Kesepakatan tarif resiprokal antara Indonesia dan Amerika Serikat menyingkap isu krusial: transfer data dari Indonesia ke AS. Pakar khawatir hal ini dapat mengancam kedaulatan dan keamanan data pribadi warga negara Indonesia.
Peneliti dari Lembaga Studi & Advokasi Masyarakat (ELSAM) menekankan bahwa lokasi penyimpanan data tidaklah menjadi masalah utama. Yang terpenting adalah jaminan integritas dan kerahasiaan data pribadi tersebut.
Untuk itu, implementasi UU Perlindungan Data Pribadi (PDP) harus dipercepat, termasuk pembentukan lembaga independen yang bertugas menilai standar perlindungan data di negara tujuan transfer data. Lembaga ini bertugas memastikan hukum di negara tersebut, seperti Amerika Serikat, tidak memiliki celah yang dapat membahayakan integritas data warga Indonesia.
Ketua Asosiasi Cloud Computing Indonesia (ACCI) senada dengan hal ini. Transfer data lintas batas, termasuk ke AS, wajib mematuhi regulasi yang berlaku di Indonesia, khususnya UU PDP. Kesepakatan resiprokal tidak boleh menurunkan standar perlindungan data yang telah ditetapkan.
Indonesia telah memiliki UU No. 27/2022 tentang PDP yang seharusnya berlaku sejak Oktober 2024. Sayangnya, badan pengawas pelaksanaan UU ini belum terbentuk, mengakibatkan penundaan implementasi.
Hukum Data Pribadi di AS yang Terfragmentasi
Perlindungan data di AS saat ini bersifat sektoral. Terdapat HIPAA untuk data kesehatan, COPPA untuk data anak-anak, dan berbagai aturan data yang berbeda di setiap negara bagian. Tidak ada payung hukum federal tunggal yang mengatur seluruh jenis data pribadi secara umum. Hal ini menciptakan potensi celah dalam perlindungan data.
American Privacy Rights Act (ARPA), rancangan aturan data pribadi di AS, masih dalam proses revisi. ARPA bertujuan memberikan standar keamanan dan privasi nasional untuk data pribadi, serupa dengan UU PDP di Indonesia.
Namun, ARPA saat ini belum memiliki kerangka yang jelas terkait pengelolaan data lintas batas dari negara lain yang disimpan di AS. Departemen Kehakiman AS (DOJ) juga merilis aturan terkait data lintas batas yang lebih fokus pada pembatasan data dari AS ke negara-negara tertentu.
UU PDP Indonesia dan Transfer Data
Indonesia memiliki UU PDP yang bersifat ekstrateritorial. UU ini berlaku untuk perusahaan di luar negeri yang memproses data pribadi warga negara Indonesia. Warga negara asing yang berinteraksi dengan pemroses data di Indonesia juga mendapatkan perlindungan yang setara.
Aturan transfer data pribadi warga Indonesia tercantum dalam Pasal 55 dan Pasal 56 UU PDP. Pasal 56 mensyaratkan:
- Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi dan/atau Prosesor Data Pribadi di luar wilayah hukum Negara Republik Indonesia sesuai dengan ketentuan yang diatur dalam Undang-Undang ini.
- Dalam melakukan transfer Data Pribadi sebagaimana dimaksud pada ayat (1), Pengendali Data Pribadi wajib memastikan negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima transfer Data Pribadi memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi dari yang diatur dalam Undang-Undang ini.
- Dalam hal ketentuan sebagaimana dimaksud pada ayat (2) tidak terpenuhi, Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat.
- Dalam hal ketentuan sebagaimana dimaksud pada ayat (2) dan ayat (3) tidak terpenuhi, Pengendali Data Pribadi wajib mendapatkan persetujuan Subjek Data Pribadi.
- Ketentuan lebih lanjut mengenai transfer Data Pribadi diatur dalam Peraturan Pemerintah.
Implementasi penuh UU PDP, termasuk pembentukan badan pengawas independen, menjadi kunci untuk melindungi data pribadi warga Indonesia di era transfer data lintas batas.
