Schoolmedia News Jakarta === Lembaga Studi dan Advokasi Masyarakat (ELSAM) menerbitkan siaran pers yang mengkritisi kebijakan pemerintah terkait perjanjian perdagangan dengan Amerika Serikat.
ELSAM secara tegas menolak normalisasi praktik semacam ini dan menuntut transparansi serta akuntabilitas dalam setiap perumusan kebijakan terkait pelindungan data termasuk transfer data lintas batas. Berdasarkan situasi di atas, ELSAM mendesak pemerintah segera mengevaluasi kesepakatan Amerika Serikat dan Indonesia karena menempatkan Indonesia dalam posisi yang tidak menguntungkan terutama karena terdapat potensi merugikan hak atas privasi warga negara.
Seperti diketahui, Donald J. Trump mengumumkan perjanjian perdagangan antara Amerika Serikat (AS) dan Indonesia untuk memperluas akses pasar dan memperkuat hubungan ekonomi. Beberapa poin dalam kesepakatan ini meliputi penghapusan tarif, pengurangan hambatan non-tarif, komitmen perdagangan digital, akses agrikultur, standar ketenagakerjaan, keamanan ekonomi dan rantai pasok, serta kesepakatan komersial baru.
Dalam kesepakatan tersebut, Indonesia berkomitmen untuk menghapus garis tarif Harmonized Tariff Schedule (HTS) atas produk “tak berwujud†serta menangguhkan ketentuan impor terkait. Selain itu, Indonesia mendukung moratorium permanen atas bea untuk transmisi elektronik dalam kerangka World Trade Organization (WTO) tanpa syarat.
Langkah konkret juga diambil dalam mengimplementasikan Joint Initiative on Services Domestic Regulation, termasuk pengajuan komitmen spesifik yang telah direvisi untuk sertifikasi di bawah mekanisme WTO.
Sebagai bagian dari kesepakatan, Indonesia juga akan memberikan kepastian hukum terkait transfer data pribadi ke wilayah AS dengan mengakui bahwa negara tersebut memenuhi standar pelindungan data yang memadai sesuai dengan hukum nasional Indonesia. Reformasi kebijakan ini telah lama diadvokasi oleh perusahaan-perusahaan AS serta dipandang sebagai kemenangan besar bagi pemerintah AS, eksportir, dan pelaku inovasi digital yang akan difinalisasi dalam beberapa minggu mendatang.
ELSAM mencatat beberapa masalah besar dalam kesepakatan tersebut. Pertama, perjanjian antara AS dan Indonesia terjadi secara timpang. Secara teori, perjanjian yang bertujuan untuk membangun konvergensi legislasi atau regulasi seharusnya dapat diterima jika mengadopsi standar tertinggi yang berlaku saat ini oleh salah satu mitra, sekaligus memungkinkan masing-masing pihak untuk terus menetapkan standar yang lebih tinggi setelah perjanjian dibuat.
Dalam konteks perjanjian perdagangan antara Indonesia dan AS, hal ini hampir mustahil karena kedua sistem legislasi dan regulasinya tidak hanya sangat berbeda, tetapi juga didasarkan pada nilai-nilai fundamental yang berbeda. Dengan perbedaan nilai fundamental, negosiasi apa pun mengenai konvergensi atau pengakuan bersama atas pelindungan privasi akan terasa utopis.
Apalagi ketika perjanjian perdagangan bebas yang dinegosiasikan dipengaruhi oleh kepentingan bisnis yang kuat, hasilnya adalah pelemahan pelindungan privasi. Dalam kata lain, kesepakatan ini tidak berporos pada pelindungan subjek data namun malah menekankan kepentingan bisnis perusahaan-perusahaan di bawah yurisdiksi Amerika Serikat yang bergerak di bidang penyimpanan data.
Kedua, ancaman pemantauan massal (mass surveillance) oleh Amerika Serikat terhadap warga Indonesia. Pasal 702 dari Undang-Undang Pengawasan Intelijen Asing (FISA) memberikan kewenangan kepada pemerintah AS untuk mengakses komunikasi pihak asing yang berada di luar yurisdiksi teritorial AS. Namun, kebijakan ini memicu diskursus kritis terkait mekanisme pengumpulan dan penyimpanan data yang berlangsung melalui infrastruktur digital yang berbasis di wilayah AS.
