FIFA dan Pelindungan Data Pribadi Sepak Bola Dunia

Pertandingan demi pertandingan selalu mengundang antusiasme masyarakat pencinta bola. Kekuatan pengaruh sepak bola juga dipercaya sebagai soft power, seperti halnya kekuatan lagu dan musik.

Pelindungan data pribadi dalam even-even sepak bola dunia, mungkin banyak luput dari perhatian. Namun hal ini justru menjadi salah satu prioritas FIFA, induk organisasi sepak bola dunia yang lahir 1904 sebagai Federation Internationale de Football Association.

Pelibatan berbagai individu, tak urung membuat FIFA secara sungguh-sungguh melakukan pelindungan Data Pribadi.

FIFA mengkriteriakan berbagai individu sebagai subjek data yang meliputi pembeli tiket, tamu, tim even dan anggota voluntir, ofisial, media profesional, agen, fans, pemain profesioal, pemain amatir, pemain di bawah 18 tahun, keeping the game clean, e-football players, dan whistle blowers sebagai subjek data pribadi.

Tulisan ini adalah bahan ajar tentang Pelindungan Data Privasi di Fakultas Hukum Universitas Padjadjaran, yang secara khusus mengutip dan mendeskripsikan Kebijakan Privacy (Privacy Policy) FIFA sebagai contoh privacy policy terbaik. Untuk manfaat yang lebih luas saya bagikan kepada pembaca Kompas.com.

Data pribadi

Sebagaimana dilansir laman resmi Data Protection Portal FIFA 2023, sebelum peluit pertama, data pribadi telah digunakan untuk menyediakan layanan pelanggan, mengelola hubungan, dan memungkinkan penonton membayar tiket.

Sebagai pengendali data pribadi, FIFA telah menetapkan kebijakan privasi yang berlaku bagi organisasi, dan subjek data pribadi terkait.

Berikut ini adalah rangkuman kebijakan privasi FIFA yang bisa menjadi pedoman komparatif untuk seluruh klub sepak bola Tanah Air.

Dalam kebijakan privasi itu, FIFA menyatakan berkomitmen melindungi data pribadi bagi setiap subjek data. Tim FIFA bekerja keras untuk menjaga semua informasi pribadi tetap aman dan terlindungi.

Mengingat domisilinya, dalam pemrosesan data mengikuti dua regulasi utama, yaitu General Data Protection Regulation (GDPR) dan Data Protection Act Swiss (DPA), serta undang-undang perlindungan data nasional lainnya di tempat FIFA beroperasi.

FIFA berkomitmen menjaga data pribadi dan menyatakan selalu memprosesnya sesuai regulasi. FIFA mengakui regulasi perlindungan data itu rumit, sehingga semua anggota tim yang berurusan dengan data pribadi mendapatkan pelatihan yang tepat untuk memastikan mereka bisa melakukan secara tepat.

Pendekatan yang dilakukan FIFA dalam pelindungan data privasi didasarkan pada empat prinsip yang meliputi: pertama, memproses data secara sah, adil, dan transparan.

Kedua mengumpulkan data untuk tujuan tertentu, dan setelah tujuan tersebut terpenuhi tidak akan memproses lagi data tersebut.

Ketiga, FIFA menjaga data tetap akurat dan terkini dan hanya menyimpannya selama dibutuhkan.

Keempat, FIFA menyimpan semua data pribadi secara rahasia, akurat, dan tersedia.

Jika dikomparasikan dengan hukum Indonesia, yaitu Undang-undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi atau yang dikenal dengan UU PDP, ketentuan ini banyak berkesesuaian dan sejalan dengan pasal 16 UU PDP terkait pemrosesan data pribadi.

Hak subjek data pribadi

Berdasarkan DPA dan GDPR, pelanggan sebagai subjek data pribadi memiliki hak untuk diberi tahu tentang cara organisasi mengumpulkan dan menggunakan data. Selain itu, hak untuk mengakses data yang disimpan, serta hak untuk memperbaiki data yang tidak akurat atau tidak lengkap.

Pelanggan juga memiliki hak untuk menghapus data, membatasi pemrosesan data pribadi, mendapatkan salinan data, dan menolak penggunaan data untuk tujuan tertentu.

Subjek data juga memiliki hak untuk menghentikan persetujuan penggunaan data pribadinya. Tak kalah penting, FIFA juga memberikan hak kepada pelanggannya untuk menolak keputusan pembuatan profiling otomatis.

FIFA menyatakan bahwa terkait data pribadi, fair play adalah segalanya. Mereka berjanji untuk mengumpulkan, memproses dan menggunakan data pribadi secara sah, berdasarkan persetujuan subjek data, dan sesuai dengan semua ketentuan internal FIFA dan kewajiban hukum.

FIFA hanya akan menggunakan data pribadi untuk membantu menghadirkan
sepak bola ke seluruh dunia, meningkatkan layanan, atau menghadirkan produk atau layanan yang diminta.

Oleh karena itu, untuk melakukannya, FIFA menggunakan data dengan berbagai cara, dan akan selalu memberi tahu subjek data tentang bagaimana data pribadinya digunakan pada saat mengumpulkannya.

FIFA menggunakan data pribadi untuk kepentingan penyebaran informasi tentang pertandingan, produk, layanan, dan transaksi yang diminta, penawaran dari pihak ketiga yang bekerja sama, tentu dengan persetujuan subjek data.

