Oleh Eur Ing Mark Hawksworth, pemimpin grup praktik spesialis teknologi global dan pengatur MCL eksekutif
Seiring dengan diberlakukannya undang-undang perlindungan data yang baru, maka muncul pula tantangan-tantangan baru.
Claim farming terjadi ketika pihak-pihak yang mengajukan klaim untuk mendapatkan keuntungan finansial terhadap target yang tidak menyadari penyalahgunaan data dan sedang meningkat di Inggris. Setelah mengalami kesulitan terkait COVID-19 dan meningkatnya jumlah serangan siber, bisnis di Inggris kini menghadapi paparan tambahan dari claim farming menggunakan Regulasi 6 dari Peraturan Privasi dan Komunikasi Elektronik (Petunjuk EC) 2003(PECR). Dalam klaim yang kami terima sejauh ini, perusahaan tidak menyadari eksposur mereka, sehingga membangun kesadaran dan membuat rencana menjadi sangat penting bagi pemegang polis untuk melindungi diri mereka sendiri.
Masalah kepatuhan
Dalam beberapa kasus, perusahaan mungkin tidak menyadari bahwa mereka bertanggung jawab atas penyalahgunaan data pribadi. Jika seseorang mengunjungi halaman web mereka dan mengetahui bahwa cookie pelacak telah diunduh, mereka dapat mengajukan klaim bahwa halaman web tersebut tidak mematuhi peraturan. Tantangannya adalah menentukan apakah orang yang mengajukan klaim tersebut sengaja mencari halaman web tersebut untuk mendapatkan keuntungan finansial.
Klaim pihak ketiga yang terkait dengan cookie pelacakan yang terus-menerus ditempatkan pada perangkat pribadi tanpa persetujuan pemiliknya sedang dibuat secara massal. Argumennya adalah bahwa cookie pelacak merupakan gangguan yang bertentangan dengan GDPR dan karena tidak ada persetujuan yang diberikan untuk penempatan cookie pelacak, penuntut dapat meminta kompensasi finansial.
Korespondensi penggugat biasanya mengutip Regulasi 2 (1) dari Regulasi 6 Peraturan Privasi dan Komunikasi Elektronik (Petunjuk EC) Regulasi 2003 (PECR), yang merujuk pada "persetujuan dari pengguna atau pelanggan yang sesuai dengan persetujuan subjek data dalam GDPR." Ayat 32 dari GDPR menyatakan: "persetujuan harus diberikan melalui tindakan afirmatif yang jelas yang menetapkan indikasi persetujuan subjek data yang diberikan secara bebas, spesifik, terinformasi, dan tidak ambigu".
Proses untuk pemegang polis
Jika pelanggaran terdeteksi berdasarkan panduan di atas, pemegang polis akan diberitahu tentang pemasangan cookie pelacak dan diundang untuk mengajukan klaim di bawah perlindungan Asuransi yang sesuai yang mereka miliki. Klaim diteruskan ke perusahaan asuransi, kemudian ke petugas yang diberikan bukti pemasangan dan keberadaan cookie pelacak, biasanya dalam bentuk video yang direkam dari perangkat pengaju klaim.
Klaim tersebut dapat menjadi referensi:
- tuduhan/bukti
- halaman web yang diduga memasang cookie pelacak
- bukti persistensi cookie pelacakan
- bagaimana cookie pelacak membuat pengidentifikasi unik, yang melacak perilaku internet yang bertentangan dengan Peraturan 6 (1) PECR
- kegagalan untuk memberikan informasi yang jelas dan lengkap kepada penggugat tentang tujuan cookie ini, yang bertentangan dengan Peraturan (6)(2)(a) PECR
- kegagalan untuk mendapatkan persetujuan untuk menggunakan cookie yang bertentangan dengan Peraturan 6(2)(b) PECR;
- kegagalan untuk memproses data pribadi dengan cara yang adil, sah, dan transparan yang bertentangan dengan Pasal 5 GDPR
Selama diskusi klaim, ada ancaman bahwa jika masalah ini tidak terselesaikan sesuai dengan keinginan penggugat, rinciannya akan diteruskan ke Kantor Komisioner Informasi (Information Commissioner Office/ICO). ICO dapat menjalankan fungsi penegakan hukum mereka berdasarkan Peraturan 32 PECR, bahwa tanggung jawab pribadi atas pelanggaran PECR ada berdasarkan Peraturan 2 (3) Peraturan Privasi dan Komunikasi Elektronik (Amandemen) 2018. Korespondensi biasanya diakhiri dengan permintaan pembayaran dalam bentuk kompensasi finansial atas kurangnya persetujuan di atas setelah diterimanya pemberitahuan ke ICO yang tidak akan dikejar.
Untuk perusahaan asuransi, broker dan pemegang polis, sangat penting untuk memahami dampak dari tidak adanya persetujuan cookie pada halaman web. Entah mereka sadar atau tidak, mereka mungkin masih bersalah, dan dengan demikian, bertanggung jawab untuk memberikan kompensasi finansial kepada penggugat. Membangun kesadaran seputar penanganan klaim dan membuat rencana dapat melindungi pihak yang tidak bersalah dari klaim pihak ketiga seperti ini.
Tags: pertanian klaim, Kepatuhan, kompleksitas kepatuhan, Risiko siber, Privasi data, Keamanan data, Risiko yang berkembang + Tanggapan, Risiko keuangan, GDPR, data pribadi, Privasi, regulasi, Perubahan regulasi + Kepatuhan, pelacakan, pelacakan cookie, Inggris