Otoritas Perlindungan Data Belanda mengenakan denda €290 juta kepada Uber atas transfer data pengemudi ke AS
(autoriteitpersoonsgegevens.nl)- Otoritas Perlindungan Data Belanda (DPA) menilai Uber melakukan pelanggaran serius GDPR karena mentransfer data pribadi pengemudi taksi Eropa ke Amerika Serikat tanpa langkah perlindungan yang diperlukan
- Informasi yang ditransfer mencakup informasi akun dan lisensi taksi, data lokasi, foto, informasi pembayaran, dokumen identitas, hingga data kriminal dan medis sebagian pengemudi
- Uber mengirim data ke kantor pusatnya di AS selama lebih dari 2 tahun, dan sejak Agustus 2021 tidak menggunakan Standard Contractual Clauses, sehingga dinilai tidak memberikan perlindungan yang memadai bagi data pengemudi UE
- Investigasi ini bermula dari keluhan yang diajukan lebih dari 170 pengemudi Prancis; karena kantor pusat Uber di Eropa berada di Belanda, DPA Belanda berkoordinasi dengan DPA Prancis dan DPA Eropa lainnya
- Uber telah menghentikan pelanggaran tersebut dan sejak akhir tahun lalu menggunakan kerangka penerus Privacy Shield, tetapi menyatakan berniat mengajukan keberatan atas denda €290 juta
Penilaian pelanggaran GDPR terhadap Uber
- DPA Belanda menilai Uber gagal menjamin tingkat perlindungan yang diwajibkan GDPR saat mentransfer data pribadi pengemudi taksi Eropa ke Amerika Serikat
- Data yang dipermasalahkan disimpan di server AS, dan cakupannya tidak terbatas pada informasi akun umum
- Informasi akun dan lisensi taksi
- Data lokasi, foto, informasi pembayaran, dokumen identitas
- Data kriminal dan data medis sebagian pengemudi
- Ketua DPA Belanda Aleid Wolfsen menyatakan bahwa perlindungan data pribadi tidak bisa dianggap otomatis di luar Eropa, dan perusahaan yang menyimpan data pribadi warga Eropa di luar UE biasanya harus mengambil langkah tambahan
- Uber saat ini telah menghentikan pelanggaran terkait transfer ke AS
Aturan transfer data internasional dan latar belakang investigasi
- Selama lebih dari 2 tahun, Uber mentransfer data pengemudi ke kantor pusatnya di AS tanpa menggunakan transfer tools, sehingga dinilai tidak memberikan perlindungan data pribadi yang memadai
- Pengadilan Uni Eropa pada 2020 membatalkan EU-US Privacy Shield
- Standard Contractual Clauses dapat menjadi dasar transfer data ke negara di luar UE
- Namun, secara nyata harus dapat menjamin tingkat perlindungan yang setara
- Sejak Agustus 2021, Uber tidak lagi menggunakan Standard Contractual Clauses, dan sejak akhir tahun lalu menggunakan kerangka penerus Privacy Shield
- Investigasi dimulai setelah lebih dari 170 pengemudi Prancis mengajukan keluhan kepada organisasi hak asasi manusia Prancis Ligue des droits de l’Homme(LDH), lalu LDH mengajukan pengaduan ke DPA Prancis
- Berdasarkan prinsip one-stop-shop GDPR, perusahaan yang memproses data di beberapa negara anggota UE berurusan dengan DPA di negara tempat kantor utama mereka berada
- Kantor pusat Uber di Eropa berada di Belanda
- DPA Belanda bekerja sama erat dengan DPA Prancis dan mengoordinasikan keputusan dengan DPA Eropa lainnya
Besaran denda dan sanksi Uber sebelumnya
- Denda perusahaan oleh DPA Eropa dihitung dengan cara yang sama, dengan batas maksimum 4% dari pendapatan tahunan global perusahaan
- Pendapatan global Uber pada 2023 sekitar €34,5 miliar
- Uber menyatakan berniat mengajukan keberatan atas denda €290 juta ini
- Kasus ini merupakan denda ketiga yang dijatuhkan DPA Belanda kepada Uber
- Pada 2018, DPA menjatuhkan denda €600.000 terkait kebocoran data
