Penjelasan GDPR

Apa yang dimaksud dengan GDPR?

Peraturan Perlindungan Data Umum (General Data Protection Regulation atau GDPR) adalah kerangka hukum yang dirancang untuk melindungi privasi individu di Uni Eropa (UE) dan memberikan kendali yang lebih besar kepada mereka atas metode pengumpulan, pemrosesan san penggunaan data pribadi mereka.

GDPR berlaku untuk pemrosesan data pribadi di manapun di dunia oleh bisnis yang beroperasi di UE. GDPR juga berlaku secara global untuk bisnis di luar UE yang memproses data pribadi individu dalam rangka menawarkan barang/jasa di UE atau memantau perilaku orang-orang di UE.

GDPR telah diimplementasikan ke dalam undang-undang domestik di seluruh Uni Eropa dan Inggris.

Apa saja persyaratan utama GDPR?

GDPR merupakan langkah positif untuk menciptakan kepercayaan dan transparansi yang lebih besar antara organisasi dan individu. Beberapa bidang cakupan GDPR termasuk:

• Data pribadi orang-orang di Uni Eropa: ini mencakup setiap informasi terkait individu atau ‘subjek data’ yang dapat digunakan untuk mengidentifikasi orang tersebut secara langsung atau tidak langsung. Ini tidak hanya mencakup informasi seperti nama, alamat email, atau foto, tetapi juga rincian kartu kredit atau perbankan; informasi medis; afiliasi politik, agama, atau afiliasi lainnya; catatan kriminal; atau alamat IP komputer. Tidak ada perbedaan dalam GDPR antara data pribadi yang dikumpulkan dalam konteks bisnis ke konsumen atau bisnis ke bisnis, namun ada undang-undang lain tentang metode penggunaan komunikasi elektronik, yang memang berbeda ketika berurusan langsung dengan konsumen.
• Bagaimana informasi pribadi diproses: informasi pribadi hanya dapat dikumpulkan dan diproses jika ada dasar hukum untuk melakukannya. Persetujuan merupakan salah satu dasar yang dapat digunakan untuk tujuan pemasaran langsung, namun, ini bukan satu-satunya dasar yang sah. Alasan lain untuk memproses data pribadi secara sah menurut Pasal 6 GDPR antara lain untuk pelaksanaan kontrak, kepatuhan terhadap kewajiban hukum, atau jika ada ‘kepentingan sah’ bisnis atau pihak ketiga yang secara seimbang tidak melanggar hak privasi individu.
• Hak-hak individu: individu memiliki hak untuk meminta: akses ke data pribadi mereka, koreksi kesalahan dalam data pribadi mereka, penghapusan data pribadi mereka, dan/atau ekspor data pribadi mereka. Mereka juga dapat mengajukan keberatan atas pemrosesan data pribadi mereka atau meminta agar aktivitas pemrosesan dibatasi.
• Pelanggaran data: ada kewajiban untuk melaporkan jenis pelanggaran data tertentu kepada otoritas pengawas terkait dan individu yang terkena dampak pelanggaran (untuk Inggris, otoritas terkait adalah Kantor Komisioner Informasi (Information Commissioner’s Office atau ICO)).
• Keamanan data dan sistem: data pribadi harus dilindungi menggunakan langkah-langkah teknis dan prosedural yang tepat guna memastikan tingkat keamanan yang sesuai dengan risiko privasi yang terkait dengan bagian tertentu dari data pribadi di sepanjang siklus hidupnya.
• Pengalihan ke luar negeri: data pribadi hanya dapat dialihkan ke luar Eropa dalam kondisi terbatas, termasuk: i) ke negara-negara non-Eropa yang telah ditentukan oleh Komisi Eropa untuk memberikan tingkat perlindungan data yang memadai;
  (ii) di mana klausul perlindungan data standar yang telah disetujui oleh Komisi Eropa digunakan oleh para pihak yang melakukan pengalihan; (iii) di mana terdapat kode etik atau sertifikasi yang telah disetujui; atau (iv) di mana ‘Peraturan Korporat yang Mengikat’ yang telah disetujui oleh Komisi Eropa telah diadopsi oleh grup perusahaan.
• Transparansi: pemberitahuan privasi dan kontrak pengguna harus sederhana, jelas, dan mudah dipahami. Ketika mengumpulkan data pribadi, harus dijelaskan, antara lain, untuk apa data tersebut akan digunakan, bagaimana dan untuk berapa lama data tersebut akan disimpan, atas dasar hukum apa data tersebut diproses, dan hak-hak apa saja yang tersedia bagi individu. Setelah dikumpulkan secara sah, data pribadi hanya boleh digunakan untuk tujuan pengumpulannya dan secara ketat sesuai dengan informasi yang diberikan kepada individu tersebut.

Apa arti GDPR bagi bisnis?

