perusahaan pengendali atau pengolah pribadi harus memahami benar kapan dan dalam konteks apa mereka membutuhkan Persetujuan Subyek Data untuk mengelola data pribadi mereka.
Jakarta (ANTARA/Jacx) Perlindungan data pribadi pengguna internet saat ini semakin dirasa perlu ketika penggunaan internet semakin kerap di berbagai kalangan masyarakat.  Ketidaktahuan terhadap privasi data yang dimiliki bisa mengakibatkan penyalahgunaan yang berujung merugikan warga.

Dalam seri ketiga tulisan tentang perlindungan data pribadi ini, masih akan dipaparkan bagaimana aturan mengenai hal itu yang berlaku di Uni Eropa melalu General Data Protection Regulation (GDPR).

Salah satu yang penting adalah persetujuan subjek data atau pemilik data pribadi atas apa yang akan terjadi dengan data pribadi mereka yang terkait di dunia maya.

Persetujuan Subyek pemilik data seperti diatur dalam Pasal 4, 6, 7 GDPR memiliki berbagai tujuan. Persetujuan itu memberi dasar yang sah untuk melakukan pengolahan data pribadi, melakukan pengolahan kategori-kategori data khusus, serta memberikan dasar atau koreksi atas pelarangan memindahkan data ke luar wilayah ekonomi Uni Eropa. 

Persetujuan juga penting sebagai syarat atas praktek pengiriman pesan pemasaran elektronik atau penempatan cookies. Namun harus diakui lingkup dan kedalaman pengaturan Persetujuan Subyek Data dalam GDPR semakin sulit dilaksanakan dan dikhawatirkan beberapa pihak berdampak kontraproduktif terhadap  bisnis digital jika mesti berpegang padanya sebagai dasar pegolahan data.

Meskipun Persetujuan Subyek Data dapat digunakan untuk mencapai tujuan-tujuan partikular pihak Pengendali Data sejauh diperoleh secara sah, berbagai syarat untuk memperoleh persetujuan itu telah diperketat sedemikian rupa di dalam GDPR. 

Bagi perusahaan penambang dan pengolah data-perilaku-pengguna-internet (user behavior), dengan demikian masalahnya bukan hanya bahwa mereka harus mendapatkan persetujuan dari pengguna untuk mengelola data pengguna, melainkan juga bagaimana cara mereka memperoleh persetujuan tersebut harus sesuai dengan syarat-syarat dalam GDPR.

Artikel Terkait : Masyarakat diimbau tidak cantumkan data pribadi di media sosial

Pada prinsipnya, perusahaan Pengendali Data harus menyediakan mekanisme yang memungkinkan penggunanya untuk dapat memberikan persetujuan penggunaan data secara bebas, sadar,  transparan dan spesifik dalam tujuan dan konteks penggunaan kata  Lukasz Olejnik, peneliti tentang cybersecurity dan perlindungan privasi yang menggeluti permasalahan GDPR.

Hal ini membuat persetujuan lebih sulit didapatkan dan dipertahankan, serta membutuhkan pendekatan yang berbeda bagi praktek penambangan data yang telah berlangsung. Apa saja syarat-syarat bagi persetujuan yang sah di bawah GDPR? 

Persetujuan harus mengindikasikan keinginan –bukan keterpaksaan-- Subyek Data, diberikan secara bebas dan sadar, terjadi dalam konteks yang spesifik dan diberitahukan dengan jelas. Persetujuan harus memenuhi syarat yaitu 

Yang pertama, permintaan Persetujuan Subyek Data yang diajukan pihak Pengendali Data harus dalam bentuk yang mudah dimengerti dan diakses, menggunakan bahasa yang jelas dan lugas.

Kedua, permintaan persetujuan harus dibedakan secara jelas dan rinci dari urusan-urusan lain dalam hubungan antara Pengendali Data atauPengolah Data dengan Subyek Data.

Ketiga, persetujuan yang diberikan Subyek harus mencerminkan tindakan afirmatif yang jelas. Jika data pribadi akan diproses untuk berbagai tujuan, persetujuan harus diberikan terpisah untuk setiap tujuan.

Keempat, persetujuan tidak akan sah jika individu Subyek Data tidak memiliki pilihan bebas yang nyata atau jika ada halangan bagi Subyek Data untuk menolak atau mencabut persetujuan.

Kelima, persetujuan dapat menjadi tidak sah jika ada masalah ketidakseimbangan relasi-kuasa yang nyata antara Pengendali Data dan Subyek Data.

