 |
Winan Hilmi Rizqin Prijatna, S.H. |
PHOTO: iStock.com
Pelindungan Data Pribadi merupakan salah satu aspek krusial dalam ekosistem informasi global, khususnya bagi Pengendali Data Pribadi (Pelaku Usaha) yang memiliki kemampuan untuk melakukan Transfer Data Pribadi. Hal ini tentunya sangat krusial karena memiliki kaitan yang erat dengan risiko terhadap keamanan data milik Subjek Data Pribadi.
Apa yang dimaksud dengan Transfer dalam konteks Data Pribadi?
Transfer merupakan perpindahan, pengiriman, dan/atau penggandaan Data Pribadi baik secara elektronik maupun non-elektronik dari Pengendali Data Pribadi kepada pihak lain.[1]
Transfer Data Pribadi di Wilayah Hukum Indonesia Berdasarkan UU PDP
Transfer Data Pribadi tersebut dapat terjadi atas 2 (dua) peristiwa, yaitu Transfer Data Pribadi yang dilakukan dalam wilayah hukum Indonesia dan Transfer Data Pribadi yang dilakukan keluar wilayah hukum Indonesia. Pengendali Data Pribadi dapat melakukan Transfer Data Pribadi dengan Pengendali Data Pribadi lainnya dalam wilayah hukum Indonesia dan kedua belah pihak baik yang melakukan dan menerima Transfer Data Pribadi wajib melakukan Pelindungan Data Pribadi sebagaimana diatur dalam UU PDP.[2]
Transfer Data Pribadi di Luar Wilayah Hukum Indonesia Berdasarkan UU PDP
Selanjutnya, Transfer Data Pribadi yang dilakukan keluar wilayah hukum Indonesia. Pengendali Data Pribadi dapat melakukan Transfer Data Pribadi kepada sesama Pengendali Data Pribadi dan/atau Prosesor Data Pribadi di luar wilayah hukum Indonesia. Dalam hal ini, terdapat suatu “Hirarki” mengenai keamanan Transfer Data Pribadi yang dilakukan di luar wilayah hukum Indonesia. Hal ini dapat dilihat dari Transfer Data Pribadi yang wajib memperhatikan tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi di Negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima Transfer Data Pribadi.[3] Apabila hal ini tidak terpenuhi, maka Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat. Lebih lanjut, apabila hal ini juga masih tidak terpenuhi, maka Pengendali Data Pribadi memerlukan persetujuan Subjek Data Pribadi guna melakukan Transfer Data Pribadi tersebut.[4]
Transfer Data Pribadi di Luar Wilayah Hukum Indonesia Menurut Rancangan Peraturan Pemerintah tentang Pelindungan Data Pribadi (RPP UU PDP)
Kendati demikian, hingga Artikel ini ditulis, Indonesia belum mengesahkan peraturan pelaksana dari UU PDP, yaitu Rancangan Peraturan Pemerintah tentang Peraturan Pelaksana UU PDP (RPP UU PDP) itu sendiri, yang di dalamnya mengatur hal-hal teknis mengenai Transfer Data Pribadi. Adapun dalam RPP UU PDP disebutkan bahwa Transfer Data Pribadi yang dilakukan di luar wilayah hukum Indonesia memiliki kriteria sebagai berikut :[5]
- Dilakukan oleh Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan;
- Pengendali Data Pribadi membuat Data Pribadi tersedia untuk Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima Data Pribadi; dan
- Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima Data Pribadi berada di luar wilayah hukum Negara Republik Indonesia.
Dalam RPP UU PDP, juga disebutkan bahwa Penilaian terhadap tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi dilakukan oleh Lembaga PDP (hingga saat ini belum dibentuk Lembaga PDP).[6] Penilaian yang dianggap “setara atau lebih tinggi” tersebut dilakukan dengan acuan-acuan sebagai berikut :[7]
- Negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima transfer Data Pribadi memiliki peraturan hukum Pelindungan Data Pribadi;
- negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima transfer Data Pribadi memiliki lembaga atau otoritas pengawas Pelindungan Data Pribadi; dan
- negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima transfer Data Pribadi memiliki komitmen internasional atau tunduk pada kewajiban lain yang timbul dari konvensi atau instrumen yang mengikat secara hukum serta dari partisipasinya dalam sistem multilateral atau regional terkait dengan Pelindungan Data Pribadi.
Terhadap acuan-acuan tersebut, Lembaga PDP memiliki kewenangan untuk dapat menetapkan daftar negara dan/atau organisasi internasional yang memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi, sehingga Pengendali Data Pribadi dapat melakukan Transfer Data Pribadi.[8] Selain daripada itu, juga terdapat aturan-aturan mengenai Pelindungan Data Pribadi yang memadai dan bersifat mengikat (termasuk namun tidak terbatas pada perjanjian bilateral antar negara, standar klausul kontrak Pelindungan Data Pribadi, peraturan perusahaan yang mengikat suatu grup perusahaan, dan/atau instrumen Pelindungan Data Pribadi yang memadai dan mengikat lain yang diakui oleh Lembaga PDP), serta persetujuan Transfer Data Pribadi di luar wilayah hukum Indonesia.
Sumber Hukum :
| [1] | Penjelasan Pasal 16 ayat (1) huruf e UU PDP; |
| [2] | Pasal 55 UU PDP; |
| [3] | Pasal 56 ayat (2) UU PDP; |
| [4] | Pasal 56 ayat (4) UU PDP |
| [5] | Pasal 181 ayat (3) RPP UU PDP; |
| [6] | Pasal 183 RPP UU PDP; |
| [7] | Pasal 184 ayat (1) RPP UU PDP; dan |
| [8] | Pasal 184 ayat (2) dan ayat (3) RPP UU PDP. |