Apa Itu GDPR : Definisi, Tujuan, Waktu Penerapan, Dampak dan Syarat General Data Protection Regulation

News, Teknologi6,055 views

Leantoro.com. Apa Itu GDPR : Definisi, Tujuan, Waktu Penerapan, Dampak dan Syarat General Data Protection Regulation. Apa itu GDPR? Mungkin sebagian besar dari kita semua dikirimi email oleh Google, terutama bagi pengguna google adsense, analytic, tag manager dan sebagainya yang isinya kurang lebih seperti gambar dibawah ini.

Definisi GDPR

GDPR atau General Data Protection Regulation adalah peraturan mengenai Kerahasiaan Data (Data Privacy) yang diterapkan bagi seluruh perusahaan di dunia yang menyimpan, mengolah atau memproses personal data penduduk EU.

Tujuan GDPR

Tujuan GDPR memberikan perlindungan yang lebih baik terhadap kerahasiaan data (data privacy) dalam ekonomi digital saat ini dengan memberikan keleluasaan lebih untuk individual terhadap datanya dan memberikan peraturan yang lebih ketat kepada pihak yang mengelola atau menyimpannya.

GDPR atau General Data Protection Regulation mulai efektif digunakan pada 25 Mei 2018 di seluruh dunia.

Contoh Penerapan GDPR :

– Maskapai penerbangan/Hotel yang menyimpan data informasi penumpang penduduk EU
– E-Commerce site yang menyimpan data pelanggan, alamat dan transaksi penduduk EU.
– Penjual kendaraan atau properti yang di mana beberapa pelanggan nya merupakan penduduk EU.

Berdasarkan IDC Report, GDPR membawa dampak serius kepada seluruh perusahaan yang memproses personal data penduduk EU.

4 Dampak GPDR:

  • Denda EUR 20 Mio atau 4% Global Revenue merupakan denda yang diberlakukan GDPR kepada perusahaan sebagai wujud kepatuhan terhadap GDPR sama seperti patuh terhadap peraturan anti suap atau pencucian uang. Karena masalah data privacy bukan masalah IT semata.
  • Mandatory Notification of Breach : Keharusan setiap organisasi memberitahukan kepada pihak yang berwajib dalam 72 jam ketika menemukan data breach dan harus menginformasikan data mana yang terdampak.
  • Ekstra Territorial : Peraturan ini berlaku tidak hanya di EEA tetapi seluruh perusahaan di dunia yang menyimpan personal data penduduk EU.
  • Pelarangan terhadap data processing activities : Jika diketahui sebuah perusahaan melanggar, maka regulator berhak melarang perusahaan tersebut untuk memproses personal data baik pelanggan maupun karyawan.

Melihat dari 4 dampak utama di atas, GDPR merupakan peraturan serius yang memaksa setiap perusahaan melakukan re-design pada people, process and technology dan melakukan edukasi secara terus menerus kepada seluruh karyawan mengenai peraturan ini.

Syarat GDPR

Syarat GPDR berlaku untuk setiap negara anggota Uni Eropa, bertujuan untuk menciptakan perlindungan yang lebih konsisten terhadap data konsumen dan pribadi di seluruh negara UE.

Beberapa kunci privasi dan persyaratan perlindungan data dari GDPR meliputi:

  • Membutuhkan persetujuan subyek untuk pemrosesan data
  • Menganonimkan data yang dikumpulkan untuk melindungi privasi
  • Memberikan pemberitahuan pelanggaran data
  • Aman menangani transfer data lintas batas
  • Mewajibkan perusahaan tertentu untuk menunjuk petugas perlindungan data untuk mengawasi kepatuhan GDPR

Pasal-pasal dalam GDPR

GDPR berisi 11 bab dan 91 artikel. Berikut ini adalah beberapa bab dan artikel yang memiliki potensi dampak terbesar pada operasi keamanan:

  • Pasal 17 & 18 – Pasal 17 dan 18 dari GDPR memberikan subyek data lebih banyak kontrol atas data pribadi yang diproses secara otomatis. Hasilnya adalah bahwa subyek data dapat mentransfer data pribadi mereka di antara penyedia layanan lebih mudah (juga disebut “hak untuk mudah dibawa”), dan mereka dapat mengarahkan pengontrol untuk menghapus data pribadi mereka dalam keadaan tertentu (juga disebut “hak untuk menghapus” ).
  • Pasal 23 & 30 – Pasal 23 dan 30 mengharuskan perusahaan untuk menerapkan langkah-langkah perlindungan data yang wajar untuk melindungi data pribadi dan privasi konsumen terhadap kehilangan atau eksposur.
  • Pasal 31 & 32 – Pemberitahuan pelanggaran data memainkan peran besar dalam teks GDPR. Pasal 31 menetapkan persyaratan untuk pelanggaran data tunggal: pengendali harus memberi tahu SA tentang pelanggaran data pribadi dalam waktu 72 jam setelah mempelajari pelanggaran dan harus memberikan rincian spesifik pelanggaran seperti sifatnya dan perkiraan jumlah subjek data yang terpengaruh. Pasal 32 mengharuskan pengontrol data untuk memberi tahu subyek data secepat mungkin dari pelanggaran ketika pelanggaran menempatkan hak dan kebebasan mereka pada risiko tinggi.
  • Pasal 33 & 33a – Pasal 33 dan 33a mewajibkan perusahaan untuk melakukan Analisis Dampak Perlindungan Data untuk mengidentifikasi risiko terhadap data konsumen dan Tinjauan Kepatuhan Perlindungan Data untuk memastikan risiko tersebut ditangani.
  • Pasal 35 – Pasal 35 mensyaratkan bahwa perusahaan tertentu menunjuk petugas perlindungan data. Secara khusus, setiap perusahaan yang memproses data mengungkapkan data genetik subjek, kesehatan, asal ras atau etnis, keyakinan agama, dll. Harus menunjuk petugas perlindungan data; petugas ini berfungsi untuk memberi saran kepada perusahaan tentang kepatuhan terhadap peraturan dan bertindak sebagai titik kontak dengan Otoritas Pengawas (SA). Beberapa perusahaan mungkin mengalami aspek ini dari GDPR hanya karena mereka mengumpulkan informasi pribadi tentang karyawan mereka sebagai bagian dari proses sumber daya manusia.
  • Pasal 36 & 37 – Pasal 36 dan 37 menguraikan posisi petugas perlindungan data dan tanggung jawabnya dalam memastikan kepatuhan GDPR serta melaporkan kepada Otoritas Pengawas dan subyek data.
  • Pasal 45 – Pasal 45 memperluas persyaratan perlindungan data kepada perusahaan internasional yang mengumpulkan atau memproses data pribadi warga Uni Eropa, yang menundukkan mereka pada persyaratan dan hukuman yang sama dengan perusahaan yang berbasis di UE.
  • Pasal 79 – Pasal 79 menjabarkan hukuman untuk ketidakpatuhan GDPR, yang dapat mencapai hingga 4% dari pendapatan tahunan global perusahaan yang melanggar tergantung pada sifat pelanggaran.

Sederhananya, GDPR memberikan standar dasar untuk perusahaan yang menangani data warga UE untuk lebih menjaga pemrosesan dan pergerakan data pribadi warga UE.

Jadi Pentingkah GDPR di Indonesia? Jelas sangat penting meskipun ini hukum yang diberlakukan oleh Uni Eropa namun dampak persebaran tingkat transaksinya mendunia, jadi kita jika bertransaksi juga hendaknya berhati-hati.

Lalu bagaimana penerapan GDPR di Indonesia? Sampai saat ini belum bisa memastikan langkah penerapan GDPR di Indonesia, artikel ini akan selalu di Update terkait dengan GDPR