Keenam, persetujuan akan dianggap tidak sah jika menjadi syarat pelaksanaan sebuah kontrak tetapi sebenarnya tidak benar-benar dibutuhkan untuk pelaksanaan kontrak tersebut.

Ketujuh, persetujuan harus dapat dicabut kapan pun dan harus mudah dicabut sebagaimana mudah diberikan.

Dan yang kedelapan, individu Subyek Data harus mengetahui dengan sadar bahwa mereka memiliki hak mencabut persetujuan ketika mereka memberikan persetujuan itu pada awalnya.

Karena persetujuan harus diperoleh melalui tindakan yang nyata dan afirmatif, Pengendali Data tidak dapat lagi “bermain-main” dengan persetujuan yang diandaikan dan bersifat otomatis diberikan Subyek ketika mengakses layanan digital tertentu. 

Ketidakaktifan atau kediaman Subyek, adanya kotak persetujuan yang sudah atau tinggal dicentang (pre-ticked box) tidaklah memadai, dan persetujuan mesti diperoleh melalui serangkaian tindakan yang sadar, bebas dan afirmatif. 

GDPR menyatakan bahwa tindakan yang nyata dan afirmatif Subyek mencakup tindakan mencentang kotak persetujuan secara langsung untuk menandakan persetujuan ketika mengunjungi situs web atau memilih pengaturan teknis tertentu.

Persetujuan Subyek Data Dapat Dicabut. Persetujuan Subyek untuk proses pengendalian atau pengolahan data dapat dicabut setiap saat oleh Subyek. Setelah pencabutan ini, pihak Pengendali Data wajib menghentikan proses pengolahan data, yang mungkin saja mencakup keharusan pembersihan data-data terkait, kecuali jika Pengendali Data memiliki dasar hukum lain untuk melanjutkan pengendalian atau pengolahan data. 

Menerapkan sistem dan proses untuk mengatur pencabutan persetujuan ini dengan semua konsekuensi yang mengikutinya membutuhkan investasi yang signifikan pada pihak perusahaan atau organisasi Pengendali Data.

Persetujuan Subyek Data Tidak Dapat “Dianakcucukan”. Persetujuan yang telah diberikan Subyek Data hanya berlaku untuk proses pengendalian atau pengolahan data yang telah disepakati dan tidak untuk tujuan-tujuan berikutnya. 

Dengan demikian, persetujuan baru dari Subyek Data perlu diperoleh kembali apabila ada kebutuhan atau tujuan baru dalam pengolahan dan pengendalian data. There is no ‘grandfathering’ of consents obtained before the GDPR applies. 

Misalnya, dikarenakan banyak data pemasaran diperoleh dengan menerapkan  kotak-kotak persetujuan yang sudah dicentang dan persetujuan yang bersifat implisit lainnya untuk melakukan pengolahan data di masa lalu, maka perusahaan perlu meminta persetujuan lagi dari Subyek Data jika ingin memanfaatkan data pemasaran itu. Jika permintaan persetujuan ditolak, data terkait dengan Subyek dalam gugus data pemasaran itu mesti dihapuskan.

Persetujuan senantiasa dibutuhkan untuk praktek mengirimkan pemasaran langsung kepada konsumen melalui e-mail atau SMS, kecuali jika pihak perusahaan telah memiliki hubungan atau perjanjian dengan Subyek Data sehingga perusahaan memiliki legitimasi untuk menerapkan apa yang disebut sebagai pengecualian “kontak lunak (soft opt-in)”.

               Dampak dari pengaturan Persetujuan Subyek Data dalam GDPR

Dampak dari pengaturan itu, perusahaan pengendali atau pengolah pribadi harus memahami benar kapan dan dalam konteks apa mereka membutuhkan Persetujuan Subyek Data untuk mengelola data pribadi mereka.

Perusahaan tersebut juga wajib menyediakan mekanisme yang memungkinkan Subyek Data memberikan persetujuan secara bebas, sadar, transparan, dalam maksud dan konteks yang spesifik. 

Mekanisme itu harus memungkinkan Subyek Data untuk bertanya atau membatalkan persetujuan. Pembatalan ini memiliki konsekuensi bahwa data tentang atau terkait dengan Subyek Data juga harus dihapuskan oleh pihak perusahaan.

