Undang-undang pelindungan data yang menyeluruh penting untuk melindungi hak asasi manusia – utamanya hak atas privasi, dan juga kebebasan-kebebasan terkait lainnya yang bergantung pada kemampuan kita untuk membuat pilihan mengenai bagaimana dan dengan siapa kita membagikan informasi tentang diri sendiri. Peraturan Pelindungan Data Umum Uni Eropa (GDPR) merupakan salah satu upaya paling kuat dan menyeluruh di seluruh dunia untuk mengatur pengumpulan dan penggunaan data pribadi oleh pemerintah dan sektor swasta. Peraturan ini disahkan pada 2016 oleh Uni Eropa, dan mulai berlaku 25 Mei 2018 di 28 Negara Anggota UE. Jika diterapkan dan ditegakkan dengan baik, ini akan mampu meningkatkan pelindungan privasi di dalam dan bahkan luar Eropa.

Ketentuan-ketentuan pelindungan dalam peraturan ini khususnya penting untuk hak asasi manusia di era digital. Berbagai skandal belakangan ini yang melibatkan Facebook dan Cambridge Analytica, serta kekhawatiran masyarakat mengenai pembobolan data digital, periklanan bertarget, dan pemetaan profil oleh sektor swasta memicu berbagai seruan untuk kendali yang lebih besar terhadap bagaimana data pribadi dikumpulkan dan digunakan.

Tanya jawab berikut meringkaskan poin-poin penting dari peraturan baru ini dan membahas apa saja yang akan terjadi setelahnya.

1. Apa itu Peraturan Pelindungan Data Umum Uni Eropa (EU GDPR) dan kepada siapa peraturan ini berlaku?  

EU GDPR merupakan serangkaian peraturan baru yang bertujuan memperkuat pelindungan data pribadi serta memastikan konsistensi penerapan pelindungan tersebut di seluruh Uni Eropa. Peraturan ini dikembangkan dari Petunjuk Pelindungan Data Uni Eropa 1995 yang telah ada sebelumnya, seperangkap peraturan penting yang disusun sebelum hadirnya ponsel pintar dan media sosial serta layanan daring lainnya (mesin pencarian, surel, dll.) yang ditawarkan oleh pemerintah secara gratis kepada pengguna, tetapi didanai dengan periklanan bertarget berbasis data. Peraturan Uni Eropa memperluas pelindungan privasi dari petunjuk sebelumnya dan menerapkan langkah-langkah pelindungan baru untuk merespon perkembangan teknologi yang muncul.

Di era digital, segala sesuatu yang dilakukan seseorang di dunia maya menghasilkan atau mengakibatkan adanya data yang dapat betul-betul mengungkap kehidupan pribadi orang itu. GDPR menyediakan cara-cara baru di mana orang dapat melindungi data pribadi mereka, dan pada akhirnya melindungi privasi dan hak asasi manusia lainnya. Peraturan ini memberi semua orang kendali lebih, dan mewajibkan bisnis, pemerintah, dan organisasi-organisasi lain untuk mengungkap lebih banyak hal kepada pengguna mengenai praktik data mereka, dan mengatur bagaimana mereka mengumpulkan, memproses, dan menyimpan data banyak orang itu.

Data pribadi” diartikan secara luas di bawah GDPR, termasuk “setiap informasi terkait seseorang yang diidentifikasi atau dapat diidentifikasi.” Dengan demikian, bahkan data yang hanya secara tak langsung dapat mengidentifikasi seseorang sekalipun, namun tetap dapat membantu mengidentifikasi seseorang, digolongkan sebagai data pribadi dalam undang-undang ini. Definisi ini mencakup pengidentifikasi atau identifier daring dan perangkat (seperti alamat internet protocol, cookies, atau penanda perangkat), data lokasi, nama pengguna, serta data pseudonim.

