Privasi Data: Biaya Kesalahan

Ketika Peraturan Perlindungan Data Umum (GDPR) Eropa mulai berlaku pada Mei 2018, peraturan tersebut menjadi landasan bagi generasi baru undang-undang privasi data yang memberikan perlindungan lebih besar kepada konsumen. Prinsip-prinsip inti seperti persetujuan yang jelas, minimalisasi data, pembatasan tujuan, dan hak untuk menolak telah secara efektif menulis praktik terbaik data yang mapan ke dalam undang-undang.

Sejak itu, undang-undang privasi gaya GDPR telah diadopsi di seluruh dunia. CCPA California mengatur bola bergulir di AS, dengan banyak negara bagian lain mengikuti (Colorado, Connecticut, Utah, dan Virginia) atau dalam proses mengikuti (Michigan, New Jersey, Ohio, dan Pennsylvania). Di seluruh dunia, kami juga telah melihat pengenalan LGPD di Brasil dan PIPL di Cina, untuk menyebutkan dua saja.

Tantangan yang sekarang dihadapi oleh pengontrol data dan pemroses data adalah ambiguitas. Artinya, apa sebenarnya arti klausa kunci dalam undang-undang baru ini? Seringkali, mereka perlu diuji di pengadilan untuk mengklarifikasi niat mereka yang sebenarnya dan menetapkan preseden hukum. Ini sekarang terjadi di Eropa, dan praktisi di tempat lain dapat belajar dari kasus-kasus ini dan menerapkan temuan-temuannya sebelum mereka melanggarnya di negara mereka sendiri.

Eropa menindak privasi data

Regulator Eropa pasti telah memamerkan gigi mereka pada tahun 2022.

Clearview AI, sebuah perusahaan pengenalan wajah, telah didenda € 20 juta oleh badan perlindungan data Italia dan € 9 juta lebih lanjut oleh Kantor Komisaris Informasi (ICO) Inggris untuk pemrosesan ilegal data pribadi biometrik dan geolokasi.

Regulator Irlandia memberlakukan € 17m pada Meta (Facebook) karena kegagalan untuk memiliki langkah-langkah teknis dan organisasi yang sesuai.

Di Spanyol, Google didenda €10 juta karena memaksa pengguna menerima transfer permintaan penghapusan konten ke pihak ketiga.

Baru-baru ini, sebagai akibat dari kegagalan melindungi privasi anak-anak saat menggunakan platform, TikTok dapat menghadapi denda £27 juta menyusul potensi pelanggaran undang-undang perlindungan data Inggris.

Tema umum yang dijalankan melalui kasus-kasus ini adalah prinsip-prinsip inti “keabsahan, keadilan, dan transparansi,” yang berarti bisnis harus jelas dengan individu tentang bagaimana data pribadi mereka akan diproses, dan bahwa dasar hukum yang sesuai telah ditetapkan untuk melakukannya.

Di Inggris Raya, tindakan penegakan hukum pada tahun 2022 sebagian besar berfokus pada pengiriman pesan pemasaran yang tidak sah. Undang-undang privasi data baru seperti GDPR memerlukan dasar hukum—biasanya persetujuan atau kepentingan yang sah—untuk pemrosesan data pribadi, yang mencakup aktivitas pemasaran.

Kasus terbaru* menunjukkan persyaratan ini masih belum dipahami dengan jelas (atau sengaja diabaikan!):

• Finance Giant Ltd ( £60.000 ): Menghasut pengiriman total 505.759 pesan pemasaran langsung yang tidak diminta yang dikonfirmasi.
• Bizfella Limited ( £30,000 ): Menghasut pengiriman 224.550 pesan SMS pemasaran langsung yang tidak diminta.
• H&L Business Consulting Limited ( £80.000 ): Menghasut pengiriman 451.705 pesan SMS yang tidak diminta untuk tujuan pemasaran langsung.

*Pembaca dapat memperoleh teks lengkap untuk semua penilaian dari situs web ICO dan juga dapat mendaftar untuk menerima buletin “Tindakan Penegakan” ICO.