Data yang dikumpulkan sendiri tergantung pada layanan yang digunakan, seperti untuk layanan online, menjelajahi situs web, membeli dan membayar tiket, berinteraksi dengan Platform Media Sosial FIFA, termasuk Pemain, Tim, dan Akun Ofisial Pertandingan lainnya.

FIFA menyatakan, terkadang membagikan data pribadi dengan pihak ketiga. Namun, FIFA menjamin akan selalu menjaga keamanan data.

Organisasi yang memproses data atas nama FIFA, dan melaksanakannya sesuai aturan FIFA. Pada prinsipnya, semua harus mengikuti kebijakan privasi FIFA, serta undang-undang perlindungan data.

Lebih lanjut dikatakan, mungkin ada kejadian di mana data pribadi dibagikan kepada pemangku kepentingan lain seperti lembaga penegak hukum, klub, atau asosiasi anggota.

Pihak-pihak ini mungkin memerlukan akses terhadap informasi pribadi tertentu untuk tujuan yang sah seperti investigasi, tindakan keamanan, atau memastikan kepatuhan terhadap peraturan terkait.

FIFA menjamin saat membagikan data kepada pemangku kepentingan tersebut, tetap memprioritaskan perlindungan dan keamanan informasi.

FIFA berupaya bekerja sama dengan entitas tepercaya yang terikat oleh kebijakan privasi, dan regulasi perlindungan data untuk melindungi, dan menjaga kerahasiaan data pribadi tersebut.

Data juga dapat dibagikan untuk tujuan periklanan di media sosial, dan untuk mempersonalisasi iklan yang ditawarkan, termasuk menyediakan produk atau layanan yang diminta subjek data.

Transfer data dapat dilakukan saat pihak ketiga memproses data atas nama FIFA, akibat somasi, perintah pengadilan, atau proses hukum lainnya untuk menyelidiki, mencegah, atau mengatasi aktivitas ilegal seperti penipuan, penyalahgunaan online, situasi darurat, atau pelanggaran terhadap ketentuan FIFA.

Semua tindakan tersebut, tentu hanya dapat dilakukan atas persetujuan pelanggan sebagai subjek data pribadi.

Oleh karena itu, formula yang ditempuh, sebagaimana juga dilakukan berbagai pengendali data saat ini, FIFA membuat kebijakan privasi yang diakses pelanggan saat pertama kali berinteraksi online.

Jika dikomparasi dengan UU PDP, hak-hak subjek data diatur dalam materi muatan yang cukup detail dari pasal 5 sampai dengan 15 UU PDP.

Pasal-pasal ini mengatur berbagai hak, termasuk hak untuk mengakhiri pemrosesan data pribadi. Terkait transfer data pribadi, UU PDP juga mengaturnya pada pasal 55 jo. 56.

Keamanan data

FIFA meyatakan memiliki segala macam taktik untuk menjaga keamanan data. Namun secara jujur menyatakan tidak pernah dapat menjamin bahwa data subjek aman dari kehilangan yang tidak disengaja dan/atau akses, penggunaan, pengubahan, atau pengungkapan yang tidak sah.

Untuk membantu melindungi dari pencurian identitas, FIFA tidak akan pernah meminta informasi kartu kredit, akun kredensial, atau nomor KTP/paspor, melalui email atau telepon.

Jika pelanggan mengirimkan informasi sensitif melalui email yang tidak terenkripsi, selalu ada risiko bahwa data akan dicegat. Jika pelanggan mengirimkan email yang tidak terenkripsi, FIFA akan menganggap pelanggan bersedia menerima risiko itu.

FIFA tidak mengumpulkan data pribadi dari anak-anak di bawah 16 tahun. Anak-anak di bawah 16 tahun harus selalu meminta izin orangtua atau wali untuk menggunakan layanan digital.

FIFA menyarankan agar orangtua dan wali menghapus cache browser mereka dari cookie untuk meminimalkan data pribadi yang dikumpulkan. Jika diketahui telah terjadi pengumpulan data dari seorang anak tanpa izin, FIFA akan menghapusnya.

Seperti diketahui, terkait data pribadi anak-anak, UU PDP juga mengatur dalam pasal 25. UU PDP bahkan mengatur perlakuan khusus untuk data pribadi penyandang disabilitas pada pasal 26 UU PDP

UU PDP Indonesia

Seperti dikemukakan di awal, Indonesia saat ini telah memiliki UU PDP. Sebagai orang yang terlibat dalam penyusunan UU PDP, dapat saya kemukakan bahwa pada prinsipnya menjadikan GDPR sebagai pedoman (guidline).

Meskipun GDPR pada awalnya diperuntukan bagi negara-negara Uni Eropa, dalam praktik banyak negara di dunia yang mengadopsi prinsip dan model regulasi ini menjadi hukum nasionalnya.

Seperti komparasi yang saya lakukan di atas, jika mencermarti kebijakan privasi FIFA, kebijakan ini relatif sejalan dengan prinsip pelindungan data pribadi UU PDP. Model kebijakan privasi FIFA dapat dijadikan rujukan dan referensi yang baik untuk persepakbolaan nasional.

PSSI dan semua klub sepak bola, menurut UU PDP maupun GDPR berstatus sebagai Pengendali Data Pribadi. Oleh karena itu, sudah saatnya menyesuaikan kebijakan pelindungan data pribadinya dengan UU PDP.

UU PDP memberikan waktu transisi selama 2 tahun, bagi pengendali data pribadi untuk menyesuaikan pemrosesan datanya dengan UU PDP. Dengan demikian semua pengendali data termasuk PSSI, harus sudah comply dengan UU PDP paling lambat 17 Oktober 2024.