Meski GDPR merupakan peraturan Uni Eropa, ia akan mempengaruhi praktik-praktik data dari banyak organisasi di luar UE. Peraturan ini berlaku pada setiap organisasi yang menawarkan barang atau jasa -gratis maupun berbayar- kepada orang-orang di dalam UE, atau yang memantau perilaku orang di luar UE, di manapun lokasi organisasi tersebut. Ini termasuk, misalnya, perusahaan-perusahaan internet besar asal AS, perusahaan periklanan, dan makelar data yang mengolah data pribadi orang-orang di luar UE. Di bawah peraturan ini, “pemrosesan data” didefinisikan secara luas sebagai setiap kegiatan yang menyentuh data pribadi, seperti pengumpulan, penyimpanan, penggunaan, atau penyebarluasan data.

Dalam dokumen tanya jawab ini, kami mengacu pada kewajiban “organisasi” dan perusahaan. Tetapi, penting untuk dicatat bahwa persyaratan GDPR berlaku bagi entitas sektor swasta maupun publik secara luas, termasuk lembaga pemerintah, perusahaan, dan organisasi nonpemerintah.

2. Apa saja pelindungan khusus yang diatur dalam GDPR?

Regulasi UE ini mewajibkan semua organisasi, baik publik maupun swasta, yang memproses data pribadi orang-orang di UE untuk menerapkan langkah-langkah pelindungan tertentu dan mengungkap lebih banyak informasi mengenai data apa yang mereka kumpulkan serta bagaimana mereka akan membagikannya. Peraturan ini juga memberikan lebih banyak pelindungan privasi bagi orang-orang dan data yang mungkin dapat mereka berikan kepada perusahaan atau badan pemerintah. Misalnya:

  • Perusahaan harus meminta persetujuan seseorang sebelum mengumpulkan atau menggunakan data orang itu. Di hampir semua situasi, perusahaan, pemerintah, dan organisasi-organisasi lainnya kini harus memperoleh persetujuan asli berdasarkan penjelasan memadai sebelum mereka mengumpulkan, menggunakan, atau membagikan data pribadi seseorang. Permintaan persetujuan ini harus disampaikan secara jelas, dalam format yang mudah dipahami dan diakses, serta menggunakan bahasa yang jelas dan sederhana [Pasal 6(1)(a)]. Dengan kata lain, permintaan persetujuan harus mudah ditemukan, pun mudah dipahami.  
  • Pelindungan khusus berlaku bagi informasi sensitif. Pemrosesan kategori-kategori data sensitif tertentu diatur dengan sangat ketat. Ini termasuk informasi yang membeberkan ras atau asal usul etnis seseorang, opini politik, keyakinan keagamaan atau filosofis, atau keanggotaan dalam serikat buruh, serta data genetika, kesehatan, dan biometrik (misalnya: sidik jari, pengidentifikasi wajah, dan pengukuran tubuh lainnya) [Pasal 9].
  • Perusahaan wajib memperlakukan pengidentifikasi daring dan data lokasi sebagai data pribadi [Pasal 4(1)]. Ini berarti bahwa informasi yang digunakan para pengiklan dan situs web untuk melacak kegiatan daring seperti cookie, pengidentifikasi perangkat, dan alamat internet protocol berhak mendapatkan tingkat pelindungan yang sama dengan data pribadi. Informasi seperti ini dapat sangat membeberkan kegiatan dan pencarian daring seseorang, khususnya jika digabungkan dengan data lain yang dipegang oleh  perusahaan. 
  • Perusahaan wajib menjelaskan bagaimana data pribadi seseorang digunakan, dibagikan, dan disimpan [Pasal 13], meski apabila mereka memperoleh data mereka dari perusahaan lain seperti makelar data atau perusahaan media sosial [Pasal 14].
  • Siapa pun dapat meminta perusahaan membeberkan informasi mengenai data pribadi apa yang dipegang oleh perusahaan tersebut secara gratis [Pasal 15], lalu meminta agar data tersebut dihapus.
  • Seseorang dapat mengunduh data pribadi mereka dan memindahkannya ke kompetitor melalui hak atas portabilitas data yang baru [Pasal 20]. Misalnya, semua orang semestinya bisa mengambil data mereka dari satu jaringan media sosial atau lembaga keuangan dalam format yang memungkinkan mereka untuk berpindah layanan dengan mudah.
  • Perusahaan didorong untuk mengembangkan mekanisme pelindungan privasi ke dalam sistem-sistem mereka – sebuah konsep yang disebut privacy by design [Pasal 25]. Dalam peraturan ini, mereka yang memproses data harus menerapkan langkah-langkah keamanan teknis dan organisasional yang dirancang untuk melindungi data dari penyelewengan, kehilangan, atau penyalahgunaan – misalnya, dengan meminimalkan data yang mereka kumpulkan, dan mempertimbangkan penggunaan pseudonim dan enkripsi. Bilamana risiko terhadap hak-hak pengguna tampak tinggi, dan khususnya dalam teknologi yang baru dikembangkan, perusahaan diwajibkan melakukan penilaian dampak pelindungan data sebelum memproses data [Pasal 35].  
  • Pembobolan data wajib dilaporkan kepada pihak berwajib [Pasal 33] di hampir semua situasi, dan orang-orang harus diberi tahu apabila data mereka dibobol, yang kemungkinan besar dapat mengakibatkan “risiko tinggi” terhadap hak-hak dan kebebasan mereka [Pasal 34].

