Mengulas Tentang Anonimisasi dan perlindungan data

33bits – Undang-Undang Perlindungan Data 2018 mengatur pemrosesan data atau informasi untuk individu yang tinggal di Inggris Raya. Undang-undang mengharuskan data ditangani dengan cara yang adil, proporsional, aman, dan dapat dibenarkan saat memperoleh, menggunakan, menyimpan, dan berbagi informasi pribadi. LSE memiliki panduan [PDF] tentang bagaimana memenuhi prinsip-prinsip ini dalam konteks penelitian.

Mengulas Tentang Anonimisasi dan perlindungan data –  Ada dua hal tambahan yang perlu diingat tentang UU dalam kaitannya dengan penelitian. Pertama, hanya berlaku untuk data pribadi atau pribadi yang sensitif, belum tentu semua data yang dikumpulkan dari seorang peserta. Kedua, tindakan tersebut berisi pengecualian untuk tujuan tertentu dan penyimpanan data pribadi saat diproses untuk penelitian.Data anonim yang tidak dapat dikaitkan dengan individu yang masih hidup tidak tunduk pada Undang-Undang Perlindungan Data, meskipun mungkin masih ada alasan etis untuk melindungi informasi ini.

Mengulas Tentang Anonimisasi dan perlindungan data

Mengulas Tentang Anonimisasi dan perlindungan data

Apa yang dianggap sebagai “dianonimkan” diukur dengan tes “kemungkinan masuk akal”. Kantor Komisi Informasi Inggris menyatakan: “Anonimisasi adalah proses mengubah data menjadi bentuk yang tidak mengidentifikasi individu dan di mana identifikasi tidak mungkin dilakukan.” Ini berarti bahwa jika, dengan keseimbangan probabilitas, pihak ketiga yang melakukan referensi silang data “anonim” dengan informasi atau pengetahuan yang sudah tersedia untuk publik tidak dapat mengidentifikasi individu, maka data tersebut tidak bersifat pribadi dan tidak tunduk pada Undang-Undang.

Biasanya anonimisasi berlaku untuk pengidentifikasi langsung dan tidak langsung. Pengidentifikasi langsung seperti nama, alamat, atau nomor telepon menentukan individu. Pengidentifikasi tidak langsung ketika disatukan juga dapat mengungkapkan individu dengan, misalnya, pekerjaan referensi silang, majikan, dan lokasi.Jika data memerlukan anonimisasi, penting untuk memikirkan sejak awal tentang bagaimana Anda akan membangun dan menerapkan strategi untuk melindungi identitas peserta. Merencanakan anonimisasi sebelum melakukan pengumpulan data menghasilkan persetujuan berdasarkan informasi yang lebih baik dan membutuhkan proses yang kurang intensif sumber daya saat melakukan anonimisasi data.

Mengingat kekuatan DPA, ada baiknya mempertanyakan data apa yang Anda rencanakan untuk dikumpulkan dan mengapa.Mengetahui data apa yang ingin Anda kumpulkan akan membantu memandu strategi anonimisasi yang konsisten di seluruh kumpulan data Anda dan menghasilkan data yang dapat digunakan kembali secara bertanggung jawab secara etis yang tidak bertentangan dengan undang-undang perlindungan data. Misalnya, data administratif seperti nama dan alamat mungkin tidak memiliki nilai penelitian tetapi merupakan informasi pribadi dan sensitif. Apakah mereka perlu dikumpulkan, jika demikian, dapatkah mereka dipisahkan dari kumpulan data penelitian dan dihapus di awal proses penelitian?

Hapus pengidentifikasi langsung atau gunakan nama samaran yang bermakna dan pengganti pengidentifikasi. Idealnya, penggantian harus ekspresif dalam arti menjaga karakter pengenal sambil menyembunyikan identitas. Misalnya, alih-alih “Birmingham” gunakan “Area metropolitan utama Inggris” dan alih-alih “Scott” gunakan “Trevor”. Ini lebih baik daripada mengganti pengidentifikasi dengan “Kota” atau “Nama” atau, yang terburuk, “dihapus”.

Baca Juga : Data Pribadi Serta Privasi Yang Dilihat Dari Pengetahuan Dosen FH Unpad

Jika menggunakan nama samaran tidak dapat diterapkan, dapatkah Anda menerapkan batasan pada rentang variabel atas dan bawah? Bisakah Anda menghapus variabel tanpa mengorbankan nilai penggunaan kembali data (dalam hal ini, tanyakan apakah Anda harus mengukur variabel itu)? Bisakah Anda menerapkan agregasi data tingkat rendah, seperti pindah ke unit spasial yang lebih besar atau mengubah usia dari variabel kontinu menjadi variabel kategoris diskrit? Bisakah tanggal, waktu, atau ukuran dibulatkan?

Bagaimanapun, praktik terbaik adalah membuat log anonimisasi yang dilakukan dan menandai pengidentifikasi anonim sehingga jelas bahwa ada sesuatu yang dianonimkan.Ada sejumlah alat Open Source yang dikembangkan untuk membantu peneliti menganonimkan data penelitian.Terakhir, dapatkah data dibagikan dalam lingkungan terbatas? Sebagian besar perjanjian penggunaan kembali arsip dan data standar memiliki klausul yang melarang upaya pihak ketiga untuk mengidentifikasi atau menghubungi kembali peserta. Dalam kasus lain, lingkungan akses terkontrol dan penerapan status peneliti yang disetujui dapat menjadi cara untuk berbagi data penelitian secara bertanggung jawab sampai batas tertentu.

