UU PDP yang disahkan pada 2022 mulai berlaku penuh pada Oktober 2024. Mirip dengan GDPR Eropa namun dengan nuansa lokal, UU PDP mewajibkan setiap organisasi yang memproses data pribadi warga negara Indonesia untuk menerapkan perlindungan yang komprehensif.

Kewajiban utama: penunjukan Data Protection Officer (DPO), pelaksanaan Privacy Impact Assessment (PIA) untuk sistem baru, mekanisme consent yang jelas, hak subjek data (akses, koreksi, hapus), dan notifikasi breach dalam 14 hari. Sanksi pelanggaran dapat mencapai Rp 80 miliar atau 2% dari pendapatan tahunan — mana yang lebih besar.

Di luar UU PDP yang berlaku umum, sektor keuangan memiliki lapisan regulasi tambahan yang sangat ketat. POJK No. 11/2022 tentang Keamanan Siber mewajibkan bank dan perusahaan fintech untuk: melakukan penetration testing tahunan, memiliki SOC (Security Operations Center) 24/7, dan melaporkan insiden keamanan signifikan ke OJK dalam 3 jam.

Bank Indonesia juga menerapkan Cyber Resilience Framework (CRF) yang mensyaratkan bank sistemik untuk mencapai tingkat kematangan keamanan siber Level 4 dari 5 pada akhir 2025. Pemenuhan regulasi ini bukan hanya tentang menghindari sanksi — ini adalah keunggulan kompetitif yang nyata karena nasabah semakin aware terhadap keamanan data mereka.