Gedung Putih mengatakan Pemerintah Indonesia akan memberikan kepastian hukum terkait dengan pengelolaan data pribadi warga negara Indonesia (WNI) kepada Amerika Serikat (AS). Hal itu sebagai bagian dari kesepakatan dagang antara kedua negara yang resmi dirilis pada Senin, 22 Juli 2025 waktu AS.
“Indonesia akan memberikan kepastian terkait kemampuan untuk mentransfer data pribadi ke luar dari wilayahnya ke Amerika Serikat,” tulis Gedung Putih dalam Pernyataan Bersama Tentang Kerangka Perjanjian Perdagangan Resiprokal antara AS dan Indonesia di laman resminya.
Gedung Putih menyebut pengelolaan data pribadi masyarakat merupakan bagian dari komitmen Indonesia untuk mengatasi hambatan yang berdampak pada perdagangan, jasa, dan investasi digital AS. Disebutkan bahwa perusahaan-perusahaan AS telah mengusahakan reformasi itu selama bertahun-tahun.
“Melalui pengakuan Amerika Serikat sebagai negara atau yurisdiksi yang menyediakan perlindungan data yang memadai berdasarkan hukum Indonesia,” kata Gedung Putih dalam Lembar Fakta bertajuk ‘AS dan Indonesia Mencapai Kesepakatan Perdagangan Bersejarah’.
Adapun transfer data pribadi WNI ke luar negeri sudah diatur dalam Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Dalam beleid yang diteken pada Senin, 17 Oktober 2022 itu, disebutkan bahwa pengiriman data pribadi kepada pengendali dan/atau prosesor di luar Indonesia dapat dilakukan sesuai dengan syarat yang berlaku.
Pengendali data pribadi didefinisikan sebagai setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data. Sedangkan prosesor data pribadi secara singkat merupakan pihak yang melakukan pemrosesan data pribadi atas nama pengendali data pribadi.
Dalam melakukan transfer data pribadi ke luar negeri, pengendali wajib memastikan negara tempat kedudukan pengendali dan/atau prosesor yang menerima, mempunyai pelindungan data pribadi yang setara atau lebih tinggi dari yang diatur dalam UU PDP.
Apabila tempat kedudukan pengendali dan/atau prosesor tidak mempunyai perlindungan data yang setara atau dikatakan lebih rendah, maka pengendali wajib memastikan terdapat perlindungan data pribadi yang memadai dan bersifat mengikat.
“Dalam hal ketentuan sebagaimana dimaksud pada ayat (2) dan ayat (3) tidak terpenuhi, pengendali data pribadi wajib mendapatkan persetujuan subjek data pribadi,” demikian bunyi Pasal 56 ayat (4) UU PDP.
Selain itu, Pasal 62 UU PDP menyebutkan bahwa Pemerintah Indonesia bisa melakukan kerja sama internasional dengan pemerintah negara lain atau organisasi internasional terkait dengan perlindungan data pribadi. Akan tetapi, kerja sama harus dilaksanakan sesuai dengan peraturan perundang-undangan dan prinsip hukum internasional.
Lebih lanjut, jika Pasal 56 dilanggar, maka pihak-pihak terkait akan dikenakan sanksi administratif berupa peringatan tertulis; penghentian sementara kegiatan pemrosesan data pribadi; penghapusan atau pemusnahan data pribadi; dan/atau denda administratif.
“Sanksi administratif berupa denda administratif sebagaimana dimaksud pada ayat (2) huruf d paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran,” bunyi Pasal 57 ayat (3).
Sementara itu, pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, mengimbau publik agar tidak terburu-buru menafsirkan isi Perjanjian Dagang Resiprokal antara Amerika Serikat dan Indonesia terkait transfer data pribadi.
Ia menilai pemerintah Indonesia perlu memberikan penjelasan lebih lanjut mengenai isi perjanjian tersebut. “Kita lihat saja detailnya dulu dan jangan berkomentar terlalu jauh sebelum tahu detailnya,” ujar Alfons kepada Tempo, Rabu, 23 Juli 2025.
Lebih jauh, Alfons menjelaskan perjanjian itu berpotensi membawa dampak baik maupun buruk. “Ada beberapa implikasi, ada positifnya dan ada juga dampak lainnya,” tuturnya.
Menurut dia, transfer data pribadi dalam perjanjian tersebut bisa mengarah pada pemanfaatan layanan cloud untuk data perbankan. Selama ini, penyedia layanan seperti AWS, Google, dan Microsoft diwajibkan membuka pusat data di Indonesia. Jika perjanjian ini berlaku, perusahaan tersebut tak lagi perlu membangun data center di Indonesia karena bisa menyimpan data di Amerika Serikat.
Alfons juga menilai perjanjian ini bisa menekan biaya layanan data. “Dengan dibolehkannya menyimpan data atau backup di Amerika, tentu biayanya relatif lebih rendah daripada Indonesia,” ujarnya.
Meski demikian, Alfons mengingatkan bahwa kebijakan ini bisa mengurangi kontrol pemerintah Indonesia. Menurut dia, aplikasi asal Amerika Serikat dapat kembali mengakses dan mengelola data pribadi warga Indonesia. “Aplikasi yang pernah dibatasi seperti world.id bisa kembali mengelola data pribadi orang Indonesia, asalkan data tersebut disimpan di Amerika Serikat,” katanya.dilansir dari situs resmi tempo co.id.
