Oleh : Prof.Dr.Ahmad M Ramli (Guru Besar Ciber Law &Regulasi Digita UNPAD)
BEBERAPA hari ini, masalah transfer data pribadi dari Indonesia ke Amerika Serikat begitu menyita perhatian. Lalu, apakah ada yang salah dengan kesepakatan kedua negara ini? Sesungguhnya, transfer data pribadi ke AS tak hanya dilakukan Indonesia.
Negara-negara yang melindungi data pribadi super ketat seperti Uni Eropa saja sudah membuat kesepakatan soal ini dengan AS. Tak tanggung-tanggung, kesepakatan ini berkorelasi dengan transaksi perdagangan senilai 7,1 triliun dollar AS antara Uni Eroga dan AS. Komisi Eropa telah mengadopsi “EU-US Data Privacy Framework” (DPF) yang berlaku mulai 10 Juli 2023.
Dilansir Siaran Pers European Commission (10/7/2023), keputusan ini menjadi landasan hukum transfer data pribadi dari Uni Eropa ke Amerika Serikat. Menkomdigi Meutya Hafid menyatakan, pemindahan data pribadi dilakukan dengan mengakui AS sebagai negara atau yurisdiksi yang memfasilitasi pelindungan data yang memadai berdasarkan hukum Indonesia.
Menkomdigi juga menegaskan, pemindahan data pribadi lintas negara diperbolehkan untuk kepentingan yang sah, terbatas, dan dapat dibenarkan secara hukum (Kompas.com, 24/07/2025).
Hal ini menjawab berbagai narasi yang viral di berbagai platform digital. Termasuk kekhawatiran bahwa data pribadi kita akan diserahkan pengelolaannya ke Pemerintahan AS.
Tulisan ini akan menjelaskan apa yang dimaksud dengan transfer data pribadi berdasarkan UU 27/2022 tentang Pelindungan Data Pribadi (UU PDP).
Artikel ini adalah bagian dari penelitian saya tentang Regulasi PDP pada Center of Cyberlaw & Digital Transformation Fakultas Hukum Universitas Padjadjaran yang telah berlangsung dalam beberapa tahun terakhir.
Transfer data pribadi dan lembaga PDP
Pemerintah AS telah mengeluarkan rilis melalui saluran The White House Fact Sheet berjudul ”The United States and Indonesia Reach Historic Trade Deal” (22/07/2025). Salah satunya dalam paragraf Lembar Fakta itu menyebut soal langkah menghapus Hambatan Perdagangan Digital antara Indonesia dan AS.
Fact Sheet Gedung putih intinya menyatakan bahwa Indonesia akan mempermudah transfer data pribadi ke AS, dengan mengakui AS sebagai negara yang memiliki pelindungan data memadai di bawah hukum Indonesia.
Langkah ini menjadi dasar kepastian hukum, sekaligus menyederhanakan proses transfer data pribadi antarkedua negara untuk memperkuat hubungan ekonomi digital. Lalu, pertanyaannya, apakah ada yang salah dengan kesepakatan ini? Secara obyektif, dalam transaksi bisnis internasional, transfer data pribadi adalah fenomena lumrah dan tak terhindarkan.
Apalagi di era digital, di mana transaksi bisa berlangsung melalui metode clickwrap, misalnya. Mekanisme transfer data pribadi, baik domestik maupun antarnegara, sejatinya sudah berlangsung lama secara kasus per kasus.
Hal yang harus dipahami adalah, transfer data pribadi tak berarti kita mengalihkan pengelolaan seluruh data pribadi WNI kepada Pemerintah AS.
Istilah yang disebut dalam Fact Sheet Gedung putih pun adalah ”move personal data out” dari wilayah RI ke AS menurut hukum Indonesia. Istilah ini merujuk pada mekanisme transfer data pribadi lintas negara secara kasus per kasus, untuk memastikan aliran data tetap sah dan terlindungi dalam era ekonomi digital.
Transfer data pribadi telah berlangsung di mana-mana. Sebagai ilustrasi, ketika seseorang akan terbang ke New York dari Jakarta, maka transfer data pribadi tak terhindarkan. Bahkan bisa melibatkan tak hanya satu negara.
Belum lagi jika penumpang harus berganti pesawat dengan maskapai dari negara berbeda. Maka data pribadinya akan ditransfer dari satu maskapai ke maskapai lain. Kemudian saat memasuki Kota tujuan New York, maka data pribadi akan diberikan dan diproses oleh otoritas imigrasi setempat.
Transfer data pribadi juga sudah masif terjadi di ranah digital. Pengguna internet di Indonesia yang mencapai 221.563.479 jiwa (Data APJII 2025), juga secara masif telah memberikan data pribadinya ke berbagai platform digital global untuk diproses dan ditransfer antarteritorial dan yurisdiksi.
Data pribadi diberikan mulai saat membuat akun email, akun zoom, YouTube, Whatsapp, ChatGPT, GoogleMaps dan lainnya.
Data pribadi individu pun terus berkembang, seiring perilaku dan aktivitas digitalnya. Pengguna Google Maps, misalnya, secara tak sadar akan terus meng-update dan menginfokan lokasi dan tujuan kunjungan, yang membuat data pribadinya terus berkembang. Transfer data pribadi antarplatform pun terus berlangsung.
