Schrems II, lima tahun kemudian

Putusan yang butuh waktu tiga jam untuk mengubah aturan

Pada 16 Juli 2020, sekitar pukul sepuluh lewat lima belas pagi waktu Luksemburg, Mahkamah Keadilan Uni Eropa (TJUE) mempublikasikan putusan perkara C-311/18. Dalam tiga jam berikutnya, rezim hukum yang mendukung transfer harian data pribadi dari Eropa ke Amerika Serikat — yang disebut Perisai Privasi (Privacy Shield dalam penamaan resminya) — tidak lagi berlaku. Ketika para penanggung jawab perlindungan data Eropa selesai makan siang hari itu, kerangka kerja yang mendasari operasional perusahaan dan administrasi mereka sudah tidak berguna lagi.

Putusan tersebut sekarang dikenal sebagai Schrems II, dari Maximilian Schrems, aktivis Austria yang gugatannya terhadap Facebook Ireland memicu hal ini. Gugatan tersebut, secara khusus, menangani transfer antara Facebook Irlandia dan Facebook Amerika Serikat. Putusan tersebut, secara umum, jauh melampaui itu: ia mendiktekan bagaimana dan di bawah kondisi apa data pribadi apa pun yang dikumpulkan di wilayah Eropa dapat dipindahkan ke Amerika Serikat.

Hampir enam tahun kemudian, kerangka pengganti telah ada — EU-US Data Privacy Framework, yang diadopsi pada Juli 2023 — dan ia juga berada di bawah tekanan hukum. Putaran Schrems baru sedang dipersiapkan. Sementara itu, usaha kecil dan menengah Eropa terus menggunakan layanan cloud Amerika Serikat untuk tugas sehari-hari, sebagian besar tanpa mengetahui bahwa masalah hukum yang mendasari layanan tersebut masih terbuka.

Apa sebenarnya isi Schrems II

Putusan tersebut berpijak pada tiga bagian. Pertama adalah Piagam Hak Fundamental Uni Eropa, khususnya artículo 7 (kehidupan pribadi dan keluarga), 8 (perlindungan data pribadi), dan 47 (perlindungan yudisial yang efektif). Kedua adalah Peraturan Perlindungan Data Umum — RGPD yang hanya diingat oleh banyak orang Eropa karena pemberitahuan cookie — khususnya Bab V, artículo 44 hingga 50, tentang transfer internasional. Ketiga adalah undang-undang intelijen Amerika Serikat: pasal 702 dari Foreign Intelligence Surveillance Act, FISA 702 dalam istilah hukum, dan Perintah Eksekutif presiden 12333.

Mahkamah melanjutkan dengan metode kontras. Piagam Hak Fundamental mewajibkan agar data pribadi warga negara Eropa menikmati, ketika mereka meninggalkan Uni Eropa, tingkat perlindungan yang secara esensial setara dengan yang dijamin oleh RGPD. Pertanyaannya adalah, akibatnya, apakah Amerika Serikat menawarkan tingkat perlindungan yang secara esensial setara tersebut.

Jawabannya negatif, dan bukan karena nuansa. FISA 702 memungkinkan pemerintah Amerika Serikat untuk mengumpulkan komunikasi non-Amerika yang berlokasi di luar wilayah nasional tanpa otorisasi yudisial individu sebelumnya, tanpa pemberitahuan kepada yang bersangkutan, dan tanpa upaya hukum efektif yang sebanding dengan Eropa. Perintah Eksekutif 12333 memperluas kemampuan tersebut secara analog di luar wilayah nasional. Mahkamah menyimpulkan bahwa warga negara Eropa, di hadapan sistem hukum Amerika Serikat, tidak memiliki perlindungan yang secara esensial setara seperti yang diwajibkan oleh Piagam. Oleh karena itu, kesetaraan tidak ada.

Dari situlah muncul konsekuensi langsung: Keputusan Komisi Eropa 2016/1250, yang telah memvalidasi Privacy Shield sebagai kerangka kerja yang memadai untuk transfer, dinyatakan tidak sah. Setiap transfer yang hanya didasarkan pada kerangka kerja tersebut tidak lagi memiliki dasar hukum sejak saat itu juga.

Apa yang tetap bertahan (dan di bawah kondisi apa)

Schrems II tidak menghapus semua instrumen. Klausul Kontraktual Standar — SCC dalam istilah internasional — tetap bertahan. Itu adalah kontrak model yang disetujui oleh Komisi Eropa: eksportir Eropa dan importir negara tujuan menandatanganinya dengan komitmen untuk memperlakukan data sesuai standar Eropa. Perusahaan yang mengira telah menyelesaikan masalah pada 17 Juli 2020 menandatangani SCC dengan penyedianya dan merasa puas.

