【印尼跨境数据传输】跨境数据传输-印度尼西亚

本文讨论了适用于数据跨境传输的印尼监管要求。

由于2019年和2016年通过的遗产法规重叠，法律立场并不直接。本说明试图协调印度尼西亚关于数据跨境传输的法律法规：

• 2022年第27号个人数据保护法（“PDPA”）
• 关于电子系统和交易组织的2019年第71号政府法规（“GR 71”）
• 通信和信息部关于电子系统个人数据保护的2016年第20号条例（“MOCI 20/2016”）

GR71关于电子系统和交易的组织

GR 71第21（1）条明确允许私营商业企业在印度尼西亚境外存储数据。

这与政府部门的电子系统组织者形成了鲜明对比——政府（公共电子系统组织者）收集的数据必须存储在本地。

尽管ESO可以将其数据定位在印度尼西亚境外，但他们必须确保其电子系统和数据可供印尼当局访问，以进行监督和执法（GR 71第21（2）条）。

GR 71是一项政府发布的法规，在2022年（即2022年PDPA通过的年份）之前通过，目前仍有效。

PDPA

根据2022年PDPA第56条，在以下情况下，允许将个人数据转移到印度尼西亚境外：

• 目的国制定了与印度尼西亚数据保护法同等或“更高”的数据保护法；或
• 数据控制者确保“有充分和有约束力的个人数据保护”；或
• 获得数据主体的同意（如果不能同时满足上述两个要求）。

据推测，这意味着数据控制者至少需要从接收数据的海外实体那里获得足够的保证。

MOCI 20/2016关于电子系统中个人数据保护的保护

除了获得用户的同意外，当客户的个人数据从印度尼西亚跨境转移时，ESO还需要“与通信和信息部下属的信息应用控制局协调”（MOCI 20/2016第22条）。在实践中，这是通过提交此类转让的事前和事后通知来编制的。MOCI已确认该要求仍然有效。这是通过在移交之前和之后以规定的形式提交报告来完成的。

如果数据由印尼数据主体直接提交给印尼以外的服务器，则MOCI已确认数据控制器/电子系统操作员也必须遵守相同的报告要求。

金融机构收集的数据

金融机构在印度尼西亚境外建立数据中心或数据处理之前，需要获得印度尼西亚金融服务管理局（“FSA”）的批准（第11/POJK.03/2022号《金融服务局关于商业银行信息技术组织的条例》第35（2）和（3）条）。

结束语

总之，主要义务是遵守上述2022年PDPA第56条，主要目的是确保数据主体获得与在印度尼西亚相同的保护水平。