- Pada 2023, DPA menjatuhkan denda €10 juta atas pelanggaran aturan privasi, dan Uber juga mengajukan keberatan atas denda tersebut
1 komentar
Opini Hacker News
Yang menarik, setidaknya di sektor perbankan, data AS hampir selalu dikelola oleh orang-orang di luar AS
Servernya bisa saja berada di AS, tetapi orang yang mengaksesnya kemungkinan berada di Eropa atau India
Saat akses berlangsung, data itu untuk sementara ada di sana, jadi AS juga perlu undang-undang yang lebih kuat untuk bagian ini
Saya menyukai masa ketika internet dulu terasa seperti jaringan komputer global yang tidak terlalu peduli pada perbatasan negara, jadi agak asing rasanya menerima begitu saja premis bahwa pada akhirnya perbatasan juga penting di internet
Penjelasan 0x62 membantu: https://news.ycombinator.com/item?id=41357888
Saya belum terpikir tentang struktur pemasok yang saling terkait secara rekursif
Itu tetap berlaku meskipun Anda sepenuhnya tidak bersalah
Sejauh yang saya tahu, GDPR tidak mengatur data itu, jadi tidak apa-apa meski melintasi perbatasan
Masalahnya adalah data warga UE yang dilindungi GDPR; kecuali pengecualian tertentu seperti penegakan hukum, data itu tidak boleh melewati perbatasan non-UE
Jika karyawan di India melihat data yang disimpan di AS, jelas data itu sampai ke India saat tampil di layar, tetapi secara formal hal itu mungkin tidak dianggap sebagai pemindahan dari AS ke India
Yang penting adalah pengendali atau pemroses berada di bawah yurisdiksi hukum mana, dan jika data dipindahkan ke pemroses di yurisdiksi lain, itu menjadi transfer
Dalam artikel lain (https://nos.nl/l/2534629, bahasa Belanda), Uber mengklaim telah berdiskusi dengan Autoriteit Persoonsgegevens tentang “hukum yang tidak jelas”
Menurut terjemahan iOS, juru bicara Uber menjelaskan bahwa karena aturan privasi yang ambigu, mereka menghubungi AP secara langsung, dan saat itu lembaga pengawas tidak mengatakan bahwa Uber melanggar aturan
Namun jika perusahaan kaya dengan tim hukum yang tersusun rapi pun tidak yakin apakah sesuatu diperbolehkan, itu tidak berubah menjadi hak untuk melakukannya
Dendanya memang harus sebesar ini. Denda tidak boleh sekadar menjadi biaya bisnis, dan menjaga agar tidak melewati batas harus menjadi kepentingan semua pihak, dari pemegang saham hingga ke bawah
Melihat bagian “sejak akhir tahun lalu Uber menggunakan skema penerus Privacy Shield”, mengingat skema seperti ini terus runtuh, sepertinya nanti akan ada putusan bersalah lagi
Komisi UE tidak menangani bagian ini dengan benar
Dan mereka juga mulai melakukan “sertifikasi” kepatuhan terhadap framework ini: https://www.dataprivacyframework.gov/list
Jadi tiap otoritas perlindungan data mungkin akan mengikuti interpretasi EC tentang kecukupan menurut GDPR untuk framework baru ini
Namun Schrems sudah menyatakan akan menantang framework ini, jadi ketidakpastiannya besar
Pilihan yang “aman” tanpa ketidakpastian tampaknya hanyalah merancang semua sistem agar data tidak melewati AS dan tidak masuk ke penyimpanan anak perusahaan di bawah perusahaan induk yang berbasis di AS
Agak lucu Uber didenda di Belanda. Di sana taksi biasa dilindungi, sehingga Uber hampir tidak terlihat
Saya tidak punya data pasti, tetapi jika minimal sekitar 15 euro per penduduk saja, itu denda yang sangat besar, dan jika dihitung per pengemudi mungkin sekitar 25.000 euro
Rasanya regulator Belanda seperti berkata, “tidak bisakah kalian pergi saja?”, dan Uber mungkin merasakan hal serupa
