NASKAH AKADEMIK RUU PERLINDUNGAN DATA PRIBADI
80
MODEL KOMISI PENGAWAS
Model Satu Komisi
• Model ini seperti dianut di Estonia,
Hungary, Malta, Mexico, Serbia, Thailand, dan the United Kingdom
• Pada model ini dalam satu komisi
akan ada dua kamar komisi, satu kamar sebagai komisi informasi dan
kamar lainnya sebagai komisi data proteksi.
• Biasanya terjadi di negara-negara
dengan penyusunan legislasi yang berbeda antara keterbukaan
informasi dan perlindungan data pribadi, sehingga komisi kedua
disisipkan dalam komisi yang pertama.
Model Komisi Independent
• Model ini dianut oleh negara- negara Uni Eropa dan beberapa
negara di Asia seperti Malaysia, Singapura, Hong Kong dan Korea
Selatan • Keuntungan dari model ini
memang bisa meminimalisir konflik dalam satu komisi,
khususnya dalam menentukan suatu informasi terbuka atau
tertutup
wawancara, dan untuk membuat rekomendasi, namun tidak dapat mengeluarkan perintah atau memberikan
sanksi hukum.
119
PIPEDA mensyaratkan bahwa semua organisasi
menunjuk satu
orang pegawai
yang bertanggung jawab terhadap kebijakan dan praktek
organisasi dan kepada siapa keluhan serta penyelidikan dapat diteruskan.
Pada akhirnya, peran Badan Pengawas akan sangat
tergantung dari
kemandirian dan
ketidakberpihakan dan keefektifannya dalam bekerja. Terdapat dua model utama yang berlaku dalam
yurisdiksi di seluruh negara yakni kombinasi antara regulator privasi dan kebebasan informasi atau FOI dan
regulator independen.
Tabel 1.2
5. Transfer Data Lintas Negara
Perkembangan terakhir
pengaturan hukum
perlindungan data pribadi mengatur tentang pembatasan pengiriman data pribadi yang ketat ke negara yang
dituju. Apabila negara yang dituju dianggap belum
119
Https:www.privacyinternational.orgarticlephr2006-canada, diakses pada tanggal 14 November 2014 Pukul 13.35 WIB
.
NASKAH AKADEMIK RUU PERLINDUNGAN DATA PRIBADI
81 memiliki perlindungan yang memadaiadequate maka
harus diterapkan beberapa syarat tambahan misalnya melalui kontrak atau perjanjian bilateral. Contohnya di
Negara Malaysia, pengelola data dan pribadi dilarang untuk melakukan transfer data ke luar wilayah Malaysia,
kecuali ke wilayah yurisdiksi yang ditentukan oleh Menteri Malaysia yang bertanggung jawab melindungi
data pribadi atas rekomendasi Komisioner.
120
Setiap pelanggaran terhadap ketentuan tersebut diancam denda
paling banyak tiga ratus ribu ringgit atau penjara untuk jangka waktu tidak lebih dari 2 dua tahun atau
keduanya. Wilayah yurisdiksi yang diterima oleh Malaysia
adalah wilayah
negara yang
dianggap mampu
menyediakan perlindungan data dan informasi pribadi seperti halnya yang diberikan Malaysia. Terdapat 2 dua
kondisi agar dapat melakukan transfer data pribadi. Pertama, negara tersebut harus memiliki undang-
undang perlindungan data pribadi yang secara substansi menyerupai undang-undang yang melindungi data dan
informasi pribadi di Negara Malaysia. Kedua, negara yang diterima Menteri Malaysia harus menyediakan
perlindungan terhadap data dan informasi pribadi yang setidaknya setingkat dengan The Personal Data Protection
Act No. 709 of 2010.
121
120
Seksi 129 1 Personal Data Protection Act PDPA 2010 Malaysia menyatakan:
“A data user shall not transfer any personal data of a data subject to a place outside Malaysia unless to such place as specified by
the Minister, upon the recommendation of the Commissioner, by notification published in the Gazette.”
