DETIL BERITA
Cara Cerdas Menyusun Cross-Border Personal Data Transfer Agreement
_.jpeg)
Oleh : Normand Edwin Elnizar
Rinciannya tidak dijelaskan dalam UU No.27 Tahun 2022 tentang Pelindungan Data Pribadi. Para Data Protection Officer perlu memeriksa GDPR bila berurusan dengan pengiriman data ke perusahaan di Eropa.
Pengaturan tentang perjanjian pengiriman data pribadi diatur dalam UU No 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) dan General Data Protection Regulation (GDPR). Namun, rujukan lebih rinci justru tidak diuraikan dalam UU PDP. Para Data Protection Officer perlu memeriksa GDPR, apalagi jika berurusan dengan pengiriman data ke perusahaan di Eropa.
Muhammad Iqsan Sirie, pendiri dan pengurus Asosiasi Praktisi Pelindungan Data Indonesia (APPDI), berbagi strategi menyusun perjanjian yang biasa dikenal sebagai Cross-Border Personal Data Transfer Agreement (CBDTA). “Di undang-undang kita dikatakan ‘cukup jelas’, padahal tidak jelas sama sekali,” kata Iqsan dalam sesi hari kedua Bootcamp Hukumonline Kamis (25/5/2023) kemarin.
Hukumonline bekerja sama dengan APPDI menyelenggarakan bootcamp berjudul “Masterclass Pelindungan Data Pribadi: Menguasai Teori, Regulasi dan Implementasi” pada Rabu dan Kamis, 24-25 Mei 2023.
“Penjelasan lebih baik bisa dilihat dalam Pasal 46 GDPR,” kata Iqsan membandingkan rumusan Pasal 56 ayat (3) UU PDP dengan Pasal 46 ayat (1-2) GDPR. Pengaturan soal CBDTA dalam UU PDP hanya mengatur dua unsur yang tidak jelas parameternya. Hal itu terlihat dari rumusan berikut, Dalam hal ketentuan sebagaimana dimaksud pada ayat (2) tidak terpenuhi, Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat. Tidak ada penjelasan lebih lanjut apa yang dimaksud dengan ‘memadai’ dan ‘bersifat mengikat’.
Bandingkan dengan rumusan acuan UU PDP dalam Pasal 46 ayat (1-2) GDPR. Tertulis rumusan Pasal 46 ayat 1: In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.
Selanjutnya apa yang dimaksud appropriate safeguards langsung dijelaskan dalam Pasal 46 ayat (2). Parameter teknis yang penting ada dalam CBDTA disebutkan di huruf c dan huruf d pasal tersebut. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by: (c) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2); (d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2).
“Nah, di huruf c dan d itu juga tidak menyebutnya sebagai agreement. Intinya tersedia klausula-klausula baku yang bisa dipakai dalam pengiriman data pribadi,” kata Iqsan menjelaskan. Ia mengatakan sudah ada modul standar dari Uni Eropa soal klausa-klausa itu. Berbagai perusahaan di Eropa biasa mengacu modul itu dalam bisnis mereka yang terlibat pengelolaan transfer data pribadi. “Mereka biasa membuatnya sesuai standar tanpa dikurangi, kecuali yang sifatnya opsional,” kata Iqsan melanjutkan.
“Modul semacam itu juga sudah diadopsi oleh negara-negara anggota ASEAN untuk pelaku usaha antarnegara di ASEAN. Bedanya ini tidak wajib di kalangan ASEAN,” kata Iqsan. Hal itu bisa dimengerti karena UU PDP negara-negara ASEAN tidak memiliki standar bersama semacam GDPR untuk anggota Uni Eropa.
Ada beberapa hal yang Iqsan tekankan dalam merancang CBDTA berdasarkan modul standar itu. Pertama, biasanya jarang bahkan tidak pernah berbentuk perjanjian yang berdiri sendiri. “Biasanya adendum dari satu kontrak pokok. Baiknya tetap ada tanda tangan para pihak di sana meski hanya adendum,” kata Iqsan menyarankan.
Berikutnya, standar dalam modul Uni Eropa sekalipun tidak bisa begitu saja digunakan. Isinya tetap saja hanya poin-poin dasar yang perlu dielaborasi sesuai konteks dalam perjanjian. “Jadi, tetap perlu konsultasi ke lawyer,” kata Iqsan berseloroh.
Iqsan menyebut anatomi CBDTA antara lain berisi hal hal berikut: para pihak; definisi-definisi; keterangan prosesor mengenai pemrosesan data pribadi; ketentuan terkait pembatasan pemrosesan data pribadi; ketentuan terkait organizational and technical safeguards; ketentuan terkait penunjukkan sub-prosesor; ketentuan terkait kewajiban pemberitahuan prosesor; hak audit pengendali; ketentuan penghapusan/pengembalian data pribadi ketika adanya pengakhiran.
APPDI didirikan pada tanggal 17 Juli 2020. Badan hukum perkumpulan ini mendapatkan pengesahan sebagai Perkumpulan dari Kementerian Hukum dan HAM melalui SK No. AHU-00074.AH.01.07.TAHUN 2020 bertanggal 2 September 2020. APPDI didirikan untuk para Data Protection Officer (DPO) yang dalam UU PDP disebut sebagai Pejabat atau Petugas yang Melaksanakan Fungsi Pelindungan Data Pribadi.
Jabatan itu diatur khusus termasuk ruang lingkup tugasnya. Pasal 54 ayat (1) UU PDP menyebut Pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi memiliki tugas paling sedikit: a. menginformasikan dan memberikan saran kepada Pengendali Data Pribadi atau Prosesor Data Pribadi agar mematuhi ketentuan dalam Undang-Undang ini; b. memantau dan memastikan kepatuhan terhadap Undang-Undang ini dan kebijakan Pengendali Data Pribadi atau Prosesor Data Pribadi; c. memberikan saran mengenai penilaian dampak Pelindungan Data Pribadi dan memantau kinerja Pengendali Data Pribadi dan Prosesor Data Pribadi; dan d. berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan Data Pribadi.
Hingga saat ini belum ada lembaga yang berwenang melakukan sertifikasi kompetensi berdasarkan peraturan perundang-undangan untuk jabatan itu. Bootcamp Hukumonline bersama APPDI kali ini adalah upaya mempersiapkan sebanyak mungkin DPO yang kompeten. Para narasumber bootcamp adalah praktisi dari kalangan advokat berpengalaman yang menguasai bidang hukum dan teknologi.
KEORGANISASIAN
PELAYANAN
ANGGOTA JDIH
DAFTAR ANGGOTA JDIH SE-KABUPATEN BANYUWANGI
LINK TERKAIT
PROFIL JDIH BANYUWANGI
BANYUWANGI EVENT
SOSIAL MEDIA
