJP yang memproses personal data, mungkin subject kepada oversight dari both agencies. Koordinasi antara BI dan KOMDIGI adalah still evolving, tetapi generally: BI fokus pada payment-specific risks dan operational resilience, sementara KOMDIGI fokus pada broader data protection rights dan privacy. PJP harus understand requirements dari both agencies dan maintain compliance dengan both frameworks. Jika breach terjadi, PJP mungkin perlu report kepada both BI dan KOMDIGI. Jika dispute terhadap data subject rights terjadi, it might be escalated kepada AJIP.
Privacy Policies dan Customer Communication
PJP harus develop comprehensive privacy policy yang explain kepada customers bagaimana personal data mereka diproses. Privacy policy harus: (1) written dalam clear, understandable language—tidak dalam legalese yang customers tidak mengerti; (2) disajikan di accessible location—website, aplikasi, atau provided on request; (3) mencakup essential information—what data collected, why, legal basis, recipients, retention period, data subject rights; (4) updated regularly—whenever processing activities berubah; dan (5) made available dalam Indonesian dan mungkin English. Privacy policy harus be separate dari general terms of service, sehingga customers dapat focus pada data handling practices. PJP juga harus provide privacy notices di specific points dalam customer journey (seperti saat registration atau saat collecting sensitive data) untuk draw attention kepada important privacy aspects.
| Kategori Data | Contoh Data Elements | Sensitivitas Level | Periode Retensi Tipikal | Special Protections |
|---|---|---|---|---|
| Identity Data | Nama, KTP, SIM, NPWP, DOB | HIGH | 5-10 tahun (AML/KYC) | Encrypt, limited access, audit log |
| Contact Data | Phone, email, address | MEDIUM | 3-7 tahun | Standard security controls |
| Financial Account Data | Nomor rekening, bank, account type | HIGH | 5-10 tahun (regulatory) | Encrypt, tokenization, MFA untuk akses |
| Transaction Data | Merchant, amount, timestamp, location | MEDIUM-HIGH | 3-7 tahun (settlement) | Encrypt, masked merchant IDs untuk analytics |
| Device Data | IP address, device ID, user agent | MEDIUM | 1-2 tahun | Anonymize untuk analytics after 6 months |
| Biometric Data | Fingerprint, face data (jika applicable) | VERY HIGH | Delete immediately setelah authentication | Strongest encryption, no sharing, audit all access |
| Behavioral Data | Transaction patterns, preferences | MEDIUM | 1 tahun (retention limit) | De-identify untuk analytics, limit access |