Pihak pengendali atau pengolah data wajib memastikan bahwa “form” persetujuan yang mereka sediakan telah memenuhi standar GDPR. Tidak standarnya form ini, dapat membatalkan hak pengolahan data secara otomatis, tanpa permintaan Subyek Data. 

Hal ini berarti menghadapkan pihak pengolah atau pengendali data pada sanksi denda yang berat untuk kesalahan yang tidak mereka sengaja atau tidak mereka sadari.  

Pihak pengendali atau pengolah data perlu melakukan audit untuk menentukan sejauhmana persetujuan yang sah telah mereka peroleh dari Subyek Data untuk pemanfaatan data untuk tujuan baru tertentu. 
Jangan-jangan diperlukan persetujuan baru demi terpenuhinya syarat-syarat GDPR!  Namun, perusahaan perlu mempertimbangkan apakah memungkinkan untuk memperoleh persetujuan baru tersebut. Jangan-jangan secara teknis sulit dilakukan dan membutuhkan biaya besar dan tidak realistis untuk membangun sistem pendukungnya?

Pihak pengendali atau pengolah data wajib memastikan bahwa subyek Data diberi pilihan yang jelas untuk memberikan persetujuan dan kebebasan untuk mencabut persetujuan tanpa kerugian.

Juga wajib memastikan persetujuan dibedakan dari hal-hal lain dan tidak dimasukkan ke dalam dokumen lain (misalnya dimasukkan dalam syarat dan ketentuan atau dalam kontrak karyawan)

Juga wajib dipastikan, subyek Data mengetahui setidaknya identitas Pengendali Data dan tujuan pengolahan sebelum mereka diminta untuk memberikan persetujuan.

Persetujuan yang dimaksud diberitahukan terlebih dahulu kepada Subyek Data, misalnya dijadikan satu dengan  Boks Pemberitahuan Privasi.

Persetujuan ditulis dalam bahasa yang jelas dan lugas sehingga ada transparansi tentang untuk urusan apa pengolahan data dilakukan, seberapa lama, apa saja konsekuensinya dan lain-lain.

Persetujuan diberikan melalui tindakan afirmatif yang jelas (misalnya dengan mencentang kotak), dengan istilah yang gamblang (misalnya secara eksplisit menggunakan istilah “persetujuan” dalam form persetujuan).

         Pemberitahuan Privasi
 
Berdasarkan pasal 12, 13, 14 GDPR, Pengendali Data harus lebih transparan terhadap Subyek Data tentang kegiatan pengolahan data yang mereka lakukan. Subyek Data harus mendapatkan informasi tentang cara dan tujuan pengolahan data pribadi mereka. 

Informasi tersebut harus ringkas, transparan, jelas dan mudah diakses. Di saat yang sama, “daftar belanja” informasi yang dikelola Pengendali Data harus dimuat dalam pemberitahuan privasi, yang lingkupnya telah diperluas secara signifikan dalam GDPR. 

Pengendali Data harus senantiasa memeriksa kembali Form Persetujuan dan Boks Pemberitahuan Privasi yang mereka berlakukan untuk memastikan terpenuhinya syarat-syarat GDPR yang lebih terperinci.

Bagaimana memberikan Pemberitahuan Privasi yang sah? Baik data diperoleh langsung dari Subyek Data atau secara tidak langsung melalui pihak ketiga, Pemberitahuan Privasi harus menyatakan:

Yang pertama, rincian identitas dan kontak pihak Pengendali Data atau perwakilannya.

Kedua, rincian kontak petugas perlindungan data yang ditunjuk pihak Pengendali Data.

Ketiga, tujuan dan dasar hukum pengolahan data, serta kepentingan yang melatarbelakanginya.

Keempat, hak Subyek untuk mencabut persetujuan. Kategori-kategori data pribadi yang diproses dan sumbernya (jika data diambil dari pihak ketiga dan tidak ditambang langsung dari Subyek Data). Kategori-kategori penerima data pribadi (misalnya mitra atau vendor pihak ketiga).

Yang kelima, Rincian pemindahan data ke luar Uni Eropa, termasuk rincian mekanisme perlindungan yang digunakan. Periode penyimpanan data atau penggunaan kriteria untuk menentukan periode tersebut.

Keenam, Rincian hak-hak individu, termasuk hak mengadu kepada Lembaga Pengawas Perlindungan Data. Dan yang ketujuh, rincian pembuatan keputusan otomatis.

