Sumber: Fortune | Editor: Handoyo .
KONTAN.CO.ID - JAKARTA. Otoritas Perlindungan Data Belanda (Dutch Data Protection Authority/DPA) baru-baru ini menjatuhkan denda sebesar €290 juta (sekitar US$324 juta) kepada layanan ride-hailing Uber.
Denda ini dikenakan karena dugaan pelanggaran serius terhadap Peraturan Perlindungan Data Umum (General Data Protection Regulation/GDPR) Uni Eropa, terkait dengan transfer data pribadi pengemudi dari Eropa ke Amerika Serikat tanpa perlindungan yang memadai.
Pelanggaran Transfer Data Uber
GDPR merupakan regulasi ketat yang diberlakukan oleh Uni Eropa untuk melindungi data pribadi warga Eropa. Regulasi ini mewajibkan perusahaan yang beroperasi di dalam wilayah Uni Eropa untuk menerapkan langkah-langkah teknis dan organisasi yang ketat guna memastikan keamanan data pribadi.
Dalam kasus Uber, DPA Belanda menemukan bahwa selama lebih dari dua tahun, perusahaan tersebut telah mentransfer data pengemudi dari Eropa ke Amerika Serikat tanpa langkah perlindungan yang memadai.
Baca Juga: Bisnis Ojek Daring, yang Patah Tumbuh Hilang dan Berganti
Menurut ketua DPA Belanda, Aleid Wolfsen, transfer data tanpa perlindungan yang cukup merupakan pelanggaran serius terhadap hak-hak fundamental yang dilindungi oleh GDPR.
Dalam pernyataannya, Wolfsen menegaskan pentingnya perusahaan mematuhi aturan GDPR, terutama ketika menyangkut transfer data ke luar Uni Eropa, di mana perlindungan terhadap data pribadi sering kali tidak seketat di Eropa.
Respons Uber terhadap Keputusan DPA Belanda
Menanggapi keputusan DPA Belanda, Uber menganggap bahwa keputusan tersebut cacat dan tidak adil. Perusahaan ini berencana untuk mengajukan banding atas denda yang dijatuhkan.
Uber bersikeras bahwa mereka telah mematuhi GDPR selama periode tiga tahun yang penuh ketidakpastian antara Uni Eropa dan Amerika Serikat, terutama setelah keputusan Pengadilan Tinggi Uni Eropa pada tahun 2020 yang membatalkan perjanjian Privacy Shield.
Uber juga menyoroti bahwa mereka tidak lagi menggunakan Standard Contractual Clauses (SCC) sejak Agustus 2021 dan telah beralih ke mekanisme pengganti Privacy Shield sejak akhir tahun lalu, yang menghentikan dugaan pelanggaran tersebut.
Latar Belakang Kasus dan Implikasi Keputusan Pengadilan Tinggi Uni Eropa
Kasus ini bermula dari keluhan yang diajukan oleh 170 pengemudi Uber di Prancis, yang kemudian diambil alih oleh DPA Belanda karena kantor pusat Uber di Eropa berada di Belanda. Denda yang dijatuhkan kepada Uber mengikuti keputusan penting Pengadilan Tinggi Uni Eropa pada tahun 2020 yang membatalkan perjanjian Privacy Shield.
Perjanjian ini sebelumnya memungkinkan ribuan perusahaan untuk mentransfer data pribadi ke Amerika Serikat, namun dibatalkan karena kekhawatiran bahwa pemerintah AS dapat mengakses data orang Eropa tanpa perlindungan yang memadai.
Baca Juga: Uber Gandeng BDY Hadirkan 100.000 Kendaraan Listrik di Platformnya
Setelah pembatalan Privacy Shield, transfer data ke luar Uni Eropa harus didasarkan pada klausul kontrak standar (SCC), namun hanya jika tingkat perlindungan yang setara dapat dijamin. DPA Belanda menyatakan bahwa Uber gagal memastikan perlindungan yang cukup terhadap data pengemudi Eropa, yang merupakan pelanggaran serius terhadap GDPR.
Dampak dan Tanggapan dari Industri Teknologi
Denda yang dijatuhkan kepada Uber ini menimbulkan reaksi dari berbagai pihak, termasuk Asosiasi Industri Komputer & Komunikasi (Computer & Communications Industry Association/CCIA).
CCIA berpendapat bahwa denda tersebut mengabaikan realitas bisnis online setelah keputusan Pengadilan Tinggi Uni Eropa pada tahun 2020. Mereka menegaskan bahwa menghentikan aliran data internet yang sibuk selama tiga tahun penuh sementara pemerintah bekerja untuk membentuk kerangka hukum baru merupakan hal yang tidak realistis.
