Apa itu GDPR? The General Data Protection Regulation (GDPR) adalah undang-undang privasi dan keamanan data di Eropa yang mengatur cara organisasi di seluruh dunia harus mengelola dan melindungi data pribadi.
The General Data Protection Regulation (GDPR) menciptakan seperangkat aturan yang harmonis untuk pemrosesan data pribadi di Uni Eropa (UE), untuk memastikan tingkat perlindungan yang tinggi bagi data pribadi. Artikel ini akan mengulas mengenai apa itu GDPR sehingga Anda bisa mendapatkan wawasan berharga tentang bagaimana peraturan keamanan data berlaku di Eropa. Berikut penjelasan lebih lanjut tentang apa itu GDPR berdasarkan penjelasan yang kami peroleh dari website gdpr.eu.
Table of Contents
Apa Itu GDPR?
The General Data Protection Regulation atau GDPR adalah undang-undang privasi dan keamanan paling ketat di dunia. Meskipun ditetapkan dan disahkan oleh Uni Eropa (UE), aturan ini memberlakukan kewajiban bagi organisasi di mana pun, asalkan mereka menargetkan atau mengumpulkan data yang terkait dengan orang-orang di UE. Peraturan ini mulai berlaku pada 25 Mei 2018. GDPR akan mengenakan denda berat bagi mereka yang melanggar standar privasi dan keamanannya, dengan hukuman mencapai puluhan juta euro.
Dengan adanya GDPR, Eropa menunjukkan sikap tegasnya terhadap privasi dan keamanan data disaat banyak orang mempercayakan data pribadi mereka pada layanan cloud dan insiden kebocoran data terjadi setiap harinya. Regulasi ini sendiri sangat luas, mencakup berbagai aspek, sehingga membuat kepatuhan GDPR menjadi suatu tantangan, terutama bagi usaha kecil dan menengah.
Sejarah GDPR
Untuk bisa lebih memahami apa itu GDPR, mari kita pelajari bagaimana sejarah undang-undang privasi dan keamanan di Uni Eropa ini. Hak atas privasi adalah bagian dari European Convention on Human Rights tahun 1950, yang menyatakan bahwa “Setiap orang memiliki hak untuk dihormati dalam kehidupan pribadi dan keluarganya, rumahnya, dan korespondensinya.” Dari dasar ini, Uni Eropa berupaya untuk memastikan perlindungan hak ini melalui legislasi.
Seiring dengan kemajuan teknologi dan lahirnya internet, UE mengakui perlunya perlindungan modern. Pada tahun 1995, UE mengesahkan European Data Protection Directive. Direktif ini menetapkan standar minimum privasi dan keamanan data, yang menjadi dasar bagi negara anggota UE untuk membuat undang-undang pelaksanaannya sendiri. Namun, internet telah berkembang menjadi mesin pencari data seperti yang ada saat ini. Pada tahun 1994, iklan banner pertama muncul online. Pada tahun 2000, sebagian besar lembaga keuangan menawarkan layanan perbankan online. Tahun 2006, Facebook dibuka untuk publik. Pada tahun 2011, seorang pengguna Google menggugat perusahaan tersebut karena memindai emailnya. Dua bulan setelah itu, otoritas perlindungan data Eropa menyatakan bahwa UE membutuhkan “pendekatan komprehensif terhadap perlindungan data pribadi” dan mulai untuk memperbarui direktif tahun 1995 tersebut.
GDPR mulai berlaku pada tahun 2016 setelah disahkan oleh Parlemen Eropa. Selanjutnya, sejak 25 Mei 2018, semua organisasi diharuskan untuk patuh terhadapnya.
Baca Juga: Undang-Undang Pelindungan Data Pribadi (UU PDP): Ringkasan & Sanksinya
Lingkup Peraturan, Denda, dan Definisi Penting GDPR
Perlu Anda pahami bahwa jika Anda memproses data pribadi warga negara atau penduduk UE, atau menawarkan barang atau jasa kepada orang-orang tersebut, maka GDPR berlaku bagi Anda meskipun Anda tidak berada di UE.
Denda atas pelanggaran GDPR sendiri sangat tinggi. Terdapat dua tingkat denda yang diberlakukan, yang maksimalnya bisa mencapai €20 juta atau 4% dari pendapatan global (mana yang lebih tinggi), ditambah subjek data memiliki hak untuk mencari kompensasi atas kerugian.
GDPR juga mendefinisikan berbagai istilah hukum secara rinci yaitu:
- Personal data (data pribadi) menurut GDPR adalah informasi apa pun yang terkait dengan individu yang dapat diidentifikasi secara langsung atau tidak langsung. Nama dan alamat email jelas merupakan data pribadi. Informasi lokasi, etnisitas, jenis kelamin, data biometrik, keyakinan agama, cookie web, dan opini politik juga dapat dikategorikan sebagai data pribadi. Data pseudonim juga termasuk dalam definisi ini jika cukup mudah untuk mengidentifikasi seseorang dari data tersebut.
- Data processing (pemrosesan data) adalah setiap tindakan yang dilakukan pada data, baik secara otomatis maupun manual.
- Data subject (subjek data) adalah orang yang data pribadinya diproses. Contohnya bisa seperti pelanggan atau pengunjung situs web Anda.
- Data controller (pengendali data) adalah orang yang menentukan mengapa dan bagaimana data pribadi akan diproses. Jika Anda adalah pemilik atau karyawan di perusahaan yang menangani data, maka Anda adalah pengendali data.
- Data processor (pengolah data) adalah pihak ketiga yang memproses data pribadi atas nama pengendali data. GDPR memiliki aturan khusus untuk individu dan organisasi ini. Mereka dapat mencakup server cloud atau penyedia layanan email.
