Kapan Transfer Data Dianggap Terjadi
Transfer data pribadi ke luar negeri tidak hanya terjadi ketika Anda secara aktif mengirimkan file ke pihak luar. Setiap kali data pengguna Indonesia diproses oleh sistem yang berlokasi atau dioperasikan dari luar negeri, ini sudah masuk dalam definisi transfer lintas batas.
Ini mencakup penggunaan layanan SaaS internasional seperti Salesforce, HubSpot, atau Zendesk, penyimpanan di cloud provider seperti AWS atau Google Cloud di region luar Indonesia, pengiriman data ke platform analitik seperti Google Analytics atau Mixpanel, serta integrasi dengan payment gateway atau layanan keuangan internasional.
Kewajiban Berdasarkan UU PDP
Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi mengatur bahwa transfer data pribadi ke luar negeri hanya dapat dilakukan ke negara yang memiliki tingkat perlindungan data setara atau lebih tinggi dari Indonesia, atau dengan mekanisme perlindungan yang ditetapkan oleh pemerintah.
Selama daftar negara dengan tingkat perlindungan setara belum diterbitkan, bisnis dapat mengandalkan mekanisme alternatif berupa perjanjian tertulis yang memastikan standar perlindungan yang memadai di pihak penerima data.
Menggunakan vendor internasional tanpa kontrak transfer data yang memadai bukan hanya risiko kepatuhan. Ini juga berarti Anda tidak memiliki jaminan hukum atas data pengguna yang dipercayakan kepada Anda.
Peran Kontrak dalam Kepatuhan Transfer Data
Perjanjian transfer data yang komprehensif adalah salah satu mekanisme kepatuhan yang paling dapat diandalkan saat ini. Dokumen ini harus secara eksplisit mengatur standar keamanan yang wajib dipenuhi oleh penerima data, kewajiban notifikasi apabila terjadi kebocoran, batasan penggunaan data untuk tujuan di luar yang disepakati, dan kewajiban penghapusan data pada akhir masa kontrak.
Perjanjian ini juga harus mengatur hak audit yang memungkinkan Anda memverifikasi kepatuhan pihak penerima, atau setidaknya meminta laporan sertifikasi keamanan secara berkala.
Yang Perlu Dilakukan Segera
Langkah pertama adalah melakukan inventarisasi vendor dan platform yang saat ini menerima atau memproses data pribadi pengguna Indonesia dari luar negeri. Selanjutnya, periksa apakah kontrak yang ada sudah mencakup klausul perlindungan data yang memadai.
Kebanyakan kontrak standar dari vendor internasional besar sudah memiliki Data Processing Addendum (DPA) yang tersedia, namun harus diminta secara aktif dan diintegrasikan ke dalam kontrak utama. Jangan berasumsi bahwa kontrak standar vendor sudah mencukupi tanpa menelaah isinya.
Menggunakan vendor internasional tanpa kontrak transfer data yang memadai bukan hanya risiko kepatuhan. Ini juga berarti Anda tidak memiliki jaminan hukum atas data pengguna yang dipercayakan kepada Anda.
Unduh Perjanjian Transfer Data Pribadi ke Luar Negeri
Template Transfer Data Pribadi ke Luar Negeri dari LegalKit Indonesia dirancang sesuai dengan ketentuan UU PDP dan mencakup klausul standar yang diperlukan untuk memastikan kepatuhan transfer data lintas batas.
Lihat Template