Pembahasan dalam edisi Indonesian Law Digest (“ILD”) kali ini melanjutkan bagian pertama dan kedua dari rangkaian pembahasan kami tentang pelindungan data pribadi (“Data”) yang terbagi menjadi empat bagian. Dua bagian pertama memberikan analisis terkait klasifikasi Data, hak subyek Data (“Subyek”) dan berbagai aspek yang berhubungan dengan pemrosesan Data (“Pemrosesan”). Untuk bagian ketiga dari seri berkelanjutan kami mengenai pelindungan Data, kami akan membahas hal-hal yang berkaitan dengan transfer Data, termasuk klasifikasi dan persyaratan yang wajib dipenuhi oleh pengendali Data (“Pengendali”) dan/atau prosesor Data (“Prosesor”) ketika melakukan transfer Data. Walaupun pada dasarnya transfer Data dikategorikan sebagai kegiatan Pemrosesan, kami memutuskan untuk menjelaskannya secara terpisah, mengingat cukup pentingnya topik ini dan bahwa transfer Data merupakan kegiatan Pemrosesan yang sangat rentan terhadap risiko kebocoran Data.
Analisis kami mengacu pada Undang-Undang tentang Pelindungan Data Pribadi (“UU PDP”) terbaru, yang dipublikasikan melalui situs web resmi Dewan Perwakilan Rakyat pada tanggal 20 September 2022, serta General Data Protection Regulation (“GDPR”) Uni Eropa, dan juga sejumlah wawasan yang kami peroleh dari beberapa praktisi Data yang ada di Indonesia.
Untuk minggu selanjutnya, publikasi final dari ILD empat bagian tentang pelindungan Data ini, yang mengacu pada penngaturan dalam UU PDP, akan fokus pada pembahasan mengenai “Penyelesaian Sengketa dan Sanksi Pidana”.
Sementara itu, bagian ketiga dari seri ILD berkelanjutan ini akan membagi pembahasan dengan pembagian sebagai berikut:
Sebelum masuk ke detail dan klasifikasi transfer Data, mari kita perdalam pemahaman dasar kita mengenai beberapa pertanyaan yang sering ditanyakan mengenai transfer Data. Analisis kami disini telah dilengkapi dengan pandangan dari Satriyo Wibowo, salah satu pengurus International Association of Privacy Professionals chapter Indonesia, yang baru-baru ini diwawancara oleh Tim Legal Research and Analysis Hukumonline. Beberapa FAQ tersebut kampi paparkan dalam tabel di bawah ini:
Apa itu transfer Data? |
UU PDP memberikan definisi yang mencakup kegiatan terkait Data berikut:[1]
|
Apakah transfer Data dikatergorikan sebagai kegiatan Pemrosesan? |
Ya, transfer Data adalah salah satu kegiatan yang ditetapkan dalam lingkup Pemrosesan.[2] |
Apa saja bentuk transfer Data? |
Menurut UU PDP, transfer Data hanya dapat dilakukan secara elektronik atau nonelektronik.[3] |
Bagaimana transfer Data dilakukan? |
Sebagai bagian kegiatan Pemrosesan. Selain itu, prinsip pelindungan Data juga wajib dipatuhi dan wajib dilakukan sesuai dengan dasar Pemrosesan Data yang valid.[4] |
Apakah sata perlu memperoleh persetujuan dari Subyek yang bersangkutan sebelum melakukan transfer Data? |
Meskipun memperoleh persetujuan merupakan salah satu dasar yang diatur dalam UU PDP, transfer Data dapat dilakukan sesuai dengan dasar-dasar Pemrosesan lainnya.[5] Akan tetapi, persetujuan tersebut mungkin diperlukan sehubungan dengan transfer Data lintas wilayah, yang akan dijelaskan di bab selanjutnya ILD ini. |
Apakah transfer Data wajib dilakukan berdasarkan perjanjian atau kontrak antara pihak-pihak terkait? |
Sebagaimana yang telah dijelaskan di jawaban sebelumnya, transfer Data dapat dilakukan berdasarkan dasar Pemrosesan lain.[6] Namun, perjanjian atau kontrak mungkin diwajibkan dalam keadaan yang melibatkan transfer Data lintas wilayah, yang akan dijelaskan di bab selanjutnya ILD ini. |
Pihak mana yang terlibat dalam transfer Data? |
UU PDP menetapkan bahwa transfer Data dilakukan oleh Pengendali dan Data yang bersangkutan ditransfer ke pihak lainnya.[7] |
