Pasti salah satu dari anda belum pernah mendengar istilah GDPR, bukan? Ya, istilah ini memang masih terdengar asing di telinga kita. Namun, bagi sebagian orang yang bekerja pada bidang yang menggunakan layanan google seperti google adsense, analytic, tag manager dan sebagainya paham betul apa itu GDPR (General Data Protection Regulation).

Perusahaan yang mengumpulkan data tentang warga negara di negara-negara Uni Eropa (UE) harus mematuhi aturan baru yang ketat seputar perlindungan data pelanggan per tanggal 25 Mei 2018 mendatang. Peraturan Perlindungan Data Umum (GDPR) diharapkan untuk menetapkan standar baru untuk hak-hak konsumen terkait data mereka. Tetapi perusahaan akan ditantang karena mereka menempatkan sistem dan proses untuk mematuhi.

Kepatuhan akan menyebabkan beberapa kekhawatiran dan harapan baru dari tim keamanan. Sebagai contoh, GDPR mengambil pandangan luas tentang apa yang merupakan informasi identifikasi pribadi. Perusahaan akan membutuhkan tingkat perlindungan yang sama untuk hal-hal seperti alamat IP individu atau data cookie yang mereka lakukan untuk nama, alamat, dan nomor Jaminan Sosial.

GDPR meninggalkan banyak interpretasi. Ia mengatakan bahwa perusahaan harus memberikan tingkat perlindungan yang “masuk akal” untuk data pribadi. Misalnya, tetapi tidak mendefinisikan apa yang merupakan masuk akal. Hal ini memberikan badan GDPR banyak kelonggaran ketika datang untuk menilai denda untuk pelanggaran data dan ketidakpatuhan.

Waktu hampir habis untuk memenuhi tenggat waktu, jadi CSO telah menyusun apa yang perlu diketahui oleh bisnis apa pun tentang GDPR, bersama dengan saran untuk memenuhi persyaratannya. Banyak persyaratan tidak berhubungan langsung dengan keamanan informasi, tetapi proses dan perubahan sistem yang diperlukan untuk mematuhi dapat mempengaruhi sistem dan protokol keamanan yang ada.

Jadi apakah sebenarnya GDPR itu? Apakah dampak yang diberikan oleh aturan yang baru tersebut? Mari kita cari tahu bersama pada artikel ini.

Apa itu GDPR?

Peraturan Perlindungan Data Umum (GDPR) adalah peraturan Uni Eropa yang mengontrol bagaimana perusahaan dan organisasi lain untuk menangani data pribadi. Ini adalah inisiatf paling tinggi dalam perlindungan data dalam 20 tahun terakhir dan memiliki implikasi besar bagi setiap organisasi di dunia yang melayani individu dari Uni Eropa.

Untuk memberikan kenyamanan atas bagiamana data nereka digunakan dan untuk melindungi “hak dasar dan kebebasan orang alami”, undang-undang telah menetapkan persyaratan ketat pada prosedur penanganan data, tranparasi, dokumentasi dan persetujuan pengguna.

Sebagai pengotrol data, organisasi mana pun harus menyimpan catatan dan memantau aktivitas pemrosesan data pribadi. Ini termasuk data pribadi yang ditangani dalam organisasi, tetapi juga oleh pihak ketiga yang disebut sebagai pengolah data.

Pemrosesan data dapat berupa apa saja dari penyedia perangkat lunak untuk menyematkan layanan dari pihak ketiga, melacak memprofil para pengunjung di situs web organisasi.

Kedua pengontrol dan pengolah data harus dapat menjelaskan jenis data apa yang sedang diproses, tujuan pemrosesan dan ke negara mana data yang dikirimkan oleh pihak ketiga. Data hanya dapat ditransfer ke organisasi yang sesuai dengan GDPR lain, atau yang masih dianggap yurisdiksi “memadai“.

Tidak ada pemrosesan data pribadi yang sensitif diizinkan tanpa persetujuan eksplisit seseorang. Bagi data yang tidak sensitif, persetujuan tersirat akan dilakukan. Dalam kasus yang kedua, persetujuan harus diberikan secara bebas berdasarkan informasi yang jelas dan spesifik tentang jenis serta tujuan data sebelum pemrosesan tejadi. Semua persetujuan harus dicatat sebagai bukti bahwa persetujuan telah diberikan.

Saat ini setiap Individu memiliki “hak data portabilitas“nya masing-masing. Artinya, mereka memiliki “hak akses data” bersama dengan “hak untuk menghapusnya” dan dapat menarik persetujuan mereka kapan pun mereka mau. Dalam hal ini pengontrol data harus menghapus data pribadi individu jika tidak lagi diperlukan untuk tujuan pengumpulannya.

