Australia memperkenalkan hukuman yang lebih keras untuk pelanggaran privasi, tetapi apakah ini akan meningkatkan perlindungan data?

Rasanya hampir seminggu berlalu di mana pelanggaran data yang signifikan tidak menjadi pusat perhatian dari siklus berita Australia. Pada bulan September, Optus mengumumkan pelanggaran 10 juta catatan pelanggan. Pada bulan Oktober, Woolworths mengumumkan anak perusahaannya MyDeal memiliki 2 juta catatan pelanggan yang disusupi, dan Medibank mengumumkan kebocoran yang berdampak pada 10 juta orang. Pada bulan November, peretas memperoleh rincian 5 juta pelanggan dan karyawan dari AirAsia. Ini hanya peretasan terbesar, dengan banyak insiden skala kecil juga terjadi setiap minggu.

Tentunya, masuk akal bagi kami untuk berharap bahwa organisasi memperlakukan data kami secara bertanggung jawab dan penuh hormat. Sayangnya, banyak perusahaan besar dan kecil gagal dalam tugasnya dan mengkhianati kepercayaan kita. Rasanya seperti masalah kapan, bukan jika, terjadi pelanggaran data. Langkah-langkah keamanan yang lebih kuat tidak lagi bagus untuk dimiliki tetapi diperlukan untuk organisasi yang ingin mempertahankan kepercayaan pelanggan.

Hingga minggu ini, Undang-Undang Privasi 1998 membatasi hukuman perdata maksimum dalam kasus pelanggaran 'serius atau berulang' hingga $2,22 juta (AUD). Namun, potensi ganti rugi tidak seberapa jika dibandingkan dengan ukuran bisnis. Misalnya, pendapatan Optus adalah $8 miliar dan EBITDA adalah $2 miliar pada akhir tahun 2022, pendapatan Woolworths adalah $61 miliar, dan pendapatan Medibank adalah $7 miliar. Selain itu, Kantor Komisaris Informasi Australia (OAIC) ​​jarang memberikan ganti rugi.

Namun, ini semua mungkin akan berubah dan karena bisnis akan menghadapi risiko penalti finansial yang jauh lebih besar. Pada hari Senin, 28 November, awal pekan ini, RUU Amandemen Legislasi Privasi (Penegakan dan Tindakan Lainnya) 2022 mengesahkan kedua majelis parlemen dengan dukungan bipartisan. Aspek inti dari undang-undang tersebut adalah peningkatan hukuman maksimum menjadi lebih besar dari:

• $50 juta;
• Tiga kali nilai keuntungan yang diperoleh melalui penyalahgunaan informasi; atau
• 30% dari omset perusahaan yang disesuaikan dalam periode yang relevan.

Selain hukuman yang lebih keras, RUU tersebut juga memperkuat kewenangan Komisi Informasi Australia untuk menyelidiki pelanggaran, termasuk:

• Untuk memberi Komisaris Informasi Australia wewenang yang lebih besar untuk menyelesaikan pelanggaran privasi;
• Untuk memperkuat skema Pelanggaran Data yang Dapat Diberitahukan untuk memastikan Komisaris Informasi Australia memiliki pengetahuan dan pemahaman yang komprehensif tentang informasi yang dikompromikan dalam pelanggaran untuk menilai risiko bahaya bagi individu; dan
• Untuk membekali Komisaris Informasi Australia dan Otoritas Komunikasi dan Media Australia dengan kekuatan berbagi informasi yang lebih besar.

Beberapa kelompok lobi industri , AWS , dan Oposisi dan Partai Hijau di parlemen menyatakan keprihatinan tentang aspek-aspek tertentu dari RUU tersebut. Ini berfokus pada kurangnya hukuman berjenjang untuk organisasi dengan ukuran dan amal yang berbeda; kurangnya definisi yang jelas untuk gangguan privasi yang 'serius' atau 'berulang'; dan dimasukkannya istilah seperti 'manfaat' dalam rezim hukuman, yang menganggap perusahaan selalu mendapat keuntungan dari campur tangan privasi.

Terlepas dari kekhawatiran yang disebutkan di atas, kita harus menyambut langkah-langkah ini karena mewakili kemajuan yang dibutuhkan dan menunjukkan keinginan untuk meminta pertanggungjawaban perusahaan. Namun, ada tiga alasan mengapa langkah-langkah ini saja, yang secara luas berfokus pada peningkatan hukuman, akan gagal untuk benar-benar mengubah permainan dan melindungi kepentingan konsumen.

Pertama, sejarah memberikan sedikit bukti tentang kemauan atau kemampuan pemerintah untuk memberlakukan denda berdasarkan Undang-Undang Privasi. Kecuali jika kita melihat perubahan radikal dari posisi konservatif ini dan AOIC menunjukkan pendekatan proaktif untuk memanfaatkan kekuatan barunya, maka kecil kemungkinan kita akan melihat perubahan mendasar untuk berhasil mencegah praktik buruk.

Kedua, pelanggan seringkali menjadi korban sebenarnya dari pelanggaran data, namun mereka bukanlah penerima hukuman. Paling-paling, pelanggaran mungkin terbatas pada nama dan email individu, tetapi paling buruk, itu bisa jauh lebih parah: satu keluarga dilaporkan kehilangan $40.000 karena pencurian identitas setelah pelanggaran Optus , sementara ratusan korban memiliki informasi tentang kecanduan, masalah kesehatan mental, dan aborsi diposting online dari catatan Medibank. Bahkan denda yang besar tidak dapat meminimalkan rasa sakit mereka setelah informasi pribadi mereka terungkap secara permanen.

Ketiga, dan yang terpenting, undang-undang tersebut tidak menyentuh inti permasalahan. Banyak organisasi berjuang untuk mengimbangi lanskap yang berubah dengan cepat dan tidak memiliki kemampuan untuk mengembangkan kontrol yang lebih aman untuk mencegah pelanggaran data. Bahkan entitas pemerintah berjuang untuk sepenuhnya melindungi diri dari serangan dunia maya. Seringkali wortel lebih efektif daripada tongkat; oleh karena itu, pemerintah harus berbuat lebih banyak untuk mendukung bisnis dan mendorong perilaku yang baik daripada mengandalkan hukuman sebagai disinsentif.

Undang-Undang Privasi akan ditinjau lebih lanjut sepanjang tahun 2023. Kami berharap beberapa masalah ini akan ditangani, tetapi sangat yakin bahwa organisasi memerlukan lebih banyak dukungan untuk memberikan tindakan privasi dan perlindungan yang kuat dalam waktu dekat.

Silakan ikuti kami di LinkedIn atau hubungi kami jika Anda ingin membahas privasi dan perlindungan data.