Petunjuk Pelindungan Data UE 1995 juga menerapkan banyak persyaratan yang sama, tapi GDPR memperkuat dan memperluas kewajiban-kewajiban dari petunjuk tersebut.

3. Bagaimana GDPR melindungi individu dan hak asasi manusia?

GDPR memberi orang-orang peningkatan pelindungan dari pengumpulan data yang tak perlu, penggunaan data dengan cara-cara yang tak diantisipasi sebelumnya, serta pembuatan keputusan algoritmis yang bias. Di era digital, data pribadi secara intrinsik berhubungan dengan kehidupan pribadi dan hak asasi manusia seseorang. Segala sesuatu yang dilakukan seseorang meninggalkan jejak digital yang dapat membeberkan informasi mendalam tentang pemikiran, keyakinan, pergerakan, asosiasi, dan kegiatan orang tersebut. GDPR berupaya membatasi gangguan secara sewenang-wenang terhadap kehidupan pribadi seseorang yang dilakukan melalui data mereka, yang pada akhirnya turut melindungi hak asasi manusia dalam bentuk-bentuk lain.

Peraturan UE ini memberikan kendali lebih atas data pribadi banyak orang kepada mereka yang tinggal di negara-negara anggota UE. Ini termasuk informasi apa saja yang mereka berikan, bagaimana informasi tersebut digunakan, serta kepada siapa data dibagikan. Ketika perusahaan mengumpulkan data pribadi seseorang, sering kali perusahaan itu harus memperoleh persetujuan pengguna dalam bahasa sederhana, yang berarti bahwa pengguna akan sering diminta untuk memilih  (“opt-in”) data mereka dikumpulkan atau digunakan. Perusahaan seharusnya mengumpulkan dan memproses hanya data yang diperlukan untuk memberikan layanan, baik itu menjual barang secara daring, atau membuat akun media sosial.

Orang-orang dapat mengunduh dan melihat data yang dikumpulkan dari mereka, meminta koreksi, meminta agar data mereka dihapus dalam kasus-kasus tertentu, dan menarik persetujuan kelanjutan penggunaan data itu. Orang juga berhak menolak pemetaan profil atau profiling daring dan iklan bertarget, dan organisasi atau entitas kemudian harus berhenti memproses data pribadi mereka kecuali apabila perusahaan dapat menunjukkan adanya “alasan berdasar dan meyakinkan” untuk melakukan pemrosesan data. Meski tak mendefinisikan apa yang dianggap sebagai “alasan berdasar dan meyakinkan,” peraturan ini memang memberi hak mutlak bagi pengguna untuk menolak dan menghentikan pemasaran langsung melalui surel, panggilan telepon, maupun pesan teks.

