Baca berita dengan sedikit iklan, klik di sini
Poin penting
Tiga tahun regulasi perlindungan data pribadi di Eropa diberlakukan.
Denda yang diberikan untuk para pelanggar aturan itu sudah menembus 278 juta euro.
Berpotensi digunakan untuk membungkam mereka yang ingin mengungkap kejahatan pejabat publik.
BAGI perusahaan tempat Muhammad Zamroni bekerja di Berlin, Jerman, keamanan data pribadi para pelanggannya tak boleh dilanggar. Zamroni ingat bahwa dia harus belajar tentang Undang-Undang Perlindungan Data Umum Uni Eropa (GDPR) dan definisi data pribadi saat bergabung dengan perusahaan teknologi yang bergerak di sektor logistik dan makanan itu. “Ketika ada pelanggan minta datanya dihapus, itu harus benar-benar dihapus. Kami tidak boleh menyimpan data apa pun mengenai pelanggan itu,” kata Zamroni kepada Tempo pada Kamis, 3 Juni lalu.
Baca berita dengan sedikit iklan, klik di sini
Zamroni menuturkan bahwa data agregasi anonim masih bisa disimpan untuk keperluan analisis perusahaan. Meski demikian, perusahaannya hanya dapat menyimpan data pelanggan yang tidak aktif atau riwayat aktivitas selama tiga tahun. Informasi itu pun dienkripsi dengan keamanan berlapis yang akan diaudit secara berkala. Menurut Zamroni, pusat data perusahaannya berada di Eropa, meski menggunakan infrastruktur teknologi perusahaan Amerika Serikat.
Baca berita dengan sedikit iklan, klik di sini
Baca berita dengan sedikit iklan, klik di sini
Kebocoran data bisa membawa masalah besar bagi perusahaan Zamroni. Apalagi GDPR menetapkan denda bagi para pelanggar aturan bisa mencapai 20 juta euro atau empat persen dari pendapatan global. “Dendanya luar biasa, jadi data pelanggan dilindungi banget,” tutur Zamroni, warga negara Indonesia yang sudah tiga tahun menetap di Berlin.
Perlindungan data pribadi, seperti identitas diri, nomor telepon, alamat e-mail, dan jejak digital di dunia maya, menjadi barang penting di Eropa. Setiap permintaan informasi pribadi harus menyertakan bukti persetujuan dari individu bersangkutan. Zamroni mengatakan belanja secara daring bisa dilakukan tanpa harus membuat atau mendaftarkan akun yang berisi identitas pribadi, seperti yang lazim terjadi di Indonesia. “Bisa anonim atau cukup mencantumkan alamat pengiriman dan nomor telepon. Setelah transaksi selesai, datanya hilang,” ujarnya.
Uni Eropa memberlakukan GDPR sejak 25 Mei 2018 untuk melindungi keamanan data pribadi penduduknya. Aturan itu juga wajib ditaati perusahaan asing di luar Eropa yang memproses data pribadi warga Eropa. Anggota Uni Eropa dan sejumlah negara yang tunduk pada regulasi Uni Eropa pun membentuk Otoritas Perlindungan Data Pribadi (DPA) yang independen untuk menjalankan regulasi tersebut.
Di bawah GDPR, lembaga atau individu berhak mengajukan gugatan terhadap lembaga pemerintah atau perusahaan swasta yang dinilai telah melanggar aturan. Mereka dapat mengajukan gugatan melalui berbagai jalur, termasuk secara langsung ke lembaga tersebut, ombudsman, atau pengadilan kecil. Inggris telah menyediakan jalur pengaduan daring ke pengadilan kecil, yang melayani kasus-kasus individu.
