Membedah Aturan Transfer Data ke Luar Negeri dalam UU PDP

Undang-Undang Pelindungan Data Pribadi (UU PDP) mengatur secara ketat syarat transfer data ke luar negeri dalam Pasal 56.

Reporter : Rheza Alfian

Tayang pada : 23 Jul 2025 | 20:28 WIB

Waktu Baca : ±... menit

periskop.id - Salah satu aspek paling krusial dalam Undang-Undang Pelindungan Data Pribadi (UU PDP) bagi era ekonomi digital adalah pengaturan mengenai transfer atau pengiriman data pribadi ke luar wilayah Indonesia.

Regulasi ini secara tegas menetapkan bahwa data warga negara boleh dikirim ke luar negeri, namun harus melalui mekanisme berlapis untuk memastikan standar pelindungan tidak berkurang.

Ketentuan mengenai transfer data lintas batas ini diatur secara spesifik dalam Bab VII, Pasal 56 UU Nomor 27 Tahun 2022. Aturan ini menjadi pedoman utama bagi perusahaan multinasional, penyedia layanan komputasi awan (cloud), dan platform digital yang beroperasi secara global.

Berikut adalah mekanisme utama yang wajib dipenuhi oleh Pengendali Data sebelum mentransfer data pribadi ke luar negeri:

Tingkat Pelindungan Data yang Setara
Syarat utama dan yang paling diutamakan adalah Pengendali Data wajib memastikan bahwa negara tujuan transfer memiliki tingkat pelindungan data pribadi yang setara atau lebih tinggi dari yang diatur dalam UU PDP. Penilaian mengenai "tingkat kesetaraan" ini nantinya akan ditetapkan oleh pemerintah melalui lembaga otoritas pelindungan data yang akan dibentuk. Mekanisme ini di dunia internasional dikenal dengan istilah adequacy decision.
Instrumen Hukum yang Mengikat
Apabila negara tujuan belum memiliki tingkat pelindungan yang dianggap setara, transfer data tetap dapat dilakukan. Syaratnya adalah harus terdapat instrumen hukum pelindungan data pribadi yang memadai dan mengikat antara pihak pengirim di Indonesia dengan pihak penerima di luar negeri. Bentuknya dapat berupa perjanjian internasional atau yang paling umum digunakan adalah Klausul Kontrak Standar (Standard Contractual Clauses). Klausul ini secara legal mengikat penerima data di luar negeri untuk tunduk pada standar pelindungan data yang setara dengan UU PDP.
Persetujuan Eksplisit dari Subjek Data
Jika kedua mekanisme di atas tidak dapat ditempuh, Pengendali Data masih memiliki opsi terakhir, yaitu wajib mendapatkan persetujuan yang telah diberikan secara sah dan eksplisit dari Subjek Data (pemilik data) untuk mengirimkan data mereka ke luar negeri. Sebelum meminta persetujuan, pemilik data harus diberi informasi yang jelas mengenai potensi risiko yang bisa timbul dari transfer data tersebut.

Selain persetujuan, Pasal 56 juga menyebutkan beberapa pengecualian lain yang memungkinkan transfer data, seperti untuk pemenuhan kontrak antara pemilik data dengan perusahaan, atau untuk kepentingan umum yang diatur oleh undang-undang.

Tanggung jawab untuk memastikan salah satu dari syarat-syarat di atas terpenuhi sepenuhnya berada di pundak Pengendali Data di Indonesia.

Masa transisi yang diberikan oleh UU PDP akan berakhir pada Oktober 2024, yang menandai dimulainya kewajiban kepatuhan penuh terhadap seluruh ketentuan dalam regulasi ini bagi semua organisasi.