Apa ada kriteria khusus yang wajib dipenuhi Data untuk dapat ditransfer? |
Secara garis besar, UU PDP saat ini memperbolehkan bentuk atau klasifikasi Data apapun untuk menjadi obyek transfer Data.[8] Namun, karena GDPR membedakan perlakuan antara jenis Pemrosesan Data tertentu (termasuk transfer Data)[9], ada kemungkinan bahwa persyaratan atau kriteria transfer Data yang mengatur jenis Data spesifik akan dijelaskan lebih lanjut dalam peraturan pelaksana yang akan datang.[10] |
Apakah ada peristiwa tertentu yang mewajibkan penyampaian pemberitahuan terkait transfer Data? |
Walaupun secara umum Subyek berhak mendapatkan informasi dan mendapat pertanggungjawaban atas penggunaan Datanya,[11] UU PDP secara eksplisit mengamanatkan Pengendali berbentuk badan hukum yang melakukan pembubaran atau dibubarkan untuk menyampaikan pemberitahuan kepada Subyek terkait transfer Data.[12] |
Meskipun tidak ada penjelasan lebih lanjut mengenai kegiatan transfer Data pada UU PDP, hal tersebut akan dijelaskan secara lebih lengkap melalui penerbitan sejumlah peraturan pelaksana yang akan datang.
Namun demikian, Satriyo Wibowo memberikan Hukumonline beberapa indikasi dan contoh yang akan memberikan pemahaman yang lebih bauk terkait transfer Data itu sendiri, yang telah kami rangkum ke dalam tabel di bawah ini:[13]
Kegiatan Transfer Data |
Indikasi |
Contoh |
|
Elektronik[14] |
Noneletronik |
||
Perpindahan |
Kemungkinan besar dilakukan secara internal dalam satu entitas |
Memindahkan file pegawai dari perangkat tertentu ke server yang dioperasikan oleh perusahaan yang sama. |
Mengirim memo atau suran internal yang mengandung Data ke pihak lain dalam satu perusahaan. |
Pengiriman |
Kemungkinan besar dilakukan secara eksternal dan dikirimkan ke pihak lain |
Mengirimkan file dari server perusahaan ke otoritas untuk tujuan pemeriksaan atau penilaian. |
Mengirimkan surat yang mengandung Data melalui jasa pos. |
Penggandaan |
Seperti namanya, bentuk asli Data akan akan tetap menjadi milik pengirim Data (“Pengirim”) walaupun telah transfer dilakukan |
Mengirimkan email yang mengandung Data ke pihak lain.[15] |
Menurut Undang-Undang No. 1 tahun 2014 tentang Pemilihan Gubernur, Bupati, dan Walikota, sebagaimana telah diubah beberapa kali, terakhir dengan Peraturan Pemerintah Pengganti Undang-Undang No. 2 tahun 2020 (secara bersama-sama disebut sebagai “UU 1/2014”), dukungan calon diverifikasi melalui fotokopi kartu tanda penduduk elektronik, yang harus diperoleh dan dipenuhi.[16] |
Selain hal-hal yang disebutkan di atas, Satriyo Wibowo juga menegaskan meskipun UU PDP menetapkan bahwa transfer Data hanya dapat dilakukan oleh Pengendali, Prosesor yang mentransfer Data ke Pengendalinya juga dianggap telah melakukan transfer Data yang sah berdasarkan prinsip timbal balik (reciprocity). Selain itu, Prosesor yang mentransfer Data ke Prosesor lainnya yang merupakan sub-Prosesor yang telah disetujui oleh Pengendali juga dianggap telah melakukan transfer Data yang sah.[17]
Selain itu, pengiriman file (misalnya melalui email) yang mengandung Data juga harus dilihat berdasarkan kasus per kasus karena terdapat kemungkinan pengiriman bukan merupakan kegiatan transfer Data. Salah satu contohnya adalah ketika email hanya mengandung komponen Data dasar (seperti nama lengkap atau alamat email) dan, maka dari itu, tidak memiliki dampak yang signifikan terhadap Subyek.[18]
Sebagai tambahan penjelasan di atas, Satriyo Wibowo juga memberikan beberapa latar belakang yang dapat menjadi tujuan dilakukannya transfer Data. Tujuan tersebut adalah:[19]
Tujuan Transfer Data |
Contoh |
Pemenuhan kewajiban hukum |
