Undang-Undang Perlindungan Data Modern
Undang-Undang Perlindungan Data Modern – Pada 16 September, kantor Asia-Pasifik Future of Privacy Forum (FPF) mengadakan acara pertamanya setelah diluncurkan pada Agustus 2021. Acara ini diselenggarakan oleh Personal Data Protection Commission (PDPC) Singapura selama acara “Personal Minggu Perlindungan Data” ( Pekan PDP 2021).
Undang-Undang Perlindungan Data Modern
33bits.org – Tema acara tersebut adalah Menjelajahi tren: Dari kerangka kerja “consent-centric” hingga praktik data yang bertanggung jawab dan akuntabilitas privasi di Asia Pasifik , dan ini adalah proyek yang lebih besar, yang dilaksanakan bersama oleh FPF dengan Asian Business Law Institute (ABLI). di 14 yurisdiksi Asia. Acara tersebut juga diselenggarakan bersama oleh ABLI dan FPF dalam rangka kesepakatan kerjasama yang ditandatangani kedua organisasi pada Agustus 2021.
Posting ini merangkum diskusi dalam dua panel bintang yang menampilkan regulator, pemimpin pemikiran, dan praktisi dari seluruh wilayah, dan menyoroti hal-hal penting:
Persyaratan persetujuan yang berlaku untuk pengumpulan dan pemrosesan data pribadi, “pemberitahuan & pilihan”, pengecualian dan alternatif dari persyaratan tersebut, digabungkan, membentuk area di mana koherensi peraturan paling dibutuhkan di Asia-Pasifik (APAC). Ketergantungan yang berlebihan pada persetujuan telah mengarah pada pengembangan “pendekatan centang kotak” untuk perlindungan data, kelelahan persetujuan, dan biaya kepatuhan yang tidak perlu karena persyaratan yang bertentangan di Asia Pasifik.
Undang-undang perlindungan data modern harus mengalihkan tanggung jawab perlindungan data dari pengguna ke organisasi, dengan mempromosikan pendekatan berbasis akuntabilitas untuk perlindungan data daripada pendekatan yang “berpusat pada persetujuan”. Cara yang berbeda dapat digunakan untuk menyeimbangkan kembali persetujuan dan akuntabilitas privasi di APAC, termasuk melalui konsep seperti kepentingan yang sah, penggunaan yang kompatibel, dan gagasan yang setara.
Membuat persetujuan menjadi bermakna kembali di APAC dapat terjadi dalam berbagai cara, yang mencakup memutar kembali berbagai keadaan di mana persetujuan dicari; membutuhkan persetujuan hanya jika itu dapat diberikan dengan penuh pertimbangan, hemat dan dengan pengertian; mendukung peningkatan transparansi dan persetujuan melalui desain UX dan UI, dengan memperhatikan berbagai kebutuhan dan tingkat literasi pengguna.
Harmonisasi adalah ilusi dalam menghadapi keragaman ekstrim Asia, tetapi pendekatan bottom-up untuk konvergensi dapat bekerja dalam konteks kerjasama regional.
MEMPOSISIKAN ULANG PERSYARATAN IZIN DI LANSKAP PERLINDUNGAN DATA APAC YANG TERFRAGMENTASI
Dr. Clarisse Girot , Direktur FPF Asia Pasifik dan Senior Fellow ABLI , membuka diskusi dengan menjelaskan bahwa masalah pandangan komparatif pada persyaratan “persetujuan” di seluruh wilayah dipilih sebagai topik utama mengikuti saran dari jaringan pemangku kepentingan yang luas. Umpan balik menunjukkan bahwa persyaratan persetujuan yang berlaku untuk pengumpulan dan pemrosesan informasi pribadi, prinsip “Pemberitahuan & Pilihan”, pengecualian dan alternatif dari persyaratan tersebut, digabungkan, membentuk area di mana koherensi peraturan paling dibutuhkan di kawasan Asia Pasifik (APAC). .
Dalam praktiknya, penerapan kumulatif dari persyaratan persetujuan untuk pemrosesan data di wilayah tersebut telah mengarah pada pengembangan “pendekatan centang kotak” untuk perlindungan data di banyak yurisdiksi. Namun, di APAC seperti di tempat lain, ketergantungan yang berlebihan pada persetujuan sebagai dasar yang sah oleh organisasi telah menyebabkan kelelahan persetujuan umum dan biaya kepatuhan yang tidak perlu, karena persyaratan yang bertentangan.
