Membangun Mekanisme Transfer Data Pribadi Lintas Batas ASEAN

PENGUNDANGAN Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi pada 17 Oktober 2022 (UU 27/2022) merupakan satu tonggak yang dipancangkan untuk membangun sistem baru pelindungan data pribadi Indonesia.

UU 27/2022 mengatur transfer data pribadi dari dan ke dalam teritori Indonesia. Pengundangan tersebut merupakan bagian langkah maju wilayah Asia Tenggara dalam membangun mekanisme transfer data pribadi lintas batas yang kompatibel dalam wilayahnya dan antara ASEAN dengan wilayah lain.

Indonesia masih harus mengatur lebih lanjut ketentuan-ketentuan UU 27/2022 ke dalam peraturan pemerintah. Paradigma membangun sistem yang kompatibel dengan instrumen regional perlu digunakan dalam menyusun peraturan tersebut.

Permasalahan transfer data pribadi lintas batas

Hak dan kepentingan hukum seorang warga negara yang terkandung dalam data pribadinya ikut mengalir ke negara di mana data tersebut dikumpulkan, disimpan, atau diungkapkan.

Semakin banyak data pribadi yang mengalir ke luar wilayah Indonesia, semakin besar kepentingan subjek data pribadi untuk mendapatkan perlindungan.

Semakin besar pula kepentingan dan tanggung jawab negara untuk menjamin bahwa data pribadi warga negaranya mendapatkan perlindungan yang setara atau lebih tinggi dari perlindungan yang diberikan hukum Indonesia.

Permasalahannya ialah negara-negara memiliki regulasi dalam mengatur transfer data pribadi. Sistem pelindungan data pribadi negara yang satu mungkin tidak kompatibel dengan negara lain. Perbedaan tersebut dapat menimbulkan aliran bebas data pribadi yang asimetris.

Data pribadi dari negara yang belum memiliki legislasi yang jelas dapat mengalir deras menuju negara yang memiliki sistem perlindungan data pribadi yang komprehensif.

Asimetris ini menguat ketika negara pertama memiliki ketergantungan terhadap berbagai layanan digital yang diberikan oleh perusahaan-perusahaan dari negara kedua.

Permasalahan transfer lintas batas negara perlu diselesaikan melalui kerja sama secara bilateral, multilateral atau regional, dan internasional.

Belum ada konvensi internasional di bawah Perserikatan Bangsa-bangsa yang mengatur perlindungan data pribadi. Mengharapkan adanya konvensi tersebut dalam waktu dekat tidak realistis.

Sebaliknya, instrumen-instrumen regional berkembang lebih dinamis. Pendekatan regional dapat memberikan manfaat lebih signifikan dan jangkauan lebih luas dibandingkan dengan pendekatan bilateral.

Wilayah Eropa, Asia Pasifik dan Asia Tenggara memiliki instrumen perlindungan data pribadi untuk membangun sistem yang kompatibel di wilayahnya. Otoritas dan negara-negara dari wilayah tersebut berusaha memperkenalkan dan mempromosikan instrumennya agar dapat diadopsi atau diikuti.

Wilayah Eropa memiliki dua instrumen. Pertama, Uni Eropa menetapkan the General Data Protection Rule (GDPR) pada tahun 2016 untuk menggantikan Data Protection Directive 1995.

GDPR dianggap sebagai instrumen regional yang paling ketat di dunia. Transfer data pribadi ke luar teritori Uni Eropa dimungkinkan berdasarkan mekanisme yang telah diatur secara limitatif.

Salah satu mekanisme transfer tersebut ialah Standard Contractual Clauses (SCC). European Commission harus menyetujui klausul-klausul dalam SCC sebelum dapat diberlakukan.

Setelah disetujui, pengendali atau prosesor data pribadi tidak dapat mengubah atau memodifikasi klausul SCC.

Kedua, Council of Europe menetapkan Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data pada tahun 1981 (Convention 108).

Semua negara Uni Eropa menjadi negara pihak konvensi ini. Pada tahun 2018, Convention 108 dimodernisasi dengan memasukkan konsep pengaturan yang sejalan dengan penerapan GDPR (Convention 108+).

Transfer data pribadi ke negara nonanggota Convention 108+ hanya dapat dilakukan dalam hal tingkat perlindungan berdasarkan konvensi tersebut terpenuhi.

Meskipun demikian, Convention 108+ memberikan beberapa pengecualian transfer lintas batas. Pengecualian ini penting mengingat konvensi tersebut didesain agar dapat diaksesi oleh negara nonanggota Council of Europe.

Negara Uni Eropa yang menjadi anggota Convention 108+ tetap harus tunduk pada mekanisme transfer data pribadi yang di atur dalam GDPR.

Di wilayah Asia Pasifik, APEC mengeluarkan Privacy Framework pada tahun 2005. Kerangka kerja ini disusun berdasarkan pedoman Organisation for Economic Co-operation and Development (OECD) yang diterbitkan tahun 1980.