Experian Didenda €2,7 Juta karena Mengumpulkan Data Pribadi Secara Massal
Perusahaan layanan kredit dan analitik Experian Netherlands dijatuhi denda sebesar €2,7 juta (sekitar USD 3,2 juta) oleh Otoritas Perlindungan Data Belanda (Autoriteit Persoonsgegevens / AP) atas sejumlah pelanggaran serius terhadap Peraturan Perlindungan Data Umum (GDPR) Uni Eropa.
Menurut AP, Experian secara tidak sah mengumpulkan dan menggunakan data pribadi dari berbagai sumber publik maupun privat tanpa sepengetahuan dan persetujuan individu yang datanya diproses.
Pengumpulan Data dari Berbagai Sumber
Experian, salah satu perusahaan pelaporan kredit dan analisis data terbesar di dunia yang beroperasi di lebih dari 40 negara, diketahui menggabungkan data dari register dagang Kamar Dagang Belanda, perusahaan telekomunikasi, serta penyedia energi yang menjual informasi pelanggan. Informasi tersebut kemudian digunakan untuk menyusun basis data besar berisi profil finansial jutaan warga Belanda.
Investigasi dilakukan setelah AP menerima keluhan dari masyarakat yang mengalami kesulitan keuangan, seperti tidak bisa membayar cicilan atau dikenakan uang jaminan tinggi saat berganti penyedia energi. Setelah ditelusuri, masalah tersebut ternyata bersumber dari skor kredit yang disusun dan diserahkan oleh Experian kepada pihak ketiga seperti penyedia layanan dan pedagang.
Ketua AP, Aleid Wolfsen, menegaskan bahwa pelanggaran ini sangat serius karena masyarakat tidak mengetahui bahwa data mereka sedang diperiksa.
“Karena orang-orang tidak sadar bahwa mereka sedang diperiksa kreditnya, mereka tidak bisa memeriksa apakah data yang digunakan itu akurat,” ujarnya.
Pelanggaran Prinsip Dasar GDPR
Hasil penyelidikan menunjukkan bahwa Experian gagal memenuhi tiga prinsip utama GDPR:
- Keterbukaan (transparency) – tidak memberikan informasi kepada individu tentang pengumpulan dan penggunaan data mereka.
- Persetujuan (consent) – tidak memperoleh izin eksplisit dari subjek data.
- Tujuan yang sah (lawful purpose) – tidak mampu membuktikan alasan sah untuk mengumpulkan dan mengolah data tersebut.
Sebelum 1 Januari 2025, Experian diketahui menyediakan layanan penilaian kredit untuk kliennya dengan menggunakan data negatif seperti tunggakan pembayaran, utang aktif, hingga catatan kebangkrutan. Namun, praktik ini dinilai melanggar hukum karena dilakukan tanpa dasar pemrosesan data yang sah.
Tidak Mengajukan Banding dan Akan Hapus Data
Atas keputusan ini, Experian mengakui kesalahannya dan menyatakan tidak akan mengajukan banding. Perusahaan juga mengonfirmasi bahwa mereka akan menghentikan seluruh operasinya di Belanda dan menghapus seluruh basis data pribadi yang dimilikinya sebelum akhir tahun 2025.
Langkah tegas AP ini menjadi pengingat penting bagi semua organisasi, bahwa pengumpulan data tanpa persetujuan dan transparansi dapat berakibat pada sanksi berat di bawah regulasi GDPR.
Sumber: BleepingComputer