Tentu saja, prinsip persetujuan yang diinformasikan memungkinkan peserta untuk melepaskan hak mereka atas anonimitas jika mereka menginginkannya, dan jika menurut penilaian peneliti, tidak ada kerugian yang akan terjadi atau tidak ada alasan hukum lain untuk mencegah pelepasan anonimitas. Dalam kasus sejarah lisan atau wawancara elit, yang terkait dengan identitas partisipan adalah ingatan, persepsi, dan pengalaman mereka. Akibatnya, data dalam pendekatan ini tidak dianonimkan meskipun tunduk pada kondisi akses yang lebih ketat atau periode embargo.

GDPR adalah arahan Uni Eropa yang mengatur perlindungan data pribadi di dalam dan di luar UE. Itu ditulis ke dalam hukum Inggris dalam Undang-Undang Perlindungan Data (2018). Bagi peneliti, ketentuan GDPR tidak berbeda secara substansial dari undang-undang Inggris sebelumnya. Ini melindungi pengecualian untuk data penelitian tentang penggunaan kembali tetapi memperketat prinsip persetujuan berdasarkan informasi, memperluas definisi data pribadi, dan berisi hukuman yang lebih kuat untuk pelanggaran perlindungan data.

Data pribadi yang sensitif mencakup asal ras atau etnis individu, opini politik, keyakinan agama atau filosofi, keanggotaan serikat pekerja, kesehatan, kehidupan seks, atau orientasi seksual. Undang-undang sekarang mencakup data genetik dan biometrik serta pengidentifikasi online. Data tentang hukuman pidana individu juga disertakan tetapi tunduk pada kontrol yang lebih ketat.Informed consent adalah tema yang kuat di seluruh peraturan. Meskipun persetujuan bukan satu-satunya alasan untuk memproses data pribadi, dari sudut pandang penelitian, pemrosesan data pribadi yang sah hampir selalu didasarkan pada persetujuan (Pasal 6, 1).

Undang-Undang Perlindungan Data Inggris mendefinisikan persetujuan sebagai hal yang sah dari usia 13 tahun meskipun peraturan tersebut mengizinkan negara-negara anggota UE lainnya untuk memvariasikan usia tersebut hingga setinggi 16 tahun (Pasal 8, 1). Ada persyaratan untuk dapat menunjukkan persetujuan yang telah diberikan (Pasal 7, 1) dan subjek berhak untuk menarik kembali persetujuan (Pasal 7, 3). Diinformasikan berarti subjek mengetahui siapa yang mengumpulkan data dan mengapa. Peraturan tersebut menyatakan: “Persetujuan tidak boleh dianggap sebagai diberikan secara bebas jika subjek data tidak memiliki pilihan asli atau bebas atau tidak dapat menolak atau menarik persetujuan tanpa merugikan.” (pertunjukan 42)

Peraturan tersebut memang mengizinkan pengecualian untuk mengungkapkan data pribadi di mana persetujuan eksplisit diizinkan oleh hukum dan telah diberikan oleh subjek (Pasal 9,1).Peraturan tersebut memperkuat persyaratan mereka yang mengumpulkan data untuk melindungi data pribadi. Perlindungan mencakup hambatan teknis dan organisasi untuk mengakses, seperti enkripsi, persyaratan otentikasi, dan lisensi pengguna, atau menerapkan anonimisasi atau pseudonoimisasi yang “tidak lagi mengizinkan identifikasi subjek data” (Pasal 89, 1). Denda yang signifikan dapat dikenakan untuk pelanggaran di mana data dapat dilindungi dengan lebih baik dan tidak.

Data pribadi hanya dapat ditransfer ke luar Wilayah Ekonomi Eropa di mana Anda memiliki persetujuan untuk melakukannya atau Komisi telah memutuskan suatu negara, wilayah, sektor, atau organisasi internasional memastikan tingkat perlindungan dan ganti rugi yang memadai (Bab 5) “Hak untuk dilupakan” yang dipublikasikan itu ada dalam peraturan tersebut (Pasal 17). Namun, hak itu tidak berlaku jika data pribadi diperlukan untuk “tujuan pengarsipan untuk kepentingan publik atau untuk tujuan statistik dan sejarah ilmiah” juga tidak dapat berlaku jika data dianonimkan atau dibuat nama samaran untuk mencegah identifikasi individu yang masih hidup.

Peraturan tersebut memperkuat persyaratan mereka yang mengumpulkan data untuk melindungi data pribadi. Perlindungan mencakup hambatan teknis dan organisasi untuk mengakses, seperti enkripsi, persyaratan otentikasi, dan lisensi pengguna, atau menerapkan anonimisasi atau pseudonoimisasi yang “tidak lagi mengizinkan identifikasi subjek data” (Pasal 89, 1). Denda yang signifikan dapat dikenakan untuk pelanggaran di mana data dapat dilindungi dengan lebih baik dan tidak.

“Hak untuk dilupakan” yang dipublikasikan itu ada dalam peraturan tersebut (Pasal 17). Namun, hak itu tidak berlaku jika data pribadi diperlukan untuk “tujuan pengarsipan demi kepentingan publik atau untuk tujuan statistik dan sejarah ilmiah” juga tidak dapat berlaku jika data dianonimkan atau dibuat nama samaran untuk mencegah identifikasi individu yang masih hidup.Jika Anda merencanakan proyek penelitian, penting untuk mempertimbangkan efek peraturan baru dalam persetujuan Anda dan perencanaan perlindungan data.