“Nah, di huruf c dan d itu juga tidak menyebutnya sebagai agreement. Intinya tersedia klausula-klausula baku yang bisa dipakai dalam pengiriman data pribadi,” kata Iqsan menjelaskan. Ia mengatakan sudah ada modul standar dari Uni Eropa soal klausa-klausa itu. Berbagai perusahaan di Eropa biasa mengacu modul itu dalam bisnis mereka yang terlibat pengelolaan transfer data pribadi. “Mereka biasa membuatnya sesuai standar tanpa dikurangi, kecuali yang sifatnya opsional,” kata Iqsan melanjutkan.
“Modul semacam itu juga sudah diadopsi oleh negara-negara anggota ASEAN untuk pelaku usaha antarnegara di ASEAN. Bedanya ini tidak wajib di kalangan ASEAN,” kata Iqsan. Hal itu bisa dimengerti karena UU PDP negara-negara ASEAN tidak memiliki standar bersama semacam GDPR untuk anggota Uni Eropa.
Ada beberapa hal yang Iqsan tekankan dalam merancang CBDTA berdasarkan modul standar itu. Pertama, biasanya jarang bahkan tidak pernah berbentuk perjanjian yang berdiri sendiri. “Biasanya adendum dari satu kontrak pokok. Baiknya tetap ada tanda tangan para pihak di sana meski hanya adendum,” kata Iqsan menyarankan.
Berikutnya, standar dalam modul Uni Eropa sekalipun tidak bisa begitu saja digunakan. Isinya tetap saja hanya poin-poin dasar yang perlu dielaborasi sesuai konteks dalam perjanjian. “Jadi, tetap perlu konsultasi ke lawyer,” kata Iqsan berseloroh.
Iqsan menyebut anatomi CBDTA antara lain berisi hal hal berikut: para pihak; definisi-definisi; keterangan prosesor mengenai pemrosesan data pribadi; ketentuan terkait pembatasan pemrosesan data pribadi; ketentuan terkait organizational and technical safeguards; ketentuan terkait penunjukkan sub-prosesor; ketentuan terkait kewajiban pemberitahuan prosesor; hak audit pengendali; ketentuan penghapusan/pengembalian data pribadi ketika adanya pengakhiran.
Tentang APPDI
APPDI didirikan pada tanggal 17 Juli 2020. Badan hukum perkumpulan ini mendapatkan pengesahan sebagai Perkumpulan dari Kementerian Hukum dan HAM melalui SK No. AHU-00074.AH.01.07.TAHUN 2020 bertanggal 2 September 2020. APPDI didirikan untuk para Data Protection Officer (DPO) yang dalam UU PDP disebut sebagai Pejabat atau Petugas yang Melaksanakan Fungsi Pelindungan Data Pribadi. Baca selengkapnya di https://appdi.or.id/tentang-appdi/.
Jabatan itu diatur khusus termasuk ruang lingkup tugasnya. Pasal 54 ayat (1) UU PDP menyebut Pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi memiliki tugas paling sedikit: a. menginformasikan dan memberikan saran kepada Pengendali Data Pribadi atau Prosesor Data Pribadi agar mematuhi ketentuan dalam Undang-Undang ini; b. memantau dan memastikan kepatuhan terhadap Undang-Undang ini dan kebijakan Pengendali Data Pribadi atau Prosesor Data Pribadi; c. memberikan saran mengenai penilaian dampak Pelindungan Data Pribadi dan memantau kinerja Pengendali Data Pribadi dan Prosesor Data Pribadi; dan d. berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan Data Pribadi.
Hingga saat ini belum ada lembaga yang berwenang melakukan sertifikasi kompetensi berdasarkan peraturan perundang-undangan untuk jabatan itu. Bootcamp Hukumonline bersama APPDI kali ini adalah upaya mempersiapkan sebanyak mungkin DPO yang kompeten. Para narasumber bootcamp adalah praktisi dari kalangan advokat berpengalaman yang menguasai bidang hukum dan teknologi.