Oleh karena itu, kesepakatan terbentuk di seluruh yurisdiksi Asia bahwa undang-undang perlindungan data modern harus mengalihkan tanggung jawab perlindungan data dari pengguna ke organisasi, dengan mempromosikan pendekatan berbasis akuntabilitas untuk perlindungan data daripada pendekatan yang “berpusat pada persetujuan”. Hal ini memicu kebutuhan untuk merelatifkan peran persetujuan dan membawanya kembali ke tempat yang awalnya ditugaskan kepadanya oleh kerangka kerja perlindungan data pertama — yaitu, sebagai salah satu di antara banyak elemen dalam ekosistem peraturan yang umumnya berupaya untuk menyeimbangkan peran dan kepentingan individu, tanggung jawab organisasi, dan kepentingan sosial dan kemasyarakatan yang lebih luas terkait dengan pemrosesan data pribadi.
Baca Juga : Dunia Baru Transfer Data Internasional Yang Berani
Oleh karena itu, tujuan utama dari lokakarya ini adalah untuk mengidentifikasi diskusi serupa yang terjadi di berbagai yurisdiksi di APAC dan untuk mengeksplorasi kemungkinan konvergensi di antara mereka. Diskusi ini juga akan menjadi bahan studi banding bersama dengan rekomendasi untuk konvergensi persetujuan dan persyaratan perlindungan data terkait, yang akan diterbitkan bersama oleh FPF dan ABLI sebelum akhir tahun.
Kedua panel tersebut terdiri dari profesional perlindungan data dari yurisdiksi dan disiplin ilmu APAC yang berbeda. Setiap pembicara berkontribusi dengan sudut pandang orisinal dan ahli yang dapat membantu mengidentifikasi kesamaan, jalur untuk interoperabilitas antara kerangka kerja perlindungan data Asia, dan solusi konkret untuk memberikan perlindungan data yang berarti bagi individu — dengan atau tanpa persetujuan.
Refleksi dan rekomendasi tersebut sangat tepat pada saat yurisdiksi utama di Asia, termasuk India, Indonesia, Thailand, Vietnam, Hong Kong SAR, Malaysia, Australia, mengadopsi kerangka kerja perlindungan data baru atau mengubah undang-undang mereka, dan undang-undang baru atau amandemen besar. baru-baru ini mulai berlaku di yurisdiksi seperti Thailand, Korea, Selandia Baru, Cina, atau Singapura.
MENYEIMBANGKAN KEMBALI PERSETUJUAN DAN AKUNTABILITAS PRIVASI
Judul panel pertama adalah “Beralih dari pendekatan yang berpusat pada persetujuan ke akuntabilitas privasi: pandangan komparatif dari undang-undang perlindungan data APAC” .
Panel dimoderatori oleh Yeong Zee Kin , Assistant Chief Executive, Infocomm Media Development Authority (IMDA), dan Deputy Commissioner, PDPC, Singapore, dengan masukan dari Peter Leonard, Principal and Director di Data Synergies, Sydney, Takeshige Sugimoto , Managing Director di S&K Brussels, Tokyo, Shinto Nugroho, Kepala Kebijakan Publik dan Hubungan Pemerintah di Gojek, Jakarta, dan Marcus Bartley-Johns , Direktur Regional Asia, Urusan Pemerintah dan Kebijakan Publik di Microsoft, Singapura.
Tujuan dari panel pertama ini adalah untuk mengidentifikasi kesamaan dan jalur untuk interoperabilitas antara kerangka perlindungan data Asia sehubungan dengan keseimbangan perlindungan individu, akuntabilitas, dan kepentingan sosial dan sosial yang lebih luas. Ini termasuk peran persetujuan, alasan yang sah untuk memproses data pribadi, dan/atau prinsip privasi lainnya di yurisdiksi yang tidak memuat ketentuan tentang “keabsahan” pemrosesan.
Poin-poin penting yang disoroti selama diskusi adalah sebagai berikut:
Bagaimana mencapai konvergensi di seluruh lanskap APAC yang terfragmentasi dan beragam?