Setelah data dikumpulkan, perusahaan harus lebih transparan dalam menyampaikan bagaimana data dibagikan dengan pihak lain. Dalam teorinya, ini berarti bahwa pengguna dapat mengetahui lebih lanjut tentang bagaimana pendekatan perusahaan terhadap profiling daring dan kemitraan dalam iklan bertarget, khususnya pihak-pihak yang menawarkan web analytics, periklanan, atau layanan media sosial.

Terakhir, kerangka kerja baru ini juga menjamin pelindungan dari keputusan-keputusan berdasarkan profiling dan dari keputusan yang dihasilkan komputer [Pasal 22]. Sistem yang menerapkan pengambilan keputusan algoritmik atau bentuk-bentuk profiling lainnya dapat mengakibatkan diskriminasi berbasis ras, jenis kelamin, agama, kebangsaan, atau status lainnya. Meski seseorang menyetujui profiling terhadapnya, ia tetap berhak atas peninjauan yang dilakukan manusia terhadap hasil-hasil signifikan dari sistem pengambilan keputusan otomatis. Seiring dengan meningkatnya penggunaan algoritma oleh perusahaan untuk membuat keputusan-keputusan penting yang berkaitan dengan kehidupan seseorang, seperti apakah orang itu berhak memperoleh manfaat publik, asuransi kesehatan, kredit, atau pekerjaan, pelindungan-pelindungan ini menjanjikan adanya transparansi dan akuntabilitas serta perlindungan dari diskriminasi yang dapat mempengaruhi hak asasi manusia seseorang.

4. Seberapa jelaskah hak dan tanggung jawab di bawah GDPR?

Sebagaimana peraturan baru, biasanya GDPR akan menjadi semakin jelas seiring waktu ketika orang-orang dan perusahaan menantang praktik dan implementasi dalam ketentuan-ketentuan peraturan ini.  Sudah ada beberapa aspek tertentu yang kemungkinan akan menuai pertentangan dan menanti penyelesaian lebih lanjut.

Negara-negara anggota UE memiliki tingkat fleksibilitas tertentu dalam menentukan bagaimana menerapkan undang-undang ini dan mencerminkannya dalam rezim pelindungan data nasional masing-masing. Salah satu area di mana diharapkan akan ada variasi, yaitu usia minimal bagi anak-anak untuk memberi persetujuan terhadap pemrosesan data mereka sendiri tanpa orang tua atau wali. Peraturan UE ini memungkinkan negara-negara anggota untuk menentukan usia minimal untuk memberi persetujuan antara 13 sampai 16 tahun. Ini menimbulkan risiko tiadanya konsistensi dalam berbagai pendekatan yang diambil di seluruh Uni Eropa.

Salah satu area ketakpastian lainnya adalah kapan peraturan ini mengizinkan organisasi untuk mengambil dan memproses data seseorang tanpa persetujuan apabila “kepentingan yang sah” lebih mendesak daripada hak dan kebebasan orang tersebut. Beberapa bentuk “kepentingan yang sah" yang dapat digunakan organisasi termasuk pencegahan penipuan, administrasi internal, keamanan informasi, dan melaporkan kemungkinan tindakan kriminal. Tetapi, pemasaran langsung atau direct marketing juga termasuk kepentingan yang sah, dan berpotensi menimbulkan kategori yang lebih luas sebagai dasar untuk diperbandingkan dengan hak individu. Tergantung dari bagaimana ketentuan “kepentingan yang sah” ini ditafsirkan, hal ini dapat menciptakan celah besar yang memungkinkan para pengumpul data untuk tidak meminta persetujuan pengguna. Salah satu langkah pelindungan adalah bahwa negara-negara anggota UE masih tetap harus menerapkan dan menegakkan peraturan ini demi menjamin penghormatan terhadap hak asasi manusia, sebagaimana tercantum dalam Piagam Hak Asasi Uni Eropa. 

