Perlindungan Data Dan Undang-Undang Privasi

33bits – Privasi & Keamanan, perlindungan data memerlukan pendekatan holistik untuk desain sistem yang menggabungkan kombinasi perlindungan hukum, administratif, dan teknis. Untuk memulai, sistem ID harus didukung oleh kerangka hukum yang melindungi data individu, privasi, dan hak pengguna.

Perlindungan Data Dan Undang-Undang Privasi – Banyak negara telah mengadopsi undang-undang perlindungan data dan privasi umum yang berlaku tidak hanya untuk sistem ID, tetapi juga untuk kegiatan pemerintah atau sektor swasta lainnya yang melibatkan pemrosesan data pribadi. Sesuai dengan standar internasional tentang privasi dan perlindungan data (lihat Kotak 8), undang-undang ini biasanya memiliki ketentuan dan prinsip luas yang khusus untuk pengumpulan, penyimpanan, dan penggunaan informasi pribadi, termasuk:

Perlindungan Data Dan Undang-Undang Privasi

 

a. Batasan tujuan. Pengumpulan dan penggunaan data pribadi harus dibatasi untuk tujuan: (1) yang dinyatakan dalam undang-undang dan dengan demikian dapat diketahui (setidaknya secara teori) oleh individu pada saat pengumpulan data; atau (2) yang telah diberikan persetujuan oleh individu tersebut.
b. Proporsionalitas dan minimalisasi. Data yang dikumpulkan harus proporsional dengan tujuan sistem ID untuk menghindari pengumpulan data yang tidak perlu dan “fungsi merayap”, yang keduanya dapat menimbulkan risiko privasi. Hal ini sering diartikulasikan sebagai mensyaratkan bahwa hanya data “minimum yang diperlukan”—termasuk metadata transaksi—yang harus dikumpulkan untuk memenuhi tujuan yang dimaksudkan.
c. Keabsahan. Pengumpulan dan penggunaan data pribadi harus dilakukan atas dasar hukum, misalnya, melibatkan persetujuan, kebutuhan kontrak, kepatuhan terhadap kewajiban hukum, perlindungan kepentingan vital, kepentingan umum dan/atau kepentingan yang sah.
d. Keadilan dan transparansi. Pengumpulan dan penggunaan data pribadi harus dilakukan secara adil dan transparan.
e. Ketepatan. Data pribadi harus akurat dan mutakhir, dan ketidakakuratan harus segera diperbaiki.
f. Batasan penyimpanan. Data pribadi—termasuk metadata transaksi—tidak boleh disimpan lebih lama dari yang diperlukan untuk tujuan pengumpulan dan pemrosesannya. Sehubungan dengan metadata transaksi, orang dapat diberikan pilihan untuk berapa lama data tersebut disimpan.
g. Teknologi peningkatan privasi (PET). Persyaratan untuk menggunakan teknologi yang melindungi privasi (misalnya, tokenisasi nomor identitas unik) dengan menghilangkan atau mengurangi pengumpulan data pribadi, mencegah pemrosesan data pribadi yang tidak perlu atau tidak diinginkan, dan memfasilitasi kepatuhan terhadap aturan perlindungan data.
h. Akuntabilitas. Pemrosesan data pribadi sesuai dengan prinsip di atas harus dipantau oleh otoritas pengawas independen yang sesuai, dan oleh subjek data itu sendiri.

Secara umum, informasi pribadi harus diperoleh secara sah (biasanya melalui persetujuan yang diberikan secara bebas) untuk tujuan tertentu, dan tidak digunakan untuk pengawasan atau pembuatan profil yang tidak sah oleh pemerintah atau pihak ketiga atau digunakan untuk tujuan yang tidak terkait tanpa persetujuan (kecuali diwajibkan lain menurut undang-undang) . Terakhir, pengguna harus memiliki hak tertentu atas data tentang mereka, termasuk kemampuan untuk mendapatkan dan memperbaiki data yang salah tentang mereka, dan memiliki mekanisme untuk mencari ganti rugi untuk mengamankan hak-hak ini.Bagian di bawah ini menjelaskan beberapa pengamanan perlindungan data tertentu dalam kaitannya dengan pengawasan institusional, keamanan data, berbagi data, transfer data lintas batas, dan persetujuan pengguna.

