UU PDP Lindungi Data WNI dalam Kesepakatan Dagang RI-AS

JAKARTA, KOMPAS.com - Pemerintah Indonesia dan Amerika Serikat (AS) telah menyepakati kerangka kerja sama perjanjian perdagangan resiprokal yang mencakup sektor perdagangan barang, investasi, ketenagakerjaan, lingkungan hidup, ekonomi digital, dan keamanan ekonomi.

Dalam kesepakatan tersebut, pemerintah AS menurunkan tarif masuk produk Indonesia dari 32 persen menjadi 19 persen, sedangkan produk AS yang masuk ke Indonesia tidak dikenakan tarif.

Selain penurunan tarif, salah satu poin yang disepakati adalah transfer data pribadi warga negara Indonesia (WNI) ke AS. Kesepakatan transfer data pribadi ini pun menimbulkan berbagai respons publik.

Pertukaran data dapat membuka jalan bagi kolaborasi digital antara kedua negara lebih erat. Di sisi lain, muncul kekhawatiran terkait potensi pelemahan pelindungan terhadap data pribadi WNI.

Baca juga: Polemik Transfer Data Pribadi RI ke AS, Apakah Ada yang Salah?

Mantan Direktur Executive Southeast Asia Freedom of Expression Network (SAFEnet) yang juga dosen Universitas Pembangunan Nasional (UPN) Veteran Jakarta Damar Juniarto menjelaskan, transfer data pribadi lintas yurisdiksi tersebut disebut pula sebagai aliran data lintas batas ( cross-border data flow).

Ia menilai, kesepakatan antara Indonesia dan AS berfungsi untuk menyederhanakan dan mengurangi hambatan dalam transfer data pribadi antara kedua negara.

“Dalam konteks perdagangan internasional, cross-border data flow adalah hal yang wajar,” ujarnya saat dihubungi Kompas.com, Sabtu (25/7/2025).

Di era digitalisasi, layanan digital, seperti media sosial, e-commerce, dan layanan keuangan digital, sangat bergantung pada kemampuan untuk memindahkan dan memproses data di berbagai yurisdiksi.

Baca juga: Bank Jakarta Dukung Digitalisasi Pasar di Jakarta, Ini yang Dilakukan

Oleh karena itu, ia menyebut cross-border data flow sebagai tulang punggung perdagangan digital modern.

Kesepakatan ini, lanjutnya, diharapkan dapat mendukung pertumbuhan ekonomi digital dan perdagangan antara Indonesia dan AS.

Transfer data pribadi ke AS dilindungi UU PDP

Damar menjelaskan, Indonesia telah mengadopsi pasal khusus tentang cross-border data flow dari General Data Protection Regulation (GDPR) milik Uni Eropa yang mengatur tentang pelindungan data umum.

Pasal khusus tersebut termaktub dalam Undang-Undang No 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).

“Dengan keberadaan mekanisme yang mengatur aliran data lintas batas, data pun tidak bisa lagi ditukarkan sembarangan,” tegas Damar.

Pasal 56 ayat (1) UU PDP menyebutkan bahwa pemerintah selaku pengendali data pribadi dapat melakukan transfer data pribadi kepada pengendali data pribadi dan/atau prosesor data pribadi di luar wilayah hukum negara Republik Indonesia sesuai ketentuan yang diatur dalam UU tersebut.

Baca juga: Komisi I: Mekanisme Transfer Data RI ke AS Harus Tunduk UU PDP

Namun, Damar menjelaskan bahwa terdapat tiga syarat penilaian berjenjang yang wajib dipenuhi untuk melaksanakan transfer data pribadi, sebagaimana diatur dalam Pasal 56 ayat (2) sampai (3) UU PDP.

Pertama, adequacy. Pengendali data pribadi diwajibkan untuk memastikan negara penerima memiliki tingkat pelindungan data pribadi yang setara atau lebih tinggi dari yang diatur dalam UU PDP.

Kedua, jika ketentuan adequacy tidak terpenuhi, pengendali data pribadi wajib memastikan terdapat pelindungan data pribadi yang memadai dan bersifat mengikat. Ketentuan ini disebut appropriate safeguards.

Ketiga, apabila ketentuan adequacy dan appropriate safeguards tidak terpenuhi, pengendali data pribadi wajib mendapatkan persetujuan dari subyek data pribadi, yakni WNI.

Baca juga: Jangan Sampai Bocor! 10 Cara Lindungi Data Pribadi Anda

Dengan tiga ketentuan tersebut, Damar menilai, UU PDP merupakan sebuah praktik yang baik.

“Bayangkan kalau belum ada aturan semacam Pasal 56 UU PDP. Semua yang ditakutkan akan terjadi. Semua orang boleh mengambil data WNI seenaknya, bisa mining, manipulate, dan lain sebagainya,” ucapnya.

Dari ketiga syarat transfer data tersebut, AS tidak memenuhi ketentuan adequacy karena tidak memiliki aturan pelindungan data pribadi setingkat UU PDP ataupun GDPR yang diatur oleh pemerintah federal.

“Sesuai dengan Pasal 56 ayat (2), kalau mereka (negara-negara penerima data pribadi) belum punya standar yang setara seperti Indonesia, mungkin mereka perlu membuat adendum khusus yang juga disiapkan untuk WNI,” ungkap Damar.

Baca juga: Transfer Data Pribadi WNI ke AS, Airlangga: Sudah Lama Terjadi, Kini Diperkuat Protokol Keamanan

Sebagai informasi, adendum adalah ketentuan atau pasal tambahan yang berfungsi untuk melengkapi aturan yang sudah berlaku.

Melalui adendum ini, kata dia, Gedung Putih dan pemerintah Indonesia bisa menjelaskan kepada masyarakat secara lebih rinci terkait data yang akan ditukarkan dan tujuan transfer data.

Damar kembali menegaskan, UU PDP telah memberikan kepastian perlindungan data pribadi bagi warga negara.

“Namanya kejahatan siber kan tetap saja bisa terjadi, seperti pencurian data. Akan tetapi, dengan UU PDP, ada kewajiban bahwa pihak yang melakukan penyimpangan bisa dikenai sanksi,” ujarnya.

Baca juga: Indonesia Transfer Data Pribadi ke AS, Ini Kata Pakar Keamanan Siber

Damar menjelaskan, fungsi UU PDP tidak hanya mengenakan sanksi bagi pelaku pencurian data, tetapi juga pelaku yang gagal melakukan penyimpanan data.

“Misalnya, perusahaan aplikasi menyimpan data pengguna, tetapi dia gagal melindunginya, akan dikenai sanksi juga. Jadi, bukan hanya pencuri, melainkan juga lembaga yang gagal melindungi data juga,” jelasnya.

UU PDP, lanjutnya, menambah lapis pelindungan yang semula hanya sanksi pidana kini ditambah denda administratif.

Baca juga: Transfer Data RI ke AS, Komisi I Dorong Aturan Turunan UU PDP