KABARTIMURNEWS.COM – Kesepakatan RI-AS soal transfer data pribadi menuai polemik. Dikhawatirkan mengancam kedaulatan serta hak digital warga.
Klausul transfer data lintas batas dalam perjanjian perdagangan bilateral Indonesia-Amerika Serikat (AS) menuai polemik. Pemerintah AS merilis pernyataan bersama berisi kerangka kerja Perjanjian Dagang Resiprokal yang disepakati pemerintah Indonesia.
Salah satu poin yang disoroti, soal permintaan AS atas penghapusan hambatan untuk perdagangan digital.
Dalam lembar fakta (fact sheet) yang dikeluarkan Gedung Putih Selasa (22/7/2025) lalu itu, terdapat desakan agar pemerintah Indonesia memberikan kepastian terhadap kemampuan memindahkan data pribadi dari wilayah Indonesia ke AS.
Kepastian itu diminta dalam bentuk pengakuan AS sebagai negara atau yurisdiksi yang menyediakan pelindungan data yang memadai berdasarkan hukum Indonesia.
Kesepakatan termasuk keputusan AS menurunkan tarif resiprokal dari 32 menjadi 19 persen untuk produk yang diimpor dari Indonesia. Sebagai gantinya, Indonesia bakal menghapus tarif untuk produk industri dan agrikultur dari AS.
Selain itu, AS dan Indonesia juga disebut akan memfinalisasi komitmen terhadap perdagangan, layanan, dan investasi digital.
Namun, hadirnya klausul transfer data lintas batas memicu kekhawatiran masyarakat terkait keamanan data pribadi milik warga Indonesia. Terlebih, Pemerintah sendiri dinilai berpotensi mengabaikan aturan UU 27/2022 tentang Pelindungan Data Pribadi (UU PDP) untuk menjamin adanya regulasi yang ketat dalam pertukaran data lintas batas.
Menteri Komunikasi dan Digital, Meutya Hafid, menegaskan pemindahan data pribadi lintas negara diperbolehkan untuk kepentingan yang sah, terbatas, dan dapat dibenarkan secara hukum.
Contoh konkret aktivitas pemindahan data yang sah antara lain: penggunaan mesin pencari seperti Google dan Bing, penyimpanan data melalui layanan komputasi awan (cloud computing), komunikasi digital melalui platform media sosial seperti WhatsApp, Facebook, dan Instagram, transaksi platform e-commerce, dan keperluan riset dan inovasi digital.
Ia memastikan transfer data antarnegara dilakukan di bawah pengawasan ketat dari otoritas Indonesia dengan prinsip kehati-hatian dan mengacu ketentuan hukum nasional.
“Landasan hukumnya merujuk pada Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi serta sebelumnya Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, yang secara eksplisit mengatur mekanisme dan prasyarat pengiriman data pribadi ke luar yurisdiksi Indonesia,” ujarnya dalam keterangan pers tertulis, Kamis (24/7/2025).
RESIKO PEMANTAUAN
Kendati demikian, peneliti Lembaga Studi dan Advokasi Masyarakat (ELSAM), Parasurama Pamungkas memandang masalah utamanya saat ini belum kepastian terkait jenis data yang masuk dalam kesepakatan transfer data lintas batas antara RI-AS.
Ia mengingatkan, secara prinsip, Indonesia menerapkan kebijakan lokalisasi data untuk informasi yang dikelola oleh badan publik seperti pemerintah atau otoritas yang ditunjuk.
Aturan itu mengacu Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Dalam PP 71/2019, Penyelenggara Sistem Elektronik (PSE) berkategori privat (swasta) diberikan fleksibilitas menyimpan dan memproses data elektronik di dalam atau di luar wilayah Indonesia.
PSE Privat yang menyimpan data di luar negeri wajib memastikan efektivitas pengawasan dan penegakan hukum oleh Kementerian/Lembaga terkait. Selain itu, diminta memberikan akses terhadap data jika diperlukan untuk pengawasan dan penegakan hukum.
“Belum jelas apakah kebijakan ini mencakup data di sektor publik, hanya sektor privat, atau khusus data yang dikendalikan oleh perusahaan AS di Indonesia,” kata Parasurama kepada wartawan Tirto, Kamis (24/7/2025).
UU PDP memang tidak melarang transfer data lintas batas, namun pelaksanaannya diatur secara ketat dalam Pasal 56. Di antaranya negara penerima data punya tingkat pelindungan data pribadi yang setara atau lebih tinggi dari yang diatur UU PDP.
