Membangun Mekanisme Transfer Data Pribadi Lintas Batas ASEAN

UU 27/2022 mengatur transfer data pribadi dari dan ke dalam teritori Indonesia. Pengundangan tersebut merupakan bagian langkah maju wilayah Asia Tenggara dalam membangun mekanisme transfer data pribadi lintas batas yang kompatibel dalam wilayahnya dan antara ASEAN dengan wilayah lain.

Indonesia masih harus mengatur lebih lanjut ketentuan-ketentuan UU 27/2022 ke dalam peraturan pemerintah. Paradigma membangun sistem yang kompatibel dengan instrumen regional perlu digunakan dalam menyusun peraturan tersebut.

Permasalahan transfer data pribadi lintas batas

Hak dan kepentingan hukum seorang warga negara yang terkandung dalam data pribadinya ikut mengalir ke negara di mana data tersebut dikumpulkan, disimpan, atau diungkapkan.

Semakin banyak data pribadi yang mengalir ke luar wilayah Indonesia, semakin besar kepentingan subjek data pribadi untuk mendapatkan perlindungan.

Semakin besar pula kepentingan dan tanggung jawab negara untuk menjamin bahwa data pribadi warga negaranya mendapatkan perlindungan yang setara atau lebih tinggi dari perlindungan yang diberikan hukum Indonesia.

Permasalahannya ialah negara-negara memiliki regulasi dalam mengatur transfer data pribadi. Sistem pelindungan data pribadi negara yang satu mungkin tidak kompatibel dengan negara lain. Perbedaan tersebut dapat menimbulkan aliran bebas data pribadi yang asimetris.

Data pribadi dari negara yang belum memiliki legislasi yang jelas dapat mengalir deras menuju negara yang memiliki sistem perlindungan data pribadi yang komprehensif.

Asimetris ini menguat ketika negara pertama memiliki ketergantungan terhadap berbagai layanan digital yang diberikan oleh perusahaan-perusahaan dari negara kedua.

Permasalahan transfer lintas batas negara perlu diselesaikan melalui kerja sama secara bilateral, multilateral atau regional, dan internasional.

Belum ada konvensi internasional di bawah Perserikatan Bangsa-bangsa yang mengatur perlindungan data pribadi. Mengharapkan adanya konvensi tersebut dalam waktu dekat tidak realistis.

Sebaliknya, instrumen-instrumen regional berkembang lebih dinamis. Pendekatan regional dapat memberikan manfaat lebih signifikan dan jangkauan lebih luas dibandingkan dengan pendekatan bilateral.

Wilayah Eropa, Asia Pasifik dan Asia Tenggara memiliki instrumen perlindungan data pribadi untuk membangun sistem yang kompatibel di wilayahnya. Otoritas dan negara-negara dari wilayah tersebut berusaha memperkenalkan dan mempromosikan instrumennya agar dapat diadopsi atau diikuti.

Wilayah Eropa memiliki dua instrumen. Pertama, Uni Eropa menetapkan the General Data Protection Rule (GDPR) pada tahun 2016 untuk menggantikan Data Protection Directive 1995.

GDPR dianggap sebagai instrumen regional yang paling ketat di dunia. Transfer data pribadi ke luar teritori Uni Eropa dimungkinkan berdasarkan mekanisme yang telah diatur secara limitatif.

Salah satu mekanisme transfer tersebut ialah Standard Contractual Clauses (SCC). European Commission harus menyetujui klausul-klausul dalam SCC sebelum dapat diberlakukan.

Setelah disetujui, pengendali atau prosesor data pribadi tidak dapat mengubah atau memodifikasi klausul SCC.

Kedua, Council of Europe menetapkan Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data pada tahun 1981 (Convention 108).

Semua negara Uni Eropa menjadi negara pihak konvensi ini. Pada tahun 2018, Convention 108 dimodernisasi dengan memasukkan konsep pengaturan yang sejalan dengan penerapan GDPR (Convention 108+).

Transfer data pribadi ke negara nonanggota Convention 108+ hanya dapat dilakukan dalam hal tingkat perlindungan berdasarkan konvensi tersebut terpenuhi.

Meskipun demikian, Convention 108+ memberikan beberapa pengecualian transfer lintas batas. Pengecualian ini penting mengingat konvensi tersebut didesain agar dapat diaksesi oleh negara nonanggota Council of Europe.

Negara Uni Eropa yang menjadi anggota Convention 108+ tetap harus tunduk pada mekanisme transfer data pribadi yang di atur dalam GDPR.

Di wilayah Asia Pasifik, APEC mengeluarkan Privacy Framework pada tahun 2005. Kerangka kerja ini disusun berdasarkan pedoman Organisation for Economic Co-operation and Development (OECD) yang diterbitkan tahun 1980.

