HUKUM Amerika Serikat (AS) ternyata sangat keras terhadap pelanggar data pribadi, dan dilakukan tanpa pandang bulu.
Twitter sebagai salah satu platform raksasa global juga dihukum membayar denda spektakuler sejumlah 150 juta dollar AS, karena melanggar komitmen berupa janji privasinya (Lesley Fair 25/5/2022 Twitter to Pay $150 million Penalty for Allegadly Breaking Its Privacy Promises-Again).
Dalam laporan itu dinyatakan, korporasi digital global ini pada awalnya memberi tahu pelanggannya bahwa mereka akan menggunakan informasi pribadi untuk satu tujuan, tetapi kemudian menggunakannya untuk tujuan yang lain lagi.
Twitter meminta pengguna untuk memberikan informasi pribadi dengan tujuan mengamankan akun mereka, tetapi kemudian juga menggunakannya untuk menayangkan iklan bertarget untuk keuntungan finansial Twitter.
Twitter akhirnya setuju untuk membayar denda 150 juta dollar AS, memberi tahu pengguna tentang dugaan penyelewengan, dan menerapkan serta melaporkan sistem baru untuk memastikan pelindungan informasi konsumen (Oscar Shine Selendy Gay Elsberg PLLC & Denae Kassotis, Twitter, FTC Battle Puts Advertisers on Alert About Privacy, Bloomberg Law, 12/7/2022)
Kasus ini bukan pelanggaran pertama Twitter terhadap regulasi. Hukuman yang terakhir ini, sebagai tindak lanjut yang diajukan oleh Departemen Kehakiman AS (US DOJ), atas nama FTC.
Tuduhannya adalah, Twitter melanggar perintah dalam kasus sebelumnya, dengan mengumpulkan informasi pribadi pelanggan, yang sebelumnya dinyatakan untuk tujuan keamanan, dan kemudian mengeksploitasinya untuk kepentingan komersial.
Menurut US DOJ, Twitter menyatakan kepada pengguna mereka, bahwa nomor telepon dan alamat email pelanggan, semata-mata diperuntukan bagi kepentingan pengamanan akun mereka.
Tetapi yang terjadi kemudian, Twitter menggunakan informasi tersebut untuk iklan bertarget, dengan mencocokkan daftar data pengguna Twitter dengan daftar pengiklan yang ada.
DOJ menuduh bahwa perilaku Twitter baru-baru ini melanggar FTCA dan Perintah Komisi 2011, di mana FTC secara khusus melarang Twitter membuat pernyataan yang keliru terkait keamanan "informasi konsumen nonpublik".
Namun demikian seperti dilansir Reuteurs, 15 Desember 2022, dalam reportasenya, Komisi Perdagangan Federal AS (FTC) sebagai penegak hukum dalam kasus ini, sesuai update terakhir, telah menghubungi Twitter untuk menanyakan apakah perusahaan masih memiliki sumber daya untuk mematuhi keputusan persetujuan privasi tersebut.
Rupanya pergolakan dan PHK massal di Twitter sejak diambil alih oleh Elon Musk telah memicu kekhawatiran bahwa raksasa media sosial itu kemungkinan gagal mematuhi penyelesaian yang telah diputus Mei 2022, dengan regulator AS, di mana perusahaan setuju untuk meningkatkan praktik privasinya, yang terjadi sebelum pengambilalihan.
FTC mengatakan bahwa pihaknya “melacak perkembangan terbaru di Twitter dengan keprihatinan mendalam. FTC menyatakan tidak ada CEO atau perusahaan yang kebal hukum, dan perusahaan harus mengikuti keputusan persetujuan kami,” katanya saat itu.
Seperti telah dikemukakan, pada Mei 2022, Twitter setuju untuk membayar 150 juta dollar AS dan menindaklanjuti fitur potensial untuk masalah privasi dan keamanan data.
Data Users
Sekadar kilas balik, berdasarkan referensi di atas, lebih dari 140 juta pengguna memberikan alamat email atau nomor telepon mereka kepada Twitter untuk tujuan keamanan.
Pertanyaannya adalah, apakah jumlah orang yang sama akan memberikan informasi itu kepada Twitter jika mereka tahu bagaimana Twitter akan menggunakannya?
Selain mengenakan denda sebesar 150 juta dollar AS karena melanggar perintah tahun 2011, Twitter juga dilarang menggunakan nomor telepon dan alamat email yang dikumpulkan secara ilegal untuk menayangkan iklan.
Twitter harus memberi tahu pengguna tentang penggunaan nomor telepon dan alamat email yang tidak benar, memberi tahu mereka tentang tindakan penegakan hukum FTC, dan menjelaskan cara menonaktifkan iklan yang dipersonalisasi dan meninjau pengaturan otentikasi multifaktor mereka.
