Membangun Mekanisme Transfer Data Pribadi Lintas Batas ASEAN

Cara ASEAN

Terlepas berbagai perbedaan tersebut, ASEAN tetap melihat pentingnya membangun sistem PDP yang kompatibel dalam memfasilitasi transfer lintas batas negara di kawasan Asia Tenggara.

Meskipun ASEAN Framework on PDP tidak dimaksudkan untuk menciptakan kewajiban hukum nasional dan internasional, ASEAN tetap berusaha membuat instrumen tersebut bertaring.

Dalam Pertemuan Menteri Telekomunikasi dan Teknologi Informasi ke-19 tahun 2019 di Laos, diusulkan dua mekanisme Cross Border Data Flows (CBDF), yaitu ASEAN Model Contractual Clauses (MCC) dan ASEAN Certification for Cross Border Data Flows.

Pada tahun 2020, ASEAN menetapkan pedoman penerapan MCC yang sifatnya sukarela. Instrumen ini berisi klausul kontrak baku yang dapat digunakan oleh pengendali atau prosesor data pribadi yang akan mengekspor atau mengimpor data pribadi.

Klausul MCC dapat dimodifikasi sesuai dengan kebutuhan dan aturan di masing-masing negara ASEAN.

Klausul standar tersebut dapat menjadi pedoman praktis bagi Usaha Mikro Kecil dan Menengah (UMKM) di negara-negara ASEAN, termasuk di Indonesia. Meskipun terkesan memudahkan para pihak, sifat fleksibel dari MCC dapat menimbulkan keberagaman modifikasi klausul.

Lebih jauh lagi, ASEAN dan Uni Eropa sedang menyesuaikan konsep MCC dan SCC untuk menjembatani perbedaan sistem PDP mereka.

Usaha tersebut dimungkinkan karena ASEAN Framework on PDP dan GDPR memiliki konsep-konsep dasar pengaturan yang sejalan.

Beberapa di antaranya ialah konsep definisi data pribadi, prinsip pemrosesan data pribadi, fungsi lembaga perlindungan data pribadi, dan tanggung jawab pengendali atau prosesor data pribadi dalam menghadapi kebocoran data pribadi.

Sebagai klausul baku, baik MCC dan SCC dapat digabungkan dengan perjanjian yang lebih besar. Perbedaannya, meskipun para pihak dapat memodifikasi klausul-klausul dalam MCC, klausul-klausul dalam SCC tidak dapat diubah.

Perbedaan lainnya ialah standar GDPR jauh lebih tinggi dan pengaturan dalam instrumen tersebut jauh lebih komprehensif dibandingkan ASEAN Framework on PDP.

Dalam hal terjadi perbedaan penafsiran, para pihak yang menggunakan MCC akan menggunakan hukum negara ASEAN.

Di lain pihak, interpretasi utama terhadap SCC akan didasarkan pada GDPR. Dengan demikian, keseragaman perlakuan transfer lebih mudah untuk diterapkan.

Langkah Indonesia

UU 27/2022 memberikan waktu dua tahun bagi pengendali dan prosesor data pribadi untuk menyesuaikan aturan internal dan praktik pemrosesan data pribadi mereka dengan sistem yang baru.

Waktu tersebut juga harus digunakan pemerintah untuk menyusun peraturan pelaksanaan undang-undang tersebut serta membentuk lembaga perlindungan data pribadi.

Eksekutif dan legislatif mengklaim bahwa GDPR merupakan referensi utama dalam penyusunan UU 27/2022. Ada manfaat besar yang bisa Indonesia dapatkan dengan konsisten mengadopsi paradigma dan ketentuan-ketentuan GDPR dalam peraturan pelaksanaan UU 27/2022.

Indonesia tidak hanya sedang membangun mekanisme transfer data pribadi lintas batas negara dengan negara-negara anggota ASEAN, tetapi juga dengan Uni Eropa, Asia Pasifik, dan yurisdiksi lainnya.

Dengan adanya sistem perlindungan data pribadi yang kompatibel dengan instrumen regional, Indonesia sedang membuka peluang besar tumbuhnya ekonomi digital nasional.

Membangun sistem perlindungan data pribadi nasional yang kompatibel dengan instrumen-instrumen regional membutuhkan proses panjang.

Upaya tersebut perlu dimaknai seperti lari maraton, dan bukan lari cepat. Perlu ketekunan dan kesabaran, fokus pada tujuan, konsisten pada rencana, serta keinginan kuat untuk mewujudkannya.