Pelindungan data pribadi di Indonesia telah mengalami evolusi signifikan, beranjak dari sekadar isu teknis menjadi salah satu pilar fundamental dalam jaminan hak konstitusional warga negara. Secara khusus, Pasal 28G Ayat (1) UUD 1945 menegaskan bahwa “Setiap orang berhak atas pelindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman“. Ketentuan ini menjadi landasan konstitusional bahwa negara wajib hadir untuk melindungi individu, termasuk dalam konteks data pribadi yang kini menjadi bagian tak terpisahkan dari identitas digital seseorang.
Perkembangan teknologi dan meningkatnya jumlah pengguna internet telah memperbesar risiko pelanggaran data pribadi. Selama bertahun-tahun, Indonesia hanya memiliki regulasi parsial yang tersebar di berbagai undang-undang, seperti Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (UU ITE) dan Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Namun, kerangka hukum ini dianggap tidak cukup komprehensif untuk menghadapi kompleksitas isu pelindungan data. Sebagai respons atas kebutuhan tersebut, pada September 2022, pemerintah Indonesia mengesahkan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Undang-undang ini menjadi tonggak penting dalam sistem hukum Indonesia, karena secara khusus mengatur hak dan kewajiban subjek data, serta tanggung jawab pengendali dan prosesor data, baik dalam pemrosesan elektronik maupun non-elektronik. Namun, dinamika digital kini telah melampaui batas-batas nasional yaitu implikasi hukum dari transfer data pribadi lintas negara.
Secara spesifik, artikel ini menyoroti kesepakatan perdagangan terbaru antara Indonesia dan Amerika Serikat yang mencakup klausul transfer data pribadi. Artikel ini bertujuan untuk menganalisis secara mendalam implikasi dari kesepakatan perdagangan antara Indonesia dengan Amerika Serikat dan mengidentifikasi upaya hukum yang dapat ditempuh oleh warga negara Indonesia jika terjadi pelanggaran data oleh entitas Amerika Serikat. Analisis akan mencakup penelaahan tantangan praktis dalam penegakan hukum lintas batas, termasuk yurisdiksi ekstrateritorial UU PDP dan kesenjangan kelembagaan yang masih ada. Dinamika pelindungan data pribadi di Indonesia kini memasuki babak baru dengan munculnya isu transfer data lintas negara. Hal ini menjadi sorotan tajam menyusul pengumuman Joint Statement on Framework for United States–Indonesia Agreement on Reciprocal Trade oleh Gedung Putih pada 22 Juli 2025. Kesepakatan ini merupakan bagian dari negosiasi dagang yang lebih luas, di mana Indonesia berkomitmen untuk menghilangkan 99% hambatan tarif untuk produk-produk AS, sementara AS akan menurunkan tarif resiprokal untuk barang-barang Indonesia menjadi 19%.
Poin krusial dalam kesepakatan ini adalah klausul yang menghendaki Indonesia untuk memberikan kepastian mengenai kemampuan mentransfer data pribadi ke luar wilayahnya menuju Amerika Serikat. Hal ini diwujudkan melalui pengakuan resmi Indonesia terhadap AS sebagai yurisdiksi yang menyediakan “pelindungan data yang memadai” (adequate data protection) di bawah hukum Indonesia. Pengakuan ini secara efektif menciptakan jalur hukum untuk transfer data, yang sebelumnya diatur secara ketat dalam UU PDP. Pengumuman ini memicu perdebatan sengit dengan dua sudut pandang yang berbeda. Di satu sisi, pemerintah melalui Menteri Koordinator Bidang Perekonomian Airlangga Hartarto dan Menteri Komunikasi dan Digital Meutya Hafid, berusaha meyakinkan publik bahwa transfer data akan tetap aman. Mereka mengklaim bahwa proses tersebut akan dilakukan dalam kerangka tata kelola data yang terukur (secure and reliable data governance) di bawah pengawasan ketat otoritas Indonesia, dan tetap mengacu pada UU PDP. Menurut pandangan ini, kesepakatan tersebut justru menjadi landasan hukum yang menciptakan kepastian bagi perusahaan-perusahaan AS yang beroperasi di Indonesia, sehingga memberikan dasar bagi Indonesia untuk menuntut kepatuhan mereka terhadap standar privasi nasional.
