“Sudah menjadi best practice bahwa pihak yang akan melakukan pengiriman data keluar negeri perlu membuat kesepakatan secara tertulis dengan pihak yang akan menerima data sehubungan dengan data-data yang akan dikirim.”
Salah satu definisi penting dalam aturan pelindungan data pribadi ialah ‘pemrosesan data pribadi’. Secara umum, pemrosesan data pribadi dipahami sebagai segala tindakan yang dilakukan sehubungan dengan data pribadi, seperti pengumpulan, pencatatan, penataan, penyimpanan, perubahan, penggunaan, pengungkapan, pembatasan dan/atau penghapusan data pribadi. Termasuk pula dalam definisi pemrosesan data pribadi adalah pengiriman data pribadi lintas negara (transborder personal data transfer).
Bentuk pemrosesan data pribadi yang terakhir disebutkan di atas ini hampir selalu dibahas dalam legislasi pelindungan data pribadi kebanyakan negara di dunia. Lebih dari itu, pengaturannya di dalam legislasi-legislasi tersebut terbilang cukup banyak apabila dibandingkan dengan pembahasan lainnya. Sebagai contoh, beleid pelindungan data pribadi yang berlaku di wilayah Uni Eropa, yaitu the General Data Protection Regulation (GDPR), mengatur secara khusus tentang pengiriman data pribadi lintas batas pada Bab 5, dimana pada bagian tersebut terdapat tujuh pasal yang seluruhnya membahas mengenai pengiriman data pribadi keluar wilayah Uni Eropa. Hal serupa dapat ditemukan legislasi pelindungan data pribadi di Korea Selatan (Personal Information Protection Act), dimana terdapat setidaknya lima pasal yang membahas tentang pengiriman data pribadi keluar wilayah Korea Selatan.
Berdasarkan penjelasan di atas, maka pertanyaan yang timbul adalah mengapa ketentuan terkait pengiriman data pribadi lintas negara banyak diatur (serta dengan bobot pengaturan yang lumayan ekstensif) di dalam legislasi-legislasi pelindungan data pribadi? Jawabannya, antara lain, adalah karena perlu ada kepastian agar data-data pribadi yang dikirim ke wilayah negara lain mendapatkan proteksi yang cukup seperti pelindungan yang diberikan di negara asal. Utamanya yang ingin dihindari adalah situasi dimana negara penerima memiliki standar pelindungan data pribadi yang rendah (atau tidak sama sekali), yang pada akhirnya berpotensi mengakibatkan adanya penggunaan yang tidak bertanggung jawab secara bebas atas data-data pribadi yang dikirim ke negara tersebut.
Selain itu, tanpa adanya aturan main yang memadai terkait pengiriman data pribadi lintas negara, maka akan berpotensi adanya oknum-oknum yang memanfaatkan celah hukum tersebut untuk mengirim dan menyimpan data-data pribadi ke negara-negara yang memiliki standar pelindungan data pribadi yang rendah (atau tidak sama sekali) sehingga terbebas dari kekangan aturan main pelindungan data pribadi yang ada di negara asal. Hal ini sama seperti yang pernah ditulis oleh Christopher Millard (1985), guru besar hukum privasi dan teknologi informasi asal Queen Mary University of London:
“Just as money tends to gravitate towards tax havens, so sensitive personal data will be transferred to countries with the most lax, or no data protection standards. There is thus a possibility that some jurisdictions will become ‘data havens’ or ‘data sanctuaries’ for the processing or ‘data vaults’ for the storage of sensitive information.”
Regulasi Pengiriman Data Pribadi Keluar Indonesia
Penjelasan di atas telah menjabarkan aspek “mengapa” pengiriman data pribadi lintas negara diatur. Sekarang kita beranjak untuk memahami aturan main yang berlaku di Indonesia terkait dengan pengiriman data pribadi ke luar negeri.
Seperti yang telah diketahui, pelindungan data pribadi di Indonesia sampai saat ini masih belum diatur secara komprehensif dan terkodifikasi dalam suatu Undang-Undang. Melainkan, aturan-aturan terkait pelindungan data pribadi masih tersebar di berbagai peraturan perundang-undangan sektoral dan/atau yang terkait dengan topik tertentu. Misalkan, dalam konteks pelindungan data pribadi pasien atau pengguna layanan belanja online, maka aturan pelindungan data pribadi yang dapat dijadikan acuan, antara lain, adalah Peraturan Menteri Kesehatan No. 269/Menkes/Per/III/2008 tentang Rekam Medis dan Peraturan Pemerintah No. 80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik.