Prinsip Perlindungan Data di GDPR
Jika Anda memproses data, Anda harus melakukannya sesuai dengan tujuh prinsip perlindungan dan akuntabilitas yang diuraikan dalam Pasal 5.1-2:
- Lawfulness, fairness and transparency: Pemrosesan harus sah, adil, dan transparan bagi subjek data.
- Purpose limitation: Anda harus memproses data untuk tujuan yang sah yang secara eksplisit dijelaskan kepada subjek data saat pengumpulan data tersebut.
- Data minimization: Anda harus mengumpulkan dan memproses hanya sebanyak yang benar-benar diperlukan untuk tujuan yang ditentukan.
- Accuracy: Anda harus menjaga akurasi dan kekinian data pribadi.
- Storage limitation: Anda hanya boleh menyimpan data yang dapat mengidentifikasi seseorang selama diperlukan untuk tujuan yang ditentukan.
- Integrity and confidentiality: Pemrosesan harus dilakukan dengan cara yang menjamin keamanan, integritas, dan kerahasiaan yang sesuai (misalnya dengan menggunakan enkripsi).
- Accountability: Pengendali data bertanggung jawab untuk dapat menunjukkan kepatuhan terhadap semua prinsip GDPR ini.
Akuntabilitas
GDPR mengatakan pengendali data harus dapat menunjukkan bahwa mereka mematuhi GDPR. Jika Anda berpikir Anda mematuhi GDPR tetapi tidak dapat menunjukkannya, maka Anda tidak mematuhi GDPR. Berikut beberapa cara untuk menunjukkan akuntabilitas:
- Tunjuk penanggung jawab perlindungan data di tim Anda.
- Simpan dokumentasi detail mengenai data yang Anda kumpulkan. Dokumentasi ini harus mencakup bagaimana data digunakan, di mana disimpan, siapa yang bertanggung jawab, dan lain-lain.
- Latih staf Anda dan terapkan langkah-langkah keamanan teknis dan organisasional.
- Buat kontrak Perjanjian Pemrosesan Data dengan pihak ketiga yang Anda gunakan untuk memproses data.
- Tunjuk Petugas Perlindungan Data atau Data Protection Officer (DPO)
Peraturan Terkait Keamanan Data di GDPR
Anda diwajibkan untuk mengelola data dengan aman dengan menerapkan “langkah-langkah teknis dan organisasional yang sesuai.” Langkah-langkah teknis bisa berupa apa pun, mulai dari mewajibkan karyawan Anda untuk menggunakan otentikasi dua faktor di akun tempat data pribadi disimpan hingga membuat kontrak dengan penyedia cloud yang menggunakan enkripsi end-to-end. Langkah-langkah organisasional seperti pelatihan staf, menambahkan kebijakan privasi data ke buku pegangan karyawan, atau membatasi akses ke data pribadi hanya untuk karyawan yang membutuhkannya.
Jika terjadi pelanggaran data, Anda memiliki waktu 72 jam untuk memberitahukan subjek data atau menghadapi sanksi. Persyaratan pemberitahuan ini mungkin dikecualikan jika Anda menggunakan langkah pengamanan teknologi, seperti enkripsi, untuk menghilangkan kegunaan data bagi penyerang.
Kapan Data Pribadi Diizinkan untuk Diproses
GDPR mencantumkan kondisi-kondisi di mana pemrosesan data pribadi diperbolehkan, yaitu:
- Subjek data memberikan persetujuan yang spesifik dan jelas kepada Anda untuk memproses data tersebut.
- Pemrosesan data diperlukan untuk melaksanakan atau mempersiapkan perjanjian yang melibatkan subjek data.
- Anda perlu memprosesnya untuk mematuhi kewajiban hukum Anda.
- Anda perlu memproses data tersebut untuk menyelamatkan nyawa seseorang.
- Pemrosesan data diperlukan untuk melaksanakan tugas demi kepentingan umum atau menjalankan fungsi resmi tertentu.
- Anda memiliki kepentingan yang sah untuk memproses data pribadi seseorang.
Baca Juga: Dampak Serangan Siber terhadap Reputasi Bisnis & Kepercayaan Investor
Demikian penjelasan yang bisa kami berikan mengenai apa itu GDPR. GDPR (General Data Protection Regulation) adalah undang-undang privasi dan keamanan data paling ketat di dunia yang diberlakukan oleh Uni Eropa. Undang-undang ini menetapkan standar perlindungan data yang tinggi dan memberlakukan kewajiban kepada organisasi di seluruh dunia yang mengumpulkan atau menargetkan data individu di UE.
Indonesia sendiri memiliki Undang-Undang Pelindungan Data Pribadi (UU PDP) yang bertujuan untuk melindungi data pribadi penduduk Indonesia. LOGIQUE hadir sebagai mitra yang dapat membantu perusahaan mematuhi peraturan tersebut dengan menyediakan jasa keamanan siber yang komprehensif. Kami mengintegrasikan solusi teknologi terkini dengan keahlian dalam keamanan informasi untuk melindungi data pribadi dari ancaman keamanan digital yang semakin kompleks.
Layanan kami mencakup jasa pentest, Vulnerability Assessment, dan simulasi phishing yang dapat meningkatkan kesadaran tentang keamanan data di perusahaan. Dengan pendekatan yang terstruktur dan terukur, kami membantu perusahaan membangun sistem keamanan yang kuat, memastikan kepatuhan terhadap peraturan perlindungan data yang berlaku, baik di tingkat nasional maupun internasional seperti GDPR.