Pemerintah AS menyatakan bahwa mereka memiliki legitimasi hukum untuk mengakses informasi yang tersimpan di server domestik apabila informasi tersebut berkaitan dengan target asing. Kendati demikian, praktik ini memunculkan kekhawatiran yang signifikan dari berbagai kalangan mengenai potensi pengawasan terhadap warga negara AS secara tidak langsung, yang dapat berimplikasi pada pelanggaran hak atas privasi dan kebebasan sipil.
Putusan Schrems II oleh Mahkamah Eropa (Court of Justice of the European Union/CJEU) yang dijatuhkan pada tahun 2020 telah membatalkan kerangka EU-US Privacy Shield yang menimbulkan dampak substansial terhadap rezim pelindungan data pribadi warga negara Uni Eropa (UE). EU-US Privacy Shield adalah sebuah mekanisme yang sebelumnya digunakan untuk mentransfer data pribadi antara Uni Eropa (UE) dan AS.
Keputusan ini dipicu oleh gugatan yang diajukan oleh aktivis privasi asal Austria, Maximilian Schrems, terhadap perusahaan Facebook atas dugaan ketidakpatuhan terhadap regulasi pelindungan data UE. Schrems menyatakan bahwa pemindahan datanya ke server di wilayah AS membuka potensi akses oleh badan intelijen Amerika Serikat, yang bertentangan dengan prinsip-prinsip pelindungan data dalam hukum Uni Eropa.
Ketiga, masalah level kesetaraan dengan AS dan ancaman terhadap integritas data warga. Risiko tinggi yang dipertaruhkan dalam negosiasi perdagangan bebas antara Indonesia dan AS yakni mengenai aliran data, yang berarti aliran informasi pribadi pengguna. Hal ini menunjukkan hubungan kompleks antara cross border data flows dengan perjanjian perdagangan, hak asasi manusia, dan keamanan nasional.
Titik kritisnya justru berada pada level kesetaraan antara Indonesia dan Amerika Serikat. Sebagaimana dalam putusan Schrems II, ketentuan pelindungan data dan privasi di Amerika Serikat jauh di bawah standar praktik terbaik. Amerika Serikat tidak mengakui secara hukum hak atas privasi sebagai hak fundamental.
Bahkan informasi pribadi dapat diproses secara bebas, kecuali jika menyangkut anak-anak di bawah usia 13 tahun atau layanan kesehatan atau keuangan, yang semuanya tunduk pada undang-undang sektoral tertentu. Sementara itu, Indonesia sudah mengesahkan Undang-Undang Pelindungan Data Pribadi (UU PDP) yang menjamin hak-hak privasi dan tata kelolanya.
UU PDP mewajibkan agar transfer data pribadi ke pengendali atau pemroses data di luar yurisdiksi indonesia tetap tunduk kepada ketentuan dalam UU PDP. Pengendali atau pemroses data wajib memastikan bahwa negara domisili pihak penerima transfer memiliki tingkat pelindungan data pribadi yang setara atau lebih tinggi dibandingkan dengan yang diatur dalam UU PDP.
Jika tidak maka pengendali data harus memastikan adanya mekanisme pelindungan data yang memadai dan mengikat, serta memperoleh persetujuan dari subjek data. UU PDP bahkan mensyaratkan bahwa transfer data pribadi tertentu harus melalui penilaian Data Protection Impact Assessment (DPIA).
Penilaian terhadap tingkat pelindungan data pribadi yang dianggap setara atau lebih tinggi dari standar nasional dilakukan dengan mempertimbangkan sejumlah kriteria substantif. Hal ini mencakup: keberadaan kerangka hukum nasional yang mengatur pelindungan data pribadi; eksistensi lembaga otoritatif yang berwenang dalam penegakan regulasi PDP; serta komitmen negara terkait terhadap instrumen hukum internasional atau kewajiban lain yang bersumber dari perjanjian internasional. Penilaian serius, terutama terhadap kriteria ketiga, harus dilakukan terhadap Amerika Serikat.
Sayangnya sampai dengan saat ini, Indonesia masih belum memiliki Badan Pelindungan Data Pribadi (BPDP) yang salah satunya berfungsi sebagai lembaga pengawas terhadap cross border data flow. Ketiadaan lembaga ini dan ditambah dengan aturan lintas sektoral yang belum terintegrasi menyebabkan lemahnya pengawasan terhadap pelindungan data pribadi yang ditransfer ke luar negeri.