5. Masalah-masalah apa saja yang tak akan mampu diselesaikan dengan adanya GDPR?

Peraturan UE ini tak akan mampu membendung pengintaian berskala besar yang dilakukan pemerintah. Ini dikarenakan peraturan UE mengizinkan pengintaian pemerintah melalui ketentuan pengecualian yang luas. Badan pemerintah dapat memproses data pribadi tanpa persetujuan jika terdapat kekhawatiran “keamanan nasional,” “pertahanan,” atau “keamanan publik,” dan regulasi ini tidak mendefinisikan istilah-istilah tersebut. Sebagaimana telah ditetapkan Mahkamah UE, istilah-istilah ini tak semerta-merta memberi lampu hijau kepada negara-negara untuk melakukan apa pun yang mereka mau. Hukum-hukum hak asasi manusia baik internasional maupun regional (dan peraturan-peraturan nasional yang tak bertentangan dengan peraturan UE) tetap berlaku untuk membatasi kegiatan-kegiatan pengintaian dan pemrosesan data oleh badan intelijen dan penegak hukum. 

Tetapi, banyak negara-negara Eropa telah memperluas undang-undang tentang pengintaian dalam beberapa tahun terakhir, sehingga mengabaikan pelindungan atas privasi dan hak asasi manusia lainnya. Selama beberapa tahun mendatang, Mahkamah Eropa tampaknya akan diminta menjelaskan pengecualian dalam peraturan di negara yang bersangkutan dalam konteks hukum hak asasi manusia UE, Eropa, dan internasional.

Penguatan terhadap pelindungan data di bawah peraturan UE ini juga menekankan kembali betapa lemahnya peraturan pelindungan data di AS sebagai perbandingan. Hal ini juga meningkatkan kekhawatiran mengenai pemindahan data UE ke AS di bawah perjanjian pelindungan privasi, Privacy Shield. Berdasarkan hukum UE, perusahaan-perusahaan AS tak dapat memindahkan data pribadi UE ke AS kecuali jika mereka mampu membuktikan bahwa data akan dilindungi dengan cara-cara yang “pada dasarnya setara” dengan pelindungan di Eropa. Dalam sebuah kasus pada 2015 terhadap Facebook yang diajukan oleh seorang pegiat hak privasi, Max Schrems, pengadilan tertinggi UE membatalkan perjanjian yang memungkinkan pemindahan data, dengan alasan ada kekhawatiran bahwa badan intelijen AS dapat mengakses data Eropa tanpa terkecuali, tanpa ada upaya ganti rugi yang berarti jika badan intelijen terbukti melakukan pelanggaran hak.

Karena berada di bawah tekanan untuk mempertahankan aliran data lintas Atlantik, pada Juli 2016, Departemen Perdagangan AS dan Komisi Eropa mencapai kesepakatan baru, yakni Privacy Shield, dengan komitmen untuk pelindungan data yang lebih kuat. Kesepakatan ini bergantung pada jaminan tertulis dari direktur intelijen nasional AS, bahwa data warga Eropa tak akan dijadikan bahan untuk “melakukan pengintaian massal tanpa terkecuali.”

Akan tetapi, kesepakatan ini pincang sejak awal sebab Privacy Shield tak semerta-merta mencegah adanya pengintaian untuk penjaringan alias dragnet surveillance yang dilakukan terhadap data Eropa. Dengan demikian, Human Rights Watch beranggapan bahwa hukum dan praktik pengintaian AS menghilangkan keabsahan Privacy Shield.

6. Apa yang akan terjadi apabila perusahaan dan lembaga lainnya tak mematuhi GDPR?

Peraturan UE menetapkan denda besar terhadap organisasi sektor publik maupun swasta yang melanggar ketentuan. Misalnya, regulator dapat menjatuhkan denda kepada perusahaan hingga 20 juta euro atau 4 persen dari pendapatan global jika tak mematuhi peraturan, mana pun yang lebih besar.

