Banyak perusahaan teknologi terbesar Amerika mempertahankan kantor pusat Eropa mereka di Dublin.
Artur Widak | Nurphoto | Gambar Getty
Bisnis dapat terus mentransfer data dari Uni Eropa ke AS seperti biasa setelah kedua negara adidaya menyetujui perjanjian berbagi data penting minggu ini.
Kerangka kerja tersebut, yang menggantikan perjanjian sebelumnya yang berakhir pada tahun 2020, merupakan perkembangan besar yang berimplikasi pada raksasa teknologi AS, yang mengandalkan perjanjian tersebut untuk mentransfer data tentang pengguna Eropa mereka kembali ke Amerika.
Tanpa itu, perusahaan-perusahaan ini menghadapi risiko inisiatif mahal untuk memproses dan menyimpan data pengguna secara lokal — atau menarik bisnis mereka keluar dari bisnis sama sekali. Oleh karena itu, persetujuan aturan baru akan memberikan sedikit kelegaan Meta dan perusahaan AS lainnya yang berbagi data pengguna dalam jumlah besar di seluruh dunia.
Namun, aturan tersebut sudah menghadapi ancaman tantangan hukum dari aktivis privasi, yang tidak senang dengan tingkat perlindungan yang ditawarkan warga negara Eropa. Mereka mengatakan itu tidak jauh berbeda dari kerangka kerja sebelumnya yang disebut Privacy Shield.
CNBC membahas semua yang perlu Anda ketahui tentang kerangka kerja privasi UE-AS yang baru, mengapa itu penting, dan peluang keberhasilannya.
Apa itu kerangka kerja privasi data UE-AS yang baru?
Perjanjian berbagi data baru, yang disebut Kerangka Privasi Data UE-AS, bertujuan untuk memastikan bahwa data dapat mengalir dengan aman antara UE dan AS, tanpa memperkenalkan langkah-langkah perlindungan data tambahan.
Dalam sebuah pernyataan pada hari Senin, badan eksekutif UE Komisi Eropa mengatakan telah menyimpulkan bahwa undang-undang perlindungan data AS memberikan “tingkat perlindungan yang memadai” bagi warga negara Eropa, dan memperkenalkan perlindungan baru yang membatasi akses ke data UE oleh layanan intelijen AS terbatas hanya apa yang “perlu”. dan proporsional.”
Pengadilan Peninjauan Perlindungan Data baru akan disiapkan bagi orang Eropa untuk mengeluarkan keluhan privasi. Ini akan memiliki kekuatan untuk memerintahkan perusahaan untuk menghapus data pengguna jika menemukan informasi yang dikumpulkan melanggar perlindungan baru.
Mengapa diperlukan perjanjian transfer data baru?
Kerangka Privasi Data menggantikan perjanjian sebelumnya, yang disebut Privacy Shield, yang memungkinkan perusahaan berbagi data tentang orang Eropa ke AS untuk disimpan dan diproses secara lokal di pusat data domestik mereka.
Itu dipukul pada Juli 2020, ketika Pengadilan Eropa, pengadilan tertinggi UE, memihak juru kampanye privasi Austria Max Schrems, yang berpendapat bahwa undang-undang AS tidak memberikan perlindungan yang memadai terhadap pengawasan oleh otoritas publik.
Schrems mengatakan bahwa pembocor rahasia NSA Edward Snowden tentang pengawasan AS berarti bahwa standar perlindungan data AS tidak dapat dipercaya.
Dia mengajukan keluhan terhadap jejaring sosial Facebook, yang, seperti banyak perusahaan lain, mentransfer datanya dan pengguna lainnya ke Amerika Serikat, serta Komisi Perlindungan Data Irlandia, yang merupakan otoritas pengatur utama Facebook dalam hal privasi data di Eropa. .
Itu mencapai Pengadilan Eropa, yang memutuskan pada tahun 2015 bahwa perjanjian Safe Harbor saat itu, mekanisme sebelumnya untuk memungkinkan data pengguna Eropa dipindahkan ke AS, tidak valid dan tidak cukup melindungi warga negara Eropa.
Itu diganti dengan Privacy Shield, tetapi kemudian dihapus juga.
Sementara itu, perusahaan mengandalkan mekanisme terpisah yang dikenal sebagai Klausul Kontrak Standar untuk memastikan mereka masih dapat memindahkan data melintasi Atlantik.
Instrumen ini juga terancam.