Kenyataan pelindungan data pribadi di Indonesia yang saat ini diatur di dalam banyak legislasi dan/atau regulasi yang berbeda-beda kemudian menimbulkan pertanyaan lanjutan, yaitu apakah artinya aturan terkait transborder personal data transfer dapat ditemukan di setiap legislasi dan/atau regulasi tersebut?
Sayangnya tidak demikian. Tidak semua peraturan perundang-undangan yang mengatur tentang pelindungan data pribadi memiliki ketentuan terkait transborder personal data transfer. Hanya beberapa dari peraturan perundang-undangan tersebut yang mengatur tentang transborder personal data transfer. Pun demikian, ketentuan-ketentuan tersebut hanya secara parsial mengatur tentang transborder personal data transfer.
Berdasarkan pengamatan penulis, dari berbagai peraturan perundang-undangan yang ada, berikut ini adalah beberapa contoh regulasi yang memuat aturan terkait transborder personal data transfer:
| Regulasi | Pasal | Poin-Poin Penting |
| Peraturan Pemerintah No. 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik | 20 dan 21 |
|
| Peraturan Pemerintah No. 80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik | 59 ayat (2) huruf (h) |
|
| Peraturan Bank Indonesia No. 23/6/PBI/2021 tentang Penyedia Jasa Pembayaran | 48 ayat (6) – (8) | Pemrosesan transaksi pembayaran (dimana akan melibatkan pengiriman data) di luar wilayah Indonesia hanya dapat dilaksanakan atas persetujuan dari Bank Indonesia. |
| Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik | 22 |
|
Sebagaimana telah disebutkan sebelumnya, kendati aturan tentang transborder personal data transfer sudah ada, aturan pada masing-masing regulasi di atas masih banyak yang tidak memadai serta tidak sinkron satu sama lainnya. Alhasil, hal tersebut kerap membuat kebingungan bagi banyak pihak. Di antara ketidakpastian yang disebabkan tersebut, salah satu contohnya adalah ketentuan transborder personal data transfer pada Peraturan Pemerintah No. 80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik (PP E-Commerce).
Berdasarkan Pasal 59 ayat (2) huruf (h) PP E-Commerce di atas, data pribadi tidak boleh dikirim ke negara atau wilayah lain di luar Indonesia kecuali jika negara atau wilayah tersebut telah dinyatakan oleh Menteri Perdagangan memiliki standar dan tingkat perlindungan yang sama dengan Indonesia. Akan tetapi sejak regulasi tersebut disahkan dan berlaku di tahun 2019, Menteri Perdagangan belum menetapkan daftar atau informasi negara-negara yang dinyatakan memiliki standar dan tingkat pelindungan yang sama dengan Indonesia. Oleh karenanya, hal tersebut menyebabkan ketidakpastian hukum bagi para pelaku usaha di sektor e-commerce, terutama apabila terdapat kebutuhan untuk menggunakan layanan komputasi awan untuk pemrosesan data, dimana kebanyakan penyedia layanan tersebut berkedudukan di luar negeri.
Apa Yang Bisa Dilakukan?
Di tengah ketidakpastian hukum yang ada saat ini, terdapat beberapa langkah praktis yang dapat diambil oleh pihak-pihak yang berniat melakukan transborder personal data transfer.
Pertama, pihak yang bersangkutan perlu melakukan regulatory/legal assessment mengenai aturan-aturan apa yang akan berlaku baginya jika ingin melakukan pengiriman data pribadi ke luar wilayah Indonesia. Hal ini dilakukan untuk memastikan, antara lain:
- Apakah pihak tersebut diperbolehkan melakukan pengiriman data pribadi ke luar negeri?
- Jika ya, apakah perlu mendapatkan persetujuan dari atau pemberitahuan/pelaporan kepada pihak-pihak tertentu terlebih dahulu?
Sebagai contoh, dalam hal pihak yang akan melakukan transborder personal data transfer adalah perusahaan e-commerce asal Indonesia, maka yang perlu diperhatikan setidaknya adalah kewajiban-kewajiban sebagai berikut ini:
| No. | Dasar Hukum | Kewajiban Pokok |
| 1. | Peraturan Pemerintah No. 80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik | Pengiriman data pribadi ke luar wilayah Indonesia hanya dapat dilakukan apabila (i) pemilik data pribadi telah diberitahukan mengenai hal tersebut dan memberikan persetujuannya, dan (ii) pengiriman akan dilakukan ke negara atau wilayah yang telah dinyatakan oleh Menteri Perdagangan memiliki standar dan tingkat perlindungan yang sama dengan Indonesia.