Pengaduan yang diterima otoritas pengawas privasi Prancis dialihkan ke pihak Belanda
Denda berasal dari regulator Belanda, tetapi penyelidikannya dimulai di Prancis; pada Juni 2020, 21 pengemudi Uber Prancis maju melalui organisasi hak asasi manusia Ligue Des Droits De L'homme Et Du Citoyen
Setelah itu 151 pengemudi Uber lainnya ikut bergabung dalam pengaduan, dan LDH membawanya ke regulator privasi Prancis CNIL; CNIL kemudian meneruskannya ke Otoritas Perlindungan Data Belanda pada Januari 2021 dengan alasan kantor pusat Uber di Eropa berada di Belanda
Karena mereka menyukai sistem pajak di sana
Menurut DPA, proses banding diperkirakan memakan waktu sekitar 4 tahun, jadi pada praktiknya ini akan menjadi banding selama 4 tahun
Semua otoritas perlindungan data di Eropa menghitung besaran denda perusahaan dengan cara yang sama, dan dapat mengenakan denda hingga maksimal 4% dari pendapatan tahunan global perusahaan
Hal yang memicu DPA Belanda memulai penyelidikan terhadap Uber adalah lebih dari 170 pengemudi Prancis mengajukan keluhan kepada organisasi HAM Prancis LDH, lalu LDH menyerahkannya ke DPA Prancis
Saya penasaran atas dasar apa para pengemudi itu awalnya merasa curiga
Secara pribadi, dulu sekali saya pernah terkait dengan sebuah organisasi AS, lalu setelah itu benar-benar melupakannya
Hampir 15 tahun kemudian, spam email mulai datang dari alamat kantor pusat di Washington, dan meski saya meminta agar dihentikan, itu tidak berhenti
Ketika saya meminta tindakan hukum dan penghapusan berdasarkan GDPR, mereka menjawab sudah mematuhinya, tetapi setahun kemudian spam datang lagi dari alamat yang sama
Jadi saya tahu bahwa mereka tidak menghapus informasi saya dan menyimpannya di AS
Saya penasaran bagaimana kasus ini terkait dengan EU–US Data Privacy Framework
Saya memahami bahwa kerangka kerja ini dimaksudkan sebagai pengganti EU–US Privacy Shield untuk mengizinkan transfer seperti ini, jadi sebelum 2020, pada masa Privacy Shield, sepertinya ini bukan masalah
Apakah saya mungkin salah paham?
Privacy Shield dibatalkan pada 2020, dan satu-satunya mekanisme transfer yang masih berlaku adalah klausul kontrak standar
Uber berhenti menggunakan klausul kontrak standar pada Agustus 2021, sebelum mengadopsi kerangka privasi baru pada 2023, dan selama 2 tahun mengirimkan informasi yang sangat sensitif tanpa mekanisme yang sah
[1]: https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-d...
Pada dasarnya, Framework ini juga merupakan upaya Komisi untuk menunjukkan “lihat, kami sudah memperbaikinya”, seperti Shield sebelumnya
Sayangnya, dalam dua kasus sebelumnya ECJ kemudian menilai bahwa kurangnya legislasi perlindungan data pribadi di AS tidak bisa diperbaiki oleh kerangka kerja apa pun, dan juga memutuskan bahwa Shield, seperti pendahulunya, sebenarnya tidak memberikan kewenangan yang diklaimnya
Framework kali ini belum diuji di ECJ, tetapi karena hukum AS juga tidak banyak berubah, hasilnya tampak sudah jelas
Kita beruntung pernah hidup pada masa singkat ketika internet benar-benar merupakan jaringan global
Orang di Belanda atau Nigeria[1] bisa menggunakan layanan teknologi terbaik di dunia, dan orang-orang bisa berinteraksi melintasi batas negara dengan relatif bebas
Tapi sekarang itu mulai berakhir. Ketika setiap wilayah kekuasaan menginginkan bagian dan suara mereka sendiri, internet makin sulit dipertahankan sebagai jaringan global
Menyenangkan selama itu berlangsung
[1]: https://www.reuters.com/technology/nigerias-consumer-watchdo...
