Perlindungan Privasi memungkinkan data pribadi ditransfer ke AS. Kini tampaknya penerus Safe Harbor yang masih muda berada dalam bahaya.
Artikel oleh pengacara Sylle Schreyer-Bestmann, CMS Jerman.
Perlindungan Privasi tampaknya telah disusupi: Perintah dari Presiden terpilih Donald Trump meningkatkan kekhawatiran bahwa hambatan baru akan menghalangi pertukaran data antara UE dan AS.
Petunjuk Perlindungan Data Eropa dan Peraturan Perlindungan Data Umum UE, yang berlaku untuk semua perusahaan mulai Mei 2018, menyatakan bahwa transfer data pribadi ke negara ketiga hanya diperbolehkan jika terdapat tingkat perlindungan data yang memadai di sana. Negara ketiga adalah negara-negara yang berada di luar Uni Eropa dan Kawasan Ekonomi Eropa.
Aturan tersebut juga berlaku untuk pertukaran data dengan perusahaan di AS. Pertukaran data sudah terjadi ketika perusahaan lain memiliki akses ke informasi tertentu yang dilindungi sebagai “data pribadi”. Contoh praktisnya mencakup penggunaan penyedia cloud AS oleh pelanggan yang berbasis di UE atau pertukaran data pelanggan atau karyawan antar perusahaan dalam satu grup.
Berakhirnya Safe Harbor secara tiba-tiba
Dalam hal transfer data ke perusahaan penerima yang berbasis di AS, Safe Harbor adalah metode pilihan. Jika penerima data dapat membuktikan bahwa ia telah mematuhi apa yang disebut sebagai prinsip Safe Harbor, maka tingkat perlindungan data dianggap cukup. Safe Harbor telah banyak digunakan dalam praktik.
Namun, Safe Harbor tiba-tiba berakhir pada bulan Oktober 2015. Pada tanggal 6 Oktober 2015, Pengadilan Eropa (ECJ) menyatakan keputusan Komisi Safe Harbor tidak sah. Menurut ECJ, Safe Harbor tidak lagi memastikan bahwa tingkat perlindungan data di perusahaan-perusahaan AS dan tingkat perlindungan data di UE setara. ECJ terutama mengacu pada kemungkinan akses otoritas keamanan AS terhadap data warga negara UE – terutama oleh Badan Keamanan Nasional (NSA). Sejak saat itu, masih belum jelas bagaimana transfer data ke AS dapat dilakukan dengan dasar yang aman secara hukum.
Pelindung data pribadi
Sebuah solusi baru dinegosiasikan hampir delapan bulan setelah keputusan ECJ – apa yang disebut Perlindungan Privasi masih berlaku hingga saat ini. Seperti pendahulunya, Perlindungan Privasi UE-AS merupakan komitmen sukarela perusahaan. Namun, kriteria yang harus dipenuhi jauh lebih ketat. Pada bulan Juli 2016, Komisi UE mengakui Perlindungan Privasi melalui apa yang disebut sebagai keputusan kecukupan. Sejak saat itu, pengimpor data AS dapat diasumsikan memiliki “tingkat perlindungan data yang memadai” jika mereka telah mendaftar ke Privacy Shield. Sejauh ini lebih dari 1.500 perusahaan Amerika telah memanfaatkannya.
Baca juga
Perlindungan dari pengawasan massal hanya untuk warga Amerika?
Pada tanggal 25 Januari 2017, Donald Trump menandatangani perintah eksekutif untuk “meningkatkan keselamatan publik”. Di dalamnya, presiden AS yang baru memerintahkan agar orang-orang yang bukan warga negara AS atau penduduk tetap yang sah dikecualikan dari perlindungan Undang-Undang Privasi. Apakah mereka akan menolak perlindungan data bagi warga negara Uni Eropa?
Undang-Undang Privasi melindungi informasi pribadi warga negara AS dari pengawasan massal. Bersama dengan “Undang-Undang Ganti Rugi Yudisial”, undang-undang ini menjadi dasar bagi keputusan kecukupan Komisi UE mengenai Perlindungan Privasi. Warga negara UE mempunyai kesempatan untuk menghubungi otoritas AS jika perusahaan AS melanggar hak perlindungan data. Keistimewaan ini mungkin akan segera berakhir, karena meskipun Perlindungan Privasi Trump tidak diserang secara langsung, ketidakpastian tetap muncul. Dampaknya terhadap perusahaan dan kepercayaan terhadap AS serta perlindungan data bersama terguncang dengan keputusan Trump. Bahkan perusahaan-perusahaan Amerika telah menyatakan keprihatinannya media sosial.
Alternatif untuk Perlindungan Privasi?
Alternatif apa yang tersedia bagi perusahaan yang perlu mengatur ekspor data ke AS jika Perlindungan Privasi tidak berlaku? Pertanyaan-pertanyaan ini sebaiknya ditanyakan oleh perusahaan-perusahaan yang berbasis di UE yang melakukan transfer data. Tidak masalah jika Anda mengirimkan data untuk tujuan penyimpanan atau pemrosesan lebih lanjut di AS. Perusahaan bertanggung jawab atas legalitas pengalihannya dan oleh karena itu secara langsung terkena sanksi dari otoritas pengawas Eropa.
Masih ada kemungkinan untuk mengandalkan salah satu kondisi persetujuan yang diberikan oleh undang-undang perlindungan data. Namun, ini hanya berlaku untuk kasus-kasus individual. Contoh dari kasus tersebut adalah pelaksanaan kontrak yang dibuat oleh pelanggan dengan perusahaan Jerman, tetapi layanannya disediakan oleh perusahaan Amerika.
Perpindahan data juga diperbolehkan jika yang bersangkutan memberikan persetujuannya. Namun, hambatan untuk mendapatkan persetujuan tersebut cukup besar. Mereka memerlukan informasi spesifik dari subjek data tentang data apa yang ditransfer dan untuk tujuan apa. Persetujuan umum tidak mungkin dilakukan.
prospek
Kemungkinan besar – jika Perlindungan Privasi tidak ada lagi – apa yang disebut sebagai klausul kontrak standar Komisi UE (sekali lagi) akan menjadi metode pilihan di masa depan. Dalam hal klausul kontrak standar, pengekspor data dan pengimpor data membuat kontrak. Kontrak ini harus mematuhi klausul kontrak standar yang diterima oleh Komisi UE. Banyak perusahaan sudah mempraktikkan hal ini setelah penghapusan Safe Harbor untuk melaksanakan transfer data mereka dengan cara yang aman secara hukum.
Komisi UE baru-baru ini mengonfirmasi bahwa mereka menerima bahwa transfer data diperbolehkan berdasarkan klausul kontrak standar. Oleh karena itu, akan ada kepastian hukum ketika klausul kontrak standar disepakati, selama ECJ tidak memutuskan sebaliknya.
Disarankan agar semua perusahaan yang terkena dampak memantau situasi ini. Komisi akan meninjau Perlindungan Privasi tahun ini.