Teka-teki persetujuan |  Berita GMA Online
Opinion

Teka-teki persetujuan | Berita GMA Online

Cara paling pasti dan termudah untuk memproses data pribadi dengan cara yang sah adalah dengan terlebih dahulu mendapatkan persetujuan dari orang yang informasinya akan Anda proses. Kita semua telah mendengar pernyataan ini berkali-kali, bahkan dari beberapa yang disebut pakar privasi. Sayangnya, kurang dari setengahnya benar.

Mengamankan persetujuan yang tulus lebih rumit daripada yang terlihat. Dan bahkan setelah pengumpulan berhasil, aktivitas pemrosesan data berikutnya masih dapat dibatalkan karena tidak konsisten dengan prinsip-prinsip perlindungan data dasar.

Dengan kata lain, itu tidak mudah. Dan itu tidak menawarkan perlindungan mutlak dari biaya pemrosesan data yang tidak sah.

Inilah alasannya.

Persetujuan yang diberikan oleh subjek data (yaitu, individu yang data pribadinya akan diproses) dianggap sebagai salah satu alasan sah yang dapat diandalkan entitas saat memproses data pribadi. Tidak masalah jika hanya informasi pribadi yang terlibat, atau jika menyangkut kategori khusus informasi pribadi sensitif (SPI) dan informasi istimewa.

Berdasarkan Undang-Undang Privasi Data 2012 (DPA), persetujuan didefinisikan sebagai indikasi kehendak yang diberikan secara bebas, spesifik, dan diinformasikan, di mana subjek data menyetujui pengumpulan dan pemrosesan data pribadi mereka. Bukti persetujuan dapat dilakukan dengan cara tertulis, elektronik, atau rekaman. Definisi ini sangat mirip dengan yang diberikan oleh Peraturan Perlindungan Data Umum (GDPR) Uni Eropa, kecuali bahwa yang terakhir lebih menekankan perlunya ekspresi keinginan yang jelas, yang diwujudkan melalui pernyataan atau “tindakan afirmatif yang jelas”.

Dari makna yang ditentukan ini, kita dapat memperoleh empat elemen kunci yang membentuk persetujuan yang sah. Itu harus: (a) diberikan secara cuma-cuma; (b) spesifik; (c) diinformasikan; dan (d) eksplisit atau tidak ambigu. Hanya setelah memeriksa keempatnya dengan cermat, seseorang dapat menghargai betapa sulitnya mendapatkan persetujuan sebenarnya.

Diberikan secara cuma-cuma – Ini berarti subjek data harus memiliki pilihan nyata. Mereka tidak dapat dipaksa untuk setuju, apakah itu melalui penipuan, intimidasi, paksaan, tekanan, atau pengaruh yang tidak semestinya. Jika ada ketidakseimbangan kekuasaan antara entitas yang meminta persetujuan dan orang yang diminta untuk memberikannya, persetujuan yang diberikan kemungkinan akan dianggap tidak sah. Inilah sebabnya, di UE, lembaga pemerintah dan pengusaha disarankan untuk melihat alasan sah lainnya terlebih dahulu ketika mencoba membenarkan pengumpulan data mereka. Mereka sepenuhnya sadar bahwa jika pemerintah atau atasan Anda meminta Anda melakukan sesuatu, lebih sering daripada tidak, Anda akan mengalah. Dinamika kekuasaan mau tidak mau menciptakan tekanan yang harus ditanggung oleh warga negara dan karyawan. Demikian pula, persetujuan juga akan menjadi tidak sah jika seseorang akan mengalami konsekuensi negatif jika dia menolak untuk memberikannya, atau tidak akan diizinkan untuk menariknya lagi di lain waktu.

Spesifik – Ini berarti persetujuan harus mengacu pada tujuan tertentu. Untuk menggabungkan beberapa tujuan bersama dan meminta persetujuan hanya sekali akan menghasilkan persetujuan yang tidak valid. Persyaratan ini dimaksudkan untuk melindungi dari situasi di mana subjek data menyetujui pemrosesan data untuk tujuan tertentu, tetapi dengan melakukan itu, akhirnya dipaksa untuk menyetujui tujuan lain yang tidak terkait juga. Di sini, penting untuk membedakan tujuan dari operasi pemrosesan data. Mungkin saja ada beberapa operasi pemrosesan data yang memiliki satu tujuan yang sama, dalam hal ini, persetujuan hanya perlu dikumpulkan satu kali.

