Pengaturan tentang perjanjian pengiriman data pribadi diatur dalam UU No.27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) dan General Data Protection Regulation (GDPR). Namun, rujukan lebih rinci justru tidak diuraikan dalam UU PDP. Para Data Protection Officer perlu memeriksa GDPR, apalagi jika berurusan dengan pengiriman data ke perusahaan di Eropa.
Muhammad Iqsan Sirie, pendiri dan pengurus Asosiasi Praktisi Pelindungan Data Indonesia (APPDI), berbagi strategi menyusun perjanjian yang biasa dikenal sebagai Cross-Border Personal Data Transfer Agreement (CBDTA). “Di undang-undang kita dikatakan ‘cukup jelas’, padahal tidak jelas sama sekali,” kata Iqsan dalam sesi hari kedua Bootcamp Hukumonline Kamis (25/5/2023) kemarin.
Hukumonline bekerja sama dengan APPDI menyelenggarakan bootcamp berjudul “Masterclass Pelindungan Data Pribadi: Menguasai Teori, Regulasi dan Implementasi” pada Rabu dan Kamis, 24-25 Mei 2023.
Baca Juga:
- Membedah Pelindungan Data Pribadi dalam Bootcamp Bersama APPDI
- 4 Hal yang Harus Perusahaan Perhatikan Soal Pelindungan Data Pribadi
“Penjelasan lebih baik bisa dilihat dalam Pasal 46 GDPR,” kata Iqsan membandingkan rumusan Pasal 56 ayat (3) UU PDP dengan Pasal 46 ayat (1-2) GDPR. Pengaturan soal CBDTA dalam UU PDP hanya mengatur dua unsur yang tidak jelas parameternya. Hal itu terlihat dari rumusan berikut, Dalam hal ketentuan sebagaimana dimaksud pada ayat (2) tidak terpenuhi, Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat. Tidak ada penjelasan lebih lanjut apa yang dimaksud dengan ‘memadai’ dan ‘bersifat mengikat’.
Bandingkan dengan rumusan acuan UU PDP dalam Pasal 46 ayat (1-2) GDPR. Tertulis rumusan Pasal 46 ayat 1: In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.
Selanjutnya apa yang dimaksud appropriate safeguards langsung dijelaskan dalam Pasal 46 ayat (2). Parameter teknis yang penting ada dalam CBDTA disebutkan di huruf c dan huruf d pasal tersebut. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by: (c) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2); (d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2).