Perbandingan Standar Perlindungan Data di AS dan RI, Mana Lebih Baik?

Isu transfer data pribadi Indonesia ke Amerika Serikat (AS) sebagai bagian dari kesepakatan dagang kedua negara tengah menjadi sorotan. Salah satu poin yang menjadi pertanyaan adalah soal perbandingan standar perlindungan data.

Salah satu yang menyoroti masalah standar perlindungan data adalah Lembaga Studi dan Advokasi Masyarakat (ELSAM). Peneliti ELSAM Parasurama Pamungkas menyebut titik kritis dalam transfer data Indonesia ke AS adalah soal level kesetaraan.

"Titik kritisnya justru berada pada level kesetaraan antara Indonesia dan Amerika Serikat. Sebagaimana dalam putusan Schrems II, ketentuan pelindungan data dan privasi di Amerika Serikat jauh di bawah standar praktik terbaik. Amerika Serikat tidak mengakui secara hukum hak atas privasi sebagai hak fundamental," katanya dalam sebuah keterangan, Rabu (23/7).

Ia menambahkan informasi pribadi bahkan dapat diproses secara bebas di AS, kecuali jika menyangkut anak-anak di bawah usia 13 tahun atau layanan kesehatan atau keuangan, yang semuanya tunduk pada undang-undang sektoral tertentu.

Lihat Juga : 12 Perusahaan AS Sudah Bangun Data Center di RI, Ini Daftarnya

Sementara itu, Indonesia telah mengesahkan Undang-Undang Pelindungan Data Pribadi (UU PDP) yang menjamin hak-hak privasi dan informasi pribadi hanya dapat diproses jika mematuhi hukum atau persetujuan dari subjek
data.

UU PDP juga mewajibkan agar transfer data pribadi ke pengendali atau pemroses data di luar yurisdiksi indonesia tetap tunduk kepada ketentuan dalam UU PDP.

Pengendali atau pemroses data wajib memastikan bahwa negara domisili pihak penerima transfer memiliki tingkat pelindungan data pribadi yang setara atau lebih tinggi dibandingkan dengan yang diatur dalam UU PDP.

Jika tidak maka pengendali data harus memastikan adanya mekanisme pelindungan data yang memadai dan mengikat, serta memperoleh persetujuan dari subjek data. UU PDP
bahkan mensyaratkan bahwa transfer data pribadi tertentu harus melalui penilaian Data Protection Impact Assessment (DPIA).

Lihat Juga : Apakah UU PDP Larang Transfer Data Pribadi ke Luar Negeri?

Meski belum memiliki aturan turunan yang memuat soal lembaga PDP dan mengatur rincian teknis, Indonesia setidaknya telah memiliki UU PDP sebagai landasan perlindungan data.

Sementara itu, AS tidak memiliki aturan federal yang secara khusus mengawal perlindungan data. Namun, negara ini memiliki beberapa aturan sektoral untuk melindungi data pribadi, mulai dari informasi kesehatan (HIPAA, Health Insurance Portability and Accountability Act), privasi anak (COPPA, Children's Online Privacy Protection Act), informasi keuangan (Gramm-Leach-Bliley Act), hingga komunikasi elektronik (ECPA, Electronic Communications Privacy Act).

Selain itu, sejumlah negara bagian juga telah memiliki UU privasi data. Dikutip dari White & Case, total 20 negara bagian yang telah memiliki aturan privasi data yang komprehensif, yakni California, Virginia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennessee, Texas, Florida, Montana, Oregon, Delaware, New Hampshire, New Jersey, Kentucky, Nebraska, dan Rhode Island.

Aturan perlindungan data yang paling menonjol adalahCalifornia Consumer Privacy Act (CCPA). Aturan ini memberikan hak kepada warga California untuk mengetahui data pribadi apa yang dikumpulkan tentang mereka; menolak penjualan data pribadi mereka; menghapus data pribadi mereka; hingga tidak didiskriminasi karena menjalankan hak privasi.

Meski memiliki perbedaan dalam aturan perlindungan data, kedua negara memiliki persamaan, yakni pernah terkena kasus kebocoran data besar.

Pengamat digital dan keamanan siber Vaksin.com, Alfons Tanujaya merangkum beberapa kasus besar di kedua negara. Ia menyebut kasus kebocoran data seperti MyPertamina, eHAC, KPU, Dukcapil hingga PLN.

Sementara di Amerika, ia menyinggung kasus kebocoran data seperti Equifax (2017), Facebook-Cambridge Analytica (2018), serta T-Mobile.

"(Di Indonesia) sering terjadi dan pelakunya sering tidak tertangkap atau tidak diproses hukum," kata Alfons menjelaskan penanganannya kasus tersebut di Indonesia, Kamis (24/7).

Sementara di AS, ia menyebut kasus kebocoran data kerap berujung denda miliaran dollar, gugatan class-action, hingga investigasi kongres.

"Secara hukum tertulis (de jure), Indonesia sekarang punya perlindungan data pribadi yang lebih menyeluruh daripada AS. Tapi secara pelaksanaan dan budaya hukum (de facto), AS masih jauh lebih unggul - baik dari sisi penegakan, kesiapan institusi, maupun respon terhadap pelanggaran," tuturnya menyimpulkan.

4 Masalah Utama Transfer Data dari Indonesia ke AS (Foto: Basith Subastian/CNNIndonesia)