Namun, pandangan ini tidak luput dari kritik tajam. Organisasi masyarakat sipil seperti Lembaga Studi dan Advokasi Masyarakat (ELSAM) menganggap kesepakatan ini “tidak adil” karena dianggap lebih menekankan kepentingan bisnis perusahaan-perusahaan AS dan berpotensi memicu komersialisasi data pribadi warga Indonesia. Kekhawatiran ini diperkuat oleh fakta bahwa AS merupakan pusat global untuk pialang data (data brokerage) dan memiliki pengawasan yang dianggap lebih longgar di tingkat federal. Hendra Suryakusuma, Ketua Organisasi Penyedia Pusat Data Indonesia (IDPRO), memperingatkan bahwa hal ini dapat mengikis kedaulatan data digital Indonesia. Para kritikus juga menyoroti bahwa pengakuan kecukupan pelindungan data AS berisiko melonggarkan standar yang ada, terutama jika regulasi turunan UU PDP belum disahkan.
Ketegangan ini muncul karena adanya perbedaan mendasar antara kerangka pelindungan data Indonesia yang komprehensif (UU PDP) dengan pendekatan hukum di Amerika Serikat yang lebih fragmentatif dan sektoral.
Perbandingan Klausul Pelindungan Data Pribadi (UU PDP Indonesia vs Regulasi AS)
|
UU PDP Indonesia (UU No. 27/2022) |
Regulasi di Amerika Serikat |
|
| Kerangka Hukum | Omnibus law yang komprehensif, mencakup semua sektor dan jenis data. | Fragmentatif, terdiri dari berbagai undang-undang sektoral (misalnya, HIPAA untuk data kesehatan, COPPA untuk data anak) tanpa undang-undang federal yang komprehensif untuk semua sektor. |
| Yuridiksi | Berlaku secara ekstrateritorial terhadap pengendali data asing yang memproses data warga negara Indonesia. | Tidak ada undang-undang federal tunggal dengan yurisdiksi ekstrateritorial yang setara dengan UU PDP, melainkan tunduk pada regulasi sektoral atau negara bagian. |
| Otoritas Pengawas | Mengamanatkan pembentukan Otoritas Pelindungan Data Pribadi (PDPA) yang independen, bertanggung jawab kepada Presiden. | Tidak ada lembaga tunggal yang berfungsi sebagai otoritas PDPA. Federal Trade Commission (FTC) memiliki wewenang luas untuk menuntut praktik data yang tidak adil atau menipu, tetapi fokus utamanya pada persaingan dan pelindungan konsumen secara umum, bukan privasi data secara spesifik. |
| Hak Subjek Data | Memberikan hak yang kuat kepada subjek data, termasuk hak untuk mengakses, mengoreksi, menghapus, dan menarik persetujuan pemrosesan data. | Hak-hak individu bervariasi tergantung pada undang-undang sektoral atau negara bagian yang berlaku. Contoh: Hak hapus data tidak dijamin secara universal di semua sektor. |
| Sanksi | Sanksi administratif berupa denda hingga 2% dari pendapatan tahunan, serta sanksi pidana dan perdata. | Sanksi bervariasi tergantung undang-undang yang dilanggar (misalnya, FTC dapat menjatuhkan denda finansial). Secara umum, mekanisme denda tidak memiliki standar yang seragam seperti UU PDP. |
Landasan hukum untuk penegakan hukum terhadap entitas asing yang memproses data pribadi warga negara Indonesia sebenarnya cukup kuat. UU PDP secara tegas mengadopsi prinsip yurisdiksi ekstrateritorial, yang berarti bahwa undang-undang ini berlaku untuk pengendali data, baik dari sektor publik maupun swasta, yang memproses data pribadi warga Indonesia, bahkan jika lokasi pemrosesannya berada di luar wilayah hukum Indonesia. Hal ini memberikan otoritas hukum bagi Indonesia untuk menuntut kepatuhan dari perusahaan-perusahaan teknologi besar asal AS, seperti Google dan Amazon, yang datanya secara tak terhindarkan diproses di luar negeri.
Namun, landasan hukum saja tidak cukup. Tantangan terbesar dan paling mendesak yang dihadapi Indonesia saat ini adalah kesenjangan implementasi. Kesenjangan ini berpusat pada belum terbentuknya lembaga pengawas yang independen, yang dalam UU PDP disebut sebagai Otoritas Pelindungan Data Pribadi (PDPA). Pasal 58 sampai dengan Pasal 60 UU PDP mengamanatkan bahwa lembaga ini harus dibentuk sebab berdasarkan Pasal 74 UU PDP Pengendali Data Pribadi, Prosesor Data Pribadi, dan pihak lain yang terkait dengan pemrosesan Data Pribadi, wajib menyesuaikan dengan ketentuan pemrosesan Data Pribadi paling lambat yaitu pada Oktober 2024. Akan tetapi, hingga November 2025, proses pembentukan PDPA masih dalam tahap harmonisasi.