Dalam kasus pelanggaran data, perusahaan harus dapat memberi tahu otoritas dari perlindungan data itu sendiri dan individu yang terkena dampak harus segera melapor dalam waktu 72 jam.

Selanjutnya, GDPR membebankan kewajiban pada otoritas publik, organisasi dengan lebih dari 250 karyawan dan perusahaan yang memproses data pribadi yang sensitif dalam skala besar untuk mempekerjakan atau melatih petugas perlindungan data (DPO). DPO harus mengambil langkah-langkah untuk memastikan kepatuhan GDPR di seluruh organisasi.

Sehubungan dengan Brexit, Pemerintah Inggris berencana untuk menerapkan undang-undang setara yang sebagian besar akan mengikuti GDPR.

Siapa Yang Harus Mematuhi GDPR?

Tujuan GDPR adalah memberlakukan undang-undang keamanan data yang seragam pada semua anggota Uni Eropa, sehingga setiap negara anggota UE tidak perlu lagi menulis undang-undang perlindungan data dan hukumnya konsisten di seluruh UE. Bagaimana dengan negara selain UE?

Selain anggota UE, penting untuk dicatat bahwa setiap perusahaan yang memasarkan barang atau jasa kepada penduduk UE, terlepas dari lokasinya, tunduk pada peraturan tersebut. Akibatnya, GDPR akan berdampak pada persyaratan perlindungan data secara global.

Jadi, walaupun aturan ini dibuat untuk melindungi privasi data pengguna baru UE, aturan GDPR ini juga berlaku dan berefek untuk pembisnis internet khususnya blogger dan website bisnis di seluruh dunia termasuk di Indonesia.

Singkatnya jika ada yang mengakses situs anda dari UE, maka anda harus mematuhi GDPR atau jika tidak ingin mematuhinya, anda bisa memblokir visitor dari wilayah UE.

Buat anda yang mempunyai website dengan wordpress, joomla, prestashop dan lain-lain seperti open source, anda bisa menggunakan plugin atau tools untuk mengecek GDPR atau jika tidak khawatir dengan berkurangnya visitor anda bisa memblokir pengunjung dari negara-negara Uni Eropa.

Namun jika anda memakai bloger yang berasal dari Google, anda perlu menambahkan Privacy Policy. Kenapa? Sebab blogspot tidak memiliki fitur untuk memblokir pengunjung dari negara atau ISP tertentu, jadi mau tidak mau anda harus menambahkan atau merubah halaman perlindungan data pengunjung yang biasanya di kenal dengan sebutan “Kebijakan Privasi” dalam bahasa Indonesia.

Halaman kebijakan ini sangat penting (wajib) dibuat apabila anda memiliki blog atau web yang sering di akses oleh orang dari wilayah UE. Terlebih blog berbahasa inggris yang mayoritas pengunjung dari negara-negara berbahasa inggris. Isi Kebijakan Privasi tidak perlu panjang, intinya bisa berupa dua pilihan, yaitu:

  • Kebijakan pribvasi yang sesuai dengan persyaratan GDPR atau,
  • Jika pengunjung dari UE, maka pengunjung dianggap memahami dan menyetujui bahwa website sobat tidak menerapkan aturan GDPR

Yang Bertanggung Jawab Penuh Mengenai Masalah Kepatuhan

GDPR mendefinisikan beberapa peran yang bertanggung jawab untuk memastikan kepatuhan: pengontrol data, pengolah data, dan Petugas Perlindungan Data (DPO). Pengontrol data menentukan bagaimana data pribadi diproses dan tujuan yang diproses. Kontroler juga bertanggung jawab untuk memastikan bahwa kontraktor luar dapat mematuhi.

Pemroses data dapat berupa kelompok internal yang memelihara dan memproses catatan data pribadi atau perusahaan outsourcing yang melakukan semua atau sebagian dari kegiatan tersebut. GDPR memegang prosesor yang bertanggung jawab atas pelanggaran atau ketidakpatuhan.

Oleh karena itu, mungkin bahwa perusahaan dan mitra pemrosesan anda seperti penyedia cloud akan bertanggung jawab atas denda bahkan jika terjadi kesalahan sepenuhnya pada mitra pemrosesan anda.

GDPR membutuhkan pengontrol dan prosesor untuk menunjuk DPO untuk mengawasi strategi keamanan data serta kepatuhan GDPR.

Perusahaan diharuskan memiliki DPO jika mereka memproses atau menyimpan data warga negara Uni Eropa dalam jumlah besar, memproses atau menyimpan data pribadi khusus, memantau secara teratur subyek data, atau merupakan otoritas publik. Beberapa entitas publik seperti penegakan hukum dapat dikecualikan dari persyaratan DPO tersebut.

Menurut survei Propeller Insights, 82 persen dari perusahaan yang menanggapi mengatakan bahwa mereka sudah memiliki DPO untuk staf mereka, meskipun 77 persen berencana untuk menyewa DPO baru atau pengganti sebelum batas waktu 25 Mei nantinya.