Ada tantangan mendasar dalam masalah Pemberitahuan Privasi. Di satu sisi, Pengendali Data harus berkomunikasi dengan individu dengan cara yang jelas dan dapat dimengerti. Di sisi lain, mereka harus mengomunikasikan informasi yang cukup terperinci dan berpandangan ke depan tentang kegiatan pengolahan data yang mereka lakukan. 

Perlu ada keseimbangan antara menjelaskan aktivitas pengolahan secara akurat dan memastikan keberlanjutan proses pemberitahuan privasi. 

Memastikan keberlanjutan ini termasuk misalnya menulis pemberitahuan privasi sedemikian rupa sehingga memungkinkan adanya fleksibilitas bagi Pengendali Data untuk menggunakan data pribadi seperti yang dipersyaratkan, termasuk untuk tujuan yang tidak diketahui secara khusus pada saat pengumpulan data, sementara tetap tunduk pada syarat-syarat GDPR. 

Ada kemungkinan sistem pengoperasian bisnis yang kompleks akan kesulitan memuat semua informasi yang dipersyaratkan dalam pemberitahuan privasi, tanpa melakukan perubahan pada pengaturan yang berlaku. Beberapa syarat juga cukup sulit dipenuhi.

              Pembatasan Konteks dan Tujuan Penggunaan Data

GDPR sangat menekankan prinsip pembatasan konteks dan tujuan penggunaan data pribadi oleh pihak Pengendali dan rekanannya (Pasal 6). 

GDPR menegaskan, data pribadi dapat dikumpulkan dan dikelola hanya untuk tujuan yang sudah ditetapkan atau disepakati secara gamblang dan sah dan tidak dapat diproses lebih lanjut dengan cara yang tidak kompatibel dengan tujuan tersebut. 

Memang ada peluang untuk memperluas tujuan tersebut di luar batas-batas yang telah disetujui antara Subyek Data dan Pengendali Data, tetapi penggunaan lebih lanjut data untuk tujuan lain secara arbitrer dan tanpa pemberitahuan yang memadai dianggap pelanggaran oleh GDPR.  

GDPR menyatakan bahwa Pengendali Data harus mempertimbangkan apakah tujuan lebih lanjut kompatibel dengan tujuan awal data dikumpulkan. Jika Pengendali Data menemukan bahwa tujuannya tidak kompatibel, ia harus meminta persetujuan atau tidak melakukan pengolahan secara arbitrer. 

Hal-hal yang perlu dipertimbangkan termasuk kaitan antara tujuan awal dan tujuan berikutnya, ekspektasi Subyek Data yang masuk akal berdasarkan hubungan mereka dengan Pengendali Data, sifat pribadi dari data yang dikelola, konsekuensi yang mungkin muncul dari pengolahan yang dimaksud  terhadap subyek data.

Banyak sistem manajemen data akan mempergunakan serangkaian sumber data pribadi untuk tujuan-tujuan yang diperluas atau tujuan lain yang berbeda dengan tujuan awal. 

GDPR berkepentingan untuk memastikan keberadaan tujuan baru membutuhkan persetujuan baru dari Subyek Data, serta untuk membatasi atau meminimalisir penggunaan data pribadi Subyek yang dalam perkembangannya cenderung semakin tak terbatas dan tak terkontrol.

Apa dampak pemberlakuan prinsip pembatasan konteks dan tujuan penggunaan data?

Jika perusahaan ingin menggunakan data pribadi  untuk tujuan baru, perlu dipastikan tujuan baru ini  kompatibel dengan tujuan awal pengumpulan data.

Perusahaan perlu meninjau Pemberitahuan Privasi dan Form Persetujuan untuk memastikan tujuan pengolahan digambarkan secara akurat, gamblang dan tidak membuka kemungkinan bagi penggunaan data yang menyimpang dari persetujuan awal antara Pengendali Data dan Subyek Data.

Perusahaan harus menerapkan mekanisme yang baku dan pengawasan tertulis untuk memastikan pengawasan pengolahan data yang tepat dan sesuai dengan tujuan awal untuk kemungkinan-kemungkinan tujuan yang lain berikutnya.

*Agus Sudibyo, Head of New Media Research Center ATVI Jakarta.

Artikel Terkait : Menimbang Regulasi Perlindungan Data Pribadi Pengguna Internet (Bagian I)

Artikel Terkait : Menimbang Regulasi Perlindungan Data Pribadi Pengguna Internet (Bagian II)

 

Pewarta: Agus Sudibyo*
Editor: Panca Hari Prabowo
Copyright © ANTARA 2019