Kemudian, APEC memperbarui kerangka kerja tersebut pada tahun 2015, sesuai dengan perkembangan pedoman OECD tahun 2013.

APEC mengeluarkan Cross-Border Privacy Rules System (CBPR) yang dapat digunakan para pelaku usaha secara sukarela untuk menunjukkan kepatuhan mereka dengan APEC Privacy Framework. Dari 21 anggota APEC, baru delapan negara menerapkan CBPR.

Instrumen Regional Asia Tenggara

ASEAN menerbitkan ASEAN Framework on Personal Data Protection (ASEAN Framework on PDP) pada tahun 2016.

Instrumen ini bertujuan memperkuat perlindungan data pribadi di ASEAN dan memfasilitasi kerja sama di antara negara-negara anggotanya untuk memajukan perdagangan dan aliran informasi di dalam wilayah ASEAN.

Meskipun memiliki tujuan besar, instrumen ini dengan tegas menyatakan hanya merupakan dokumen yang merefleksikan niat negara-negara ASEAN dan tidak mengikat mereka.

Kerangka ini tidak menciptakan atau dimaksudkan untuk menciptakan kewajiban dalam hukum nasional dan hukum internasional.

ASEAN Framework on PDP mengatur transfer data pribadi lintas batas negara secara sederhana dan fleksibel.

Transfer dapat dilakukan berdasarkan persetujuan subjek data pribadi atau berdasarkan langkah-langkah yang dapat dipertanggung jawabkan untuk memastikan pihak penerima akan melindungi data pribadi konsisten dengan ketentuan instrumen tersebut.

Sampai sejauh mana bentuk instrumen regional yang tidak mengikat dan hanya merupakan pernyataan niat tersebut menunjukkan keseriusan ASEAN dan negara-negara anggotanya dalam membangun sistem perlindungan data pribadi di kawasan Asia Tenggara?

Ekspektasi seseorang dalam memahami keseriusan ASEAN perlu disesuaikan dengan sifat dan natur organisasi ini. Dalam mewujudkan sistem perlindungan data pribadi yang kompatibel di Asia Tenggara, ada beberapa isu yang harus dihadapi oleh negara-negara ASEAN.

Pertama, natur kerja sama yang dikembangkan di ASEAN bukanlah pada harmonisasi sistem hukum sebagaimana di Uni Eropa.

Kedua, hak asasi manusia bukanlah tema kerja sama yang sebagian negara ASEAN dapat dengan mudah mengikatkan diri di dalamnya.

Perlu dicatat, belum semua negara ASEAN meratifikasi atau mengaksesi Kovenan Internasional tentang Hak-Hak Sipil dan Politik. Oleh karena itu, dalam menjalin dan memperkuat kerja sama di bidang hak asasi manusia, komitmen dalam bentuk deklarasi yang tidak mengikat secara formal lebih mengakomodir kepentingan negara-negara ASEAN dibandingkan komitmen dalam bentuk perjanjian.

Aspek hak asasi manusia merupakan bagian penting dalam UU 27/2022. Legislasi tersebut menegaskan bahwa hak atas perlindungan data pribadi merupakan bagian dari pelindungan diri pribadi yang dilindungi Konstitusi.

Dalam transfer data pribadi ke luar teritori Indonesia, pemerintah harus memastikan bahwa hak konstitusional warga negara tetap terlindungi.

Ketiga, belum semua negara ASEAN memiliki legislasi mengenai perlindungan data pribadi. Indonesia menjadi negara keenam di kawasan ASEAN yang memiliki undang-undang khusus mengatur pelindungan data pribadi, setelah Malaysia (2010), Singapore (2012), Filipina (2012), Laos (2017), dan Thailand (2019).

Negara-negara ASEAN lain masih menggunakan peraturan perundang-undangan sektoral dalam mengatur pemrosesan data pribadi.

Kamboja, misalnya, menggunakan undang-undang di bidang telekomunikasi, perdagangan elektronik, dan perlindungan konsumen untuk menciptakan ekosistem perlindungan dalam pemrosesan data pribadi.

Perlindungan data pribadi di negara Vietnam diatur secara tersebar dalam undang-undang bidang hukum perdata, keamanan informasi siber, transaksi elektronik, dan administrasi kependudukan.

Keempat, ruang lingkup keberlakuan legislasi pelindungan data pribadi di negara-negara ASEAN berbeda.

Regulasi PDP Malaysia mengatur pemrosesan data pribadi terkait transaksi komersial. Legislasi PDP Singapura menekankan pada pemrosesan data pribadi di sektor privat.

Regulasi PDP Thailand tidak berlaku terhadap sektor publik, seperti parlemen, senat, dan lembaga peradilan.