Kantor layanan pajak yang mengumpulkan Data wajib pajak melalui transfer Data, dimana pengumpulan tersebut diamanatkan oleh peraturan perundang-undangan yang berlaku di bidang perpajakan. |
Pemenuhan kewajiban kontrak |
Pengendali yang terikat dalam perjanjian dengan Pengendali lainnya untuk membagi Data Subyeknya untuk tujuan yang sama melalui transfer Data. |
Bagian tidak terpisahkan dari Pemrosesan (seperti penyimpanan dan pengamanan Data) |
Transfer Data konsumen ke pusat panggilan (call center) pemberi layanan tertentu sebagai bagian upaya pemberian layanan yang lebih baik. |
Pengungkapan Data sesuai dengan peraturan perundang-undangan |
Untuk tujuan penyidikan polisi atau proses hukum lainnya yang membutuhkan transfer Data. |
Pemrosesan tambahan yang telah disetujui oleh Subyek |
Transfer Data yang dilakukan oleh Pengendali untuk tujuan pemasaran dan yang memiliki tujuan berbeda dengan yang awalnya diminta. |
Mengacu pada UU PDP, transfer Data dibagi ke dalam dua kategori utama, salah satunya adalah transfer Data domestik. Walaupun namanya sudah cukup menjelaskan, tabel di bawah ini menjelaskan aspek-aspek dalam klasifikasi transfer Data ini:[20]
Aspek Transfer Domestik |
Penjelasan |
Wilayah transfer Data |
Dalam wilayan hukum Indonesia |
Pengirim |
Pengendali[21] |
Pihak penerima Data (“Penerima”) |
|
Kewajiban yang menyertai |
Wajib melakukan transfer Data sesuai dengan ketentuan pelindungan Data dalam UU PDP |
Meskipun jenis transfer Data di atas terlihat seperti hal yang cukup sederhana, kegagalan dalam memenuhi ketentuan pelindungan Data yang ditetapkan dalam UU PDP terkait transfer Data domestik dapat mengakibatkan dikenakannya sanksi administratif oleh lembaga pelindungan Data independen (“Lembaga”).[22]
Selain transfer Data domestic yang telah dijelaskan sebelumnya, UU PDP juga memperkenalkan klasifikasi Data lainnya, yaitu: transfer Data lintas wilayah. Jenis transfer Data ini juga wajib dilakukan sesuai dengan ketentuan pelindungan Data yang diatur oleh UU PDP. Tabel di bawah ini menjelaskan secara singkat mengenai klasifikasi transfer Data ini:[23]
Aspek Transfer Data Lintas Wilayah |
Penjelasan |
Wilayah transfer Data |
Dari dalam wilayah ke luar wilayah hukum Indonesia |
Pengirim |
Pengendali |
Penerima |
Pengendali dan/atau Prosesor berkedudukan di luar negeri |
Akan tetapi, transfer Data lintas wilayah berbeda dengan klasifikasi sebelumnya, dimana untuk klasifikasi ini UU PDP menetapkan dasar hierarkis yang wajib ditaati oleh Pengirim. Sistem hierarki tersebut dijelaskan secara ringkas melalui bagan di bawah ini:
Meskipun di dalam UU PDP tidak ada penjelasan lebih lanjut, akan ada peraturan pelaksana yang nantinya akan memberikan penjelasan lebih lanjut mengenai hal-hal tersebut. Satriyo Wibowo juga memberikan Hukumonline sejumlah penjelasan terkait tahapan-tahapan di atas yang harus digarisbawahi ketika para pihak melakukan transfer Data ke luar negeri. Penjelasan tersebut telah kami ringkas ke dalam tabel di bawah ini:[24]
Dasar Transfer Lintas Wilayah |
Penjelasan |
Kesetaraan |
Transfer Data yang berdasarkan kesetaran, sebagaimana yang telah ditetapkan dalam UU PDP, tidak dapat dilakukan sampai Lembaga yang bertugas untuk menentukan negara mana yang memiliki ketentuan pelindungan Data yang setara atau lebih baik dibandingkan dengan yang telah ditetapkan dalam UU PDP. Sebagai perbandingan, GDPR mengamanatkan bahwa Komisi Eropa (“Komisi”) bertanggung jawab ungtuk menilai kesetaraan tingkat pelindungan Data sesuai dengan kriteria berikut:[25]
|
Kewajiban kontrak |
