JAKARTA — Menteri Komunikasi dan Digital (Menkomdigi) Meutya Hafid menyampaikan komitmen pemerintah melindungi data warga negara dalam proses transfer data pribadi lintas negara ke Amerika Serikat (AS), sebagai bagian dari Perjanjian Perdagangan Resiprokal Indonesia-AS (ART).
“Apa yang dikuatkan ART ini adalah praktik yang sudah terjadi saat ini, bahwa memang sudah ada pertukaran data, kami menggunakan platform banyak juga dari mancanegara, termasuk dari Amerika Serikat,” kata Meutya di sela acara peluncuran Sahabat AI di Jakarta, dikutip Bergelora.com di Jakarta, Kamis (26/2).
“Jadi apa yang termaktub dalam ART justru memperkuat atau memberi kerangka hukum terhadap praktik-praktik yang memang sudah berlangsung cukup lama. Dan tetap pegangannya sebagai negara yang berdaulat adalah Undang-undang Perlindungan Data pribadi,” tambahnya.
Meutya tidak menjawab ketika ditanya soal ketidakhadirannya Lembaga Pengawas PDP yang berwenang mengawali Undang-undang tersebut.
Transfer data pribadi dari Indonesia ke AS merupakan salah satu poin yang dibahas dalam perjanjian tersebut.
“Indonesia akan memberikan kepastian mengenai kemampuan untuk memindahkan data pribadi keluar dari wilayahnya ke Amerika Serikat dengan mengakui Amerika Serikat sebagai negara atau pengakuan yang memberikan perlindungan data yang memadai sesuai dengan hukum Indonesia,” tulis Pasal 3.2: Transfer Data pada Bagian 3 Perdagangan Digital dan Teknologi tersebut.
Sebelumnya, Kemenko Perokonomian memastikan tidak ada toleransi data dalam proses transfer data pribadi tersebut. Pemerintah memastikan proses transfer data tidak mengorbankan hak warga negara.
“Transfer data yang disepakati dalam perjanjian ART tetap tunduk pada aturan domestik, yaitu UU Perlindungan Data Pribadi,” kata Juru Bicara Menko Perekonomian Haryo Limanseto dalam keterangannya, Minggu (22/2).
“Artinya, tidak ada penyerahan data. Pemerintah memastikan proses transfer data secara fisik maupun digital (transmisi cloud dan kabel) dilakukan dalam kerangka tata kelola data yang aman dan andal, tanpa mengorbankan hak-hak warga negara,” imbuhnya.
Ia menjelaskan bahwa data yang dimaksud dalam perjanjian adalah data yang diperlukan untuk bisnis pada sistem aplikasi.
Transfer data lintas batas, katanya, merupakan infrastruktur utama bagi e-commerce, layanan keuangan digital, cloud, dan jasa digital lainnya.
Haryo menyebut kepastian aturan transfer data dapat memperkuat posisi Indonesia sebagai hub ekonomi digital di kawasan.
Menurutnya, perusahaan teknologi global membutuhkan regulasi yang dapat memfasilitasi data melewati batas dengan perlindungan data yang memadai.
“Dengan tata kelola yang kredibel, Indonesia dapat menarik investasi pusat data (pusat data), infrastruktur cloud, dan layanan digital lainnya,” tutupnya.
Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) tidak melarang pemindahan data pribadi dari Indonesia ke luar negeri. Ketentuan terkait transfer data pribadi ke luar wilayah Indonesia ini tercantum pada Pasal 56.
“Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi dan/atau Pengolah Data Pribadi di luar wilayah hukum Negara Republik Indonesia sesuai dengan ketentuan yang diatur dalam Undang-Undang ini,” tulis Ayat 1 peraturan tersebut.
Namun, proses transfer data pribadi tersebut perlu memastikan standar perlindungan data yang sama atau lebih tinggi yang diterapkan oleh penerima data.
“Melakukan transfer Data Pribadi sebagaimana dimaksud pada ayat (1), Pengendali Data Pribadi wajib memastikan negara tempat kedudukan Pengendali Data Pribadi dan/atau Pengolah Data Pribadi yang menerima transfer Data Pribadi memiliki tingkat Pelindungan Data Pribadi Dalam yang setara atau lebih tinggi dari yang diatur dalam Undang-Undang ini,” jelas aturan tersebut dalam Pasal 56 Ayat 2.
Penilaian terhadap perlindungan yang disinggung pada Ayat 2 sendiri dilakukan oleh lembaga pengawas PDP. Pada Pasal 60 aturan ini disebutkan bahwa salah satu fungsi lembaga tersebut adalah “melakukan penilaian terhadap spesifikasi transfer Data Pribadi ke luar wilayah hukum Negara Republik Indonesia.”
Risiko Transfer Data Imbas Perjanjian Dagang RI-AS
Kepada Bergelora.com di Jakarta, Kamia (26/2) dilaporkan, Ketua Lembaga Riset Keamanan Siber dan Komunikasi CISSReC Pratama Persadha mengungkap sejumlah konsekuensi dari transfer data pribadi lintas negara ke Amerika Serikat (AS), akhir Perjanjian Perdagangan Resiprokal Indonesia-AS (ART) yang ditandantangi kedua negara pada 19 Februari.
Transfer data pribadi dari Indonesia ke AS merupakan salah satu poin yang dibahas dalam perjanjian tersebut.
Menurut Pratama, data pribadi warga negara bukan hanya informasi administratif, tetapi juga aset strategi yang dapat dimanfaatkan untuk analisis perilaku, pemodelan kecerdasan buatan, hingga kepentingan ekonomi dan geopolitik.