Konsumen ingin tahu bagaimana data mereka digunakan

Tema penting yang dijalankan melalui semua kasus ini (dan lainnya) adalah mereka awalnya terungkap oleh keluhan konsumen. Konsumen sekarang memiliki pemahaman yang lebih besar tentang hak privasi data mereka dan siap untuk menggunakan hak ini jika mereka yakin data pribadi mereka disalahgunakan.

Saat menangani data konsumen, penting untuk diingat:

• Persetujuan yang sah mensyaratkan bahwa individu harus diberikan pilihan dan kontrol yang nyata.
• Individu harus diberitahu secara eksplisit bahwa mereka akan menerima pesan pemasaran.
• Persetujuan harus dipisahkan dari kebijakan privasi dan/atau syarat dan ketentuan pengirim lainnya.
• Persetujuan tidak langsung hanya dapat berlaku jika cukup jelas dan spesifik.
• Harus ada cara sederhana bagi individu untuk menolak penggunaan detail kontak mereka.

Beberapa bisnis telah jatuh ke dalam perangkap privasi lainnya

Setelah migrasi ke sistem CRM baru, Reed Online secara tidak sengaja menjadwalkan email pemasaran kepada pelanggan yang sebelumnya telah berhenti berlangganan/dihentikan.

Tuckers Solicitors mengalami serangan ransomware, yang mengakibatkan pelanggaran data pribadi. ICO memutuskan bahwa kegagalan perusahaan untuk menerapkan langkah-langkah teknis dan organisasi yang tepat telah membuat mereka rentan terhadap serangan.

Kantor Kabinet pemerintah Inggris mengungkapkan alamat pos penerima Penghargaan Tahun Baru 2020 secara online—kegagalan untuk mencegah pengungkapan informasi orang yang tidak sah.

Banyak insiden privasi data tidak menjadi berita utama

Sementara pelanggaran profil tinggi menjadi berita utama, banyak insiden jauh lebih biasa.

ICO menerbitkan laporan keamanan data triwulanan, dengan masalah “non-cyber” (yaitu, yang ditimbulkan sendiri) terbaru termasuk:

• Data dikirim melalui email ke penerima yang salah ( 22 persen )
• Akses tidak sah ( 14 persen )
• Data yang dikirim atau dikirim melalui faks ke penerima yang salah ( 13 persen )
• Kehilangan/pencurian dokumen atau data yang tertinggal di lokasi yang tidak aman ( 8 persen )
• Gagal menyunting ( 6 persen )

Tren ini sebagian besar menunjuk pada kesalahan manusia dan/atau pelatihan yang tidak memadai, dan menyajikan argumen yang meyakinkan untuk mendukung penerapan praktik “privasi berdasarkan desain” di mana proses yang kuat meminimalkan peluang untuk ketidakpatuhan.

Kami masih belum benar-benar melihat denda "empat persen dari pendapatan global" yang secara teoritis dapat dikenakan, meskipun tidak berarti ini tidak akan terjadi. Denda British Airways (BA)—seperti yang diusulkan—hampir sebelum dikurangi karena berbagai faktor yang meringankan, termasuk dampak krisis Covid-19 pada keuangan BA. Meskipun tidak ada bisnis yang ingin menangani pelanggaran privasi, ada faktor-faktor yang meringankan yang akan dipertimbangkan jika itu terjadi, termasuk:

• Apakah itu pelanggaran pertama kali
• Beratnya pelanggaran
• Entah itu disengaja atau tidak disengaja
• Pemberitahuan proaktif kepada otoritas pengawas
• Tindakan yang diambil untuk mengurangi dampak pada subjek data

Regulator umumnya akan lebih lunak dengan bisnis yang transparan tentang apa yang salah, kooperatif dalam membantu penyelidikan, dan bergerak cepat untuk mengambil tindakan yang akan mencegah terulangnya kembali.

Ini hanyalah permulaan…

Ada begitu banyak lagi yang bisa dikatakan tentang topik ini. Ingin mempelajari lebih lanjut tentang undang-undang privasi data di seluruh dunia? Lihat Panduan untuk Hukum dan Kepatuhan Privasi Global kami.