Pelanggaran terhadap Peraturan Perlindungan Data Umum (GDPR) bisa menjadi mahal. Hal ini dialami oleh sebuah bank langsung yang harus membayar denda sebesar 300.000 Euro.
Peraturan Perlindungan Data Umum – disingkat GDPR – bukanlah harimau kertas yang tak berdaya. Semakin banyak perusahaan yang harus merasakannya karena mereka dimintai pertanggungjawaban atas pelanggaran terhadap GDPR. Otoritas diharuskan untuk menjatuhkan denda yang terasa, demikian penjelasan firma hukum ekonomi MTR Legal Rechtsanwälte, yang memberikan konsultasi, antara lain, dalam hukum TI dan perlindungan data.
Dalam kasus ini, Komisi Perlindungan Data dan Kebebasan Informasi Berlin (BInBDI) menjatuhkan denda terhadap sebuah bank karena kurangnya transparansi dalam keputusan otomatis. Keputusan yang dimaksud adalah yang dibuat oleh sistem TI berdasarkan algoritma tanpa campur tangan manusia. Menurut GDPR, mekanisme semacam itu memiliki kewajiban transparansi khusus yang tidak dipatuhi oleh bank.
Kasus spesifiknya adalah aplikasi kredit yang diproses oleh bank berdasarkan algoritma. Pemohon harus memberikan informasi tentang pekerjaan, pendapatan, dan data pribadi lainnya. Algoritma membuat keputusan otomatis berdasarkan data ini dan menolak aplikasi tanpa penjelasan lebih lanjut. Pelanggan terkejut dengan penolakan tersebut, padahal ia memiliki pendapatan tinggi yang stabil dan skor Schufa yang baik. Oleh sebab itu, ia bertanya kepada bank mengapa penolakan tersebut terjadi.
Namun, bank hanya memberikan informasi umum tentang prosedur penilaian, tanpa merinci kasus spesifik. Sehingga, pelanggan tidak dapat memahami data dan faktor apa yang menyebabkan penilaian kreditnya buruk dan aplikasinya ditolak. Namun, keluhannya kepada Kantor Perlindungan Data Berlin berhasil.
Dalam keputusan otomatis, perusahaan diwajibkan untuk memberikan alasan yang sah dan dapat dipahami. Bank seharusnya memberikan informasi mengenai alasan utama penolakan. Namun, bahkan setelah diminta, bank tidak memberikan informasi tersebut secara transparan dan dapat dipahami. Menurut pengawas perlindungan data, hal ini melanggar Pasal 22 ayat 3, Pasal 5 ayat 1 titik a, dan Pasal 15 ayat 1 titik h GDPR.
MTR Legal Rechtsanwälte memberikan konsultasi dalam hukum IT dan perlindungan data.
Hubungi kami sekarang!➤ Advokat Hukum IT – pelajari lebih lanjut sekarang!