“Ketika data berada di luar negeri, kontrol substantif negara terhadap akses, pengunduhan, dan permintaan oleh otoritas asing menjadi lebih kompleks,” katanya kepada CNNIndonesia.com , Senin (23/2).
“Tanpa kerangka pengawasan yang kuat, eksposur risiko dan peningkatan, sementara mekanisme pemulihan bagi subjek data menjadi lebih sulit ditegakkan,” imbuhnya.
Merespons klausul tersebut, Kemenko Perokonomian memastikan tidak ada penyerahan data. Kemudian, pemerintah memastikan proses pengiriman data tidak mengorbankan hak warga negara.
Transfer data yang disepakati dalam perjanjian ART tetap tunduk pada aturan domestik, yaitu UU Perlindungan Data Pribadi (PDP), kata Juru Bicara Menko Perekonomian Haryo Limanseto dalam keterangannya, Minggu (22/2).
“Artinya, tidak ada penyerahan kedaulatan data. Pemerintah memastikan proses pemindahan data secara fisik maupun secara digital (transmisi cloud dan kabel) dilakukan dalam kerangka secure and reliable data governance, tanpa mengorbankan hak-hak warga negara,” imbuhnya.
Namun demikian, komitmen untuk tunduk terhadap Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) menyisakan satu lubang penting, yakni kehadiran Lembaga Pengawas PDP.
Menurut Pratama, pembentukan lembaga Pengawas PDP harus dipercepat karena UU PDP secara eksplisit menyebut transfer data pribadi ke luar negeri hanya dapat dilakukan apabila negara tujuan memiliki tingkat pelindungan yang setara atau lebih tinggi dibandingkan standar Indonesia.
“Penilaian atas kesetaraan tersebut secara eksplisit diberikan kepada Lembaga Pengawas Pelindungan Data Pribadi sebagai otoritas independen. Hingga saat ini, lembaga tersebut belum terbentuk dan belum menjalankan fungsi pengawasan sebagaimana diamanatkan undang-undang,” kata Pratama
Secara konseptual, katanya, mekanisme adequacy decision atau keputusan kecukupan) bukan sekadar formalitas administratif, melainkan proses evaluasi komprehensif terhadap sistem hukum, mekanisme penegakan, struktur pengawasan, hingga praktik akses data oleh aparat penegak hukum di negara tujuan.
Ia menjelaskan bahwa AS menganut pendekatan perlindungan data yang bersifat sektoral dan terfragmentasi, sehingga penilaian terhadap tingkat kesetaraannya tidak dapat dilakukan secara simplistik.
“Tanpa lembaga independen yang memiliki mandat, kompetensi teknis, serta legitimasi hukum untuk melakukan evaluasi tersebut, maka keputusan pengakuan adequacy berpotensi dipersepsikan sebagai keputusan politik, bukan sebagai hasil audit normatif dan teknis yang objektif,” terangnya.
Pratama mengatakan pemerintah dapat menerbitkan regulasi pelaksana atau keputusan sementara untuk menjembatani kekosongan kelembagaan. Namun, langkah ini akan menghadapi tantangan legitimasi hukum dan risiko uji materiil karena Undang-Undang PDP telah mendesain secara tegas adanya pemisahan antara pembuat kebijakan dan pengawas kepatuhan.
Dengan demikian, apabila fungsi penilaian dilakukan oleh cabang eksekutif yang juga menjadi pihak dalam perjanjian internasional, maka prinsip checks and balances menjadi tereduksi.
Pratama menegaskan bahwa dalam tata kelola keamanan siber modern, independensi otoritas pelindungan data merupakan fondasi kepercayaan publik dan kredibilitas internasional.
Solusi
Pratama menyarankan solusi yang paling strategis untuk menghadapi masalah ini adalah mempercepat pembentukan dan operasionalisasi Lembaga Pengawas Pelindungan Data Pribadi secara penuh dan independen.
Ia mengatakan pembentukan lembaga ini tidak seharusnya dipandang sebagai beban administratif, melainkan sebagai infrastruktur keamanan nasional di era ekonomi digital.
Menurutnya, Presiden Prabowo Subianto dapat memprioritaskan proses pembentukan melalui percepatan penerbitan peraturan turunan, penetapan struktur organisasi, alokasi anggaran yang memadai, serta rekrutmen sumber daya manusia dengan kompetensi teknis dan hukum yang kuat di bidang data dan keamanan siber.
Percepatan pembentukan lembaga ini tentu akan memberikan sejumlah manfaat strategis. Pertama, legitimasi internasional Indonesia dalam melakukan kerja sama digital akan meningkat karena terdapat otoritas independen yang diakui.
Kemudian, kepastian hukum bagi pelaku usaha akan lebih terjamin karena terdapat mekanisme pengawasan dan penilaian yang jelas. Ketiga, kepercayaan publik terhadap komitmen negara dalam melindungi hak digital warga akan terjaga.
“Apabila implementasi klausul transfer data lintas negara tetap berjalan sebelum lembaga tersebut terbentuk, maka setidaknya perlu disiapkan mekanisme transisi yang transparan dan partisipatif, termasuk publikasi parameter penilaian kesetaraan, konsultasi dengan pakar independen, serta pengawasan parlemen,” katanya.
“Namun langkah transisi ini tidak dapat menggantikan urgensi pembentukan lembaga permanen sebagaimana diamanatkan undang-undang,” pungkasnya.