– Pengawasan kelembagaan
Perlindungan data dan privasi secara umum, dan sehubungan dengan sistem ID, sering kali tunduk pada pengawasan otoritas pengawas atau pengatur independen untuk memastikan kepatuhan terhadap undang-undang privasi dan perlindungan data, termasuk melindungi hak individu. Otoritas pengawas dapat berupa pejabat pemerintah tunggal, ombudsman atau badan dengan beberapa anggota. Independensi sejati dari otoritas semacam itu merupakan faktor kunci, dengan independensi diukur dengan faktor struktural seperti komposisi otoritas, metode penunjukan anggota, kekuasaan dan kerangka waktu untuk menjalankan fungsi pengawasan, alokasi sumber daya yang memadai dan kemampuan. untuk membuat keputusan yang berarti tanpa campur tangan eksternal (misalnya, lihat Resital 117 dari GDPR).

Otoritas pengawas dapat menangani pengaduan masyarakat, meskipun setiap individu yang datanya dikumpulkan dapat menggunakan proses hukum eksternal yang mengikat dan akhirnya pengadilan setidaknya untuk masalah hukum. Dalam hal pemulihan, otoritas mungkin memiliki kekuatan untuk mewajibkan sistem ID untuk memperbaiki, menghapus atau menghancurkan data yang tidak akurat atau dikumpulkan secara ilegal.

Baca Juga : Hukum Tentang Pelanggaran Hak Privasi

Secara khusus, Konvensi Dewan Eropa (CoE) untuk Perlindungan Individu sehubungan dengan Pemrosesan Otomatis Data Pribadi (Konvensi 108, CoE 2018)—yang baru-baru ini diperbarui sebagai Konvensi 108+—menunjukkan bahwa wewenang dan tugas otoritas semacam itu termasuk:
a. tugas untuk memantau, menyelidiki, dan menegakkan kepatuhan terhadap privasi individu dan hak perlindungan data;
b. tugas untuk memantau perkembangan dan dampaknya terhadap privasi individu dan hak perlindungan data;
c. kewenangan untuk menerima pengaduan dan melakukan investigasi atas potensi pelanggaran privasi individu dan hak perlindungan data;
d. kekuasaan untuk mengeluarkan keputusan tentang pelanggaran hak-hak tersebut dan memerintahkan tindakan perbaikan atau sanksi yang berarti;
e. tugas untuk meningkatkan kesadaran publik akan hak individu dan tanggung jawab entitas yang memegang dan memproses data pribadi; dan
f. kewajiban untuk memberikan perhatian khusus pada hak perlindungan data anak dan individu rentan lainnya.

CoE lebih lanjut menyarankan bahwa otoritas pengawas mungkin juga memiliki wewenang dan tugas lain, seperti:
a. mengeluarkan pendapat sebelum pelaksanaan operasi pengolahan data;
b. memberi nasihat tentang langkah-langkah legislatif atau administratif;
c. merekomendasikan kode etik atau merujuk kasus ke parlemen nasional atau lembaga negara lainnya;
d. menerbitkan laporan berkala, menerbitkan opini dan komunikasi publik lainnya untuk menginformasikan kepada publik tentang hak dan kewajiban mereka dan tentang masalah perlindungan data secara umum.

Keamanan data
Informasi pribadi harus disimpan dan diproses dengan aman dan dilindungi dari pemrosesan, kehilangan, pencurian, penghancuran, atau kerusakan yang tidak sah atau melanggar hukum. Prinsip ini menjadi semakin penting untuk sistem ID digital mengingat ancaman serangan siber. Langkah-langkah umum untuk memastikan keamanan data yang mungkin diamanatkan di bawah kerangka hukum, beberapa di antaranya dibahas lebih rinci di Bagian III. Privasi & Keamanan meliputi:

a. Enkripsi data pribadi
b. Anonimisasi data pribadi
c. Pseudonimisasi data pribadi
d. Kerahasiaan data dan sistem yang menggunakan atau menghasilkan data pribadi
e. Integritas data dan sistem yang menggunakan atau menghasilkan data pribadi
f. Kemampuan untuk memulihkan data dan sistem yang menggunakan atau menghasilkan data pribadi setelah insiden fisik atau teknis
g. Tes yang sedang berlangsung, penilaian dan evaluasi keamanan sistem yang menggunakan atau menghasilkan data pribadi