Jika sebuah perusahaan bertindak terhormat, tidak ada yang perlu ditakuti dan mereka bisa berbisnis dengan mudah di seluruh dunia
Masalah muncul ketika mereka melakukan hal-hal mencurigakan yang sejak awal seharusnya ilegal
Intinya adalah hukum AS paling longgar, sehingga banyak membolehkan pelanggaran privasi warga, dan karena itu perusahaan kini merasa diri mereka dibatasi secara tidak perlu
Jika hukum AS lebih ketat, ini tidak akan menjadi masalah dan tidak ada yang akan membicarakannya
Berfokus hanya pada kebebasan perusahaan untuk melakukan apa pun yang mereka mau itu sangat picik dan berpusat pada AS. Bagaimana dengan kebebasan pengguna untuk hidup tanpa diawasi?
Efek jaringan terlalu besar sehingga logika pasar bebas “kalau tidak suka, pindah saja” tidak terlalu cocok, dan dari luar sulit mengetahui bagaimana data diproses, sehingga masalah transparansinya juga besar
Terutama karena semua perusahaan memperlakukan data seperti milik mereka sendiri dan sapi perah
Apakah itu juga disebut “wilayah kekuasaan menginginkan bagian dan suara mereka sendiri”? Apakah Anda menentang konsep hukum itu sendiri?
Mungkin seseorang yang bodoh pada akhir masa Kekaisaran Britania juga akan berkata seperti ini
Atau mungkin perusahaan-perusahaan yang ikut dalam jaringan itu merasa berkepentingan untuk mengurung jaringan tersebut di balik pagar?[2][3]
Atau mungkin jaringan global itu telah dibentuk ulang terlalu besar oleh beberapa pelaku dominan sehingga regulasi eksternal menjadi perlu?[4][5]
Tentu saja tidak. Ini pasti bukan respons terhadap penyalahgunaan besar-besaran oleh industri, melainkan hanya para penguasa lokal yang berusaha mengais sedikit kekuasaan
[1]: https://en.wikipedia.org/wiki/PRISM
[2]: https://www.eff.org/fr/deeplinks/2013/05/google-abandons-ope...
[3]: https://blockthrough.com/blog/the-walled-gardens-of-the-ad-t...
[4]: https://www.theverge.com/c/23998379/google-search-seo-algori...
[5]: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Ana...
Apa itu kebebasan? GPL, BSD, mengayunkan tinju, atau tidak terkena pukulan di hidung?
Karena proses banding memakan waktu sekitar 4 tahun dan denda ditangguhkan sampai semua upaya hukum selesai, sepertinya kita akan mendengar kasus ini lagi 4 tahun lagi
Uber akan memperlakukan ini sebagai “biaya berbisnis di Eropa” dan menambahkannya ke harga sebagai markup
Total denda yang dikenakan EU kepada perusahaan teknologi AS dalam beberapa tahun terakhir mencapai 14,8 miliar dolar: https://loeber.substack.com/p/20-no-more-eu-fines-for-big-te...
Substack ini cukup bagus, dan dengan jelas menunjukkan bahwa perusahaan teknologi AS tidak akan meninggalkan Eropa dalam waktu dekat, tetapi mereka memegang kekuatan yang jauh lebih besar dalam hubungan tersebut
Para regulator terlalu berlebihan memainkan kartu mereka
Bahkan jika Big Tech AS mundur dari Eropa, kecuali dalam jangka pendek, itu bisa menjadi hal baik bagi pasar lokal
Sangat sulit bersaing dengan mereka, dan hal yang sama juga terjadi di pasar domestik AS
Jika mereka menghilang dari pasar sebesar EU, besar kemungkinan hal itu akan memicu persaingan
Bahkan jika kita berasumsi EU sama sekali tidak punya kemampuan, asumsi itu sangat tidak realistis mengingat model pembuat gambar terbaik saat ini dan beberapa LLM open-source yang cukup bagus berasal dari EU
Selain itu, banyak negara Eropa, terutama Eropa Timur, memiliki talenta teknologi yang luar biasa, dan perusahaan China juga akan segera masuk
Jadi dari sudut pandang Eropa, ini tetap merupakan kesepakatan yang buruk