Salah satu contoh gugatan atas nama perorangan pernah ditangani Komisi Perlindungan Data Irlandia (DPC) pada 2018. Komisi menerima pengaduan dari tiga orang yang menerima iklan dari perusahaan penerbitan dan desain Guerin Media Limited melalui e-mail kantor. Tak satu pun dari para pengadu pernah punya hubungan bisnis dengan Guerin. E-mail itu juga tak menyediakan pilihan bagi penerima untuk menolak berlangganan. Mereka lalu menyurati Guerin untuk menghapus alamat e-mail mereka dari daftar pemasaran Guerin, tapi hal itu tak dilakukan dan mereka tetap menerima sembilan e-mail berikutnya.
DPC kemudian menyelidiki kasus ini dan menemukan bahwa Guerin melanggar GDPR dan menggugatnya dengan 42 dakwaan. Pada 5 Februari 2018, pengadilan menyatakan Guerin bersalah dan menjatuhkan denda 4.000 euro kepada Guerin, yang harus dibayar dalam tempo enam bulan.
Infografis
Dewan Pengawas Perlindungan Data Eropa menyebut GDPR sebagai salah satu pencapaian terbaik Uni Eropa untuk melindungi informasi pribadi. Dalam tiga tahun sejak GDPR diterapkan, lebih dari 281 ribu laporan kebocoran data masuk ke meja otoritas GDPR di berbagai negara Eropa. Jerman menjadi negara yang paling banyak menerima laporan dengan lebih dari 77 ribu kasus.
Para otoritas GDPR pun sibuk menyelidiki kasus pelanggaran perlindungan data pribadi. Mereka telah menjatuhkan hampir 600 sanksi dengan akumulasi denda melebihi 278 juta euro atau setara dengan Rp 4,8 triliun. Rekor denda tertinggi, sebesar 50 juta euro, dijatuhkan oleh otoritas GDPR di Prancis pada 2019 terhadap Google.
Adapun Twitter Inc. menjadi perusahaan teknologi Amerika pertama dengan kasus kebocoran data lintas negara yang diproses dengan GDPR. Otoritas GDPR Irlandia menghukum Twitter dengan denda sebesar 450 ribu euro pada Desember tahun lalu. Sejumlah kasus lain dengan denda lebih dari 20 juta euro melibatkan maskapai penerbangan Inggris, British Airways; perusahaan telekomunikasi Italia, TIM; dan jaringan hotel Marriott International.
Laporan lembaga advokasi hak asasi publik di ranah digital, Access Now, pada Mei lalu menyebutkan otoritas GDPR Spanyol paling aktif dengan menjatuhkan 223 denda. Meski jumlah denda dan kasus bertambah, masih banyak keluhan tentang kasus kebocoran data yang belum ditangani. “Penyelesaian kasus-kasus lintas negara juga sangat lambat,” demikian pernyataan Access Now dalam laporannya.
Urusan transfer data pribadi lintas negara menjadi isu yang lebih serius setelah, pada 2013, konsultan teknologi Edward Snowden membongkar upaya dinas intelijen Amerika (NSA) melakukan pengawasan secara massal. Uni Eropa tengah mengusut kasus dugaan transfer data pribadi warganya ke Amerika Serikat. Pada 27 Mei lalu, Pengawas Perlindungan Data Eropa (EDPS) memulai investigasi setelah menelaah sejumlah kontrak antara lembaga Uni Eropa dan dua perusahaan Amerika yang menyediakan layanan komputasi awan, Amazon dan Microsoft.
Kepala EDPS Wojciech Wiewiorowski menyatakan program kerja sama penggunaan perangkat lunak yang dikenal sebagai Cloud II itu disepakati pada awal 2020. Amazon dan Microsoft Web Services juga telah mengumumkan kebijakan perusahaan agar sesuai dengan aturan Eropa. “Meski demikian, langkah-langkah itu mungkin belum cukup untuk menjamin kepatuhan terhadap aturan perlindungan data Uni Eropa dan perlu diperiksa lagi,” katanya, seperti dilaporkan Reuters.
