NASKAH AKADEMIK RUU PERLINDUNGAN DATA PRIBADI 80 MODEL KOMISI PENGAWAS Model Satu Komisi • Model ini seperti dianut di Estonia, Hungary, Malta, Mexico, Serbia, Thailand, dan the United Kingdom • Pada model ini dalam satu komisi akan ada dua kamar komisi, satu kamar sebagai komisi informasi dan kamar lainnya sebagai komisi data proteksi. • Biasanya terjadi di negara-negara dengan penyusunan legislasi yang berbeda antara keterbukaan informasi dan perlindungan data pribadi, sehingga komisi kedua disisipkan dalam komisi yang pertama. Model Komisi Independent • Model ini dianut oleh negara- negara Uni Eropa dan beberapa negara di Asia seperti Malaysia, Singapura, Hong Kong dan Korea Selatan • Keuntungan dari model ini memang bisa meminimalisir konflik dalam satu komisi, khususnya dalam menentukan suatu informasi terbuka atau tertutup wawancara, dan untuk membuat rekomendasi, namun tidak dapat mengeluarkan perintah atau memberikan sanksi hukum. 119 PIPEDA mensyaratkan bahwa semua organisasi menunjuk satu orang pegawai yang bertanggung jawab terhadap kebijakan dan praktek organisasi dan kepada siapa keluhan serta penyelidikan dapat diteruskan. Pada akhirnya, peran Badan Pengawas akan sangat tergantung dari kemandirian dan ketidakberpihakan dan keefektifannya dalam bekerja. Terdapat dua model utama yang berlaku dalam yurisdiksi di seluruh negara yakni kombinasi antara regulator privasi dan kebebasan informasi atau FOI dan regulator independen. Tabel 1.2

