"EU-US DPF" dan Transfer Internasional Data Pribadi

Keputusan ini diambil tidak lama setelah sanksi denda dijatuhkan kepada Meta Facebook senilai Rp 19,35 triliun terkait pelindungan data pribadi yang memantik gegap gempita itu.

Sebagaimana dilansir Siaran Pers Europian Commission (10/7/2023), keputusan ini menjadi landasan hukum baru terkait transfer data dari Uni Eropa ke Amerika Serikat.

Adopsi EU-US DPF dilakukan oleh Uni Eropa setelah melalui debat dan pembahasan panjang.

Presiden Komisi Eropa Ursula von der Leyen memastikan dengan DPF aliran data aman bagi masyarakat Eropa dan memberikan kepastian hukum bagi perusahaan di kedua pihak berdasarkan Adequacy Decision yang merupakan instrumen ketentuan General Data Protection Regulation (GDPR) terkait transfer data pribadi dari Uni Eropa ke negara ketiga.

Dalam publikasi resmi European Commision dinyatakan, Komisi Eropa berdasarkan pasal 45 Peraturan (UE) 2016/679, berwenang untuk menentukan apakah suatu negara di luar Uni Eropa memberikan tingkat perlindungan data yang memadai atau setara dengan Uni Eropa.

Adequacy Decision dilakukan melalui proses tidak sederhana, yang diawali usulan dari Komisi Eropa, pendapat Dewan Perlindungan Data Eropa, persetujuan dari perwakilan negara-negara Uni Eropa, dan adopsi keputusan oleh Komisi Eropa.

Selanjutnya, Parlemen dan Dewan Eropa kapan saja dapat meminta Komisi Eropa untuk mempertahankan, mengubah atau menarik adequacy Decision ini dengan alasan bahwa tindakannya melebihi kewenangan pelaksanaan yang diatur dalam peraturan tersebut.

Komisi Eropa sejauh ini telah mengakui Andorra, Argentina, Kanada (organisasi komersial), Kepulauan Faroe, Guernsey, Israel, Pulau Man, Jepang, Jersey, Selandia Baru, Republik Korea, Swiss, Inggris berdasarkan GDPR dan LED, Amerika Serikat (organisasi komersial yang berpartisipasi dalam Kerangka Privasi Data UE-AS), dan Uruguay sebagai negara yang memberikan perlindungan yang memadai.

Perlu diketahui bahwa adopsi DPF oleh Uni Eropa tidak mengharuskan sistem pelindungan data negara ketiga itu sama dengan yang ada di Uni Eropa, karena penilaian didasarkan pada standar kesetaraan esensial.

Untuk diketahui bahwa Undang-undang negara bagian AS tidak seluas dan sekomprehensif GDPR sebagai salah satu undang-undang perlindungan data terlengkap di dunia dan memberikan kerangka kerja menyeluruh untuk pemrosesan data pribadi.

Sebaliknya, AS tidak memiliki UU Pelindungan Data Pribadi Federal. Undang-undang Negara Bagian AS memiliki cakupan yang lebih tepat sasaran dan memuat serangkaian kewajiban yang lebih sempit (Richard Lawne 2023).

DPF menjadi landasan hukum penggunaan instrumen lain yang dibuat korporasi, seperti klausul standar kontrak dan peraturan internal perusahaan tentang data pribadi yang mengikat.

Sikap AS

Melalui rilis resmi US Department of Commerce (10/7/2023), Menteri Perdagangan AS Gina Raimondo, juga menyambut baik adopsi keputusan kecukupan DPF oleh Uni Eropa ini.

Hal ini merupakan tindak lanjut atas langkah yang telah diumumkan Presiden Joe Biden dan Presiden Komisi Eropa Ursula von der Leyen pada Maret 2022. Adopsi DPF oleh Uni Eropa memerlukan jangka waktu cukup panjang, bahkan lebih dari setahun.

Menteri Gina Raimondo menyatakan, hal ini merupakan puncak dari kolaborasi signifikan selama bertahun-tahun antara Amerika Serikat dan Uni Eropa, untuk memfasilitasi aliran data antar yurisdiksi masing-masing.

