Advokat jenderal ECJ ingin melarang transfer data dari UE ke AS. AS berpendapat, pengadilan akan mengambil keputusan pada Selasa depan.
Sebuah artikel oleh Sylle Schreyer-Bestmann, pengacara yang berspesialisasi dalam perlindungan data internasional.
Sejak keputusan Komisi Eropa pada tahun 2000, secara hukum dimungkinkan untuk mentransfer data pribadi dari UE ke AS. Prasyaratnya adalah penerima data telah menandatangani apa yang disebut prinsip Safe Harbor. Menurut Yves Bot, advokat jenderal di Pengadilan Eropa, ECJ harus mematuhinya Hentikan sekarang juga. Seperti yang ditunjukkan oleh pengungkapan Edward Snowden tentang kegiatan mata-mata NSA, data warga negara Eropa tidak dilindungi secara memadai di AS.
Tentang latar belakang hukum
Menurut Petunjuk Perlindungan Data Eropa dan ketentuan Undang-Undang Perlindungan Data Federal Jerman, transfer data ke negara ketiga, yaitu ke negara-negara di luar UE atau EEA, umumnya hanya diperbolehkan jika penerima memiliki tingkat perlindungan data yang memadai. Negara-negara tertentu dianggap aman karena memiliki tingkat perlindungan yang sebanding dengan standar UE.
Apa yang pantas akan diputuskan oleh Komisi Eropa. Misalnya, Swiss, Kanada, Argentina, Australia, Selandia Baru, dan Israel saat ini merupakan negara ketiga yang aman. Amerika Serikat memiliki status khusus karena tingkat perlindungan datanya hanya dapat diasumsikan memadai jika perusahaan penerima memiliki sertifikasi Safe Harbor. Sekitar 4.410 perusahaan telah memanfaatkan opsi ini dan terdaftar dalam daftar Departemen Perdagangan AS – termasuk raksasa internet seperti Facebook, Google, Twitter, dan Yahoo. Safe Harbor harus mengizinkan mereka menyimpan data pengguna UE di AS.
Safe Harbor memainkan peran penting dalam transfer data pelanggan, tetapi juga data karyawan. Contoh: Jika sebuah perusahaan yang berbasis di Eropa mentransfer data karyawannya ke perusahaan saudara atau induk di AS karena data karyawan disimpan dan diproses secara terpusat di sana, maka transfer ini juga hanya diperbolehkan jika perusahaan AS tersebut memiliki tingkat perlindungan data yang memadai. .
Demi kelengkapan, perlu disebutkan bahwa persyaratan penerimaan tambahan yang terkait dengan transfer data di Jerman atau UE harus dipenuhi.
Max Schrems dan Komisi Perlindungan Data Irlandia
Max Schrems dari Austria, pendiri asosiasi penegakan hak dasar atas perlindungan data “Europe-v-facebook.org”, berhasil melakukan hal tersebut. Pada tahun 2013, ia mengajukan keluhan ke Komisi Perlindungan Data Irlandia mengenai fakta bahwa datanya yang dikumpulkan di Facebook disimpan oleh Facebook Ireland Ltd di server Facebook Inc. di AS. Tidak ada perlindungan efektif terhadap tindakan pengawasan negara di sana. Namun, regulator perlindungan data Irlandia menolak melakukan intervensi karena merasa terikat dengan keputusan Komisi mengenai Safe Harbour. Pengadilan Tinggi Irlandia, yang kemudian menyidangkan kasus tersebut, bertanya kepada ECJ apakah intervensi oleh otoritas perlindungan data nasional sebenarnya tidak mungkin dilakukan karena Safe Harbor.
Safe Harbor tidak melindungi warga negara UE dari akses NSA
Bagi Advokat Jenderal Yves Bot, jawaban atas pertanyaan ini jelas tidak. Terlebih lagi, Perjanjian Safe Harbor menurutnya tidak sah. Pengawasan yang dilakukan badan intelijen AS bersifat masif dan tidak tepat sasaran. Akses terhadap data pribadi yang dimiliki oleh badan intelijen mencakup semua orang dan semua sarana komunikasi elektronik serta data yang dikirimkan dan isi komunikasi. Safe harbour tidak dapat melindungi warga negara UE dari akses ini.
Misi AS ke Uni Eropa sangat menarik dalam pernyataannya di pengadilan kemarintidak mengikuti saran dari jaksa agungnya untuk mencegah “kerusakan besar terhadap perlindungan hak-hak sipil dan kebebasan arus informasi”.
Keputusan ECJ terbuka
Keputusan ECJ akan jatuh Selasa depan, 6 Oktober 2015. Jika pengadilan mengikuti saran dari jaksa agungnya, transfer data ke AS hampir tidak mungkin dilakukan di masa mendatang. Terdapat opsi desain alternatif berdasarkan undang-undang perlindungan data untuk memastikan tingkat perlindungan data yang sesuai bagi penerima data. Selain persetujuan yang diberikan oleh undang-undang (persetujuan dari orang yang bersangkutan, pemenuhan kontrak atau perlindungan kepentingan vital orang yang bersangkutan), hal ini mencakup penggunaan klausul kontrak standar UE dan peraturan perusahaan yang mengikat di dalamnya.
Namun, baik klausul kontrak standar maupun peraturan perusahaan yang mengikat memuat klausul pembuka yang mendukung tindakan pengendalian negara. Ketika data ditransfer ke AS, masalah juga muncul karena tidak adanya perlindungan yang memadai di sana.
Pekerjaan dapat dilakukan dalam kasus-kasus individual dengan persetujuan dari mereka yang terkena dampak. Namun, karena persetujuan harus selalu diberikan secara sukarela dan dapat dicabut kapan saja, pernyataan persetujuan tidak dapat digunakan sebagai pembenaran untuk transfer data yang komprehensif.