Cyberthreat.id - Perusahaan induk Facebook, Meta, didenda $1,3 miliar (sekitar Rp20 Triliun) oleh regulator perlindungan data Uni Eropa karena mentransfer data pribadi pengguna di wilayah tersebut ke AS.

Dalam keputusan mengikat yang diambil oleh Dewan Perlindungan Data Eropa (EDPB), raksasa media sosial itu telah diperintahkan untuk membawa transfer datanya sesuai dengan GDPR dan menghapus data yang disimpan dan diproses secara tidak sah dalam waktu enam bulan.

Selain itu, menurut The Hacker News, Meta telah diberi waktu lima bulan untuk menangguhkan transfer data pengguna Facebook ke AS di masa mendatang. Instagram dan WhatsApp, yang juga dimiliki oleh perusahaan, tidak tunduk pada perintah tersebut.

"EDPB menemukan bahwa pelanggaran Meta IE sangat serius karena menyangkut transfer yang sistematis, berulang, dan berkesinambungan," kata Andrea Jelinek, Ketua EDPB, dalam sebuah pernyataan sebagaimana dikutip The Hacker News.

"Facebook memiliki jutaan pengguna di Eropa, sehingga volume data pribadi yang ditransfer sangat besar. Denda yang belum pernah terjadi sebelumnya merupakan sinyal kuat bagi organisasi bahwa pelanggaran serius memiliki konsekuensi yang luas.”

Otoritas perlindungan data Eropa telah berulang kali menekankan kurangnya perlindungan privasi yang setara dengan GDPR di A.S., yang berpotensi memungkinkan layanan intelijen Amerika untuk mengakses data milik orang Eropa karena dikirim ke server yang berlokasi di A.S.

Putusan tersebut berasal dari keluhan hukum yang diajukan oleh aktivis privasi Austria Maximilian Schrems, pendiri NOYB, hampir satu dekade lalu pada Juni 2013 atas kekhawatiran bahwa data pengguna tidak cukup terlindungi dari badan intelijen AS saat ditransfer melintasi Atlantik.

"Perbaikan paling sederhana adalah pembatasan yang masuk akal dalam undang-undang pengawasan AS," kata Schrems. "Ada pemahaman di kedua sisi Atlantik bahwa kita memerlukan kemungkinan penyebab dan persetujuan yudisial untuk pengawasan.

"Sudah waktunya untuk memberikan perlindungan dasar ini kepada pelanggan UE dari penyedia cloud AS. Penyedia cloud besar AS lainnya, seperti Amazon, Google, atau Microsoft dapat terkena keputusan serupa berdasarkan undang-undang UE."

"Meta berencana untuk mengandalkan kesepakatan baru untuk transfer ke depan, tetapi ini sepertinya bukan perbaikan permanen," tambah Schrems lebih lanjut. "Dalam pandangan saya, kesepakatan baru itu mungkin memiliki peluang sepuluh persen untuk tidak dibunuh oleh CJEU. Kecuali undang-undang pengawasan AS diperbaiki, Meta kemungkinan harus menyimpan data UE di UE."

Schrems juga menuduh Komisi Perlindungan Data Irlandia (DPC) secara konsisten berusaha untuk memblokir kasus agar tidak berlanjut dan mencoba untuk melindungi Meta agar tidak ditampar dengan denda dan harus menghapus data yang telah ditransfer, dua yang terakhir telah dibatalkan oleh EDPB.

Meta, sebagai tanggapan, mengatakan bermaksud untuk mengajukan banding atas putusan tersebut, menyebut denda itu "tidak dapat dibenarkan dan tidak perlu" dan bahwa ada "konflik hukum yang mendasar" antara aturan pemerintah AS tentang akses ke data dan hak privasi Eropa.

“Tanpa kemampuan untuk mentransfer data lintas batas, internet berisiko dipecah menjadi silo nasional dan regional, membatasi ekonomi global dan membuat warga negara di berbagai negara tidak dapat mengakses banyak layanan bersama yang telah kami andalkan,” Meta's Nick Kata Clegg dan Jennifer Newstead.

Tahun lalu, perusahaan memperingatkan bahwa jika diperintahkan untuk menangguhkan transfer ke AS, mungkin harus berhenti menawarkan "sejumlah produk dan layanan kami yang paling signifikan" di UE. Menurut Wall Street Journal, kesepakatan transfer data trans-Atlantik baru diharapkan akan diselesaikan sebagai pengganti Privacy Shield akhir tahun ini.

Denda tersebut merupakan yang terbesar yang pernah dikenakan berdasarkan undang-undang privasi GDPR UE, melampaui denda €746 juta ($886,6 juta pada saat itu) yang sebelumnya dibagikan ke Amazon pada Juli 2021 untuk pelanggaran privasi serupa.

Perkembangan tersebut juga menandai sanksi moneter ketiga yang dikeluarkan oleh DPC tahun ini saja. Pada bulan Januari, pengawas mengenakan denda €390 juta atas kesalahan penanganan informasi pengguna untuk menayangkan iklan di Facebook dan Instagram.

Dua minggu kemudian, didenda €5,5 juta karena melanggar undang-undang perlindungan data dengan memaksa penggunanya untuk "menyetujui pemrosesan data pribadi mereka untuk peningkatan dan keamanan layanan" dan "membuat aksesibilitas layanannya bergantung pada pengguna yang menerima Ketentuan yang diperbarui Layanan."[]