7. Dampak apa yang akan ditimbulkan GDPR di luar UE?

Peraturan UE tampaknya akan menjadi standar global secara de facto, seperti Petunjuk Pelindungan Data yang telah ada sebelumnya. Ini dikarenakan Peraturan UE akan diterapkan di setiap organisasi yang mengumpulkan atau memproses data warga negara UE, terlepas dari negara basis organisasi tersebut atau di mana data EU diproses. Yang juga mungkin terjadi adalah negara-negara non-Eropa akan meniru beberapa atau banyak dari ketentuan pelindungan dalam peraturan ini saat mereka memodernisasi atau menetapkan hukum pelindungan data mereka.

GDPR dapat menjadi standar yang diikuti secara otomatis oleh banyak organisasi di mana pun, atau setidaknya beberapa elemen di dalamnya. Perusahaan multinasional dapat memilih untuk menerapkan peraturan UE ini kepada siapa pun di seluruh dunia, sementara organisasi lainnya mungkin dapat mencoba mengidentifikasi dan menerapkan rangkaian peraturan terpisah bagi orang-orang di luar UE. Sebagai contoh, Microsoft, Apple, dan Twitter mengumumkan bahwa mereka akan memperluas setidaknya beberapa aturan pelindungan data dari peraturan ini kepada pelanggan mereka di seluruh dunia, dengan berbagai tingkat rincian tentang ketentuan mana saja yang akan mereka berlakukan. Facebook juga telah mengatakan akan memperluas “semangat” dari pelindungan GDPR kepada para pengguna yang berada di luar UE, tetapi tak lagi berkomitmen untuk menerapkan peraturan ini secara global. Pada waktu yang sama, perusahaan ini mengambil sejumlah langkah guna memastikan agar para pengguna Facebook di Afrika, Asia, Australia, dan Amerika Latin tak menjadi penerima manfaat dari peraturan ini.

Meski demikian, perusahaan-perusahaan lainnya bisa saja memutuskan untuk keluar dari pasar UE atau untuk sementara waktu memblokir orang-orang di UE selagi mereka mengupayakan tercapainya kepatuhan terhadap peraturan ini. Pada kasus-kasus lain, sistem yang dikembangkan untuk merespon peraturan UE, seperti portabilitas data, dapat dengan mudah ditawarkan kepada para pengguna di luar Eropa jika telah diberlakukan.

Semua negara seharusnya mengadopsi undang-undang pelindungan data komprehensif yang menempatkan hak asasi individu sebagai pusat utamanya. GDPR tidaklah sempurna, tetapi peraturan ini merupakan salah satu rezim pelindungan data paling kuat di dunia. Pemerintah semestinya meregulasi perlakuan sektor swasta terhadap data pribadi dengan undang-undang yang jelas, dan membatasi pengumpulan dan penggunaan data masyarakat oleh perusahaan agar dapat menjamin hak mereka.

8. Apa yang akan terjadi selanjutnya dengan GDPR?

Beberapa minggu belakangan, banyak perusahaan dan institusi lain yang mengirimkan rentetan pemberitahuan tentang perubahaan ketentuan layanan dan kebijakan privasi mereka untuk mempersiapkan batas waktu dari peraturan UE ini. Meski demikian, ada pemberitahuan perusahaan yang justru memunculkan pertanyaan tentang apakah perusahaan-perusahaan ini mencoba mengelabui semangat atau tujuan GDPR. Misalnya, peraturan UE ini mewajibkan perusahaan untuk memperoleh persetujuan berbasis informasi dari para pengguna sebelum mengumpulkan atau menggunakan data mereka. Tetapi, jurnalis-jurnalis yang sebelumnya telah mengamati dan mempelajari pemberitahuan persetujuan kebijakan privasi Facebook mengkritisi muatan pemberitahuan tersebut karena dianggap telah dirancang agar mencegah pengguna untuk berpikir (dan tak memberi informasi berarti) demi memperoleh persetujuan, dan gagal memberi pengguna kendali yang terperinci dan memadai atas data mereka. 

