Apabila suatu perusahaan hendak menunjuk pihak lain untuk memproses data pribadi yang dikelolanya, idealnya harus ada perjanjian antara pengendali dan pemroses data sehingga kewajiban maupun tanggung jawab atas pemrosesan data pribadi antara kedua belah pihak menjadi jelas.
- Syarat Transfer Data Pribadi ke Luar Negeri
Terakhir, adanya syarat baru untuk melakukan transfer data pribadi ke luar negeri. Selama ini, berdasarkan Permenkominfo 20 Tahun 2016, transfer data pribadi ke luar negeri perlu dilaporkan ke Kemenkominfo (dikenal juga sebagai kewajiban “koordinasi”). Dengan adanya UU PDP, perusahaan perlu memperhatikan syarat-syarat untuk melakukan transfer/pengiriman data pribadi luar negeri.
Adapun syarat-syarat transfer/pengiriman data pribadi berdasarkan RUU PDP adalah sebagai berikut:
- Pihak penerima data pribadi harus berasal dari negara yang memiliki tingkat perlindungan data pribadi yang setara atau lebih tinggi dari Indonesia;
- Adanya instrumen yang mengikat (seperti kontrak) antara pihak yang mengirimkan data pribadi dan pihak yang menerima data pribadi; atau
- Persetujuan dari subjek data.
Syarat-syarat tersebut berlaku secara alternatif. Artinya, perusahaan cukup memenuhi salah satu syarat saja untuk mengirimkan data pribadi ke luar Indonesia. Aturan-aturan lebih lanjut dan terperinci terkait transfer data pribadi ke luar negeri akan diatur di dalam peraturan pemerintah.
*)Danny Kobrata adalah pendiri dan pengurus Asosiasi Praktisi Pelindungan Data Pribadi (APPDI) dan seorang advokat.
Artikel kolom ini adalah tulisan pribadi Penulis, isinya tidak mewakili pandangan Redaksi Hukumonline. |