Sebagai catatan pengantar, Yeong Zee Kin menekankan bahwa yurisdiksi APAC mengambil pendekatan yang berbeda terhadap privasi dan perlindungan data, tetapi juga bahwa undang-undang mereka berada dalam tahap perkembangan yang berbeda (misalnya, Jepang dan Korea Selatan telah memiliki undang-undang privasi untuk waktu yang lama, sementara Singapura , Filipina dan Malaysia adalah pemain yang lebih baru). Seseorang dapat menambahkan bahwa undang-undang perlindungan data atau privasi mengikuti struktur yang berbeda dan tidak semua dimodelkan pada GDPR UE, oleh karena itu beberapa ketentuan utama (misalnya tentang “keabsahan” pemrosesan data) tidak memiliki persamaan di yurisdiksi lain.
Oleh karena itu, tantangan yang endemik di APAC adalah mengidentifikasi landasan bersama untuk mencapai konvergensi, sambil menghormati inspirasi yang berbeda dan budaya tertentu yang diabadikan dalam undang-undang privasi masing-masing yurisdiksi.
Hal ini menimbulkan pertanyaan kunci bagi para peserta, yaitu apakah pemangku kepentingan APAC harus bertujuan untuk harmonisasi atau untuk tindakan konvergensi yang lebih terarah, misalnya melalui saling pengakuan atas standar hukum tertentu.
Ketergantungan yang berlebihan pada persetujuan dan kebutuhan akan alternatif
Pembicara menyoroti bahwa organisasi berbasis APAC cenderung terlalu mengandalkan persetujuan, bahkan dalam kasus di mana solusi atau dasar hukum lain akan tersedia dan lebih tepat. Konsekuensi potensial dari praktik semacam itu adalah terkikisnya nilai persetujuan.
Pandangan yang diungkapkan oleh Peter Leonard dan dibagikan di seluruh panel adalah bahwa persetujuan, “penentuan nasib sendiri secara informasional”, atau “manajemen mandiri warga” dari pengaturan privasi, tetap penting. Namun, siapa pun hanya diharapkan untuk mengelola sendiri apa yang secara realistis dapat dikelola oleh mereka. Kebutuhan dirasakan untuk mengatasi frekuensi permintaan persetujuan dan mengurangi tingkat kebisingan dalam kebijakan privasi dan pemberitahuan pengumpulan, serta memikirkan kembali peran kebijakan privasi dan pemberitahuan pengumpulan.
Di antara “langkah-langkah pengurangan kebisingan”, ia secara khusus mengutip pengecualian yang ditargetkan dengan tepat, baik melalui kepentingan yang sah, kode atau standar industri, pengecualian kelas oleh regulator, atau konsep generik baru seperti “praktik data yang kompatibel”, sedemikian rupa sehingga kontrol individu atas data pribadi mereka tidak terpengaruh. Sebagai dasar, menjauh dari persetujuan memerlukan pengakuan akan pentingnya konsep seperti “kewajaran” atau “kewajaran” untuk mendukung persyaratan alternatif undang-undang perlindungan data.
Persetujuan tegas yang jelas harus tetap diperlukan untuk kategori pemrosesan yang menciptakan risiko lebih tinggi terhadap bahaya privasi bagi individu, khususnya untuk data yang sangat sensitif, termasuk data tentang anak-anak, pemrosesan yang secara langsung bertentangan dengan hak dan kepentingan individu, atau tidak dapat diharapkan secara wajar oleh mereka. Ini mungkin juga terkait dengan konsep “zona larangan bepergian” seperti yang telah berkembang di Kanada, dan yang telah mendapatkan popularitas di Australia.
Pendekatan dan interpretasi yang berbeda-beda di yurisdiksi yang berbeda: Jepang, Indonesia, Vietnam
Poin lain yang diangkat oleh moderator dan panelis adalah bahwa perbedaan materi dalam perlindungan yang diberikan oleh sistem hukum di negara-negara APAC dapat menghambat jalan menuju harmonisasi. Oleh karena itu, ada kebutuhan untuk lebih memahami bagaimana setiap undang-undang bekerja sebelum mengusulkan solusi untuk konvergensi, sehingga mereka dapat bermakna bagi semua.
Takeshige Sugimotomengomentari situasi “persetujuan secara default” yang saat ini berlaku di Jepang. Dia mencatat bahwa undang-undang perlindungan data Jepang (APPI) tidak memiliki dasar hukum “kepentingan yang sah”, tetapi—bertentangan dengan kepercayaan umum—itu juga tidak mengambil pendekatan yang berpusat pada persetujuan. Melainkan mengizinkan pemrosesan data pribadi berdasarkan dasar “kebutuhan bisnis”, selama subjek data mungkin mengharapkan penggunaan lebih lanjut yang dimaksudkan dari datanya. Oleh karena itu, batas pemrosesan yang diizinkan di bawah APPI serupa dengan GDPR, bahkan tanpa “kepentingan yang sah” sebagai dasar hukum. Dalam keputusan kecukupannya di Jepang, Komisi Eropa sebenarnya menyatakan bahwa sistem Jepang juga memastikan bahwa data pribadi diproses secara sah dan adil melalui prinsip pembatasan tujuan.