Diberitahukan – Sederhananya, subjek data harus tahu persis apa yang mereka setujui. Subjek data UE, minimal, perlu diberi tahu tentang hal-hal berikut: (a) identitas pengontrol data; (b) tujuan pemrosesan data; (c) jenis data yang akan diproses; dan (d) adanya hak untuk mencabut persetujuan. Jika berlaku, informasi tentang proses pengambilan keputusan otomatis, transfer data, dan perlindungan untuk transfer tersebut juga harus disampaikan. DPA kami sendiri tidak merinci jenis informasi yang menjadi hak subjek data saat persetujuan mereka akan segera dikumpulkan. Namun, taruhan yang aman adalah daftar informasi yang ditampilkan di bawah hak (subyek data) untuk diinformasikan.

Jelas – Harus jelas bahwa subjek data benar-benar memberikan persetujuan mereka. Oleh karena itu, persyaratan untuk “tindakan afirmatif yang jelas” di pihak mereka. Ini juga mengapa DPA mengatakan persetujuan dapat dibuktikan melalui “cara tertulis, direkam, atau elektronik”. Kondisi ini memperlihatkan beberapa praktik umum yang jelas-jelas tidak memenuhi definisi persetujuan yang sah: (a) kotak keikutsertaan yang telah dicentang sebelumnya; (b) diam atau tidak aktifnya subjek data; dan (c) penggunaan produk atau layanan secara berkelanjutan oleh subjek data.

Ketika Komisi Privasi Nasional dibentuk pada tahun 2016 dan membuat aturan pelaksanaan untuk DPA, banyak perusahaan dan lembaga pemerintah bergegas untuk menyusun formulir persetujuan mereka dan segera meminta subjek data yang sering mereka ajak berbisnis untuk menandatangani formulir tersebut. Sebagian besar sepertinya lupa bahwa ada dasar hukum lain yang lebih mudah dan tepat untuk dipilih. Ada beberapa yang, setelah salah memahami konsep sepenuhnya, mengirimkan surat yang memberitahukan subjek data bahwa dengan terus menjadi pelanggan atau klien, mereka, pada dasarnya, memberikan persetujuan mereka untuk pemrosesan data pribadi mereka.

Tetapi kesalahan tidak hanya berada di pundak pengontrol data lokal. Anggota parlemen kami juga ikut bertanggung jawab. Ketika mereka membuat DPA, mereka mendefinisikan istilah “informasi pribadi yang sensitif” menggunakan pilihan informasi yang aneh yang membuat pengontrol data tidak mungkin memanfaatkan dasar hukum lain untuk operasi pemrosesan data mereka. Mereka tidak punya pilihan selain menggunakan persetujuan, bahkan jika kemungkinan akan gagal memenuhi semua elemen wajib.

Pertimbangkan ini: usia, status perkawinan, dan informasi tentang pendidikan semuanya dianggap SPI oleh DPA. Ketiganya—terutama usia—adalah salah satu jenis data pribadi yang paling banyak dikumpulkan. Oleh karena itu, setiap kali suatu entitas mencoba mengumpulkannya, ia harus bergantung pada alasan yang ditentukan oleh DPA. Melihat daftar itu, mendapatkan persetujuan biasanya merupakan satu-satunya pilihan yang tersedia.

Masalahnya adalah bahwa dalam banyak situasi, penolakan oleh subjek data untuk memberikan persetujuan membuat pengontrol data tidak punya pilihan selain membatalkan transaksi. Jadi, yang terakhir harus bersikeras untuk mendapatkan persetujuan, bahkan jika sepenuhnya sadar bahwa itu mungkin akan menjadi kompromi. Di pihak subjek data, jika dia sangat membutuhkan produk atau layanan pengontrol data, maka dia akhirnya memberikan persetujuan. Hasilnya? Masing-masing pihak dipaksa untuk melakukan sesuatu bahkan jika tahu itu akan menghasilkan hasil yang tidak valid.

Untungnya, mungkin ada sedikit kelegaan yang menunggu dalam waktu yang tidak terlalu lama. Sebuah RUU yang saat ini tertunda di DPR sedang berusaha untuk mengubah DPA. Di antara perbaikan yang diharapkan untuk diperkenalkan adalah penghapusan tiga titik data yang diidentifikasi sebelumnya dari definisi SPI, dan penambahan kinerja kontrak ke dasar yang sah untuk memproses SPI. Bersama-sama, kedua amandemen ini akan membuka jalan bagi pendekatan yang lebih baik untuk mendapatkan persetujuan sebagai awal dari pemrosesan data yang sah.

Jamael Jacob (@jamjacob) adalah seorang pengacara yang berspesialisasi dalam bidang hukum, TIK, dan hak asasi manusia. Dia bekerja untuk Kantor Perlindungan Data Universitas di Universitas Ateneo de Manila, Yayasan untuk Alternatif Media, dan Institut LIGHTS. Pandangan yang diungkapkan di sini tidak selalu mewakili atau mencerminkan pandangan organisasi yang saat ini berafiliasi dengannya.


Posted By : data hk 2021