- Transfer data pribadi EU-AS selama ini dipertahankan dengan prasyarat adanya lembaga pengawas independen di AS, tetapi putusan Mahkamah Agung AS dalam Trump v. Slaughter mengguncang asumsi independensi FTC
- Hukum perjanjian EU mewajibkan pengawasan perlindungan data pribadi dilakukan oleh lembaga independen, dan EU-US Data Privacy Framework 2023 juga menjadikan FTC sebagai dasar utama
- Karena Safe Harbour dan Privacy Shield sudah dibatalkan dalam Schrems I·II, noyb menilai kerangka baru 2023 mengulangi kerentanan yang sama
- Transfer data tidak serta-merta langsung dihentikan seluruhnya; keputusan saat ini tetap berlaku secara formal sampai European Commission mencabutnya atau CJEU membatalkannya
- Perusahaan yang memakai SCCs·BCRs juga mungkin perlu meninjau ulang penilaian dampak yang bergantung pada independensi lembaga pemulihan dan pengawas di AS, dan noyb menuntut pencabutan kesepakatan data EU-AS
Melemahnya Independensi FTC Mengguncang Kerangka Transfer EU-AS
- Mahkamah Agung AS dalam Trump v. Slaughter memutuskan bahwa FTC mungkin tidak lagi independen
- Sejak 2000, EU telah bergantung pada FTC yang independen sebagai dasar penegakan kesepakatan transfer data pribadi EU-AS
- Menurut hukum perjanjian EU, pengawasan perlindungan data pribadi harus ditangani oleh lembaga independen
- Dasarnya adalah Article 16(2) TFEU dan Article 8(3) of the Charter of Fundamental Rights
- Agar negara ketiga dapat menerima transfer data pribadi bebas dari EU, negara tersebut harus memberikan perlindungan yang pada dasarnya setara
- Dalam EU-US Data Privacy Framework tahun 2023, European Commission menjadikan FTC sebagai dasar sebanyak 259 kali
- noyb dan Max Schrems menuntut agar European Commission mencabut keputusan kecukupan terhadap AS secara tertib, karena AS tidak lagi memiliki lembaga pengawas yang independen
Pembatalan Berulang dan Kerentanan Kesepakatan Baru 2023
- Sejak 1995, EU pada umumnya melarang ekspor data pribadi ke negara ketiga untuk mencegah pengelakan aturan data pribadi EU
- Ada pengecualian untuk transfer yang diperlukan, seperti reservasi hotel atau transaksi yang kompleks
- Banyak perusahaan EU telah mengalihdayakan pemrosesan data pribadi ke penyedia cloud AS
- Sejak 2000, European Commission berulang kali mengakui AS sebagai negara yang “memadai” dalam perlindungan data pribadi sehingga memungkinkan arus data bebas antara EU dan AS
- CJEU membatalkan Safe Harbour dalam Schrems I
- CJEU membatalkan Privacy Shield dalam Schrems II
- Alasan utamanya adalah hukum pengawasan AS dan kurangnya upaya pemulihan yudisial di AS
- CJEU juga menilai bahwa bahkan dalam isu pengawasan pemerintah, harus ada mekanisme pemulihan hukum yang independen
- Pemerintahan Biden membentuk Data Protection Review Court
- Terlepas dari namanya, badan ini adalah lembaga eksekutif di dalam Departemen Kehakiman AS
- Independensinya bergantung pada Executive Order Biden, yang bisa diubah kapan saja oleh Trump dan tidak mengikat presiden
- Putusan Slaughter dipandang sebagai pembalikan 180 derajat dari preseden sebelumnya, dengan menilai independensi FTC bertentangan dengan konstitusi
- Ini mengikuti unitary executive theory, yang menyatakan bahwa presiden AS harus mengendalikan semua lembaga eksekutif AS
- Strukturnya menganggap undang-undang AS yang membuat berbagai lembaga menjadi independen sebagai inkonstitusional
Keberlakuan Saat Ini dan Titik yang Perlu Ditinjau Ulang oleh Perusahaan
- Dampaknya tidak tanpa batas
- Keputusan European Commission tetap berlaku secara formal sampai Commission mencabutnya atau CJEU membatalkannya
- Karena itu, tidak ada efek hukum langsung
- GDPR hanya mengatur transfer data pribadi, sedangkan data nonpribadi dapat mengalir bebas
- Article 49 GDPR mengizinkan transfer yang diperlukan ke negara ketiga, tetapi tidak mengizinkan offshoring struktural ke luar EU yang tidak benar-benar diperlukan
- SCCs dan BCRs juga dapat terdampak
- Sebagian perusahaan secara formal menggunakan SCCs atau BCRs alih-alih EU-US Framework
- Bahkan dalam kasus ini, biasanya tetap diperlukan penilaian dampak, dan penilaian itu bergantung pada independensi lembaga eksekutif AS seperti PCLOB atau Data Protection Review Court
- Controller yang tidak bergantung pada formal Commission Decision harus segera memperbarui penilaiannya
- noyb telah mengirim surat resmi kepada European Commission untuk menuntut pencabutan kesepakatan data EU-AS secara tertib
- Sejumlah negara anggota EU sudah beralih ke pendekatan “digital sovereignty” dan mengumumkan pemisahan dari penyedia layanan AS
- Sejumlah penyedia layanan AS juga sedang mendorong pemrosesan data EU yang terpisah
- noyb berencana mengajukan gugatan dalam beberapa minggu ke depan agar CJEU dapat membatalkan kesepakatan saat ini
- Gugatan seperti ini biasanya memakan waktu 2~3 tahun hingga keputusan final
1 komentar
Pendapat di Lobste.rs
Ini hal yang baik. UE dan seluruh dunia yang akan mengikuti contohnya tidak seharusnya begitu bergantung pada negara nakal yang bersikeras bahwa otoritas negaranya adalah yang tertinggi dan tidak lagi memperlakukan negara atau pemerintah lain secara setara.
Saya marah dengan putusan Mahkamah Agung AS ini, tetapi ringkasan ini agak berlebihan. Sebab lembaga-lembaga yang disebut “independen” itu sejak awal tidak pernah benar-benar independen.
Mungkin penulis tertipu oleh istilah yang umum dipakai dan sejak awal salah memahami sifatnya. Saya tidak bisa memikirkan sanggahan praktis apa pun terhadap FTC AS pasca-Slaughter yang tidak akan berlaku sama persis sebelum Slaughter.
Kalau ada perbedaan, mungkin hanya pada tampilan luarnya? Dan apakah perubahan tampilan luar itu saja cukup bagi UE untuk mengambil tindakan? Kalau begitu bagus, tetapi saya tidak melihat putusan ini secara substansial mengubah sifat “independensi” regulator AS. Karena sejak awal independensi semacam itu memang tidak ada.
Kemarahan saya tidak berkaitan dengan dampaknya terhadap independensi palsu lembaga-lembaga tersebut; ini persoalan hukum yang lebih subtil, dan agak di luar topik tulisan ini maupun Lobsters secara umum.
Inti tulisan ini adalah bahwa Komisi UE menggunakan fiksi bahwa lembaga-lembaga ini cukup independen untuk membenarkan pengiriman data pribadi ke AS.