Catatan: Khusus terkait kewajiban (ii) di atas, hingga saat ini belum terdapat kejelasan mengenai negara-negara yang dianggap memiliki standar dan tingkat perlindungan yang sama dengan Indonesia. Oleh karena itu, kewajiban tersebut untuk saat ini menjadi suatu aturan yang tidak implementable dan dapat diabaikan hingga ada kejelasan lebih lanjut dari Kementerian Perdagangan. |
| 2. | Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik | Rencana pengiriman data pribadi keluar negeri wajib diberitahu kepada Kementerian Komunikasi dan Informatika. Pemberitahuan tersebut perlu mencakup informasi-informasi sebagai berikut setidaknya: nama jelas negara tujuan, nama jelas subjek penerima, tanggal pelaksanaan, dan alasan/tujuan pengiriman.
Catatan: Sampai saat ini Kementerian Komunikasi dan Informatika belum menerbitkan juknis, juklak atau dokumen resmi yang menjelaskan mengenai teknis dan prosedur pelaksanaan kewajiban di atas. Pihak Kementerian Komunikasi dan Informatika juga tampak tidak terlalu agresif melakukan enforcement kewajiban tersebut. Kendati demikian, Kementerian Komunikasi dan Informatika telah memiliki dokumen baku (template) yang dapat digunakan oleh para PSE untuk memberitahukan rencana pengiriman data keluar negeri. Pemberitahuan ini kemudian disampaikan kepada Kementerian Komunikasi dan Informatika, c.q. Direktorat Pengendalian Aplikasi Informatika. |
Kedua, meskipun tidak ada ketentuan peraturan perundang-undangan yang mewajibkan, sudah menjadi best practice bahwa pihak yang akan melakukan pengiriman data keluar negeri perlu membuat kesepakatan secara tertulis dengan pihak yang akan menerima data sehubungan dengan data-data yang akan dikirim. Kesepatan yang dimaksud lazimnya berbentuk sebuah kontrak dan berisi mengenai hak dan kewajiban serta pertanggung jawaban para pihak terkait dengan data-data yang akan dikirim, termasuk pertanggung jawaban dalam hal terdapat kegagalan pelindungan data pribadi. Dalam konteks pengiriman data pribadi antara grup perusahaan, instrumen hukum yang digunakan biasanya berbentuk inter-company data transfer agreement atau binding corporate rules.
Undang-Undang Pelindungan Data Pribadi
Dari versi Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) awal 2020, pembahasan mengenai transborder personal data transfer telah diatur pada Pasal 49. Pasal tersebut mensyaratkan bahwa pengiriman data ke luar wilayah Indonesia hanya diperbolehkan apabila memenuhi hal-hal sebagai berikut ini:
- negara penerima memiliki tingkat pelindungan data pribadi yang setara atau lebih tinggi dari UUPDP;
- terdapat perjanjian internasional antarnegara;
- terdapat kontrak antar pengendali data pribadi yang memiliki standar dan/atau jaminan pelindungan data pribadi sesuai dengan yang diatur dalam UUPDP; dan/atau
- telah mendapatkan persetujuan pemilik data pribadi.
Ketentuan pada draft RUU PDP di atas masih belum terlalu jelas dan sesuai dengan best practice yang ada. Misalkan, pembahasan pada poin 3 hanya terbatas pada pengendali data pribadi dengan pengendali data pribadi. Padahal, pada prakteknya pengiriman data pribadi sering juga terjadi di antara pengendali dengan prosesor data pribadi.
Meskipun demikian, hemat penulis pengaturan transborder personal data transfer di dalam RUU PDP sudah relatif berada di arah yang benar. Para stakeholders tinggal perlu saling bahu membahu untuk memastikan agar substansi pengaturan yang ada di dalam RUU PDP (tidak hanya terbatas pada transborder personal data transfer) sejalan dengan international best practice.
Untuk sementara waktu, semoga tulisan singkat ini dapat bermanfaat dan dapat menambah khazanah ilmu pengetahuan para rekan sejawat, praktisi pelindungan data di Indonesia.
Muhammad Iqsan Sirie, Pendiri dan Pengurus APPDI. Pendapat dalam tulisan ini merupakan pandangan pribadi milik penulis, dan sama sekali tidak mewakilkan sikap APPDI atau institusi tempat penulis bekerja.
0 Comments