Indonesia, sebaliknya menerapkan prinsip-prinsip perlindungan data pribadi bagi sektor publik dan privat. Hal ini didasarkan pada premis bahwa hak atas pelindungan data pribadi merupakan bagian dari hak konstitusional.

Cara ASEAN

Terlepas berbagai perbedaan tersebut, ASEAN tetap melihat pentingnya membangun sistem PDP yang kompatibel dalam memfasilitasi transfer lintas batas negara di kawasan Asia Tenggara.

Meskipun ASEAN Framework on PDP tidak dimaksudkan untuk menciptakan kewajiban hukum nasional dan internasional, ASEAN tetap berusaha membuat instrumen tersebut bertaring.

Dalam Pertemuan Menteri Telekomunikasi dan Teknologi Informasi ke-19 tahun 2019 di Laos, diusulkan dua mekanisme Cross Border Data Flows (CBDF), yaitu ASEAN Model Contractual Clauses (MCC) dan ASEAN Certification for Cross Border Data Flows.

Pada tahun 2020, ASEAN menetapkan pedoman penerapan MCC yang sifatnya sukarela. Instrumen ini berisi klausul kontrak baku yang dapat digunakan oleh pengendali atau prosesor data pribadi yang akan mengekspor atau mengimpor data pribadi.

Klausul MCC dapat dimodifikasi sesuai dengan kebutuhan dan aturan di masing-masing negara ASEAN.

Klausul standar tersebut dapat menjadi pedoman praktis bagi Usaha Mikro Kecil dan Menengah (UMKM) di negara-negara ASEAN, termasuk di Indonesia. Meskipun terkesan memudahkan para pihak, sifat fleksibel dari MCC dapat menimbulkan keberagaman modifikasi klausul.

Lebih jauh lagi, ASEAN dan Uni Eropa sedang menyesuaikan konsep MCC dan SCC untuk menjembatani perbedaan sistem PDP mereka.

Usaha tersebut dimungkinkan karena ASEAN Framework on PDP dan GDPR memiliki konsep-konsep dasar pengaturan yang sejalan.

Beberapa di antaranya ialah konsep definisi data pribadi, prinsip pemrosesan data pribadi, fungsi lembaga perlindungan data pribadi, dan tanggung jawab pengendali atau prosesor data pribadi dalam menghadapi kebocoran data pribadi.

Sebagai klausul baku, baik MCC dan SCC dapat digabungkan dengan perjanjian yang lebih besar. Perbedaannya, meskipun para pihak dapat memodifikasi klausul-klausul dalam MCC, klausul-klausul dalam SCC tidak dapat diubah.

Perbedaan lainnya ialah standar GDPR jauh lebih tinggi dan pengaturan dalam instrumen tersebut jauh lebih komprehensif dibandingkan ASEAN Framework on PDP.

Dalam hal terjadi perbedaan penafsiran, para pihak yang menggunakan MCC akan menggunakan hukum negara ASEAN.

Di lain pihak, interpretasi utama terhadap SCC akan didasarkan pada GDPR. Dengan demikian, keseragaman perlakuan transfer lebih mudah untuk diterapkan.

Langkah Indonesia

UU 27/2022 memberikan waktu dua tahun bagi pengendali dan prosesor data pribadi untuk menyesuaikan aturan internal dan praktik pemrosesan data pribadi mereka dengan sistem yang baru.

Waktu tersebut juga harus digunakan pemerintah untuk menyusun peraturan pelaksanaan undang-undang tersebut serta membentuk lembaga perlindungan data pribadi.

Eksekutif dan legislatif mengklaim bahwa GDPR merupakan referensi utama dalam penyusunan UU 27/2022. Ada manfaat besar yang bisa Indonesia dapatkan dengan konsisten mengadopsi paradigma dan ketentuan-ketentuan GDPR dalam peraturan pelaksanaan UU 27/2022.

Indonesia tidak hanya sedang membangun mekanisme transfer data pribadi lintas batas negara dengan negara-negara anggota ASEAN, tetapi juga dengan Uni Eropa, Asia Pasifik, dan yurisdiksi lainnya.

Dengan adanya sistem perlindungan data pribadi yang kompatibel dengan instrumen regional, Indonesia sedang membuka peluang besar tumbuhnya ekonomi digital nasional.

Membangun sistem perlindungan data pribadi nasional yang kompatibel dengan instrumen-instrumen regional membutuhkan proses panjang.

Upaya tersebut perlu dimaknai seperti lari maraton, dan bukan lari cepat. Perlu ketekunan dan kesabaran, fokus pada tujuan, konsisten pada rencana, serta keinginan kuat untuk mewujudkannya.