Sugimoto juga menyebutkan pedoman Komisi Perlindungan Informasi Pribadi Jepang (PPC Japan), yang mencantumkan kasus-kasus terbatas di mana persetujuan harus dicari, sambil menunjuk ke area lain yang terbuka untuk dasar hukum lain dan otorisasi dari PPC. Dengan kata lain, dalam pandangannya tidak akan ada perbedaan yang signifikan, dalam praktiknya, antara apa yang GDPR anggap sebagai pemrosesan berbasis kepentingan yang sah, dan apa yang APPI anggap sebagai pemrosesan yang sah.
Shinto Nugroho memaparkan situasi di ASEAN dari perspektif Gojek, decacorn dan SuperApp pertama di Indonesia, yang beroperasi di Indonesia, Vietnam, Singapura, Thailand, dan Filipina. Fokus khusus Nugroho adalah pada tantangan mengoperasionalkan persetujuan di masa krisis, seperti di pandemi Covid-19 saat ini. Dia mencatat bahwa dalam keadaannya saat ini undang-undang perlindungan data Indonesia cukup concent-centric, tetapi rancangan RUU Perlindungan Data yang akan segera diadopsi oleh DPR Indonesia menyebutkan persetujuan hanya sebagai satu dari tujuh alasan sah yang tersedia untuk memproses data pribadi (lainnya termasuk kontrak, pelaksanaan kewajiban hukum dan kepentingan yang sah).
Nugroho menyambut baik perkembangan ini. Dia menjelaskan bagaimana persetujuan sebagai landasan hukum tidak selalu praktis untuk pengontrol atau pelindung bagi individu, dan bahkan terkadang berbahaya bagi warga negara. Sebagai contoh, di Indonesia, dari 170 juta penduduk, sekitar 160 juta memenuhi syarat untuk mendapatkan vaksinasi terhadap Covid. Gojek telah mendapatkan slot vaksinasi besar-besaran dari pemerintah, yaitu untuk para pengemudi yang berada di garda terdepan. Namun, pemerintah mengharuskan setiap orang terdaftar dalam sistem vaksinasi publik terlebih dahulu, yang memerlukan persetujuan. Tetapi tidak semua orang memiliki akses ke Internet atau memiliki kemampuan membaca yang diperlukan untuk mendaftar; selain itu, pendaftaran vaksinasi itu sendiri sedang dalam proses. Mengamankan persetujuan keikutsertaan 100% dari jutaan pengemudi untuk didaftarkan dalam skema tidak hanya akan memperlambat proses, tetapi pengemudi juga akan melewatkan pemberitahuan, atau gagal menyelesaikan pendaftaran mereka. Dalam kasus seperti itu, bagi Gojek, dasar hukum yang paling memadai untuk mendaftarkan pengemudi adalah “kepentingan sahnya” sebagai pemberi kerja, bersama dengan tujuan yang jelas, dan transparansi yang memadai atas persetujuan belaka. Pertimbangan bahwa pengemudi terkena risiko tinggi kontaminasi pada saat epidemi melanda negara harus mengesampingkan kebutuhan untuk mendapatkan persetujuan.
Terakhir, Nugroho menyebutkan diskusi yang sedang berlangsung tentang Keputusan Perlindungan Data Vietnam di masa depan, yang akan segera diadopsi. Keputusan tersebut tidak memberikan dasar kepentingan yang sah, tetapi setidaknya memungkinkan pengontrol untuk mengumpulkan dan memproses data dengan alasan selain dari persetujuan (seperti keamanan, jika diizinkan menurut undang-undang, dan penelitian). Oleh karena itu, diskusi tentang konvergensi harus mempertimbangkan fakta bahwa undang-undang perlindungan data APAC dapat bervariasi bahkan di antara negara-negara tetangga yang umumnya mengambil inspirasi dari sumber-sumber serupa (terutama GDPR UE) untuk menyusun kerangka kerja perlindungan data komprehensif mereka di masa depan.