Misalnya, saat seseorang membuat akun di platform baru, dengan menggunakan data akun Facebook, Google atau lainnya. Kesimpulannya bahwa transfer data pribadi termasuk yang tengah banyak diperbincangkan adalah keniscayaan.
Tanpa proses ini, tidak akan ada layanan dan transaksi digital. Dengan adanya UU PDP, maka transfer data pribadi harus dilakukan dengan dasar pemrosesan yang sah.
Dengan kesepakatan RI-AS ini, maka pekerjaan rumah besarnya adalah bagaimana negara melakukan pengawasan, monitoring dan evaluasi dan menegakan kepatuhan UU PDP. Hal ini tak lain agar transfer data ke mana pun di dunia, tetap dilakukan secara akuntabel dan patuh hukum
Dalam kapasitas inilah dibutuhkan keberadaan Lembaga PDP. Pemerintah harus segera membentuk Lembaga PDP sesuai amanat pasal 58 – 61 UU 27/2022, agar UU PDP berjalan secara efektif. UU PDP adalah produk hukum untuk melindungi privasi setiap individu.
Namun, UU ini juga merespons dengan cerdas dan adil kesempatan untuk transfer dan pemrosesan data pribadi untuk berbagai kebutuhan. Kita semua paham bahwa data berfungsi sebagai the new oil dan variabel penting pertumbuhan ekonomi digital.
Kembali ke soal transfer data kita ke AS, Fact Sheet Gedung Putih secara tegas menyatakan bahwa transfer data ke AS tétap merujuk pada hukum Indonesia. Dalam hal ini, AS tentu mengetahui bahwa kita memang sudah memiliki UU PDP. UU PDP mengatur transfer data ke luar teritorial Indonesia dalam Pasal 56, yang mencakup hal-hal di bawah ini.
Pertama, Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi dan/atau Prosesor Data Pribadi di luar wilayah hukum Negara Republik Indonesia, sesuai dengan ketentuan yang diatur UU PDP.
Kedua, dalam melakukan transfer Data Pribadi, Pengendali Data Pribadi wajib memastikan negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima transfer Data Pribadi, memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi dari yang diatur dalam UU PDP.
Ketiga, dalam hal ketentuan di atas tidak terpenuhi, Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat.
Keempat, dalam hal ketentuan yang disebut terakhir ini pun tidak terpenuhi, Pengendali Data Pribadi wajib mendapatkan persetujuan dari Subjek Data Pribadi. UU PDP dibuat untuk melindungi data pribadi warga negara, sekaligus menjamin kepastian hubungan bisnis internasional dengan berbagai negara berbasis pemrosesan data pribadi.
Kesetaraan
Lalu, apakah AS termasuk negara tujuan transfer data pribadi yang hukumnya setara atau lebih tinggi dari UU PDP? Terkait hal ini, kita dapat melihat bagaimana pengadilan AS menangani kasus pelanggaran data pribadi, misalnya, dalam kasus Twitter.
Twitter sebagai salah satu platform raksasa global yang lahir dan dikembangkan di AS, justru dihukum membayar denda sejumlah 150 juta dollar AS karena melanggar data pribadi.
Seperti yang pernah saya tulis di kolom Kompas.com berjudul “Belajar dari Denda Twitter 150 Juta Dollar AS dan Sanksi Pelanggaran Data Pribadi” (05/01/2023), Twitter disebut awalnya meminta pengguna untuk memberikan informasi pribadi dengan tujuan keamanan.
Namun, platform itu ternyata menggunakannya untuk kepentingan iklan bertarget demi keuntungan finansial. Twitter akhirnya setuju untuk membayar denda 150 juta dollar AS, juga menginformasikan kepada pengguna tentang dugaan penyelewengan, dan menerapkan sistem baru untuk memastikan pelindungan data konsumen.
Sebagai komparasi, di Uni Eropa transfer data lintas negara juga diakui dan diatur dalam General Data Protection Regulation (GDPR) Pasal 44-50. Uni Eropa menyebut transfer data sebagai hal penting bagi perdagangan dan kerja sama internasional.
Berdasarkan GDPR, transfer data pribadi ke negara ketiga atau organisasi internasional, hanya diperbolehkan jika sepenuhnya mematuhi ketentuan dalam GDPR.
Kesepakatan Indonesia dan AS terkait transfer data pribadi justru merupakan langkah konstruktif, bagaimana kedua negara berkomitmen melindungi data warga negaranya masing-masing.
Hal yang harus menjadi perhatian Pemerintah pascakesepakatan adalah, bagaimana mengawasi semua praktik transfer data pribadi ke berbagai negara ke depan, agar semuanya patuh pada ketentuan UU 27/2022 tentang PDP.
Dalam kaitan ini, Lembaga Pelindungan Data Pribadi berperan sangat strategis untuk menjalankan ketentuan UU PDP secara optimal. Pemerintah sebaiknya tak menunda lagi terbentuknya Lembaga PDP ini.**
Sumber : Kompas.Com
