Australia 
Kanada 
Denmark 
Prancis 
Irlandia 
Belanda 
Selandia Baru 
Spanyol dan Portugal 
Inggris Raya 
Amerika Serikat 16 September 2021
Oleh Eur Ing Mark Hawksworth, Pemimpin Kelompok Praktik Spesialis Teknologi Global dan Penyesuai Eksekutif MCL
Seiring dengan diperkenalkannya undang-undang perlindungan data baru, tantangan-tantangan baru pun muncul.
Praktik "claim farming" terjadi ketika pihak-pihak mengajukan klaim untuk keuntungan finansial terhadap target yang tidak menyadari penyalahgunaan data, dan praktik ini semakin marak di Inggris. Setelah menghadapi kesulitan terkait COVID-19 dan meningkatnya serangan siber, bisnis di Inggris kini menghadapi risiko tambahan dari praktik claim farming yang memanfaatkanPeraturan 6dari PeraturanPrivasi dan Komunikasi Elektronik(Direktif UE) 2003 (PECR). Dalam klaim yang kami terima sejauh ini, bisnis tidak menyadari risiko yang mereka hadapi, sehingga membangun kesadaran dan merancang rencana menjadi sangat penting bagi pemegang polis untuk melindungi diri mereka.
Masalah kepatuhan
Dalam beberapa kasus, perusahaan mungkin tidak menyadari bahwa mereka bertanggung jawab atas penyalahgunaan data pribadi. Jika seseorang mengunjungi halaman web mereka dan menyadari bahwa cookie pelacakan telah diunduh, mereka dapat mengajukan klaim bahwa halaman web tersebut tidak mematuhi peraturan. Tantangannya adalah menentukan apakah individu yang mengajukan klaim tersebut secara sengaja mencari halaman web tersebut untuk keuntungan finansial mereka sendiri.
Tuntutan pihak ketiga terkait dengan penempatan cookie pelacakan yang terus-menerus pada perangkat pribadi tanpa persetujuan pemiliknya sedang dihasilkan secara massal. Argumennya adalah bahwa cookie pelacakan merupakan pelanggaran privasi yang bertentangan dengan GDPR, dan karena tidak ada persetujuan yang diberikan untuk penempatan cookie pelacakan tersebut, pihak yang mengajukan tuntutan dapat meminta ganti rugi finansial.
Surat-surat dari pihak yang mengajukan klaim berulang biasanya mengutip Pasal 2(1) Peraturan 6 dari Peraturan Perlindungan Data dan Komunikasi Elektronik (Direktif UE) 2003 (PECR), yang merujuk pada“persetujuan oleh pengguna atau pelanggan sesuai dengan persetujuan subjek data dalam GDPR.” Pasal 32 GDPR menyatakan:“persetujuan harus diberikan melalui tindakan afirmatif yang jelas, yang menunjukkan persetujuan yang diberikan secara bebas, spesifik, terinformasi, dan tidak ambigu dari subjek data.”
Prosedur untuk pemegang polis
Jika pelanggaran terdeteksi berdasarkan pedoman di atas, pemegang polis akan diberitahu tentang pemasangan cookie pelacakan dan diundang untuk mengajukan klaim berdasarkan polis asuransi yang berlaku. Klaim tersebut diteruskan ke perusahaan asuransi, kemudian ke penangan yang diberikan bukti pemasangan dan keberlangsungan cookie pelacakan, biasanya dalam bentuk video yang direkam dari perangkat pemegang polis.
Permohonan tersebut dapat merujuk pada:
- tuduhan/bukti
- Halaman web yang diduga memasang cookie pelacakan
- Bukti keberlanjutan cookie pelacakan
- Bagaimana cookie pelacakan menciptakan identifikasi unik yang melacak perilaku internet, yang melanggar Peraturan 6(1) PECR.
- Kegagalan dalam memberikan informasi yang jelas dan komprehensif kepada pemohon mengenai tujuan dari cookie-cookie ini, bertentangan dengan Peraturan (6)(2)(a) PECR.
- Kegagalan dalam memperoleh persetujuan untuk menggunakan cookie yang bertentangan dengan Peraturan 6(2)(b) PECR;
- Kegagalan dalam memproses data pribadi secara adil, sah, dan transparan yang bertentangan dengan Pasal 5 Peraturan Perlindungan Data Umum (GDPR).
Selama pembahasan klaim, ancaman dibuat bahwa jika masalah tidak diselesaikan sesuai dengan kepuasan pihak yang mengajukan klaim, rincian akan diteruskan ke Kantor Komisaris Informasi (ICO). ICO dapat melaksanakan fungsi penegakan hukumnya berdasarkan Peraturan 32 PECR, bahwa tanggung jawab pribadi atas pelanggaran PECR berlaku berdasarkan Peraturan 2(3) Peraturan Amandemen Privasi dan Komunikasi Elektronik2018. Surat-menyurat biasanya diakhiri dengan permintaan pembayaran dalam bentuk kompensasi finansial atas ketidakhadiran persetujuan di atas, dan setelah penerimaan pembayaran tersebut, pemberitahuan kepada ICO tidak akan dilanjutkan.
Bagi perusahaan asuransi, broker, dan pemegang polis, penting untuk memahami dampak dari tidak adanya persetujuan cookie pada halaman web. Baik perusahaan menyadarinya atau tidak, mereka tetap dapat dianggap bersalah, dan karenanya, bertanggung jawab untuk memberikan kompensasi finansial kepada pihak yang mengajukan klaim. Meningkatkan kesadaran tentang praktik klaim yang tidak sah dan merancang rencana dapat melindungi pihak yang tidak bersalah dari klaim pihak ketiga seperti ini.
