Dalam kegiatan operasional yang dilakukan perusahaan tak jarang berkaitan dengan pengelolaan data pribadi. Transfer data antar perusahaan selama ini lazim dilakukan, termasuk yang memiliki anak cabang atau induk di luar negeri. Advokat sekaligus Wakil Ketua Institut Pandya Astagina, Danny Kobrata, mengingatkan perusahaan yang mengelola data pribadi harus mencermati berbagai ketentuan yang ada dalam UU PDP yang belum lama ini diketok (disahkan) DPR.
Salah satu ketentuan yang patut menjadi perhatian adalah mekanisme transfer data pribadi lintas batas negara atau ke luar wilayah Indonesia. Danny mengatakan selama ini pertukaran data oleh perusahaan menjadi hal yang biasa dilakukan, apalagi terhadap satu grup perusahaan.
“Tapi sekarang transfer data, antar perusahaan terutama yang menyangkut data pribadi harus mencermati berbagai syarat yang diatur UU PDP,” kata Danny dalam diskusi bertema “Memahami dan Mengupas Implementasi UU PDP 2022” yang diselenggarakan Institut Pandya Astagina di Jakarta, Kamis (29/9/2022) lalu.
Baca Juga:
- Terbit UU PDP, Masyarakata Diharapkan Lebih Peduli Melindungi Data Pribadi
- RUU PDP Era Baru Tata Kelola Data Pribadi di Indonesia
- UU PDP Diharapkan Awal yang Baik Atasi Kebocoran Data Pribadi
Pada prinsipnya pengendali data pribadi dapat melakukan transfer data pribadi kepada pengendali data pribadi lainnya di dalam wilayah hukum Indonesia. Syaratnya, pengendali data yang mengirim dan menerima transfer data pribadi itu wajib melakukan pelindungan data pribadi sebagaimana diatur UU PDP.
Untuk transfer data ke luar negeri, Danny menyebut UU PDP mengatur setidaknya 3 syarat. Pertama, sebelum melakukan transfer data pribadi ke luar negeri, pengendali data pribadi wajib memastikan negara tempat pengendali data pribadi dan/atau prosesor data pribadi yang menerima transfer data itu punya tingkat pelindungan data prinadi yang setara atau lebih tinggi dari UU PDP di Indonesia.
Kedua, jika negara tujuan yang menerima data itu tidak memiliki aturan yang setara atau lebih tinggi dari UU PDP, Danny menyebut pengendali data pribadi wajib memastikan ada pelindungan data pribadi yang memadai dan bersifat mengikat. Bisa diartikan juga melalui kontrak atau instrumen yang mengikat, sehingga penerima data tunduk pada aturan di Indonesia. Ketiga, jika kedua syarat tersebut tidak terpenuhi, pengendali data pribadi wajib mendapatkan persetujuan subjek data pribadi.