Apakah LPD berlaku untuk alat AI seperti ChatGPT atau Copilot yang digunakan di perusahaan?
Ya. Segera setelah alat-alat ini memproses data pribadi orang perseorangan yang dapat diidentifikasi (nama, email, informasi tentang karyawan atau pelanggan), nLPD berlaku. Perusahaan yang menggunakan alat-alat ini bertanggung jawab atas pemrosesan. Perusahaan harus memastikan bahwa tujuannya terdokumentasi, bahwa orang-orang diberitahu, dan bahwa data tidak digunakan ulang untuk tujuan yang tidak direncanakan oleh penyedia. Verifikasi syarat kontraktual penyedia sangat penting, terutama terkait lokasi data dan penggunaan ulang untuk pelatihan model.
Apakah perusahaan saya harus menunjuk delegasi perlindungan data (DPO) untuk menggunakan AI?
nLPD tidak mewajibkan DPO dalam kondisi yang sama seperti GDPR. Namun, menunjuk atau menugaskan penanggung jawab perlindungan data sangat direkomendasikan ketika perusahaan Anda menerapkan sistem AI yang memproses data pribadi dalam skala besar atau data sensitif. Penanggung jawab ini bisa internal atau eksternal (penasihat hukum, konsultan spesialis). Perannya: mengawasi kepatuhan, melakukan AIPD, menangani permintaan dari orang yang bersangkutan, dan menjadi penghubung dengan PFPDT jika perlu.
Apa itu AIPD dan dalam kasus apa AIPD diwajibkan untuk proyek AI?
Analisis Dampak Perlindungan Data (AIPD) adalah evaluasi risiko yang terdokumentasi dari pemrosesan data terhadap hak dan kebebasan orang yang bersangkutan. AIPD diwajibkan di bawah nLPD ketika pemrosesan berpotensi menimbulkan risiko tinggi: pemrosesan data sensitif dalam skala besar, profiling ekstensif, keputusan otomatis dengan dampak signifikan, atau pemantauan sistematis. Untuk sebagian besar proyek AI ambisius di perusahaan (AI SDM, penilaian pelanggan, analisis perilaku), AIPD diperlukan. AIPD harus dilakukan sebelum penerapan.
Dapatkah model AI dilatih dengan data pelanggan atau karyawan perusahaan?
Ya, dengan syarat. Pertama, harus ada dasar hukum yang valid untuk pemrosesan baru ini (pengumpulan data awal tidak cukup jika tujuannya berbeda). Orang yang bersangkutan harus diberitahu tentang penggunaan ini. Jika data bersifat sensitif, diperlukan persetujuan eksplisit atau dasar hukum yang kuat lainnya. Lokasi model sangat menentukan: model yang dihosting di server di luar Swiss atau di luar EEA mengakibatkan transfer data internasional yang tunduk pada jaminan tambahan. Mendokumentasikan keputusan-keputusan ini dalam register pemrosesan Anda sangat diperlukan.
Praktik AI apa yang dilarang oleh nLPD?
nLPD tidak menetapkan daftar yang lengkap, tetapi PFPDT telah mengklarifikasi bahwa beberapa aplikasi tidak sesuai dengan hak-hak dasar yang dilindunginya: pengenalan wajah secara umum dan real-time di ruang publik, sistem penilaian sosial (social scoring) yang secara sistematis mengevaluasi perilaku individu, dan pengumpulan atau pemrosesan data biometrik atau sensitif apa pun tanpa dasar hukum yang kuat. AI Act UE, yang secara eksplisit melarang beberapa praktik ini, dapat berlaku secara tidak langsung bagi perusahaan Swiss yang memproses data penduduk UE.
Apa sanksi jika melanggar nLPD dalam konteks AI?
nLPD memberikan sanksi kepada orang perseorangan, bukan langsung kepada perusahaan. Denda dapat mencapai 250.000 CHF per pelanggaran. Para pemimpin, manajer TI, dan karyawan yang terlibat secara pribadi terpapar. Pelanggaran yang paling dapat dikenai sanksi: tidak menginformasikan orang yang bersangkutan, tidak memberitahukan pelanggaran data, atau melanggar aturan tentang keputusan individu otomatis. Pengaduan harus diajukan untuk memulai prosedur. Risiko reputasi sering kali lebih mengkhawatirkan daripada denda itu sendiri.
Apakah nLPD dan GDPR berlaku secara bersamaan untuk perusahaan Swiss saya?
Itu tergantung pada aktivitas Anda. Jika Anda memproses data penduduk UE (pelanggan, mitra, prospek), GDPR berlaku untuk pemrosesan tersebut, baik perusahaan Anda berada di Swiss maupun tidak. nLPD berlaku untuk semua pemrosesan data orang-orang di Swiss. Dalam praktiknya, banyak perusahaan Swiss harus mematuhi kedua kerangka tersebut. Kabar baiknya: keduanya sebagian besar selaras dan kebijakan kepatuhan yang dirancang dengan baik mencakup keduanya, asalkan mempertimbangkan beberapa perbedaan (sanksi, DPO, tenggat pemberitahuan).
Apakah AI Act Eropa berlaku bagi perusahaan yang berdomisili di Swiss?
AI Act UE tidak berlaku langsung di Swiss, yang bukan anggota UE. Namun, jika perusahaan Anda memasarkan sistem AI ke pasar Eropa, atau jika sistem Anda menghasilkan dampak pada orang-orang di UE, aturan AI Act dapat berlaku bagi Anda. Selain itu, Swiss telah menandatangani Konvensi Dewan Eropa tentang AI (Maret 2025), yang ratifikasinya akan memperkenalkan kewajiban tambahan, khususnya untuk sistem AI berisiko tinggi.
Bagaimana cara memilih penyedia AI yang sesuai dengan nLPD?
Tiga kriteria utama: lokasi data (lebih memilih server di Swiss atau di UE/EEA untuk menghindari transfer internasional yang tidak teratur), kebijakan penggunaan ulang data (apakah penyedia menggunakan data Anda untuk melatih modelnya? Jika ya, dengan dasar hukum apa?), dan transparansi kontraktual (dapatkah penyedia memberikan register subkontraktor, DPA, jaminan keamanan yang terdokumentasi?). Model open source yang diterapkan pada infrastruktur Anda atau pada infrastruktur Eropa umumnya memberikan jawaban terbaik untuk ketiga kriteria ini.
Apakah nLPD berlaku untuk model AI open source yang diterapkan secara internal?
Ya. nLPD berlaku bagi pengontrol data, yaitu perusahaan Anda, terlepas dari jenis modelnya (open source atau proprietary, dihosting secara internal atau oleh pihak ketiga). Jika model open source Anda memproses data pribadi, semua kewajiban nLPD berlaku: informasi, minimisasi, keamanan, AIPD jika berisiko tinggi, dan sebagainya. Keunggulan open source yang diterapkan secara internal justru memberi Anda kendali penuh atas data dan menghilangkan risiko transfer yang tidak diinginkan kepada pihak ketiga.