Pada UU Pelindungan Data Pribadi, terkait Transfer Data Pribadi diatur pada Pasal 55 dan Pasal 56.
Transfer Data Pribadi dilakukan oleh Pengendali Data Pribadi atau Data Controller kepada Prosesor Data Pribadi atau Data Processor di dalam menyelesaikan pemrosesan yang tidak bisa dilakukan oleh Pengendali Data Pribadi.
Sebelum melakukan aktivitas Transfer Data Pribadi, Pengendali Data Pribadi meminta bantuan kepada DPO atau PPDP untuk memberikan pertimbangan dalam bentuk “analisa dampak” (DPIA) terhadap segala macam risiko yang akan terjadi apabila Transfer Data Pribadi dilakukan kepada Prosesor Data Pribadi. Di dalam Pasal 56 UU PDP, transfer Data Pribadi yang dilakukan ke luar wilayah Republik Indonesia membutuhkan “analisa dampak” yang komprehensif karena wajib melakukan analisa mengenai tingkat pelindungan data pribadi di negara tujuan transfer Data Pribadi dan tingkat pelindungan Data Pribadi di lembaga atau korporasi yang dituju di negara lain.
Analisa dampak tersebut merupakan dasar dari Kontrak Transfer Data Pribadi dan Kontrak Pemrosesan Data Pribadi. Apabila telah dilakukan analisa dampak secara menyeluruh oleh DPO atau PPDP, Pengendali Data Pribadi bersama dengan DPO atau PPDP akan merancang 2 draf , yaitu:
- Kontrak Transfer Data Pribadi yang berisikan tentang mekanisme atau cara transfer Data Pribadi yang aman, dan
- Kontrak Pemrosesan Data Pribadi yang didalamnya berisi tentang bagaimana dan apa saja pemrosesan Data Pribadi yang akan dilakukan oleh Prosesor Data Pribadi di tempat tujuan atau pihak yang akan menerima Data Pribadi.
Di sinilah pentingnya peran dan tugas PPDP atau Data Protection Officer untuk memberikan solusi yang efektif dan efisien di dalam mengidentifikasi dan mencegah terjadinya risiko atau dampak yang mungkin terjadi akibat kegiatan Transfer Data Pribadi tersebut.
Dalam istilah internasional, Transfer Data Pribadi disebut sebagai Data Transfer.