Ketidaknyamanan muncul saat membaca putusan tersebut secara perlahan. Mahkamah menjelaskan bahwa SCC tetap valid, tetapi validitasnya bergantung pada satu kondisi yang perlu digarisbawahi: bahwa importir data dapat mematuhinya dalam praktik. Jika undang-undang nasional negara tujuan mencegahnya mematuhi klausul tersebut — karena, misalnya, perintah di bawah FISA 702 mewajibkannya menyerahkan data tanpa memberi tahu mitra Europanya — maka klausul tersebut tidak benar-benar melindungi. Dan kemudian, kata Mahkamah, eksportir Eropa harus menghentikan transfer tersebut.

Hal ini memperkenalkan objek baru dalam praktik perlindungan data Eropa: Transfer Impact Assessment, atau analisis dampak transfer, yang dikenal dengan singkatan TIA. Setiap kali perusahaan Eropa ingin memindahkan data ke Amerika Serikat di bawah naungan SCC, ia harus mengevaluasi secara formal apakah penerima dapat mematuhi klausul tersebut mengingat undang-undang yang berlaku baginya. Dewan Perlindungan Data Eropa (EDPB) menerbitkan panduan terperinci tentang cara melakukan TIA. Praktik yang jujur biasanya memberikan hasil yang sama: jika importir adalah anak perusahaan Amerika Serikat dari raksasa cloud, jawaban jujur untuk TIA adalah bahwa klausul tersebut tidak dapat dipenuhi sebagaimana tertulis.

Privacy Framework dan Schrems III yang tertunda

Pada 10 Juli 2023, Komisi Eropa mengadopsi Keputusan Adekuasi baru: 2023/1795. Ini menggantikan Privacy Shield yang sudah tidak berlaku dan beroperasi dengan nama EU-US Data Privacy Framework. Amerika Serikat sebelumnya telah mengubah rezim internalnya melalui Perintah Eksekutif (Executive Order) 14086, yang membatasi cakupan intelijen sinyal pada hal yang "perlu dan proporsional" — terminologi yang akrab bagi pembaca Eropa, namun tidak begitu akrab bagi praktik administratif Amerika Serikat — dan membentuk badan peninjau yang disebut Data Protection Review Court (DPRC). Komisi menganggap modifikasi ini cukup untuk memulihkan tingkat perlindungan yang secara esensial setara.

Organisasi noyb, yang didirikan oleh Schrems, mengajukan gugatan pada 7 September 2023 terhadap Keputusan baru tersebut. Argumen-argumennya sesuai dugaan: DPRC bukanlah pengadilan independen dalam pengertian artículo 47 Piagam; konsep "perlu dan proporsional" tidak diterjemahkan secara mekanis ke standar Eropa; dan terakhir, perlindungan yang bersandar pada Perintah Eksekutif dapat dicabut oleh Perintah Eksekutif berikutnya. Putusan TJUE tentang Keputusan baru tersebut — yang oleh banyak orang disebut sebagai Schrems III — diharapkan dalam beberapa tahun mendatang. Hasilnya tidak dapat diprediksi. Struktur argumennya, bagaimanapun, sangat mirip dengan tahun 2020.

Apa yang tidak didengar oleh PYME Eropa

Sementara majelis besar TJUE bermusyawarah, firma hukum ukuran menengah terus bertukar korespondensi dengan klien mereka melalui Microsoft 365 yang dihos di wilayah Eropa tetapi dimiliki oleh perusahaan Amerika Serikat yang tunduk pada FISA 702. Konsultasi medis pribadi menyinkronkan agenda melalui Google Workspace. Konsultan pajak mengirimkan SPT yang ditandatangani melalui DocuSign. Psikolog menagih dari lembar kerja di Notion. Firma hukum ketenagakerjaan mengarsipkan berkas di Dropbox. Dan praktis mereka semua, selain itu, melayani klien mereka melalui WhatsApp. Semua ini dapat beroperasi di bawah naungan Keputusan Adekuasi 2023/1795, menurut para penyedia layanan. Pada hari Keputusan tersebut jatuh di Schrems III, semua hubungan tersebut akan terancam dalam sekejap.

Masalah ini bukan retoris. Antara 2022 dan 2024, beberapa otoritas Eropa menyelesaikan kasus terhadap pengendali data karena menggunakan Google Analytics tanpa instrumen transfer yang memadai, dengan menerapkan penalaran TJUE secara harfiah bahkan sebelum Privacy Framework berlaku. Otoritas Prancis, CNIL, adalah yang pertama meresmikan kriteria tersebut pada 2022; otoritas Austria, Italia, dan lainnya menyusul tak lama kemudian. Ketidakpatuhan, di bawah desain operasional PYME Eropa saat ini, didokumentasikan secara real-time bagi siapa saja yang tahu cara mencarinya.

TIA sebagai instrumen, bukan sebagai ritual

Sebagian besar TIA yang beredar di kantor-kantor Eropa, jika dibaca dengan cermat, hanyalah latihan formal. Mereka mencantumkan instrumen kontraktual, menyebutkan sertifikasi penyedia, mengutip jaminan teknis, mencentang kotak. Sedikit yang bertanya serius apakah perintah FISA 702 akan memaksa penyedia untuk menyerahkan data. Lebih sedikit lagi yang bertanya apa yang akan terjadi dengan transfer tersebut di bawah tinjauan hipotetis Privacy Framework. Artículo 5 RGPD mewajibkan pengendali data untuk mampu membuktikan kepatuhan. TIA yang tidak dilakukan secara serius tidak membuktikan apa pun; yang dibuktikannya adalah keinginan untuk patuh di atas kertas sambil melakukan sebaliknya dalam praktik.