Bila syarat pertama tidak terpenuhi, pengendali data wajib memastikan adanya mekanisme pelindungan data yang memadai dan bersifat mengikat. Kemudian, jika kedua syarat di atas tidak terpenuhi, pengendali data wajib memperoleh persetujuan subjek data pribadi sebelum melakukan transfer data.
Maka dari itu, Parasurama tidak mempersoalkan lokasi penyimpanan data selama integritas dan kerahasiaan data pribadi tetap terjaga. Karenanya, pemerintah diminta tunduk segera dengan mekanisme ketentuan transfer data sesuai UU PDP, termasuk pembentukan otoritas untuk menilai kesetaraan pelindungan data.
“Salah satu tujuannya memastikan hukum Amerika Serikat tidak memungkinkan intervensi yang dapat merusak integritas data tersebut,” kata Parasurama.
Sebagai informasi, Pasal 3 ayat (1) UU PDP, membagi data pribadi menjadi dua jenis: yaitu data bersifat umum dan data bersifat spesifik. Data pribadi bersifat umum itu meliputi nama, jenis kelamin, kewarganegaraan, agama, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
Kemudian data pribadi bersifat spesifik meliputi data dan informasi kesehatan, biometrik, data genetika, kehidupan/orientasi seksual, pandangan politik, catatan kejahatan, data anak, keuangan pribadi, dan/atau data lainnya sesuai ketentuan peraturan perundang-undangan.
Keduanya wajib dilindungi oleh Negara, terutama menyangkut data yang bersifat spesifik. Ini mengapa transfer data pribadi bersifat spesifik mesti tunduk pada ketentuan hukum berlaku.
ELSAM melihat perjanjian antara AS dan Indonesia terjadi secara timpang. Kesepakatan ini tidak berporos pada pelindungan subjek data namun lebih menekankan pada kepentingan bisnis perusahaan-perusahaan di bawah yurisdiksi Amerika Serikat yang bergerak di bidang penyimpanan data.
Termasuk, ancaman pemantauan massal (mass surveillance) oleh pemerintah AS terhadap data pribadi warga Indonesia. Sebab dalam Pasal 702 pada Undang-Undang Pengawasan Intelijen Asing (FISA) AS, memberikan kewenangan pemerintah AS mengakses komunikasi pihak asing yang berada di luar yurisdiksi teritorial AS.
Aturan AS itu pula yang menjadi salah satu pertimbangan dalam putusan kasus Schrems II, karena 2020 lalu, Court of Justice of the European Union (CJEU) membatalkan kerja sama transfer data lintas Atlantik dalam perjanjian EU-US Privacy Shield.
FISA disebut melanggar undang-undang privasi Uni Eropa, termasuk Peraturan Pelindungan Data Umum (GDPR) Uni Eropa. Imbasnya, CJEU meminta sistem klausul kontrak standar (SCC) antara AS dan Uni Eropa dirombak dan diperkuat sehingga mematuhi regulasi dalam GDPR EU.
“Putusan tersebut membatalkan SCC EU-US karena khawatir data yang disimpan oleh perusahaan AS bisa diakses oleh pemerintah melalui FISA. Kekhawatiran serupa perlu diperhatikan secara cermat oleh Indonesia,” terang Parasurama.
MENGANCAM KEDAULATAN DATA
Direktur Eksekutif SAFEnet, Nenden Sekar Arum, memandang kesepakatan dagang antara Indonesia dengan AS yang memuat klausul transfer dan pengelolaan data pribadi warga Indonesia oleh perusahaan-perusahaan AS sebagai langkah yang sangat berbahaya bagi hak digital dan kedaulatan data Tanah Air.
Tanpa adanya evaluasi independen, transparansi, serta keterlibatan publik, kesepakatan ini berisiko menjadikan data pribadi warga Indonesia sebatas komoditas dagang ketimbang menjadi hak asasi yang wajib dilindungi negara. Padahal, Pasal 28 H Ayat (4) UUD 1945 disebutkan secara tegas, bahwa ”setiap orang berhak mempunyai hak milik pribadi dan hak milik tersebut tidak boleh diambil alih secara sewenang-wenang oleh siapa pun”.
“Kesepakatan internasional seperti ini tidak boleh dibuat sebelum ada kesiapan regulasi dan jaminan perlindungan hukum yang konkret, bukan justru membuat kesepakatan terlebih dahulu, lalu menyusul regulasinya belakangan,” kata Nenden.