GDPR menekankan pentingnya kejelasan, kejujuran, transparansi, dan etika dalam penggunaan data pribadi. Ini berlaku untuk bisnis yang menjadi pengendali data (orang/bisnis yang menentukan bagaimana data pribadi diproses) atau pemroses data (orang/bisnis yang memproses data pribadi berdasarkan instruksi dari pengendali data). Jika Anda termasuk dari kedua jenis organisasi tersebut, Anda harus memastikan perlindungan data yang Anda gunakan serta privasi pemilik data tersebut, sebagaimana Anda memastikan perlindungan aset lainnya.

Berikut ini lima langkah sederhana yang dapat Anda lakukan untuk mematuhi GDPR:

1. Amankan sistem Anda: pastikan keamanan sistem yang mengumpulkan, memproses, dan menyimpan data pribadi. Anda harus mempertimbangkan hal-hal seperti keamanan fisik (misalnya, penguncian), keamanan siber (misalnya, antivirus), keamanan sistem (misalnya, firewall), keamanan data (misalnya, enkripsi), dan keamanan perangkat (misalnya, autentikasi).
2. Dokumentasikan aliran data Anda: Buat dokumentasi terperinci yang menguraikan aliran data dan informasi Anda untuk membantu Anda melakukan penilaian yang tepat terhadap risiko privasi Anda. Periksa produk dan layanan Anda yang mengumpulkan dan memproses data pribadi. Identifikasi informasi pribadi apa yang dikumpulkan, mengapa dikumpulkan, bagaimana digunakan, dibagikan, disimpan, dilindungi, ditahan, dan dibuang. Identifikasi apakah data tersebut merupakan data pribadi yang sensitif dan apakah Anda adalah pengendali atau pemroses data tersebut.
3. Miliki dasar hukum untuk pemrosesan: Tentukan dasar hukum untuk pemrosesan data pribadi dan dokumentasikan. Ada enam dasar hukum yang dapat digunakan:
   • Persetujuan: ketika ada pilihan dan kendali yang nyata. Persetujuan harus jelas, diberikan secara bebas, diinformasikan, dan diberikan dengan tindakan afirmatif yang jelas.
   • Kepentingan yang sah: dapat diterapkan jika informasi pribadi digunakan dengan cara yang dianggap wajar oleh individu, yang dampaknya minimal, dan ada kepentingan yang sah yang diperlukan untuk pemrosesan.
   • Kontrak: untuk memenuhi kewajiban kontrak atau ada permintaan untuk melakukan sesuatu seperti memberikan penawaran sebelum menandatangani kontrak.
   • Kewajiban hukum: untuk mematuhi hukum atau kewajiban hukum.
   • Kepentingan vital: untuk melindungi nyawa seseorang.
   • Tugas publik: untuk fungsi publik atau tugas untuk kepentingan publik.
     Kantor Komisioner Informasi memiliki alat bantu panduan interaktif dasar hukum yang dapat membantu Anda menentukan dasar hukum yang paling tepat untuk pemrosesan data pribadi.
4. Tinjau pemberitahuan dan pengungkapan Anda: tinjau dan perbarui pemberitahuan privasi Anda untuk memastikan bahwa pemberitahuan tersebut mencerminkan aktivitas pemrosesan data pribadi Anda. Pemberitahuan tersebut harus mengungkapkan dasar hukum yang Anda gunakan untuk memproses data pribadi dan dengan jelas mengungkapkan pihak ketiga yang Anda bagikan data pribadinya, jika menggunakan persetujuan, pastikan permintaan persetujuan Anda jelas dan tidak menggunakan kotak centang yang telah dicentang sebelumnya. Tinjau dan perbarui atau tentukan apakah diperlukan pernyataan atau pengungkapan lain terkait pengumpulan, penggunaan, dan pemrosesan informasi pribadi.
5. Undang-undang Negara terkait Perlindungan Data Pribadi: dengan menyetujui penggunaan Layanan ini, Anda secara eksplisit menyetujui penggunaan data pribadi Anda yang diproses oleh Extu untuk tujuan pemberian layanan ini, sebagaimana diwajibkan berdasarkan Undang-Undang Negara untuk Perlindungan Pribadi Data yang Dimiliki oleh Pihak Swasta (Ley Federal de Protección de Datos Personales en Posesión de los Particulatees).
6. Tetapkan kebijakan dan prosedur internal: buatlah panduan dan proses formal untuk membantu Anda menangani situasi seperti pengaduan pelanggaran privasi, pelanggaran data, dan permintaan akses informasi pribadi.

Anda juga harus berkonsultasi dengan penasihat hukum Anda terkait langkah-langkah yang perlu diambil untuk mematuhi GDPR.

Sumber daya GDPR lainnya

Anda dapat memperoleh informasi yang lebih berguna tentang GDPR dari Kantor Komisioner Informasi Inggris (ICO) – Panduan untuk GDPR.