Setelah Uni Eropa mengambil keputusan mengenai kecukupan DPF, maka data pribadi dapat ditransfer dari negara-negara Uni Eropa, Islandia, Liechtenstein, dan Norwegia ke berbagai entitas di AS, yang berpartisipasi dalam DPF UE-AS.

Rilis itu juga menyatakan, bahwa aliran data trans-Atlantik mendukung nilai perdagangan dan investasi lebih dari 1 triliun dollar AS per tahun. Hubungan ini menciptakan peluang ekonomi yang lebih besar bagi perusahaan dan masyarakat kedua belah pihak.

Regulasi yang diadopsi itu juga membentuk entitas yang dinamakan Data Protection Review Court (DPRC) yang memiliki kewenangan untuk memerintahkan penghapusan data, jika menemukan pelanggaran DPF.

Hal yang juga diatur dalam DPF adalah kewajiban menghapus data pribadi ketika tidak lagi diperlukan, sesuai tujuan pengumpulannya. Juga memastikan kesinambungan perlindungannya, ketika data pribadi ditransfer kepada pihak ketiga.

Rilis resmi Uni Eropa itu juga menyebut jika terjadi sengketa, maka mekanisme penyelesaian sengketa dilakukan secara independen oleh panel arbitrase.

DPF akan ditinjau secara berkala, yang akan dilakukan oleh kedua belah pihak. evaluasi pertama, akan dilakukan satu tahun sejak berlakunya keputusan. Hal ini untuk memverifikasi bahwa semua elemen yang relevan telah diterapkan sepenuhnya.

Implementasi UU PDP

Transfer data pribadi lintas negara juga diatur dalam UU No. 27 tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Hal yang harus dipahami bahwa spirit, prinsip, norma, dan mekanisme UU PDP tidak serigid GDPR.

Pasal 56 UU PDP menyatkan bahwa Pengendali Data Pribadi dapat melakukan transfer Data Pribadi ke luar wilayah hukum Negara Republik Indonesia. Hal ini penting diatur mengingat transfer data internasional ini adalah keniscayaan.

Transfer data internasional tidak hanya terkait media sosial, tetapi jauh lebih luas. Sebagai contoh transfer data akan terjadi di saat seseorang melakukan perjalanan ke luar negeri, di mana data paspor, tiket pesawat, visa akan otomatis ditransfer lintas negara. Demikian juga saat melakukan transaksi keuangan internasional.

UU PDP mensyaratkan bahwa Pengendali Data Pribadi wajib memastikan negara yang menerima transfer memiliki tingkat Pelindungan Data Pribadi yang setara, atau lebih tinggi, dari yang diatur dalam UU PDP.

Pasal 56 UU PDP juga menyatakan dalam hal ketentuan di atas tidak terpenuhi, Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat.

Dalam hal ketentuan itu tidak terpenuhi, Pengendali Data Pribadi dapat mentransfer datanya tetapi wajib mendapatkan persetujuan dari Subjek Data Pribadi.

UU PDP telah mengantisipasi kemungkinan rigiditas dan kerepotan prosedural dalam transfer data internasional. Hal ini penting dipahami dalam penyusunan PP sebagai peraturan implementasi UU PDP agar hubungan dan transaksi internasional tidak terhambat.

Di sinilah pentingnya pengakuan peraturan perusahaan sebagai "internal regulation" korporasi dan "privacy policy" yang di dalamnya terdapat klausul pelindungan data pribadi secara eksplisit sebagai dasar hukum transfer data internasional di samping instrumen internasional publik lainnya.

Peran Otoritas Pelindungan Data Pribadi, sebagai lembaga di bawah presiden yang diamanatkan UU PDP, menjadi penting dan strategis. Khususnya dalam penetapan pedoman Pelindungan Data Pribadi yang memadai dan bersifat mengikat.

Komparasi dengan regulasi di berbagai negara dan best practices korporasi global di bidang pelindungan data pribadi perlu dilakukan. Praktik berbagai negara terkait hal ini tentu tidak seragam.

Pelaksanaan UU PDP, kita inginkan menjadi pendorong pemanfaatan big data sebagai new oil secara optimal.

UU PDP harus menjadi instrumen hukum transformatif yang mendukung pelayanan publik dan ekonomi digital nasional secara optimal untuk mencapai Indonesia emas.