Facebook memberikan beberapa rekomendasi terkait aturan Perlindungan Data Pribadi
Rekomendasi dari Facebook berfokus pada kewajiban permintaan persetujuan (consent) dari pemroses dan pengolah data kepada pemilik data.
Facebook APAC Privacy and Public Policy Manager Arianne Jimenez mengatakan kewajiban persetujuan tersebut seharusnya jangan dijadikan sebagai satu-satunya dasar legalitas agar bisa memroses data.
“Saat memroses data, Anda harus punya dasar legal untuk memroses data. Rekomendasi kami memroses juga harus bisa dilakukan oleh dasar legal selain persetujuan,” kata Jimenez
Jimenez merujuk pada General Data Protection Regulation di Uni Eropa, setidaknya ada enam dasar legal untuk para pengolah dan pemroses data yang memvalidasi pemrosesan data.
Aturan PDP disebut-sebut oleh Kementerian Komunikasi dan Informatika (Kemkominfo) akan sesuai GDPR dengan beberapa hal yang disesuaikan dengan kondisi Indonesia.
“Saya ingin klarifikasi bahwa GDPR tidak membutuhkan persetujuan untuk setiap pengoleksian data. Persetujuan hanya satu dari enam dasar legalitas untuk proses data,” katanya.
Jimenez menjelaskan rekanan Facebook di Eropa memiliki enam dasar legalitas untuk pemrosesan data. Negara-negara tersebut bisa memilih mana dasar legalitas yang paling sesuai.
Enam dasar legalitas di antaranya adalah persetujuan (consent), kontrak (contract), kewajiban hukum (legal obligations), kepentingan vital (vital interests), tugas publik (public task), kepentingan yang sah (legitimate interests).
“Kalau hanya berdasarkan persetujuan, itu tidak praktis dan tidak fleksibel. Kalau memang persetujuan juga harus lebih fleksibel dan sesuai dengan keadaan,” ucapnya.
Jimenez mengatakan persetujuan bertubi-tubi juga akan ‘melelahkan’ bagi pengguna atau pemilik data. Misalkan ketika menggunakan aplikasi, Anda terus-terusan dimintai persetujuan.
“Kita haruslah hindari hal yang disebut ‘notice fatigue’. Ini terjadi ketika Anda kelelahan atau bingung dengan banyak informasi. Agar lebih fleksibel kita harus buat Informasi persetujuan dengan cara yang ‘short burst’ (singkat dan cepat) atau lebih kreatif. Ini lebih fleksibel,” ujar Jimenez.
Facebook mengatakan kewajiban permintaan persetujuan (consent) dari pemroses dan pengolah data kepada pemilik data dalam draft Rancangan UU Perlindungan Data Pribadi masih belum jelas.
Facebook APAC Privacy and Public Policy Manager Arianne Jimenez menjelaskan ketidakjelasan tersebut mengacu pada dasar legalitas agar pemroses dan pengolah data bisa memroses data.
“Saat ini cukup tidak jelas, dalam draft apakah persetujuan adalah satu-satunya dasar untuk memroses data. Atau ada situasi lain di mana pemrosesan data diperbolehkan tanpa persetujuan pemilik data,” kata Jimenez
Jimenez mengatakan dalam draft RUU PDP, pemroses dan pengolah data harus meminta persetujuan dari pemilik data apabila data akan digunakan secara komersial.
“Contoh jika Anda beli kopi, atau nasi goreng di toko dengan kartu kredit, berdasarkan draft itu dibutuhkan persetujuan sebelum memberikan kartu kredit ke toko. Jadi ini cukup menantang,” kata Jimenez.
Oleh karena itu, Jimenez menjelaskan kewajiban persetujuan tersebut sangat ketat
“Bahkan jika dibandingkan dengan GDPR, aturan ini sangat ketat. Jadi cukup membebankan dan sulit. Kemudian mahal untuk di implementasi bagi UMKM,” kata Jimenez.
Selain persetujuan, Jimenez berharap aturan PDP bisa menyertakan dasar legalitas berupa legitimate interest (kepentingan yang sah).
Legitimate interest memperbolehkan pihak ketiga untuk memroses data untuk kepentingan sah Anda atau kepentingan sah pihak ketiga. Kecuali ada alasan kuat untuk melindungi data pribadi individu yang mengesampingkan kepentingan sah tersebut.
“Legitimate interest menyediakan fleksibilitas bagi organisasi atau perusahaan untuk melakukan bisnis dengan menggunakan data secara bertanggung jawab, tapi di saat yang sama juga hasilkan privasi yang bagus,” kata Jimenez.