Versi jujur dari TIA dimulai dengan pertanyaan sederhana: apa yang akan terjadi jika besok perintah FISA 702 datang ke penyedia ini untuk data spesifik ini? Jika jawaban jujurnya adalah "ia harus menyerahkannya tanpa memberi tahu kami", klausul kontraktual tidak menyelesaikan masalah. Apa yang menyelesaikannya, dalam kasus di mana pertanyaan itu benar-benar penting, adalah tidak menyerahkan data ke tangan penyedia tersebut.

Perubahan politik sebagai risiko struktural

Ada lapisan tambahan, politik, yang perlu disebutkan tanpa drama. Keputusan Adekuasi 2023/1795 bersandar, pada akhirnya, pada Perintah Eksekutif 14086, yang ditandatangani oleh Presiden Biden pada Oktober 2022. Sebuah Perintah Eksekutif ditandatangani oleh seorang presiden dan dapat dicabut, diubah, atau dikosongkan isinya oleh presiden berikutnya. Perlindungan data Eropa di Amerika Serikat bergantung, dengan demikian, pada keputusan administratif yang tidak dijamin oleh Kongres Amerika maupun dilindungi oleh sistem hukum Amerika dengan ketegasan yang sama seperti ia melindungi masalah internal lainnya. Sejak Januari 2025 administrasi baru memerintah Amerika Serikat, dan pertanyaan tentang kontinuitas praktis EO 14086 telah berhenti menjadi hipotesis untuk menjadi isu kontemporer. Skenario apa pun di mana administrasi memutuskan untuk menarik atau memperhalus Perintah tersebut akan membuat Keputusan Eropa kehilangan fondasi tempat ia dibangun.

Ini bukan argumen konspirasi. Ini adalah pembacaan tenang atas desain hukum. Kerangka perlindungan data transatlantik telah jatuh dua kali: Safe Harbor pada 2015 (putusan Schrems I), Privacy Shield pada 2020 (Schrems II). Yang ketiga bersandar pada fondasi yang lebih rapuh daripada dua pendahulunya. Perusahaan Eropa yang hari ini mempertaruhkan pemrosesan datanya pada fondasi tersebut sedang mengambil keputusan manajemen risiko, bukan sekadar kepatuhan normatif.

Untuk pembaca profesional

Pertanyaan operasional yang perlu diajukan sebelum memilih layanan cloud untuk data profesional — dengan ketegasan yang akan diajukan oleh inspektur perlindungan data — adalah sebagai berikut:

1. Di mana data disimpan secara fisik? Wilayah Eropa bukanlah jawaban yang cukup jika operatornya adalah Amerika Serikat.
2. Siapa yang mengoperasikan layanan tersebut, di yurisdiksi mana ia didirikan, dan perintah hukum apa yang dapat dikenakan padanya?
3. Instrumen transfer apa yang digunakan: Keputusan Adekuasi 2023/1795, SCC dengan TIA, pengecualian artículo 49 RGPD? Apakah pilihan tersebut dapat dipertahankan di hadapan inspeksi?
4. Jika Keputusan Adekuasi dicabut besok, rencana operasional apa yang ada untuk menjaga aktivitas?
5. Apakah ada alternatif Eropa atau hos mandiri (self-hosted) untuk fungsi tersebut, dan berapa biaya nyata untuk bermigrasi?

Tidak semua fungsi kantor sehari-hari membutuhkan jawaban yang sama. Lembar kerja untuk akuntansi internal mungkin tidak mengangkat pertanyaan ke tingkat ini. Berkas pidana klien, riwayat medis, daftar gaji karyawan, ya. Proporsionalitas adalah sah; inersia kolektif yang membuat PYME Eropa tetap menggunakan penyedia Amerika Serikat untuk segalanya — bahkan untuk hal-hal yang paling sensitif — adalah tidak sah.

---

Schrems II genap berusia enam tahun Juli ini. Putusan tersebut belum mengubah kebiasaan sehari-hari sebagian besar perusahaan Eropa. Namun, hal itu telah mengubah peta risiko yang dihadapi perusahaan-perusahaan tersebut. Ketika keputusan administratif Amerika Serikat menghalangi regulasi Eropa dan operasional nyata sebuah PYME, setidaknya perlu diketahui bahwa keputusan itu ada, dan rapuh. Kita yang telah memilih arsitektur tanpa operator di tengah — benang merah yang melintasi Cuadernos Lacre — tentu lebih memilih untuk tidak perlu menulis analisis semacam ini setiap kali seorang Schrems mengajukan banding. Namun, kami akan terus melakukannya.