Pada 30 April, pejabat tinggi dalam pelindungan data UE, pengawas pelindungan data Eropa Giovanni Buttarelli, memperingatkan kepada regulator agar “mewaspadai upaya-upaya untuk mempermainkan sistem,” dengan merujuk pada rentetan perbaruan kebijakan privasi yang tampak menekan para pengguna agar menyetujui pelacakan digital secara luas sebagai tawaran bernada “setujui semuanya atau tidak sama sekali.” Peringatan ini menggarisbawahi sulitnya memastikan persetujuan yang berarti dan berbasis informasi yang memadai, bahkan dengan adanya peningkatan transparansi. 

GDPR kemungkinan besar akan mengakibatkan munculnya banyak kasus-kasus pengadilan dan tindakan penegakan, ketika otoritas pelindungan data dan perusahaan bergelut dan berupaya menguji batasan-batasan peraturan baru ini serta definisi istilah-istilah ambigu di dalamnya. Pada 25 Mei, pegiat hak privasi Max Schrems telah mengajukan gugatan pertama atas Google dan Facebook di Prancis, Belgia, Jerman, dan Austria, dengan beranggapan kedua perusahaan itu telah gagal memberi para pengguna di Eropa kendali yang spesifik atas data pribadi mereka. Schrems berargumen bahwa pendekatan “setujui semuanya atau tidak sama sekali” terhadap ketentuan layanan perusahaan-perusahaan ini dapat dikategorikan sebagai “persetujuan paksa.” Jika berhasil, kasus-kasus keluhan ini dapat mengakibatkan denda hingga sebesar 7,6 juta Euro (sekitar 8,8 milyar dolar AS).

Implementasi, pemantauan, dan penegakan yang efektif kini diperlukan demi memastikan bahwa GDPR benar-benar melindungi informasi pribadi yang dibagikan masyarakat dengan Internet dan perusahaan teknologi, pemerintah, serta pihak-pihak lain.

9. Dampak apa yang akan ditimbulkan GDPR terhadap kebebasan berekspresi?

GDPR mengatur hak atas penghapusan data [Pasal 17]. Ketentuan ini merupakan perluasan dari apa yang dikenal sebagai “hak untuk dilupakan” yang telah ditetapkan Mahkamah Eropa pada 2014 dalam sebuah kasus terhadap Google Spanyol. Di bawah GDPR, individu dapat meminta perusahaan untuk menghapus data pribadi pada situasi tertentu: misalnya, jika data tak lagi diperlukan untuk tujuan awalnya saat data tersebut pertama kali dikumpulkan; jika individu menarik kembali atau menolak persetujuannya dan tak ada lagi pembenaran untuk menyimpan data itu; atau jika data diproses secara melawan hukum dan melanggar GDPR. Hak ini juga berlaku jika data pribadi telah menjadi data publik, sehingga amat menyulitkan untuk diimplementasikan, karena mudahnya informasi daring disalin dan dibagikan di berbagai situs web dan di lintas yurisdiksi.

Peraturan ini memberi pengecualian, termasuk jika pemrosesan data diperlukan untuk menegakkan kebebasan berekspresi dan kebebasan informasi, atau untuk kepentingan pengarsipan atau riset. Tapi, pengecualian-pengecualian ini tak terdefinisikan dengan jelas dalam GDPR, sehingga menjadi tugas legislasi nasional untuk memperjelasnya. Karena platform-platform swasta berisiko didenda jika tak patuh, ketentuan ini cenderung dapat mengakibatkan penghapusan konten yang tak perlu atau berlebihan, sehingga dapat menghambat kebebasan berekspresi. Selain itu, menggantungkan keputusan mengenai kapan pemrosesan data menjadi penting bagi kebebasan berekspresi (serta alasan-alasan kepentingan publik lainnya) kepada perusahaan alih-alih mahkamah yang imparsial, berarti bahwa tak ada proses memadai bagi mereka yang ingin tetap memiliki akses ke informasi yang dihapus itu.

