Latar Belakang
Melalui sebuah keputusan yang matang, Otoritas Perlindungan Data Austria (“Datenschutzbehörde” atau “DSB”) telah memutuskan––berdasarkan studi kasus NOYB––bahwa penggunaan Google Analytics melanggar GDPR (General Data Protection Regulation).
Ini adalah pengambilan keputusan pertama dari DSB Austria. Pengambilan keputusan tersebut berdasarkan 101 keluhan––Schrems II––yang diajukan oleh NOYB. NOYB adalah organisasi nirlaba yang berbasis di Wina, Austria. Organisasi ini mewakili pengguna internet terkait permasalahan dan pelanggaran privasi.
Pada tahun 2020, Mahkamah Hukum Uni Eropa atau The Court of Justice of the European Union (CJEU) memutuskan bahwa penggunaan––alat analytics––dari providers yang berasal dari Amerika Serikat melanggar GDPR.
Mengapa? Karena undang-undang pengawasan AS mengharuskan provider, macam Google dan Facebook untuk memberikan data pribadi secara detail kepada otoritas AS.
CJEU juga mengharapkan negara-negara Uni Eropa lainnya menerapkan keputusan serupa. Hal ini dikarenakan, pembuat regulasi telah bekerja sama dengan task force bernama EDPB (European Data Protection Board) atau Dewan Perlindungan Data Eropa.
Berikut ini ada keputusan dari DSB Austria yang pertama mereka keluarkan.
Tindakan yang Dilakukan Google
Pada bulan Juli 2020, CJEU mengeluarkan keputusan yang bertajuk “Schrems II”. Aturan ini menyatakan bahwa transfer data ke provider dari Amerika Serikat––termasuk di bawah FISA 702 dan EO 12.333––melanggar aturan tentang transfer data internasional di GDPR.
Akibatnya, CJEU membatalkan “Privacy Shield”, setelah membatalkan kesepakatan sebelumnya, “Safe Harbor” pada tahun 2015. Sama seperti Microsoft, Facebook atau Amazon, Google telah mengandalkan apa yang disebut “Standard Contract Clauses (SCC)” untuk melanjutkan transfer data dan menenangkan mitra bisnisnya di Eropa.
Max Schrems, ketua kehormatan noyb.eu, mengatakan, “Alih-alih, benar-benar mengadaptasi layanan agar sesuai dengan GDPR. Perusahaan AS telah mencoba untuk menambahkan beberapa teks atau syarat ke kebijakan privasi mereka dan mengabaikan CJEU. Banyak perusahaan di Uni Eropa telah mengikuti petunjuk, alih-alih berpindah ke opsi hukum.”
SCC dan “TOM” Saja Masih Kurang
Meskipun, Google telah membuat pengajuan yang mengklaim telah menerapkan “Technical and Organizational Measures (TOM)”.
Isinya mencakup gagasan atau usul, seperti
- memasang pengaman di sekitar pusat data,
- meninjau permintaan, atau
- memiliki enkripsi dasar.
Namun, DSB telah menolak gagasan ini sebagai tindakan yang sia-sia.
Max Schrems juga berujar, “Ini adalah keputusan yang sangat rinci dan masuk akal. Intinya adalah: Perusahaan tidak dapat menggunakan layanan cloud AS di Eropa lagi. Sekarang sudah 1,5 tahun sejak CJEU mengonfirmasi hal ini untuk kedua kalinya. Jadi, ini sudah melebihi waktu saat hukum ditegakkan.”
Keputusan Berlaku Hampir di Semua Website yang Ada di Uni Eropa
Google Analytics adalah program statistik yang paling umum dan banyak digunakan. Meskipun, ada banyak alternatif Google Analytics yang host-nya ada di Eropa atau self-hosted. Masih banyak situs web yang mengandalkan Google Analytics, dan “rela” mentransfer data pengguna mereka ke pihak otoritas AS.
Faktanya, otoritas perlindungan data dapat secara bertahap menyatakan layanan AS ilegal. Lalu, memberikan tekanan tambahan pada perusahaan di Uni Eropa dan penyedia AS, untuk beralih ke opsi yang aman dan legal, seperti hosting di luar AS.
Keputusan serupa tentang transfer data UE-AS disepakati oleh European Data Protection Supervisor (EDPS) seminggu sebelumnya.
Max Schrems berkata, “Kami berharap keputusan serupa dilaksanakan secara bertahap di sebagian besar negara anggota UE. Kami telah mengajukan 101 keluhan di hampir semua negara anggota dan pihak berwenang mengoordinasikannya. Keputusan serupa juga dikeluarkan oleh European Data Protection Supervisor (EDPS).”
Solusi Jangka Panjang
Dalam jangka panjang, tampaknya ada dua opsi
- provider AS menyesuaikan perlindungan dasar bagi orang asing untuk mendukung industri teknologi mereka, atau
- provider AS harus meng-host-kan datanya di luar Amerika Serikat.
Max Schrems berkata lagi, “Dalam jangka panjang, kami membutuhkan perlindungan yang tepat di AS, atau kami akan mengakhirinya dengan memilih produk lain. Saya pribadi lebih suka perlindungan yang lebih baik di AS, tetapi ini terserah legislator AS (tidak kepada siapa pun di Eropa).”
Google LLC Tidak Termasuk dalam Aturan Transfer?
DSB telah menolak klaim terhadap Google LLC sebagai penerima data, dengan menyatakan bahwa aturan tentang transfer data hanya berlaku untuk entitas UE dan bukan penerima di AS.
Namun, DSB mengatakan akan menyelidiki Google LLC lebih lanjut sehubungan dengan potensi pelanggaran Pasal 5, 28, dan 29 dari GDPR. Mengapa? Karena tampaknya hal ini perlu dipertanyakan, jika Google diizinkan untuk memberikan data pribadi pengguna kepada pemerintah AS tanpa perintah eksplisit dari data UE data exporter. DSB akan mengeluarkan keputusan tersendiri mengenai hal ini.
Max Schrems menyatakan, “Bagi kami, sangat penting bahwa provider AS tidak bisa begitu saja mengalihkan masalah ke pelanggan UE. Oleh karena itu, kami telah mengajukan kasus terhadap penerima layanan dari AS juga. Secara terpisah, DSB telah menolak pendekatan ini. Kami akan meninjau, jika kami mengajukan banding terhadap keputusan.”
Tidak Ada Penalti (Belum)
Keputusan tersebut tidak berkaitan dengan potensi hukuman. Karena hal ini dilihat sebagai prosedur penegakan “publik, saat pelapor tidak didengarkan keluhanna. Tidak ada informasi, apakah penalti bakal dikeluarkan atau DSB berencana untuk mengeluarkan penalti tersendiri.
GDPR memperkirakan biaya penalti mencapai €20 juta atau 4% dari omzet global dalam kasus seperti itu.
Max Schrems berkata, “Kami akan berasumsi bahwa ada juga penalti untuk pengekspor data UE, tetapi sejauh ini kami hanya menerima sebagian keputusan yang tidak menangani pertanyaan ini.”
Penegakan Lebih Lanjut oleh DPA Jerman
Karena pengekspor data dari Austria telah bergabung dengan perusahaan Jerman. DSB Austria hanya memiliki yurisdiksi untuk pelanggaran pada masa lalu. DSB mengatakan akan menaikkan larangan transfer data pada masa depan. Terutama, saat bekerja sama dengan otoritas terkait––pengekspor data––yang ada di Jerman.
Sumber: https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal