Denda Paling Spektakuler Pelanggaran Data Pribadi Uni Eropa

INI adalah denda paling spektakuler sepanjang sejarah berlakunya General Data Protection Regulation (GDPR), yang dikenakan kepada platform media sosial atas dasar GDPR.

Otoritas Pelindungan Data Irlandia (IE DPA) menghukum Meta Platform Ireland Limited (Meta IE) dengan denda 1,2 miliar Euro atau setara dengan Rp 19,35 triliun. Luar biasa!

Sebagaimana dipublikasikan European Data Protection Board (EDPB) (22/5/2023), denda ini merupakan denda GDPR terbesar yang pernah ada, dikenakan untuk transfer data pribadi Meta ke AS berdasarkan klausul kontrak standar (SCC) sejak 16 Juli 2020. Meta juga telah diperintahkan untuk menyesuaikan transfer datanya dengan GDPR.

Andrea Jelinek, Ketua EDPB, mengatakan bahwa EDPB menemukan pelanggaran Meta IE sangat serius, karena menyangkut transfer yang sistematis, berulang dan terus menerus.

Facebook memiliki jutaan pengguna di Eropa, sehingga volume data pribadi yang ditransfer sangat besar.

Denda yang belum pernah terjadi sebelumnya ini, menjadi kode keras bagi berbagai korporasi bahwa pelanggaran serius mempunyai konsekuensi berat.

Dalam keputusannya yang mengikat pada 13 April 2023, EDPB menginstruksikan untuk mengenakan denda terhadap Meta IE.

Mengingat keseriusan pelanggaran tersebut, EDPB menetapkan bahwa titik awal penghitungan denda harus antara 20 persen dan 100 persen dari batas maksimum hukum yang berlaku.

EDPB juga menginstruksikan IE DPA untuk memerintahkan Meta IE agar operasi pemrosesan mematuhi Bab V GDPR, dengan menghentikan pemrosesan yang melanggar hukum, termasuk penyimpanan, di AS atas data pribadi pengguna Eropa, yang ditransfer dengan melanggar GDPR, dalam waktu 6 bulan setelah pemberitahuan keputusan akhir.

Tanggung jawab

Pelanggaran data pribadi kini menjadi hal semakin serius. Penggunaan data pribadi secara tidak sah bukan saja hanya mengganggu kenyamanan dan privasi, tetapi juga meresahkan, dan memicu munculnya berbagai kejahatan siber, seperti penipuan finansial, pemerasan, pengancaman, bahkan bisa menyebabkan disorganisasi sosial.

Oleh karena itu, jangan heran jika Uni Eropa memberi sanksi yang sangat berat kepada pengendali data seperti dalam kasus ini, kaitannya dengan transfer data internasional.

GDPR mengatur bahwa transfer data boleh dilakukan ke negara yang memiliki pelindungan yang setara atau lebih tinggi dari GDPR Uni Eropa.

Sebagaimana dilansir Los Angeles Times (22/5/2023), Uni Eropa juga memerintahkan Meta untuk berhenti mentransfer data pribadi pengguna di seluruh Atlantik pada Oktober ini.

Hukuman ini, menurut LA Times, adalah denda terbesar sejak berlakunya GDPR, melampaui hukuman Amazon yang dikenai denda 746 juta euro pada 2021.

Meta menyatakan akan mengajukan banding, dan menyatakan bahwa tidak ada gangguan langsung ke Facebook di Eropa.

Keputusan ini berlaku untuk data pribadi pengguna seperti, nama, email dan alamat IP, pesan, melihat histori, data geolokasi dan informasi lain yang digunakan untuk iklan online bertarget.

Pihak Meta melalui Nick Clegg, Presiden Meta urusan global, dan Chief Legal Officer Jennifer Newstead, menyatakan putusan ini cacat, tidak benar, dan menimbulkan preseden berbahaya bagi perusahaan lain yang tak terhitung jumlahnya, yang mentransfer data antara Uni Eropa dan Amerika Serikat .

Peristiwa ini tidak lepas dari "konflik" antara Washington dan Brussels terkait perbedaan pandangan tentang pelindungan data privasi yang ketat di Uni Eropa, dan rezim hukum yang lebih longgar di AS, yang tidak memiliki hukum privasi federal.

Sebuah perjanjian yang mencakup transfer data Uni Eropa-Amerika Serikat yang dikenal sebagai Shield Privacy pada 2020 dinyatakan oleh pengadilan tertinggi Uni Eropa sebagai tidak cukup untuk melindungi data pribadi penduduk Eropa.

Brussels dan Washington menandatangani kesepakatan tahun lalu, yang bisa digunakan Meta, tetapi sampai dengan kasus ini bergulir, masih menunggu keputusan dari pejabat Eropa tentang apakah itu cukup melindungi privasi data.

Meta memperingatkan dalam laporan pendapatan terbarunya, bahwa tanpa dasar hukum untuk transfer data akan dipaksa untuk berhenti menawarkan produk dan layanannya di Eropa, yang akan secara material dan merugikan bisnis, kondisi keuangan, dan hasil operasi.

UU PDP

Peristiwa pengenaan sanksi denda spektakuler ini, menjadi perhatian seluruh negara di dunia. Uni Eropa ternyata berani secara konsisten menerapkan prinsip bahwa transfer data hanya boleh dilakukan ke negara lain yang memiliki tingkat pelindungan data pribadi yang setara, atau lebih tinggi dari Uni Eropa.

Hal ini juga perlu menjadi perhatian bagi semua korporasi di Indonesia terutama yang memanfaatkan platform digital.

Untuk diketahui, ketentuan dengan prinsip serupa terkait transfer data internasional, juga terdapat dalam Undang-undang No. 27 tahun 2022 tentang Pelindungan Data Pribadi.

Dalam Pasal 56 UU PDP, diatur ketentuan tentang transfer data internasional yang meliputi, pertama, Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi dan/atau Prosesor Data Pribadi di luar wilayah hukum Negara Republik Indonesia, sesuai dengan ketentuan yang diatur dalam Undang-Undang ini.

Kedua, dalam melakukan transfer Data Pribadi tersebut, Pengendali Data Pribadi wajib memastikan negara tempat kedudukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi yang menerima transfer Data Pribadi, memiliki tingkat Pelindungan Data Pribadi yang setara, atau lebih tinggi, dari yang diatur dalam UU PDP.

Ketiga, dalam hal ketentuan di atas tidak terpenuhi, Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat.

Keempat, dalam hal ketentuan yang disebut terakhir ini pun tidak terpenuhi, Pengendali Data Pribadi, wajib mendapatkan persetujuan dari Subjek Data Pribadi.

UU PDP dibuat untuk melindungi data pribadi warga negara kita, tetapi sekaligus menjamin kepastian hubungan bisnis internasional, dengan berbagai negara, yang saat ini tidak dapat dilepaskan dengan penggunaan, dan pelindungan data pribadi.