“Hak untuk dilupakan” yang berkembang dari putusan-putusan Mahkamah Eropa telah dikritisi karena memungkinkan orang-orang menyembunyikan informasi -yang benar dan tak mencemarkan nama baik- yang hanya menimbulkan kesan negatif. Misalnya, orang-orang yang mengemban jabatan-jabatan publik (seperti pejabat terpilih, pemuka agama, dan ahli keuangan) telah mencoba menggunakan hak untuk dilupakan untuk menghapus artikel-artikel berita yang membahas rekam jejak kriminal mereka dari hasil mesin pencarian Google.

Batasan-batasan antara pelindungan data dan kebebasan berekspresi akan terus diperdebatkan ketika individu mengajukan hak atas penghapusan data berdasarkan GDPR.

Akhirnya, peraturan UE ini tak dirancang untuk menangani penyebaran disinformasi, ujaran kebencian, atau jenis-jenis konten daring ilegal lainnya.

10. Apa lagi yang perlu dilakukan untuk melindungi data dan hak atas privasi?

GDPR merupakan langkah penting menuju pelindungan privasi yang lebih baik. Tetapi, langkah ini tak akan efektif tanpa adanya interpretasi, implementasi, dan penegakan.

Otoritas pelindungan data nasional pada gilirannya perlu terus-menerus merespon keluhan, dengan sigap menginvestigasi pembobolan data, dan secara aktif melakukan investigasi untuk menegakkan ketentuan. Banyak otoritas pelindungan data yang tak memiliki sumber daya memadai, terutama jika dibandingkan dengan perusahaan-perusahaan besar, dan minim kapasitas untuk memainkan peran penegakan yang komprehensif. Negara-negara anggota semestinya mengalokasikan sumber daya finansial dan sumber daya manusia yang layak kepada pihak berwenang dalam pelindungan data.

Bahkan dengan penegakan yang kuat, masih ada berbagai tantangan struktural dalam mencapai visi GDPR mengenai privasi dan kendali data. Salah satunya, meski peraturan ini mewajibkan persetujuan sebelum perusahaan dapat mengumpulkan atau memproses data, persetujuan bersasis informasi yang memadai sulit dicapai tanpa pilihan. Banyak perusahaan layanan daring tak memiliki kompetitor berarti, sehingga para pengguna dihadapkan pada dilema: antara harus menyetujui kebijakan jejaring sosial tertentu, atau sama sekali kehilangan komponen penting dari kehidupan sosial atau profesional mereka. Meski kasus Schrems di atas dapat mendorong perubahan positif, GDPR tak sepenuhnya bisa mengatasi dampak dari monopoli kekuasaan semacam ini.

Selain itu, konsep persetujuan berbasis informasi yang memadai akan semakin sulit diwujudkan ketika ekosistem periklanan menjadi semakin kompleks. Peraturan EU ini tak langsung menggugat model-model bisnis yang mengajak para pengguna menukarkan data pribadi mereka untuk memperoleh layanan daring gratis seperti surat elektronik, jejaring sosial, atau mesin pencarian  – yang semuanya dilakukan dengan menggunakan data tersebut untuk membuat profil terperinci yang dijual ke jaringan periklanan. Kebanyakan pengguna bisa menyetujui pemrosesan data tanpa benar-benar memahami kompleksitas bagaimana data mereka akan digunakan, meski sudah ada ketentuan pemberitahuan privasi yang jelas. Pendekatan GDPR terhadap persetujuan pengguna bisa jadi menyulitkan pihak-pihak seperti Cambridge Analytica untuk memperoleh akses tanpa batas terhadap data, tetapi masih belum jelas apakah peraturan ini dapat sepenuhnya mencegah penggunaan data pribadi yang tak terduga atau sewenang-wenang, seperti dalam kasus periklanan kampanye pemilu “psikometrik.” Hak asasi manusia adalah standar minimum yang tak dapat begitu saja diabaikan hanya dengan adanya persetujuan pengguna, meski bila semua potensi penggunaan data telah diantisipasi. Pada akhirnya, masyarakat digital memerlukan pelindungan lebih substansial daripada model pelindungan berbasis persetujuan pengguna.