121
Seksi 129 2 The Personal Data Protection Act PDPA 2010 Malaysia menyatakan
:“For the purposes of subsection 1, the Minister may specify any place outside Malaysia if
—
NASKAH AKADEMIK RUU PERLINDUNGAN DATA PRIBADI
82 Selain keadaan yang telah disebutkan di atas,
transfer data dan informasi pribadi ke luar Malaysia juga dapat terjadi apabila:
122
Subyek data menyetujui transfer data ke luar Malaysia, 1. Transfer data diperlukan untuk melaksanakan
perjanjian antara pengelola data dan subyek data, 2. Transfer
diperlukan untuk
menyetujui atau
melaksanakan perjanjian antara pengelola data dan pihak ketiga atas permintaan subyek data atau
untuk kepentingan subyek data.
a there is in that place in force any law which is substantially similar to this
Act, or that serves the same purposes as this Act; or b
that place ensures an adequate level of protection in relation to the processing of personal data which is at least equivalent to the level of
protection afforded by this Act.”
122
Seksi 129 The Personal Data Protection Act PDPA 2010 Malaysia menyatakan:
“Notwithstanding subsection 1, a data user may transfer any personal data to a place outside Malaysia if
— a
the data subject has given his consent to the transfer b
The transfer is necessary for the performance of a contract between the data subject and the data user;
c the transfer is necessary for the conclusion or performance of a contract
between the data user and a third party which —
i is entered into at the request of the data subject;or ii is in the interests of the data subject;
d the transfer is for the purpose of any legal proceedings or for the purpose of
obtaining legal advice or forestablishing, exercising or defending legal rights; e
the data user has reasonable grounds for believing thatin all circumstances of the case
— i the transfer is for the avoidance or mitigation ofadverse action against the
data subject; ii it is not practicable to obtain the consent in writingof the data subject to
that transfer; and iii if it was practicable to obtain such consent, thedata subject would have
given his consent; f
the data user has taken all reasonable precautions andexercised all due diligence to ensure that the personaldata will not in that place be processed
in any mannerwhich, if that place is Malaysia, would be a contraventionof this Act;
g the transfer is necessary in order to protect the vitalinterests of the data
subject; or h
the transfer is necessary as being in the public interestin circumstances as determined by the Minister.”
NASKAH AKADEMIK RUU PERLINDUNGAN DATA PRIBADI
83 3. Transfer dilakukan untuk tujuan persidangan atau
untuk mendapatkan bantuan hukum atau untuk mengadakan, melaksanakan atau mempertahankan
hak berdasarkan hukum. 4. Pengguna data memiliki dasar beralasan untuk
mempercayai bahwa dalam segala macam kondisi: a. Transfer dilakukan untuk menghindari atau
pencegahan tindakan
merugikan hak,
keuntungan, keistimewaan, dan kewajiban atau kepentingan pemilik data.
b. Tidak memungkinkan
untuk memperoleh
persetujuan tertulis dari subyek data yang ditransfer.
c. Jika memungkinkan
untuk mendapatkan
persetujuan, subyek
data diyakini
akan memberikan persetujuan.
5. Pengguna data telah mengambil semua tindakan pencegahan yang wajar dan melakukan semua due
diligence untuk memastikan bahwa, data pribadi tidak akan diproses di tempat tersebut dengan
dengan cara apapun yang, jika tempat itu adalah Malaysia, akan menjadi suatu pelanggaran terhadap
The Personal Data Protection Act No. 709 of 2010 Malaysia.
6. Transfer dibutuhkan untuk melindungi kepentingan vital dari subyek data.
7. Transfer dibutuhkan untuk kepentingan publik dalam keadaan yang ditentukan oleh Menteri.
Persyaratan-persyaratan tersebut hampir senada dengan apa yang diatur oleh hukum negara-negara
NASKAH AKADEMIK RUU PERLINDUNGAN DATA PRIBADI
84 Eropa. Pada dasarnya Malaysia melarang transfer data
pribadi keluar
wilayah negara
Malaysia dengan
pengecualian-pengecualian. Keseluruhan
pengaturan mengenai transfer data pribadi tersebut dibutuhkan
untuk melindungi subyek data pribadi.
3. Konsep Perlindungan Data Pribadi