top of page
Search

Checklist Kepatuhan UU PDP untuk Fintech: 12 Hal yang Harus Ada Sebelum Audit OJK

  • Writer: Bima Aditya
    Bima Aditya
  • 2 days ago
  • 3 min read

Audit OJK bukan kejutan yang datang tiba-tiba. Ada sinyal, ada siklus, ada pola. Tapi banyak perusahaan fintech yang baru panik menyiapkan dokumen ketika pemeriksa sudah di depan pintu.

Yang lebih mengkhawatirkan: sejak UU PDP berlaku penuh pada Oktober 2024, OJK mulai mengintegrasikan penilaian kepatuhan data pribadi ke dalam scope pemeriksaan reguler mereka.

 

"Audit OJK yang gagal di aspek UU PDP bukan selalu karena perusahaannya tidak patuh. Sering kali karena kepatuhannya tidak terdokumentasi, dan sesuatu yang tidak terdokumentasi, dari perspektif auditor, sama dengan tidak ada."

 

12 Hal yang Harus Ada Sebelum Audit OJK

Kelompok A: Kebijakan dan Dasar Hukum (4 hal)

•      Kebijakan Perlindungan Data Pribadi yang sudah direvisi pasca Oktober 2024. Bukan privacy policy di website, tapi kebijakan internal yang mengatur bagaimana perusahaan memproses, menyimpan, dan menghapus data pribadi.

•      Dasar hukum yang terdokumentasi untuk setiap aktivitas pemrosesan data. Setiap aktivitas harus bisa dipetakan ke salah satu dasar hukum yang sah: consent, pemenuhan kontrak, kewajiban hukum, kepentingan vital, tugas publik, atau kepentingan legitim.

•      Kebijakan retensi dan penghapusan data yang terdokumentasi. Data pribadi tidak boleh disimpan lebih lama dari yang diperlukan, termasuk dari sistem backup dan arsip.

•      Penunjukan Data Protection Officer (DPO) atau setara. Harus ada orang yang jelas bertanggung jawab dan bisa dihubungi oleh regulator.


Kelompok B: Consent dan Hak Subjek Data (3 hal)

•      Consent management system yang granular dan bisa diaudit. Sistem harus bisa menunjukkan: kapan consent diberikan, untuk tujuan apa, versi kebijakan yang berlaku, dan apakah consent pernah dicabut.

•      Prosedur yang terdokumentasi untuk memenuhi hak subjek data. UU PDP memberikan 8 hak kepada subjek data, termasuk hak akses, koreksi, penghapusan, dan portabilitas.

•      Mekanisme penarikan consent yang mudah diakses pengguna. Mencabut consent harus semudah memberikannya.


Kelompok C: Keamanan Teknis dan Vendor (3 hal)

•      Penilaian risiko keamanan data yang terdokumentasi. Harus ada dokumen yang menilai risiko terhadap setiap sistem yang memproses data pribadi.

•      Data Processing Agreement (DPA) dengan semua vendor yang memiliki akses data. Ini termasuk vendor cloud, vendor credit scoring, vendor eKYC, dan bahkan SaaS tools yang memiliki akses ke data pengguna.

•      Log akses dan audit trail untuk sistem yang menyimpan data sensitif. Sistem harus mencatat siapa yang mengakses data apa, kapan, dan untuk tujuan apa.


Kelompok D: Respons Insiden dan Pelatihan (2 hal)

•      Prosedur respons insiden kebocoran data yang sudah dilatih. Bukan hanya dokumen yang ada di folder, tapi prosedur yang sudah dipraktikkan. Harus mencakup cara melapor ke Komdigi dalam 14 x 24 jam.

•      Bukti pelatihan karyawan tentang UU PDP. Auditor OJK bisa meminta bukti bahwa karyawan yang memiliki akses ke data pengguna sudah mendapat pelatihan.

 

3 Hal yang Sering Dianggap Sudah Ada tapi Sebenarnya Tidak

•      Privacy policy di website dianggap sudah mencukupi. Privacy policy di website adalah komunikasi ke pengguna, bukan kebijakan internal perusahaan. Dua dokumen ini berbeda dan keduanya harus ada.

•      Consent di awal pendaftaran dianggap berlaku selamanya. Jika perusahaan menambahkan tujuan pemrosesan baru atau bermitra dengan vendor data baru, consent lama tidak otomatis mencakup perubahan tersebut.

•      Sistem cloud dianggap tanggung jawab vendor sepenuhnya. Jika perusahaan menyimpan data pengguna di cloud provider, tanggung jawab perlindungan data tetap ada pada perusahaan sebagai pengendali data.

 

Take Away: 4 Langkah Memulai Persiapan Audit

•      Lakukan self-assessment terhadap 12 poin di atas, tandai mana yang sudah ada, mana yang ada tapi belum lengkap, dan mana yang belum ada sama sekali.

•      Prioritaskan 4 hal yang paling kritikal: kebijakan perlindungan data internal, consent management system, DPA dengan vendor utama, dan prosedur respons insiden.

•      Jangan selesaikan ini dalam silo, libatkan tim IT, legal, produk, dan customer service. Kepatuhan UU PDP adalah fungsi lintas tim.

•      Jadwalkan mock audit internal 60 hari sebelum periode audit OJK yang diantisipasi, minta tim internal atau advisor eksternal untuk menguji dokumentasi seolah-olah mereka adalah pemeriksa OJK.

 

Referensi Regulasi

•      UU No. 27/2022 (Pasal 20–35 tentang hak subjek data, Pasal 46 tentang notifikasi)

•      POJK 22/2023 – Perlindungan Konsumen dan Masyarakat di Sektor Jasa Keuangan

•      POJK 11/2022 – Penyelenggaraan TI oleh Bank Umum

•      POJK 19/2023 – Penyelenggaraan LPBBTI

•      PP No. 71/2019 – Penyelenggaraan Sistem dan Transaksi Elektronik

 

Sumber

•      komdigi.go.id

•      ojk.go.id

•      bssn.go.id

•      hukumonline.com

 

 
 
 

Comments

metamorph advisors logo white transparent fractional cxo expertise as service on demand advisory

Need to discuss more about your business needs? Send email to info@metamorph.id or click the button below, fill out the form and we'll be in touch soon!

© 2024 Metamorph. All rights reserved.

  • Instagram
  • LinkedIn
bottom of page