Facebook ingin mengakses data sekitar lima juta pengguna WhatsApp di Jerman. Petugas perlindungan data Hamburg kini telah melarangnya. Benar?
Bos Facebook Mark Zuckerberg
Artikel oleh pengacara Karsten Krupna, pakar perlindungan data, hukum TI, dan keamanan siber.
latar belakang
Sekitar dua tahun lalu, Facebook membeli WhatsApp dengan harga sekitar $22 miliar. Saat itu, petugas perlindungan data sudah khawatir apakah pembelian tersebut dimaksudkan untuk bertukar data pengguna. Perusahaan membantah hal ini. Namun, WhatsApp mengumumkan pada bulan Agustus tahun ini bahwa mereka akan mengubah aturan perlindungan datanya sendiri. Sebagai bagian dari perubahan tersebut, nomor telepon pengguna WhatsApp antara lain akan diteruskan ke Facebook. Selain itu, seberapa sering messenger tersebut digunakan juga harus dibagikan.
Pengguna WhatsApp hanya dapat menolak penggunaan data mereka untuk personalisasi iklan Facebook dan saran teman melalui pengaturan pengguna dengan memilih keluar (menghilangkan tanda centang yang telah ditentukan sebelumnya). Namun, pengguna WhatsApp tidak diberi hak suara dalam pertukaran data lainnya.
Perintah administratif dari petugas perlindungan data Hamburg
Dengan perintah tertanggal 27 September 2016, petugas perlindungan data Hamburg Johannes Caspar melarang Facebook mengumpulkan dan menyimpan data dari pengguna WhatsApp Jerman. Selain itu, Facebook harus menghapus data pengguna yang telah diterimanya dari WhatsApp.
Johannes Caspar menjelaskan:
“Perintah tersebut melindungi data sekitar 35 juta pengguna WhatsApp di Jerman. Itu harus menjadi keputusan Anda apakah Anda ingin akun Anda ditautkan ke Facebook. Untuk melakukan ini, Facebook harus meminta izin Anda terlebih dahulu. Itu tidak terjadi. (…).”
Apakah petugas perlindungan data Hamburg bertanggung jawab?
Pertanyaan krusialnya adalah apakah undang-undang perlindungan data Jerman berlaku – dan oleh karena itu apakah petugas perlindungan data di Hamburg bertanggung jawab.
Dan hal ini mungkin terjadi (menurut Pasal 1 Ayat 5 Kalimat 1 Setengah Ayat 2 Undang-Undang Perlindungan Data Federal). Pertama, prinsip yang disebut “prinsip negara tempat tinggal” berlaku. Oleh karena itu, undang-undang perlindungan data Jerman tidak berlaku jika badan yang bertanggung jawab di negara UE lain atau di negara lain yang terikat pada Perjanjian Wilayah Ekonomi Eropa mengumpulkan, memproses, atau menggunakan data pribadi di dalam negeri. Namun, hal berbeda berlaku jika data dikumpulkan oleh “cabang” di Jerman.
Otoritas pengawas membenarkan tanggung jawabnya justru dalam aspek ini. Karena Facebook menjalankan bisnis periklanan berbahasa Jerman melalui cabangnya di Hamburg, undang-undang perlindungan data nasional juga berlaku. Sebaliknya, Facebook selalu menjelaskan bahwa undang-undang perlindungan data Jerman tidak berlaku karena bisnisnya di Eropa dijalankan dari Irlandia.
Keputusan Pengadilan Eropa yang terkenal dalam kasus Google dan Google Spanyol (ECJ, keputusan 13 Mei 2014, C-131/12 Juris) mungkin berarti untuk kasus saat ini bahwa pemrosesan data dalam “kerangka kerja” kegiatan” di cabang Jerman berlangsung. Artinya, undang-undang perlindungan data Jerman berlaku. Dalam keputusannya saat itu, ECJ menerapkan pemahaman luas tentang “kemapanan”. Pengadilan memberikan hak kepada individu untuk meminta operator mesin pencari menghapus tautan ke situs web yang berisi konten yang tidak diinginkan.
Namun keputusan tersebut berkaitan dengan kasus dimana pengolahan data dikendalikan oleh badan yang bertanggung jawab di negara ketiga, yaitu di luar Uni Eropa, namun badan tersebut mempunyai pendirian di Uni Eropa. Dalam hal ini, untuk melindungi warga negara UE, interpretasi luas terhadap konsep pendirian harus membenarkan penerapan undang-undang perlindungan data Eropa.
Namun, pertanyaan tentang Facebook dan WhatsApp bukanlah tentang penerapan undang-undang perlindungan data Eropa, melainkan tentang undang-undang perlindungan data Irlandia dan Jerman. Dalam konstelasi ini, Pengadilan Tata Usaha Negara di Hamburg memutuskan pada bulan Maret 2016 (Az. 15 E 4482/15) bahwa “jika, karena badan yang bertanggung jawab memiliki cabang di beberapa Negara Anggota, rezim perlindungan data beberapa Negara Anggota dapat dianggap menerapkan hukum di Negara Anggota tersebut” adalah “di mana cabang yang paling dekat hubungannya dengan pemrosesan data tersebut berada.” Jika undang-undang perlindungan data Eropa berlaku, menurut pendapat Pengadilan Administratif Hamburg, yang relevan bukanlah pemahaman yang luas (Google Spanyol), melainkan pemahaman sempit tentang definisi cabang. Hal ini mungkin berarti bahwa pada akhirnya hanya undang-undang perlindungan data Irlandia yang relevan untuk penilaian pemrosesan data.
Satu pertanyaan akan sangat penting
Berdasarkan standar ini, Facebook kini dapat meminta legalitas perintah administratifnya ditinjau di pengadilan. Pertanyaan yang menentukan dalam persidangan ini adalah apakah masing-masing pengadilan mengikuti penafsiran yang sempit atau luas mengenai konsep pendirian konstelasi kasus saat ini dan apakah pengadilan tersebut menganggap pembedaan sebagai suatu hal yang diperbolehkan. Jika penerapan undang-undang perlindungan data Jerman dikonfirmasi dalam persidangan, pengadilan mungkin juga akan menganggap pertukaran data antara WhatsApp dan Facebook tidak dapat diterima.
Karena tidak ada standar persetujuan hukum dari Undang-Undang Perlindungan Data Federal atau peraturan hukum lainnya yang memenuhi syarat untuk proses pemrosesan data ini, pertukaran data hanya akan diizinkan berdasarkan pernyataan persetujuan efektif dari pengguna. Namun, karena hal ini belum diperoleh, baik transfer data pengguna WhatsApp ke Facebook maupun penggunaan data tersebut oleh Facebook tidak dapat diterima.
Terlepas dari aspek perlindungan data, setelah pertukaran data juga tetap perlu dilakukan pemeriksaan apakah tindakan periklanan yang dimaksudkan oleh Facebook diperbolehkan. Hal ini tidak mungkin terjadi pada email iklan yang dibuat oleh Facebook, karena memerlukan persetujuan tegas dari pengguna. Persyaratan berdasarkan undang-undang menentang persaingan tidak sehat (UWG) tidak dipenuhi, setidaknya melalui prosedur opt-out yang digunakan.