Banyak standar internasional juga memberlakukan kewajiban pada pengontrol data untuk memberi tahu subjek data tentang pelanggaran data signifikan yang memengaruhi data pribadi mereka. Selain itu, negara mungkin memiliki undang-undang yang dirancang untuk mengidentifikasi dan mengurangi ancaman siber, serta undang-undang yang menghukum akses, penggunaan, atau pengubahan data yang tidak sah (lihat bagian tentang Keamanan Siber, di bawah). Terakhir, kerangka hukum harus mencakup hukuman yang memadai untuk akses, penggunaan, atau pengubahan data pribadi yang tidak sah oleh administrator data dan pihak ketiga, termasuk kriminalisasi:

a. Akses tidak sah ke sistem ID atau database lain yang menyimpan data pribadi personal
b. Pemantauan/pengawasan yang tidak sah terhadap sistem ID atau basis data lain yang menyimpan data pribadi atau penggunaan data pribadi yang tidak sah
c. Perubahan tidak sah atas data yang dikumpulkan atau disimpan sebagai bagian dari sistem ID atau basis data lain yang menyimpan data pribadi
d. Gangguan tidak sah dengan sistem ID atau database lain yang menyimpan data pribadi

– Berbagi data
Karena keterkaitan informasi di seluruh basis data mengintensifkan masalah privasi dan perlindungan data, kerangka hukum dapat mengurangi risiko dengan menetapkan semua tujuan pembagian data pribadi dalam sistem ID, baik oleh entitas pemerintah maupun non-pemerintah. Selain itu, entitas publik mungkin dibatasi untuk memperoleh informasi spesifik yang dibenarkan oleh fungsinya.

Potensi manfaat dari berbagi informasi meliputi:
a. kenyamanan bagi pemerintah dan warga negara;
b. pemberian layanan pemerintah yang lebih baik;
c. transfer layanan tanpa batas saat subjek data mengubah alamat;
d. peningkatan manajemen risiko;
e. penghematan biaya karena duplikasi usaha dihilangkan; dan
f. peningkatan efisiensi melalui penggunaan data yang lebih efektif (lihat, misalnya, Perrin et al. 2015)

Namun, berbagi informasi antar lembaga pemerintah, jika tidak diatur dengan baik, dapat berubah menjadi “pintu belakang” yang memungkinkan penghindaran privasi individu dan perlindungan perlindungan data. Basis data populasi yang komprehensif, seperti yang ditetapkan sebagai bagian dari sistem ID, adalah sumber daya yang menggoda bagi otoritas penegak hukum, terutama jika mengandung biometrik. Kekhawatiran khusus muncul sehubungan dengan pengumpulan informasi DNA yang, seperti data biometrik lainnya, dapat digunakan tidak hanya untuk tujuan mengidentifikasi seseorang, tetapi juga sebagai bukti dalam proses penyelidikan apakah dia telah melakukan kejahatan.

Jenis berbagi informasi ini dapat berlangsung bahkan tanpa kompatibilitas teknologi dari interoperabilitas. Misalnya, polisi dapat menghubungi petugas ID dan meminta mereka untuk menarik catatan individu tertentu dan berbagi informasi seperti sidik jari, gambar wajah, alamat atau nama anggota keluarga.Pembuat kebijakan dan pengadilan telah berjuang untuk mencapai keseimbangan yang tepat antara melindungi privasi pendaftar dan mendukung investigasi kriminal. Salah satu pendekatan untuk masalah tersebut adalah dengan menerapkan aturan yang sama yang berlaku untuk bentuk penggeledahan dan penyitaan lainnya di negara yang bersangkutan, seperti persyaratan untuk memperoleh surat perintah. Ini mungkin bermanfaat di mana keseimbangan antara privasi pribadi dan kepentingan publik telah tercapai dalam hal ini. Untuk diskusi lebih lanjut dan kutipan tentang masalah ini dalam karya ilmiah dan media, lihat alat IDEEA).