5. Transfer Data Lintas Negara

Perkembangan terakhir pengaturan hukum perlindungan data pribadi mengatur tentang pembatasan pengiriman data pribadi yang ketat ke negara yang dituju. Apabila negara yang dituju dianggap belum 119 Https:www.privacyinternational.orgarticlephr2006-canada, diakses pada tanggal 14 November 2014 Pukul 13.35 WIB . NASKAH AKADEMIK RUU PERLINDUNGAN DATA PRIBADI 81 memiliki perlindungan yang memadaiadequate maka harus diterapkan beberapa syarat tambahan misalnya melalui kontrak atau perjanjian bilateral. Contohnya di Negara Malaysia, pengelola data dan pribadi dilarang untuk melakukan transfer data ke luar wilayah Malaysia, kecuali ke wilayah yurisdiksi yang ditentukan oleh Menteri Malaysia yang bertanggung jawab melindungi data pribadi atas rekomendasi Komisioner. 120 Setiap pelanggaran terhadap ketentuan tersebut diancam denda paling banyak tiga ratus ribu ringgit atau penjara untuk jangka waktu tidak lebih dari 2 dua tahun atau keduanya. Wilayah yurisdiksi yang diterima oleh Malaysia adalah wilayah negara yang dianggap mampu menyediakan perlindungan data dan informasi pribadi seperti halnya yang diberikan Malaysia. Terdapat 2 dua kondisi agar dapat melakukan transfer data pribadi. Pertama, negara tersebut harus memiliki undang- undang perlindungan data pribadi yang secara substansi menyerupai undang-undang yang melindungi data dan informasi pribadi di Negara Malaysia. Kedua, negara yang diterima Menteri Malaysia harus menyediakan perlindungan terhadap data dan informasi pribadi yang setidaknya setingkat dengan The Personal Data Protection Act No. 709 of 2010. 121 120 Seksi 129 1 Personal Data Protection Act PDPA 2010 Malaysia menyatakan: “A data user shall not transfer any personal data of a data subject to a place outside Malaysia unless to such place as specified by the Minister, upon the recommendation of the Commissioner, by notification published in the Gazette.” 121 Seksi 129 2 The Personal Data Protection Act PDPA 2010 Malaysia menyatakan :“For the purposes of subsection 1, the Minister may specify any place outside Malaysia if — NASKAH AKADEMIK RUU PERLINDUNGAN DATA PRIBADI 82 Selain keadaan yang telah disebutkan di atas, transfer data dan informasi pribadi ke luar Malaysia juga dapat terjadi apabila: 122 Subyek data menyetujui transfer data ke luar Malaysia, 1. Transfer data diperlukan untuk melaksanakan perjanjian antara pengelola data dan subyek data, 2. Transfer diperlukan untuk menyetujui atau melaksanakan perjanjian antara pengelola data dan pihak ketiga atas permintaan subyek data atau untuk kepentingan subyek data. a there is in that place in force any law which is substantially similar to this Act, or that serves the same purposes as this Act; or b that place ensures an adequate level of protection in relation to the processing of personal data which is at least equivalent to the level of protection afforded by this Act.” 122 Seksi 129 The Personal Data Protection Act PDPA 2010 Malaysia menyatakan: “Notwithstanding subsection 1, a data user may transfer any personal data to a place outside Malaysia if — a the data subject has given his consent to the transfer b The transfer is necessary for the performance of a contract between the data subject and the data user; c the transfer is necessary for the conclusion or performance of a contract between the data user and a third party which — i is entered into at the request of the data subject;or ii is in the interests of the data subject; d the transfer is for the purpose of any legal proceedings or for the purpose of obtaining legal advice or forestablishing, exercising or defending legal rights; e the data user has reasonable grounds for believing thatin all circumstances of the case — i the transfer is for the avoidance or mitigation ofadverse action against the data subject; ii it is not practicable to obtain the consent in writingof the data subject to that transfer; and iii if it was practicable to obtain such consent, thedata subject would have given his consent; f the data user has taken all reasonable precautions andexercised all due diligence to ensure that the personaldata will not in that place be processed in any mannerwhich, if that place is Malaysia, would be a contraventionof this Act; g the transfer is necessary in order to protect the vitalinterests of the data subject; or h the transfer is necessary as being in the public interestin circumstances as determined by the Minister.” NASKAH AKADEMIK RUU PERLINDUNGAN DATA PRIBADI 83 3. Transfer dilakukan untuk tujuan persidangan atau untuk mendapatkan bantuan hukum atau untuk mengadakan, melaksanakan atau mempertahankan hak berdasarkan hukum. 4. Pengguna data memiliki dasar beralasan untuk mempercayai bahwa dalam segala macam kondisi: a. Transfer dilakukan untuk menghindari atau pencegahan tindakan merugikan hak, keuntungan, keistimewaan, dan kewajiban atau kepentingan pemilik data. b. Tidak memungkinkan untuk memperoleh persetujuan tertulis dari subyek data yang ditransfer. c. Jika memungkinkan untuk mendapatkan persetujuan, subyek data diyakini akan memberikan persetujuan. 5. Pengguna data telah mengambil semua tindakan pencegahan yang wajar dan melakukan semua due diligence untuk memastikan bahwa, data pribadi tidak akan diproses di tempat tersebut dengan dengan cara apapun yang, jika tempat itu adalah Malaysia, akan menjadi suatu pelanggaran terhadap The Personal Data Protection Act No. 709 of 2010 Malaysia. 6. Transfer dibutuhkan untuk melindungi kepentingan vital dari subyek data. 7. Transfer dibutuhkan untuk kepentingan publik dalam keadaan yang ditentukan oleh Menteri. Persyaratan-persyaratan tersebut hampir senada dengan apa yang diatur oleh hukum negara-negara NASKAH AKADEMIK RUU PERLINDUNGAN DATA PRIBADI 84 Eropa. Pada dasarnya Malaysia melarang transfer data pribadi keluar wilayah negara Malaysia dengan pengecualian-pengecualian. Keseluruhan pengaturan mengenai transfer data pribadi tersebut dibutuhkan untuk melindungi subyek data pribadi.

3. Konsep Perlindungan Data Pribadi