Upaya untuk memastikan adanya pelindungan Data yang “mengikat” harus dilakukan melalui perjanjian yang dikenal sebagai Standard Contractual Clauses (“SCC”), yang telah diterapkan dalam GDPR.[26] Pada esensinya, SCC tersebut perlu memiliki klausa yang menyebutkan dan mengakui adanya tingkat pelindungan Data yang setara dalam transfer Data tersebut.[27] Dari sudut pandang GDPR, SCC perlu terlebih dahulu disetujui oleh Komisi sebelum diterapkan oleh Lembaga negara yang bersangkutan serta adanya bimbingan dan pengawasan selama pelaksanaannya.[28] |
Perjanjian internasional[29] |
Meskipun rancangan UU PDP saat ini tidak lagi secara eksplisit menyebutkan kewajiban transder Data untuk dilakukan sesuai dengan perjanjian internasional, UU PDP mengizinkan pemerintah untuk bekerja sama dengan pemerintah asing atau organisasi internasional dalam rangka pelindungan Data, termasuk hal-hal terkait transfer Data.[30] Karena penyusunan UU PDP adalah berdasarkan GDPR, beberapa hal dapat mengakibatkan pengurangan ketentuan yang telah ada terkait persyaratan transfer Data lintas wilayah yang telah diatur dalam GDPR.[31] Hal-hal tersebut adalah:[32]
|
Hampir sama dengan transfer Data domestik, penting untuk diingat bahwa transfer Data yang tidak dilakukan sesuai dengan dasar-dasarnya (seperti kesetaraan, kewajiban kontrak dan persetujuan) dapat dikenakan sanksi administratif oleh Lembaga. [33]
Menurut Satriyo Wibowo, praktik transfer Data paling sering dilakukan atas dasar kontrak.[34] Selain itu, meskipin UU PDP tidak menetapkan ketentuan mengenai hal-hal yang wajib dipersiapkan Pengirim sebelum melakukan transfer Data, tabel di bawah ini memberikan gambaran umum mengenai hal-hal penting yang wajib diperhatikan dan dipersiapkan oleh anda dan entitas anda:[35]
Aspek Praktik Terbaik |
Penjelasan |
|
Tahap awal |
Hal-hal berikut perlu diatur sebelum menentukan hal-hal lainnya selama persiapan pelaksanaan transfer Data:
|
|
Penentuan peran |
Skema kontrak |
Penentuan peran-peran para pihak dan kewajibannya dalam transfer Data. Peran-peran tersebut adalah:
|
Skema pengendalian bersama |
Khusus untuk skenario ini, transfer Data tidak perlu benar-benar dilakukan. Namun, skema ini dapat diterapkan dengan cara memberikan akses kepada server kedua pihak untuk mengakses Data milik masing-masing. |
|
Dasar Pemrosesan |
Karena transfer Data merupakan bagian kegiatan Pemrosesan, perlu menjamin adanya dasar Pemrosesan yang sah. |
|
Keamanan Data |
Dalam rangka menjamin transfer Data dilakukan dengan aman, terdapat sejumlah tindakan teknis yang wajib dilakukan.[36] Dalam cakupan GDPR, tindakan teknis tersebut adalah:[37]
|
|
Uji kelayakan (due diligence) |
Sebelum melakukan transfer Data sebagai calon Pengirim, perlu dilakukan proses due diligence terhadap Penerima dan/atau negara asal Penerima untuk memastikan bahwa pihak terkait telah memenuhi berbagai kriteria dan persyaratan yang telah ditetapkan sehubungan dengan pelindungan Data.[38] |
|
Pembuatan kontrak |
Sebagaimana telah disebutkan di atas, praktik terbaik saat ini untuk pelaksanaan transfer Data umumnya berdasarkan kontrak yang dibuat antara Pengirim dan Penerima. Kontrak tersebut harus menetapkan perincian mengenai hak dan kewajiban para pihak yang berkontrak. |
|
Pemberitahuan privasi |
Secara prinsip, UU PDP memberikan hak atas informasi dan pertanggungjawaban kepada Subyek berkaitan dengan Datanya, termasuk dalam kegiatan transfer Data.[39] Dalam cakupan GDPR, informasi dan pertanggungjawaban yang khusus berkaitan dengan Pemrosesan, termasuk transfer Data, dapat diminta melalui Data Subject Access Requests (DSAR).[40] Akan tetapi, berdasarkan praktik terbaik, sangat jarang Subyek mengajukan permintaam detail dan spesifikasi berkaitan dengan transfer atas Datanya. |
[1] Penjelasan Pasal 16 (1e), UU PDP.