DPC Irlandia memutuskan pada bulan Mei bahwa penggunaan SCC oleh Meta untuk transfer data pribadi ke AS melanggar Peraturan Perlindungan Data Umum UE. Raksasa teknologi AS didenda rekor $ 1,3 miliar.
Mengapa itu penting?
Perusahaan multinasional beroperasi di berbagai yurisdiksi, dan mereka perlu memindahkan data tentang pelanggan mereka lintas batas dengan cara yang aman dan sesuai dengan peraturan perlindungan data.
Raksasa teknologi AS berbagi data tentang pengguna Eropa mereka di rumah sepanjang waktu. Ini adalah bagian dari Internet yang merupakan platform terbuka dan saling berhubungan.
Tetapi cara data ditangani oleh perusahaan teknologi ini berada di bawah pengawasan ketat dari regulator dan juru kampanye privasi.
Meta, Google, Amazon dan lainnya mengumpulkan data dalam jumlah besar tentang pengguna mereka, yang mereka gunakan untuk menginformasikan algoritme rekomendasi konten mereka dan mempersonalisasi iklan.
Ada juga banyak contoh skandal seputar penyalahgunaan data orang oleh perusahaan teknologi – tidak terkecuali pembagian data Meta yang tidak benar dengan Cambridge Analytica, perusahaan konsultan politik yang kontroversial.
Eropa memiliki peraturan yang ketat dalam hal memproses data pengguna internet.
Pada tahun 2018, Peraturan Perlindungan Data Umum, atau GDPR, mulai berlaku dan memberlakukan persyaratan ketat pada organisasi untuk memastikan bahwa mereka menangani data pengguna dengan aman dan terjamin. Ini adalah hukum yang berlaku di semua negara di UE.
AS, di sisi lain, tidak memiliki undang-undang perlindungan data federal tunggal yang mencakup privasi semua jenis data.
Sebaliknya, masing-masing negara bagian AS telah membuat peraturan privasi data masing-masing, dengan California yang memimpin tuntutan tersebut.
“Telah ada pengawasan intensif dan pengawasan politik atas transfer data UE-AS, jadi ada perbedaan penting dalam perlindungan hukum AS yang diterapkan untuk mendukung kerangka kerja baru,” kata Holger Lutz, partner di firma hukum Clifford Chance, kepada CNBC melalui email.
“Perubahan undang-undang AS telah dibuat secara paralel untuk meningkatkan perlindungan data pribadi UE dan hak warga negara UE terkait dengan data tersebut. Perlindungan tersebut tidak terbatas pada kerangka kerja baru – mereka juga melindungi transfer data pribadi UE-AS di luar kerangka kerja. , dan dapat diperhitungkan ketika transfer tersebut dibuat berdasarkan instrumen hukum lainnya seperti klausul kontrak standar UE.”
Akankah berhasil?
Persetujuan kerangka privasi data baru berarti bahwa bisnis sekarang akan memiliki kepastian tentang bagaimana mereka dapat memproses data lintas batas ke depannya.
Jika tidak ada kesepakatan, beberapa perusahaan mungkin terpaksa menutup operasinya di Eropa. Memang, Meta memperingatkan pada Februari 2022 bahwa ini berisiko.
Tetap saja, rintangan ada di depan.
Schrems, aktivis privasi Austria yang membantu membatalkan Privacy Shield, telah mengatakan dia berencana untuk meluncurkan gugatan hukum untuk membatalkan perjanjian berbagi data yang baru.
Dalam sebuah pernyataan, Schrems mengatakan firma hukumnya Noyb memiliki “beberapa opsi untuk tantangan yang sudah ada di laci.”
“Kami saat ini berharap akan kembali ke Pengadilan pada awal tahun depan,” kata Schrems.
“MK bahkan bisa menangguhkan perjanjian baru sambil meninjau isinya. Demi kepastian hukum dan supremasi hukum, kami kemudian akan mendapat jawaban, apakah perbaikan kecil Komisi sudah cukup atau tidak.”
Aktivis privasi mengatakan tindakan itu tidak cukup karena undang-undang privasi AS tidak memberikan perlindungan kepada warga negara non-AS, yang berarti orang-orang di UE tidak memiliki tingkat perlindungan yang sama.
“Apakah kerangka itu berhasil akan menjadi pertanyaan apakah pengadilan Eropa memandang perlindungan data pribadi di AS cukup untuk memberikan kesetaraan penting dengan perlindungan UE,” kata Lutz dari Clifford Chance kepada CNBC.
“Bisnis akan dengan hati-hati mempertimbangkan potensi tantangan ini dalam perencanaan skenario mereka.”