Meski ditargetkan untuk melindungi masyarakat, GDPR dapat pula disalahgunakan buat menekan hak kebebasan berpendapat publik, jurnalis, dan organisasi sipil yang mengungkap kejahatan pejabat publik. Ini dialami tim jurnalis yang bergabung dalam Rise Project di Rumania. Mereka membongkar kasus penipuan yang melibatkan Presiden Partai Sosial Demokrat Liviu Dragnea pada November 2018.
Laporan Rise Project menyertakan dokumen pendukung, seperti video, foto, surat elektronik, dan dokumen lain, yang menunjukkan kejahatan Dragnea. Namun Otoritas Perlindungan Data Pribadi Rumania justru menuding para jurnalis melanggar aturan dengan mempublikasikan dokumen-dokumen yang tergolong dokumen pribadi dalam laporannya. Otoritas juga mendesak para jurnalis menjelaskan bagaimana mereka bisa mendapatkan data itu.
Yang paling mencengangkan adalah ketika tim jurnalis Rise Project dikenai denda 20 juta euro, sanksi maksimum dalam GDPR. Paul Radu, salah satu pendiri Rise Project, mengaku terkejut atas keputusan Otoritas Perlindungan Data Pribadi Rumania. “Ini pertama kalinya GDPR dipakai untuk membungkam jurnalis di Eropa,” ujar Radu, yang juga anggota Global Investigative Journalism Network, seperti dilaporkan The Atlantic.
Dragnea akhirnya masuk penjara, tapi dalam kasus berbeda. Pada Mei 2019, Mahkamah Agung Rumania menjatuhkan vonis tiga setengah tahun penjara kepadanya karena terbukti melakukan korupsi dan menyalahgunakan wewenang. Sebelum terlibat kasus ini, politikus senior Rumania itu pernah dihukum tak boleh mencalonkan diri sebagai perdana menteri karena terlibat kasus kecurangan dalam pemilihan umum.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat Wahyudi Djafar menyebutkan GDPR menjadi rujukan pembaruan aturan perlindungan data pribadi dengan jangkauan hukum lintas negara. Konsep jangkauan ekstrateritorial ini bisa ditiru dalam aturan Rancangan Undang-Undang Perlindungan Data Pribadi, yang tengah digodok pemerintah bersama Dewan Perwakilan Rakyat. “Data warga Indonesia yang diproses di mana pun bisa dilindungi,” katanya kepada Tempo pada Jumat, 4 Juni lalu.
Meski demikian, menurut Wahyudi, GDPR masih memiliki sejumlah tantangan, antara lain masalah implementasi di platform digital, penyalahgunaan dasar hukum kepentingan yang sah dalam pemrosesan data, dan tidak meratanya interpretasi aturan, terutama yang menyangkut kepentingan publik, sebagai dasar pemrosesan data pribadi. “Soal sanksi terhadap pelanggaran juga menjadi perdebatan. Penafsirannya bisa berbeda-beda di setiap negara,” ujarnya.
Bekas hakim Pengadilan Eropa, Viviane Reding, menilai GDPR sukses menjadi standar global perlindungan data pribadi. Meski demikian, dia menilai GDPR perlu direvisi. Reding, yang dulu bergabung dalam tim perancang GDPR pada 2012, menyebutkan regulator seharusnya bisa lebih berfokus menangani pelanggaran yang dilakukan perusahaan kecil dulu ketimbang terlibat dalam sengketa panjang dengan perusahaan multinasional. “Penegakan hukum terhadap pencurian data sistematis untuk tujuan komersial atau politik juga belum kuat,” katanya, seperti dilaporkan Politico.
GABRIEL WAHYU TITIYOGA (REUTERS, WIRED, BBC, DEUTSCHE WELLE)
- Akses edisi mingguan dari Tahun 1971
- Akses penuh seluruh artikel Tempo+
- Baca dengan lebih sedikit gangguan iklan
- Fitur baca cepat di edisi Mingguan
- Anda Mendukung Independensi Jurnalisme Tempo