Twitter harus menyediakan opsi otentikasi multifaktor yang tidak mengharuskan orang memberikan nomor telepon.
Twitter harus menerapkan program privasi dan program keamanan informasi yang disempurnakan, yang menyertakan beberapa ketentuan baru yang dijabarkan dalam perintah tersebut.
Juga mendapatkan penilaian privasi dan keamanan oleh pihak ketiga independen yang disetujui oleh FTC, dan melaporkan insiden privasi atau keamanan ke FTC dalam 30 hari.
Bagaimana dengan UU PDP?
Undang-Undang Pelindungan Data Pribadi juga mengatur terkait hal yang relatif senada. Pada pasal Pasal 20 ayat (1) dan (2) yang jika dirangkum dapat dikemukakan bahwa Pengendali Data Pribadi wajib memiliki dasar pemrosesan Data Pribadi.
Dasar pemrosesan Data Pribadi tersebut meliputi persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk satu atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi.
Frasa terakhir ini menunjukan adanya kewajiban pencantuman satu atau beberapa tujuan tertentu, yang harus diungkapkan secara eksplisit, kepada subjek data pribadi.
Dengan demikian tidak boleh ada tujuan tersembunyi oleh Pengendali Data Pribadi selain yang telah diungkapkan.
Pada prinsipnya, ketika korporasi memperoleh data pribadi konsumen, mereka juga memiliki kewajiban hukum untuk mengungkapkan kepada konsumen tersebut data tersebut akan digunakan untuk apa.
Hal ini ditegaskan kembali pada Pasal 21 ayat (1) dan ayat (2) UU PDP yang mengatur bahwa dalam hal pemrosesan Data Pribadi berdasarkan persetujuan tersebut, Pengendali Data Pribadi wajib menyampaikan informasi mengenai legalitas dari pemrosesan Data Pribadi, tujuan pemrosesan Data Pribadi, jenis dan relevansi Data Pribadi yang akan diproses.
Selain itu harus disampaikan pula informasi mengenai jangka waktu retensi dokumen yang memuat Data Pribadi, rincian mengenai Informasi yang dikumpulkan, jangka waktu pemrosesan Data Pribadi, dan hak Subjek Data Pribadi.
Selanjutnya pada pasal 20 ayat (2) dinyatakan bahwa, “dalam hal terdapat perubahan informasi sebagaimana dimaksud pada ayat (1), Pengendali Data Pribadi wajib memberitahukan kepada Subjek Data Pribadi sebelum terjadi perubahan Informasi.
Pada Pasal 22 UU PDP dinyatakan bahwa, persetujuan pemrosesan Data Pribadi dilakukan melalui persetujuan tertulis atau terekam. Persetujuan tersebut dapat disampaikan secara elektronik atau nonelektronik yang mempunyai kekuatan hukum yang sama.
Hal penting terkait persetujuan ini terdapat pada pasal 22 ayat (4) yang menyatakan bahwa, dalam hal persetujuan tersebut memuat tujuan lain, permintaan persetujuan harus memenuhi ketentuan, dapat dibedakan secara jelas dengan hal lainnya, dibuat dengan format yang dapat dipahami dan mudah diakses; dan menggunakan bahasa yang sederhana dan jelas.
Konsekuensi tidak dipenuhinya hal-hal di atas, maka persetujuan dinyatakan batal demi hukum.
Dengan demikian maka, baik korporasi, maupun badan publik, harus mematuhi norma-norma UU PDP terkait dengan persetujuan pemrosesan Data Pribadi pelanggan, konsumen, subscribernya atau siapapun subjek data pribadi yang menjadi mitranya.
UU PDP adalah legislasi yang secara eksplisit memberikan kepastian hukum terkait kewajiban, kebolehan, larangan, dan proses-proses PDP. Dengan UU ini maka hak dan kewajiban korporasi dan badan publik menjadi jelas.
Apa pembelajaran yang dapat diambil dari kasus ini? Bahwa kebijakan privasi harus dibuat eksplisit dan jelas.
Konsumen memiliki hak untuk mendapatkan perlakuan atas data pribadinya, sesuai dengan yang disepakati pada saat pengendali data meminta informasi pelanggan. Membuat kebijakan tidak eksplisit yang samar dan tidak lengkap berisiko secara hukum.
Korporasi dan badan publik, perlu segera menyesuaikan kebijakan dan regulasi internalnya agar sejalan dengan UU PDP, termasuk persetujuan dengan subjek data pribadi. Pemenuhan semua hal itu akan membebaskan dari pelanggaran dan kemungkinan risiko hukum tersebut.
Dapatkan update berita pilihan dan breaking news setiap hari dari Kompas.com. Mari bergabung di Grup Telegram "Kompas.com News Update", caranya klik link https://t.me/kompascomupdate, kemudian join. Anda harus install aplikasi Telegram terlebih dulu di ponsel.