[2] Pasal 16 (1), UU PDP.
[3] Penjelasan Pasal 16 (1), UU PDP.
[4] Pasal 16 (1) dan 20 (2), UU PDP.
[5] Pasal 20 (2), UU PDP.
[6] Ibid.
[7] Penjelasan Pasal 16 (1), UU PDP.
[8] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 7 Oktober 2022.
[9] Pasal 9, GDPR.
[10] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 7 Oktober 2022.
[11] Pasal 5, UU PDP.
[12] Pasal 48 (3 - 4), UU PDP.
[13] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 7 Oktober 2022.
[14] Meskipun secara umum semua transfer Data elektronik masuk dalam klasifikasi penggandaan karena file aslinya tetap ada pada Pengirim yang bersangkutan, Data yang telah dikirimkan, dapat ditantai (flagged) (seperti menggunakan metadata atau watermark), yang menandatakn bahwa file asli tidak lagi ada dalam kepemilikan Pengirim (berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 7 Oktober 2022).
[15] Pengiriman email masuk ke dalam klasifikasi penggandaan karena file yang dikirimkan adalah salinannya, sementara versi aslinya tetap ada pada Pengirim (berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 7 Oktober 2022).
[16] Pasal 41 (3), UU 1/2014.
[17] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 7 Oktober 2022.
[18] Ibid.
[19] Ibid.
[20] Pasal 55, UU PDP.
[21] Sebagaimana yang telah disebutkan sebelumnya, perlu dicatat bahwa transfer data yang dilakukan antara Prosesor dan Pengendali atau sub-Prosesornya dapat dianggap sebagai transfer Data yang sah (berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 7 Oktober 2022).
[22] Pasal 57 (1), UU PDP.
[23] Pasal 56 (1), UU PDP.
[24] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 7 Oktober 2022.
[25] Pasal 45, GDPR.
[26] Pasal 46, GDPR.
[27] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 7 Oktober 2022.
[28] Ibid.
[29] Contoh kerja sama internasional dalam sektor pelindungan Data termasuk: 1) Asia-Pacific Economic Cooperation (“APEC”) Privacy Recognition for Processor (PRP); dan 2) APEC Cross-Border Privacy Rules (CBPR) (berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 7 Oktober 2022).
[30] Pasal 62, UU PDP.
[31] Karena GDPR mengandung ketentuan yang dapat mengurangi ketentuan yang sudah ada terkait persyaratan transfer Data lintas wilayah, kekurangan UU PDP kemungkinan besar akan diatur dalam peraturan pelaksana yang akan datang (berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 7 Oktober 2022).
[32] Pasal 46 (2), GDPR.
[33] Pasal 57 (1), UU PDP.
[34] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 7 Oktober 2022.
[35] Ibid.
[36] Contoh tindaka teknis termasuk penerapan hal-hal berikut dalam transfer Data: 1) Application Programming Interface (API); 2) Hypertext Transfer Protocol Secure (HTTPS); atau 3) File Transfer Protocol Secure (FTPS) (berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 7 Oktober 2022).
[37] Pasal 32, GDPR.
[38] Contoh persyaratan atau kriteria lain yang sering diwajibkan terkait transfer Data adalah penerapan standar tertentu terkait manajemen risiko keamanan Data, termasuk: 1) ISO 27001 tentang Manajemen Keamanan Informasi; atau 2) Third-Party Risk Management (TPRM) (berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 7 Oktober 2022).
[39] Pasal 5, UU PDP.
[40] Pasal 15, GDPR.