Perekrutan itu tidak berhenti pada DPO saja. Hasil survei lainnya, ada sekitar 55 persen responden yang melaporkan bahwa mereka telah merekrut setidaknya enam karyawan baru untuk mencapai kepatuhan dari GDPR.

Dampak GDPR Bagi Perusahaan

Organisasi besar memiliki waktu dua tahun untuk memperisapkan diri dalam mematuhi GDPR. Perusahaan-perusahaan teknologi besar yang memiliki basis pengguna besar dan menangani sejumlah besar data telah berbicara tentang apa yang mereka lakukan.

Facebook yang baru-baru ini merilis beberapa alat privasi beru yang akan membantunya sesuai dengan GDPR. Perusahaan teknologi besar lainnya juga telah merilis rencana mereka pada GDPR. Dalam catatan baru-baru ini, Barclays mengatakan bahwa GDPR kemungkinan akan berdampak pada jejaring sosial.

“Kami pikir ada resiko yang melaporkan MAU (penggunaan rata-rata bulanan) dapat turun untuk Facebook dan Twitter dimulai pada akhir kuartal kedua. DAU (pengguna rata-rata harian) jauh lebih penting dan kurang dari perhatian GDPR untuk jejaring sosial, tetaoi mungkin juga turun sedikit,” kata analis Barclays.

“Dalam hal pendapatan iklan, kami melihat lebih sedikit dampak, tetapi ada kekhawatiran tambahan seputar produk seperti pemirsa khusus yang digunakan oleh semua platform. Pemeriksaan kami menunjukkan bahwa sebagian besar perusahaan yang menggunakan cookie dan tag untuk pemasaran digital seharusnya relatif tidak berubah karena sebagian besar penayang telah menggunakan pemberitahuan yang sesuai dengan GDPR selama beberapa bulan sebelum resmi dilaksanakan pada akhir bulan Mei.”

Sanksi Bagi Yang Melanggar Atau Tidak Mematuhi GDPR

Dibandingkan dengan Pedoman Perlindungan Data sebelumnya, GDPR telah meningkatkan hukuman untuk ketidakpatuhan. AS memiliki otoritas lebih dari pada undang-undang sebelumnya karena GDPR menetapkan standar di seluruh UE untuk semua perusahaan yang menangani data pribadi warga Uni Eropa.

Amerika memiliki kekuatan investigasi dan korektif dan dapat mengeluarkan peringatan untuk ketidakpatuhan, melakukan audit untuk memastikan kepatuhan, mengharuskan perusahaan untuk membuat perbaikan tertentu dengan tenggat waktu yang ditentukan, data pesanan untuk dihapus, dan memblokir perusahaan dari mentransfer data ke negara lain. Pengontrol dan pengolah data harus tunduk pada kekuatan dan hukuman Amerika khusunya bagian selatan.

GDPR juga memungkinkan Amerika Selatan untuk mengeluarkan denda yang lebih besar daripada Data Protection Directive. Denda ditentukan berdasarkan keadaan masing-masing kasus dan mereka dapat memilih apakah akan memaksakan kekuatan korektif mereka dengan atau tanpa denda.

Untuk perusahaan yang gagal memenuhi persyaratan GDPR tertentu, denda dapat mencapai 2% atau 4% dari total perputaran tahunan global atau 10 juta Euro atau 20 juta Euro, mana yang lebih besar.

Kesimpulan

Ini bukanlah sebuah momok yang harus ditakuti, tapi malah sebaliknya, Indonesia khususnya dan negara ASEAN sebaiknya juga mulai mengikuti UE, walupun ujung-ujungnya entah bisa atau tidak.

Buat anda yang belum mengubah halaman Privacy Policy atau Kebijakan Privasi, segeralah mengubah atau membuatnya dengan memberikan penjelasan tegas tentang perlindungan data mereka (pengunjung dari Eropa).

Sekali lagi kami tekankan kepada anda, bahwa peraturan GDPR ini akan diberlakukan mulai tanggal 25 Mei 2018 dan seluruh blog dan web di internet yang memiliki pengunjung tetap dari Eropa sudah harus memiliki halaman perlindungan data pengguna terkait dengan aturan GDPR.

Menurut berbagai media, aturan ini juga akan mempengaruhi Algoritma Google serta periklanan yang sedang hangat dibicarakan, terkait dengan masalah yang dihadapi Facebook beberapa waktu lalu. Google, YouTube dan situs-situs besar lainnya juga akan merubah beberapa aturan mereka sebelum GDPR ini resmi berlaku.

Kebijakan ini resmi di umumkan oleh situs-situs media besar agar setiap pengguna di internet (warganet) mengerti dan menaati peraturan baru ini.