Sementara itu, Direktur Kebijakan Publik Raksha Initiatives, Wahyudi Djafar, menilai bahwa ruang lingkup dan data yang menjadi kesepakatan klausul transfer data lintas batas RI-AS menjadi perdebatan karena tak diungkap secara rinci.
Misalnya terkait lingkup data pribadi, apakah hanya data yang diproses oleh perusahaan AS, atau termasuk data publik pribadi yang diproses oleh pemerintah Indonesia.
Hal ini berpotensi menjadi masalah, sebab Indonesia menerapkan free flow with condition, yakni aturan transfer data lintas batas terhadap data publik yang diproses pemerintah.
Semakin kabur sebab AS sendiri tidak memiliki aturan pelindungan data pribadi di tingkat federal seperti UU PDP di Indonesia. Pelindungan data di AS masih bersifat sektoral serta terbatas hanya pada beberapa negara bagian.
AS sebenarnya punya American Data Privacy and Protection Act (ADPPA) yang diajukan ke DPR Juli 2022 lalu. RUU tersebut mendapatkan dukungan bipartisan yang kuat, namun sampai pertengahan 2025 masih menggantung dan belum disahkan.
“Jadi mestinya ada model contractual clauses (CCS) yang jelas, untuk memastikan standar pelindungan data pribadi yang diterapkan, termasuk mekanisme dispute yang digunakan ketika ada sengketa (misalnya data breach) data pribadi WNI yang disimpan/diproses di AS,” kata Wahyudi.
REGULASI DAN LEMBAGA PENGAWAS
Pakar keamanan siber dari Lembaga Riset Keamanan Siber dan Komunikasi (CISSReC), Pratama Persadha, mengingatkan pemerintah Indonesia berhati-hati dalam membuka akses transfer data pribadi warga negara Indonesia ke AS.
Ia menjelaskan, UU PDP tidak secara mutlak melarang transfer data pribadi ke luar negeri.
Maka, kerja sama dengan AS terkait arus data semestinya dapat menjadi dorongan positif proses penyusunan Peraturan Pemerintah (PP) PDP sebagai aturan teknis pelaksanaan UU PDP.
Selain itu, memberikan sinyal urgensi pembentukan Lembaga Pengawas Pelindungan Data Pribadi (LPPDP) yang hingga saat ini belum juga dibentuk.
“Tanpa perangkat pelaksana dan lembaga pengawas ini, komitmen Indonesia dalam melindungi hak digital warganya akan sulit diterjemahkan dalam kebijakan yang operasional dan berdaya guna,” kata Pratama.
Ia mengingatkan, pada era ketika data menjadi komoditas yang strategis setara energi dan mineral, negara-negara besar menjadikan penguasaan data sebagai instrumen pengaruh global.
Ketika data pribadi warga Indonesia mengalir ke luar negeri—khususnya ke negara seperti AS yang hingga kini tidak memiliki undang-undang pelindungan data federal yang sepadan dengan GDPR—maka potensi akses oleh entitas asing, termasuk korporasi teknologi dan lembaga keamanan, perlu menjadi perhatian serius.
“Bila perlu, disusun kesepakatan bilateral yang menjamin perlindungan hak-hak digital WNI, termasuk hak untuk dihapus, hak atas pemberitahuan, dan hak untuk menggugat pelanggaran privasi, meskipun data berada di luar negeri,” ujar Pratama.
Di sisi lain, Wakil Ketua Dewan Ekonomi Nasional (DEN), Mari Elka Pangestu, menyatakan bahwa Amerika Serikat tidak meminta pengecualian terhadap peraturan yang berlaku terkait data pribadi.
Menurut Mari, ketentuan transfer data pribadi ke yurisdiksi negara lain sudah diatur melalui Undang-Undang dan sejalan dengan praktik dan standar internasional, seperti GDPR di Uni Eropa.
“Permintaan ‘kepastian’ dari AS pada dasarnya menyangkut perlunya prosedur yang jelas dan pasti dalam melakukan transfer data tersebut—yang tengah disiapkan melalui Peraturan Pemerintah sebagai aturan turunan dari UU PDP, dan kini berada pada tahap finalisasi,” jelas Mari dalam keterangannya, Kamis (24/7).
Dengan begitu, sebagai negara besar seperti yang selalu digaungkan oleh Presiden Prabowo, Indonesia tak bisa asal membebek AS dalam kesepakatan yang berpotensi mengancam hak asasi warga negara, termasuk kedaulatan data negara. Kesepakatan yang adil dan berpihak terhadap pelindungan data privasi warga negara perlu diambil, jika tidak ingin disebut hanya ‘omong besar’. (TIRTO)
