Komdigi dan OJK Sanksi Paralel: 4 Skenario Nyata Ketika Satu Pelanggaran Ditindak Dua Regulator Sekaligus

Bima Aditya
2 days ago
3 min read

Bayangkan skenario ini: sistem Anda mengalami kebocoran data. Anda mulai menangani krisis. Tapi kemudian datang dua surat terpisah. Satu dari Komdigi. Satu dari OJK. Dua timeline. Dua set persyaratan. Dua proses yang berjalan sepenuhnya independen satu sama lain.

Ini bukan skenario hipotetis. Ini adalah struktur regulasi yang sudah berlaku untuk perusahaan fintech yang diawasi OJK sekaligus tunduk pada UU PDP.

"Satu pelanggaran data bisa menghasilkan dua proses pengawasan yang berjalan secara bersamaan. Denda dari Komdigi tidak mengurangi sanksi dari OJK — dan sebaliknya."

4 Skenario Nyata Sanksi Paralel

Skenario 1: Kebocoran database nasabah P2P lending

Platform P2P lending mengalami kebocoran data nasabah, termasuk nama, NIK, rekening bank, dan riwayat pinjaman.

• Dari sisi Komdigi (UU PDP): Kewajiban notifikasi dalam 14 x 24 jam ke Komdigi dan subjek data. Jika terlambat, sanksi administratif bisa mencapai 2% dari pendapatan tahunan.

• Dari sisi OJK (POJK 11/2022): OJK bisa memulai pemeriksaan terhadap sistem keamanan platform, yang bisa berujung sanksi terpisah, termasuk pembatasan operasional.

Skenario 2: Penggunaan data nasabah untuk tujuan yang tidak dikonsensuskan

Perusahaan multifinance menggunakan data transaksi nasabah untuk profiling pemasaran, tanpa consent eksplisit yang memisahkan tujuan pembiayaan dari tujuan pemasaran. Ini adalah pelanggaran prinsip pembatasan tujuan UU PDP, dan juga melanggar POJK 22/2023 tentang perlindungan data nasabah.

Skenario 3: Vendor pihak ketiga yang mengalami kebocoran data

Perusahaan fintech menggunakan vendor credit scoring pihak ketiga. Vendor tersebut mengalami kebocoran, dan data nasabah fintech ikut bocor. Perusahaan fintech tetap bertanggung jawab di bawah UU PDP jika tidak memiliki Data Processing Agreement yang memadai dengan vendor.

Skenario 4: Gagal melaporkan insiden siber ke OJK dalam tenggat waktu

Setelah insiden siber, perusahaan fokus pada pemulihan sistem dan komunikasi dengan Komdigi, dan melewatkan kewajiban pelaporan ke OJK sesuai SEOJK tentang Keamanan Siber. Kegagalan pelaporan ini adalah pelanggaran terpisah dari insiden aslinya.

3 Infrastruktur yang Harus Ada Sebelum Insiden Terjadi

• Dual-regulator incident response plan. Prosedur respons insiden yang secara eksplisit memisahkan jalur pelaporan ke Komdigi dan OJK, dengan timeline, format pelaporan, dan PIC yang berbeda.

• Data mapping yang komprehensif. Inventaris lengkap tentang data apa yang ada, di mana disimpan, siapa yang memiliki akses, dan untuk tujuan apa diproses.

• Vendor management framework yang mencakup persyaratan regulasi. Setiap vendor yang memiliki akses ke data nasabah harus melalui proses due diligence dan menandatangani DPA sebelum akses diberikan.

Take Away: 5 Hal yang Harus Dilakukan Sebelum Insiden Terjadi

• Buat prosedur respons insiden yang memisahkan jalur Komdigi dan OJK secara eksplisit, termasuk template pelaporan untuk masing-masing.

• Identifikasi PIC untuk masing-masing jalur regulasi, bukan satu orang yang menangani keduanya secara bersamaan.

• Review semua DPA dengan vendor dalam 60 hari ke depan, pastikan mencakup kewajiban notifikasi insiden kepada perusahaan dalam tenggat waktu yang memungkinkan pelaporan ke regulator.

• Lakukan tabletop exercise simulasi insiden kebocoran data, uji apakah tim bisa memenuhi dua set kewajiban pelaporan secara bersamaan.

• Konsultasikan dengan advisor yang memahami baik kerangka Komdigi maupun OJK, jangan hanya mengandalkan satu spesialisasi.