Ketidakadaan PDPA menciptakan lubang besar dalam sistem pelindungan data nasional. Fungsi-fungsi krusial yang seharusnya diemban oleh lembaga ini menjadi tidak terisi, termasuk:
-
PDPA seharusnya memiliki kewenangan untuk mengawasi kepatuhan pengendali data dan menjatuhkan sanksi administratif, termasuk denda hingga 2% (dua persen) dari pendapatan tahunan. Tanpa PDPA, mekanisme penegakan sanksi ini menjadi lumpuh (Pasal 57 UU PDP).
-
PDPA memiliki peran untuk menilai pemenuhan persyaratan transfer data pribadi ke luar negeri dan bekerja sama dengan lembaga pelindungan data dari negara lain. Dalam konteks kesepakatan dengan AS, peran ini menjadi sangat vital untuk memastikan bahwa klaim “pelindungan yang memadai” benar-benar dapat dipertanggungjawabkan dan tidak hanya sekadar formalitas.
-
Lembaga ini juga seharusnya memfasilitasi penyelesaian sengketa di luar pengadilan, seperti mediasi dan ajudikasi non-litigasi.
Kesenjangan kelembagaan ini memiliki implikasi yang mendalam dan saling terhubung. Klaim pemerintah tentang “pengawasan ketat” dan “tata kelola data yang andal” dalam kesepakatan dengan AS menjadi sulit untuk dibuktikan dan tidak memiliki dasar eksekusi yang jelas. Ini menciptakan ketidakpastian hukum yang merugikan subjek data. Tanpa PDPA yang berfungsi, penegakan hukum terhadap perusahaan AS menjadi sangat bergantung pada mekanisme yang ada, yang memiliki keterbatasan signifikan. Namun, di sisi lain, kesepakatan dagang ini juga dapat dilihat sebagai sebuah peluang yang unik. Adanya tekanan eksternal dari perjanjian tersebut, yang mensyaratkan Indonesia untuk menyelesaikan regulasi pelaksana dan membentuk PDPA, bisa menjadi pendorong untuk mempercepat reformasi domestik yang selama ini terhambat. Ini menempatkan Indonesia pada sebuah dilema: apakah “kedaulatan data” dikorbankan untuk mempercepat pembentukan kerangka hukum internal yang kuat, atau sebaliknya, pelindungan data akan tetap lemah hingga lembaga yang diperlukan terbentuk.
Ketika pelanggaran data pribadi terjadi dan pelakunya adalah entitas asing yang berbasis di Amerika Serikat, upaya hukum yang tersedia bagi warga negara Indonesia menjadi lebih kompleks. Secara teoretis, ada beberapa jalur yang dapat ditempuh, namun setiap jalur memiliki tantangan implementasi yang signifikan.
1. Jalur Non-Litigasi Melalui Otoritas Pelindungan Data Pribadi (PDPA)
Idealnya, PDPA akan menjadi pintu gerbang utama bagi penyelesaian sengketa. Subjek data pribadi dapat mengajukan aduan atau laporan kepada PDPA, yang kemudian dapat melakukan penyelidikan dan memberikan sanksi administratif. PDPA juga memiliki wewenang untuk bekerja sama dengan lembaga pelindungan data dari negara lain dalam rangka penyelesaian dugaan pelanggaran data lintas negara, mirip dengan model yang digunakan oleh General Data Protection Regulation (GDPR) di Uni Eropa. Namun, seperti yang telah dijelaskan sebelumnya, jalur ini belum dapat ditempuh karena PDPA belum terbentuk.
2. Jalur Litigasi Perdata dan Pidana di Pengadilan Indonesia
Bahwa berdasarkan Pasal 12 Ayat (1) UU PDP, subjek data pribadi memiliki hak untuk menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data. Kedudukan hukum ini diperkuat oleh Pasal 1365 KUHPerdata mengenai Perbuatan Melawan Hukum (PMH). Secara yurisdiksi, Pasal 2 UU PDP memberikan daya jangkau ekstrateritorial, sehingga Pengadilan Indonesia berwenang mengadili perkara ini selama dampak kerugiannya terjadi di wilayah Indonesia. Namun, hambatan teknis muncul pada tahap eksekusi. Ketiadaan perjanjian timbal balik (reciprocal agreement) antara Indonesia dan AS membuat putusan pengadilan Indonesia tidak bisa langsung dieksekusi di AS. Korban harus mengajukan gugatan baru di pengadilan AS dengan menjadikan putusan Indonesia sebagai bukti pendukung melalui prinsip comity. Selain jalur perdata, UU PDP juga membuka ruang penuntutan melalui jalur pidana sebagaimana ketentuan dalam Pasal 67 s.d Pasal 73 UU PDP, yang mencakup larangan pengumpulan, pengungkapan, dan penggunaan data secara melawan hukum. Penting diketahui bahwa Pasal 70 UU PDP secara eksplisit mengatur pertanggungjawaban pidana korporasi, yang memungkinkan tuntutan dijatuhkan kepada pengurus, pengendali, atau korporasi itu sendiri. Meskipun asas ekstrateritorial berlaku, penegakan hukum pidana terhadap pelaku di luar negeri sangat bergantung pada instrumen Mutual Legal Assistance (MLA) dan kerja sama internasional. Tantangan praktisnya meliputi perbedaan sistem hukum serta kerumitan penyitaan aset atau alat bukti digital yang berada di yurisdiksi asing.
