Meta menerima denda US$1,3 miliar atas pelanggaran privasi

LONDON –

Uni Eropa menampar Meta dengan rekor denda privasi US $ 1,3 miliar pada hari Senin dan memerintahkannya untuk berhenti mentransfer informasi pribadi pengguna melintasi Atlantik pada bulan Oktober, salvo terbaru dalam kasus selama satu dekade yang dipicu oleh ketakutan cybersnooping AS.

Hukuman 1,2 miliar euro adalah yang terbesar sejak rezim privasi data ketat UE berlaku lima tahun lalu, melampaui denda Amazon 746 juta euro pada 2021 karena pelanggaran perlindungan data.

Meta, yang sebelumnya memperingatkan bahwa layanan untuk penggunanya di Eropa dapat diputus, berjanji untuk mengajukan banding dan meminta pengadilan untuk segera menunda keputusan tersebut.

Perusahaan mengatakan “tidak ada gangguan langsung ke Facebook di Eropa.” Keputusan tersebut berlaku untuk data pengguna seperti nama, email dan alamat IP, pesan, riwayat tontonan, data geolokasi, dan informasi lain yang Meta — dan raksasa teknologi lainnya seperti Google — gunakan untuk iklan daring bertarget.

“Keputusan ini cacat, tidak dapat dibenarkan, dan menjadi preseden berbahaya bagi banyak perusahaan lain yang mentransfer data antara UE dan AS,” Nick Clegg, presiden urusan global Meta, dan kepala petugas hukum Jennifer Newstead mengatakan dalam sebuah pernyataan.

Ini adalah putaran lain dalam pertarungan hukum yang dimulai pada 2013 ketika pengacara Austria dan aktivis privasi Max Schrems mengajukan keluhan tentang penanganan Facebook atas datanya menyusul pengungkapan mantan kontraktor Badan Keamanan Nasional Edward Snowden tentang pengawasan elektronik oleh badan keamanan AS. Itu termasuk pengungkapan bahwa Facebook memberi agensi akses ke data pribadi orang Eropa.

Kisah tersebut menyoroti perselisihan antara Washington dan Brussel atas perbedaan antara pandangan ketat Eropa tentang privasi data dan rezim yang relatif longgar di AS, yang tidak memiliki undang-undang privasi federal. UE telah menjadi pemimpin global dalam mengekang kekuatan Teknologi Besar dengan serangkaian peraturan yang memaksa mereka mengawasi platform mereka dengan lebih ketat dan melindungi informasi pribadi pengguna.

Perjanjian yang mencakup transfer data UE-AS yang dikenal sebagai Privacy Shield dibatalkan pada tahun 2020 oleh pengadilan tinggi UE, yang mengatakan itu tidak cukup untuk melindungi penduduk dari pengintaian elektronik pemerintah AS. Keputusan hari Senin menegaskan bahwa alat lain untuk mengatur transfer data — kontrak hukum saham — juga tidak valid.

Brussels dan Washington menandatangani kesepakatan tahun lalu tentang Perisai Privasi yang dikerjakan ulang yang dapat digunakan Meta, tetapi pakta tersebut sedang menunggu keputusan dari pejabat Eropa tentang apakah itu cukup melindungi privasi data.

Lembaga-lembaga UE telah meninjau perjanjian tersebut, dan anggota parlemen blok tersebut bulan ini menyerukan perbaikan, dengan mengatakan bahwa perlindungan tidak cukup kuat.

Komisi Perlindungan Data Irlandia menjatuhkan denda sebagai regulator privasi utama Meta di blok 27 negara karena kantor pusat raksasa teknologi Silicon Valley di Eropa berbasis di Dublin.

Pengawas Irlandia mengatakan memberi Meta lima bulan untuk berhenti mengirim data pengguna Eropa ke AS dan enam bulan untuk membuat operasi datanya sesuai dengan “dengan menghentikan pemrosesan yang melanggar hukum, termasuk penyimpanan, di AS” dari data pribadi pengguna Eropa yang ditransfer di pelanggaran aturan privasi blok.

Dengan kata lain, Meta harus menghapus semua data itu, yang bisa menjadi masalah yang lebih besar daripada denda, kata Johnny Ryan, peneliti senior di Dewan Irlandia untuk Kebebasan Sipil, sebuah kelompok hak asasi nirlaba yang menangani masalah digital dan data.

“Perintah untuk menghapus data ini benar-benar memusingkan Meta,” kata Ryan. Jika perusahaan harus menghapus data untuk ratusan juta pengguna Uni Eropa sejak 10 tahun yang lalu, “sangat sulit untuk melihat bagaimana perusahaan dapat mematuhi perintah itu.”

Jika perjanjian privasi transatlantik baru berlaku sebelum tenggat waktu, “layanan kami dapat berlanjut seperti hari ini tanpa gangguan atau dampak apa pun pada pengguna,” kata Meta.

Schrems memperkirakan bahwa Meta “tidak memiliki peluang nyata” untuk membatalkan keputusan secara material. Dan pakta privasi baru mungkin tidak berarti akhir dari masalah Meta, karena ada kemungkinan besar pakta itu bisa dibatalkan oleh pengadilan tinggi UE, katanya.

“Meta berencana untuk mengandalkan kesepakatan baru untuk transfer ke depan, tapi ini sepertinya bukan perbaikan permanen,” kata Schrems dalam sebuah pernyataan. “Kecuali undang-undang pengawasan AS diperbaiki, Meta kemungkinan harus menyimpan data UE di UE.”

Schrems mengatakan solusi yang mungkin bisa menjadi jaringan sosial “federasi”, di mana data Eropa tetap berada di pusat data Meta di Eropa, “kecuali pengguna misalnya mengobrol dengan teman AS.”

Meta memperingatkan dalam laporan pendapatan terbarunya bahwa tanpa dasar hukum untuk transfer data, Meta akan dipaksa untuk berhenti menawarkan produk dan layanannya di Eropa, “yang akan secara material dan merugikan memengaruhi bisnis, kondisi keuangan, dan hasil operasi kami.”

Perusahaan media sosial mungkin harus melakukan perombakan operasi yang mahal dan rumit jika pada akhirnya terpaksa menghentikan transfer. Meta memiliki 21 armada pusat data, menurut situs webnya, tetapi 17 di antaranya berada di Amerika Serikat. Tiga lainnya berada di negara-negara Eropa Denmark, Irlandia dan Swedia. Lain lagi di Singapura.

Raksasa media sosial lainnya menghadapi tekanan atas praktik data mereka. TikTok telah mencoba meredakan ketakutan Barat tentang potensi risiko keamanan siber aplikasi berbagi video pendek milik China dengan proyek senilai US$1,5 miliar untuk menyimpan data pengguna AS di server Oracle.