Hal ini termasuk dengan meningkatkan risiko kebocoran data, penyalahgunaan, dan pelanggaran hak privasi warga negara. Padahal menurut UU PDP, Otoritas PDP memiliki peran dalam menilai pemenuhan persyaratan transfer data pribadi. Oleh karena itu, secara formil Otoritas PDP juga memiliki kewenangan untuk memberikan izin transfer data.
Walaupun Indonesia telah memiliki UU PDP, pendekatan regulasi Indonesia terhadap cross border data flow masih berada di antara paradigma yang preskriptif dan restriktif. Peraturan Pemerintah tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) No. 71/2019 menetapkan beberapa sektor yang wajib dilindungi antara lain administrasi pemerintahan, energi dan sumber daya mineral, transportasi, keuangan, sektor kesehatan, sektor teknologi informasi dan komunikasi, sektor pangan, sektor pertahanan, dan sektor lain yang ditetapkan oleh presiden.
Dalam kata lain, Indonesia mengarah pada data free flow dengan beberapa pembatasan terutama yang berkaitan dengan beberapa sektor tersebut. Perjanjian ini secara tidak langsung menghendaki penghapusan lokalisasi data yang berlaku bagi beberapa sektor publik.
Misalnya di sektor perdagangan, yang melarang transfer data pribadi ke luar yurisdiksi Indonesia, kecuali Menteri Perdagangan menyatakan bahwa negara tujuan memiliki standar atau tingkat pelindungan yang setara dengan Indonesia.
Lainya di sektor kesehatan, merujuk kepada UU Kesehatan menyatakan bahwa pemrosesan data kesehatan di luar negeri dapat dilakukan dengan izin pemerintah pusat, walaupun tidak disebutkan secara eksplisit lembaga mana yang memberikan izin. Dalam hal ini terlihat bahwa Indonesia masih menekankan pendekatan sektoral yang dominan. Didukung oleh PP PSTE yang menjelaskan bahwa menteri atau lembaga di sektor terkait wajib merumuskan ketentuan pengawasan di sektor masing-masing.
Diperlukan adanya adopsi pendekatan yang terintegrasi dalam pengaturan cross border data flow, melihat bahwa pelaksanaan regulasi dan kebijakan mengenai cross border data flow berpotensi mempengaruhi berbagai sektor. Akan tetapi, dalam konteks ini, Indonesia justru terjebak dalam kesepakatan yang berpotensi merugikan privasi warga negara.
Data pribadi bukan barang dagangan yang dapat dipertukarkan secara diam-diam dalam proses negosiasi tertutup. Lembaga Studi dan Advokasi Masyarakat (ELSAM) secara tegas menolak normalisasi praktik semacam ini dan menuntut transparansi serta akuntabilitas dalam setiap perumusan kebijakan terkait pelindungan data termasuk transfer data lintas batas. Berdasarkan situasi di atas, ELSAM mendesak :
- Pemerintah segera mengevaluasi kesepakatan Amerika Serikat dan Indonesia karena menempatkan Indonesia dalam posisi yang tidak menguntungkan terutama karena terdapat potensi merugikan hak atas privasi warga negara.
- Pemerintah harus segera membentuk Lembaga PDP dan mengupayakan level independensi yang memadai untuk dapat mengatasi kekosongan pengawasan terhadap cross border data flow yang berisiko membahayakan hak privasi warga.
- Pemerintah segera menyelesaikan peraturan turunan UU PDP dan melakukan penilaian level kesetaraan pelindungan data pribadi antara Amerika Serikat dan Indonesia. Khususnya terkait cross border data flow. Penyelesaian turunan UU PDP harus berpijak pada kerangka tata kelola data berbasis hak (rights-based data governance framework) sehingga pengaturan mengenai cross border data flow akan memperkuat pelindungan data pribadi dan mewujudkan keadilan atas data (data justice)
- DPR segera memanggil pemerintah untuk mengevaluasi dan meminta klarifikasi pemerintah serta memastikan pertanggungjawaban atas potensi ancaman terhadap privasi warga negara.
- Pemerintah segera memastikan mekanisme akuntabilitas yang memadai untuk mengontrol transfer data pribadi ke luar negeri dan melakukan harmonisasi regulasi sektoral yang memungkinkan transfer data.
- Pengendali data baik privat maupun publik yang mentransfer data ke luar Indonesia harus melakukan penilaian risiko dan mengambil langkah-langkah untuk memastikan pelindungan data berdasarkan Undang-Undang Pelindungan Data Pribadi dan turunannya.
Tim Schoolmedia
Tinggalkan Komentar