3. Gugatan Warga Negara (Citizen Lawsuit)
Sebagai alternatif, strategi hukum yang lebih relevan dalam kasus ini adalah Gugatan Warga Negara (Citizen Lawsuit) yang diajukan ke Peradilan Umum. Mekanisme ini memberikan ruang bagi warga negara untuk menggugat penyelenggara negara atas kelalaian dalam memenuhi hak-hak konstitusional warga negara, termasuk hak atas perlindungan data pribadi. Dalam hal ini, kelalaian pemerintah seperti halnya menandatangani perjanjian yang mengakui kecukupan perlindungan data Amerika Serikat tanpa terlebih dahulu membentuk Lembaga Pelindungan Data Pribadi (PDPA) sebagaimana diamanatkan oleh Undang-Undang Perlindungan Data Pribadi (UU PDP), dapat dikualifikasikan sebagai perbuatan melawan hukum sebagaimana diatur dalam Pasal 1365 KUH Perdata. Gugatan warga negara tidak ditujukan untuk menuntut ganti rugi materiil secara langsung, melainkan untuk mendorong pemerintah menjalankan kewajibannya secara lebih serius dalam melindungi hak-hak warga negara. Karena itu, petitum dalam gugatan biasanya berisi permintaan agar pemerintah mengeluarkan kebijakan atau tindakan korektif agar kelalaian serupa tidak terjadi di kemudian hari. Pihak tergugat dalam gugatan ini dapat berupa Presiden atau penyelenggara negara yang bertanggung jawab atas kebijakan perlindungan data pribadi. Penggugat cukup membuktikan bahwa dirinya adalah warga negara Indonesia tanpa perlu menunjukkan kerugian materiil. Sebelum gugatan diajukan, biasanya penggugat menyampaikan somasi kepada pemerintah sebagai peringatan agar kewajiban tersebut segera dipenuhi.
Hadirnya Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi memberikan kepastian hukum bagi tata kelola data di Indonesia. Meskipun demikian, dinamika kerja sama ekonomi internasional, seperti dengan Amerika Serikat, menunjukkan bahwa penerapan standar pelindungan data yang setara tetap memerlukan perhatian khusus. Penetapan yurisdiksi asing sebagai wilayah dengan tingkat pelindungan memadai bertujuan untuk memperlancar arus data lintas negara (cross-border data flow), namun hal ini harus diiringi dengan mekanisme pengawasan yang efektif guna memastikan hak-hak subjek data tetap terlindungi di bawah kerangka kedaulatan digital nasional. Dalam cakupan manajemen risiko, hambatan praktis dalam penyelesaian sengketa lintas negara terutama terkait pelaksanaan putusan pengadilan di luar negeri, menekankan pentingnya pencegahan sejak dini. Risiko hukum yang timbul sering kali bukan hanya disebabkan oleh kendala teknis, melainkan kurangnya ketelitian dalam merancang klausula perjanjian sejak tahap awal transaksi.
Oleh karena itu, mengintegrasikan prinsip kepatuhan data pribadi ke dalam kontrak bisnis merupakan standar profesionalisme dan kesiapan operasional perusahaan dalam menghadapi dinamika regulasi serta ekspektasi para pemangku kepentingan. Perusahaan yang mengedepankan prinsip kehati-hatian akan memastikan bahwa setiap keputusan bisnis yang melibatkan pengolahan data pribadi ditopang oleh kajian hukum yang mendalam. Langkah proaktif ini krusial untuk mengantisipasi potensi sengketa sebelum berkembang menjadi persoalan hukum yang lebih kompleks. Pada akhirnya, keberlanjutan bisnis di era ekonomi digital sangat bergantung pada kemampuan perusahaan untuk memetakan risiko secara dini dan menempatkan pelindungan data pribadi sebagai bagian integral dari strategi bisnis jangka panjang, bukan sekadar kewajiban pemenuhan aturan.
Demikian pembahasan artikel ini. Apabila terdapat informasi yang perlu didiskusikan lebih lanjut tentang perlindungan data pribadi, maka dapat menghubungi Kami di TRNP Law Firm untuk mendapatkan informasi terkait dengan lebih aktual.
