General Data Protection Regulation/GDPR – Saat ini sedang hangat didiskusikan di Eropa mengenai regulasi perlindungan data yang terbaru dan akan diberlakukan tanggal 25 May 2018. Peraturan baru ini menempatkan kewajiban pada organisasi untuk mengelola data pribadi dengan cara yang memungkinkan pemilik data untuk memiliki kontrol lebih besar atas bagaimana informasi digunakan.
Regulasi Perlindungan Data (bahasa Inggris: Data Protection Regulation) adalah regulasi dalam hukum Uni Eropa yang mengatur perlindungan data pribadi di dalam maupun di luar UE. Regulasi perlindungan data terbaru yang diadopsi UE adalah Regulasi Perlindungan Data Umum (General Data Protection Regulation/GDPR) Regulasi (EU) 2016/679 pada bulan Mei 2016.
Regulasi ini didasari oleh Piagam Hak Asasi Uni Eropa yang menetapkan bahwa warga UE memiliki hak untuk melindungi data pribadi mereka.
GDPR menstandardisasi undang-undang perlindungan data di semua negara UE dan menerapkan aturan baru yang ketat untuk mengendalikan dan memproses informasi identitas pribadi.
Regulasi ini juga memperluas perlindungan data pribadi dan hak perlindungan data dengan memberikan kontrol kembali ke penduduk UE. GDPR menggantikan Direktif Perlindungan Data UE 1995, dan mulai berlaku pada 25 Mei 2018.
Tantangan teknologi terhadap privasi
Perkembangan teknologi yang cepat serta globalisasi memberi tantangan baru dalam upaya perlindungan data pribadi. Skala pengumpulan dan pembagian (sharing) data pribadi meningkat secara signifikan. Teknologi memungkinkan perusahaan swasta maupun otoritas publik menggunakan data pribadi dalam skala yang belum pernah terjadi sebelumnya.
Melemparkan kesalahan pada teknologi atas masalah privasi bukanlah hal baru. Pada tahun 1890, Warren dan Brandeis pernah mengatakan bahwa privasi sedang diserang oleh “penemuan dan metode-metode bisnis baru”. Mereka berpendapat tekanan yang dialami masyarakat modern menuntut untuk adanya “hak privasi”, dan melindungi apa yang mereka sebut “hak untuk dibiarkan sendiri” (right to be let alone).Mereka berpendapat bahwa hak ini harus dilindungi oleh hukum yang ada sebagai bagian dari masalah hak asasi manusia.
Teknologi berperan dalam berbagai masalah privasi, karena mempermudah pengumpulan dan pemrosesan informasi. Ketika orang-orang menjelajahi web, menggunakan ponsel dan melakukan transaksi online, mereka meninggalkan remah-remah data di mana-mana. Teknologi sendiri sebetulnya tidak melanggar privasi, tetapi aktifitas si pengguna teknologi dan kebijakan yang mereka lakukan yang menciptakan pelanggaran. Kelebihan atau cacat pada teknologi tidak lah melekat dalam teknologi itu sendiri, tetapi lebih tergantung pada bagaimana mereka digunakan dan sejauh mana penggunaannya diawasi dan dipertanggungjawabkan oleh pihak-pihak yang terlibat.
Memodernisasi sistem hukum perlindungan data pribadi di semua area kegiatan demi memenuhi tantangan globalisasi, teknologi, dan kebutuhan otoritas publik, dalam rangka meningkatkan perundangan perlindungan data yang ada serta menerapkan prinsip-prinsip perlindungan data yang efektif, merupakan langkah konkrit untuk memperkuat privasi di era digital saat ini.
Baca Juga : Penerapan ISO 27001:2013 Pada Bank Dapat Meningkatkan Kepercayaan Nasabah
Ruang Lingkup GDPR
Organisasi yang didirikan di UE dan memproses data pribadi milik individu yang berbasis di UE diwajibkan mematuhi GDPR paling lambat pada 25 Mei 2018. GDPR memperbarui dan mengharmonisasi kerangka kerja untuk memproses data pribadi di UE, membawa kewajiban-kewajiban baru untuk organisasi dan hak-hak baru bagi para individu.GDPR dipandang sebagai solusi atas perlindungan data publik di internet sehingga mendorong pengendali data (seperti media sosial) untuk lebih waspada dalam melindungi data milik subyek data (pengguna). Di dalam GDPR terkandung beberapa poin berikut:
- Syarat dan Ketentuan Harus Sederhana, Consents (izin) dan Terms of Agreements (syarat-syarat ketentuan) seringkali diabaikan oleh para pengguna sebuah layanan. Alasannya adalah tulisan tersebut seringkali terlalu panjang dan kecil-kecil sehingga memusingkan untuk dibaca. Pada pasal 7 GDPR, dijelaskan bahwa tulisan mengenai hal tersebut harus ditulis dengan bahasa yang jelas dan sederhana. Bila tidak, maka syarat dan ketentuan tidak akan berlaku. Subyek data (pemilik data) juga punya hak untuk membatalkan persetujuan yang mereka berikan pada Consents atau Terms of Agreements. Apabila pengguna masih di bawah umur, maka orangtua atau wali yang memiliki kekuatan hukum untuk menyetujui Consents dan Terms of Agreements.
- Lindungi Kehidupan Pribadi Pengguna, Ada larangan untuk membongkar segala informasi yang mengungkap identitas ras, etnis, agama, keyakinan, data biometrik, data kesehatan, dan kehidupan seksual pengguna, seperti yang dijelaskan pada pasal 9 GDPR. Pemilik data harus terlebih dulu setuju apabila data-data tersebut diproses, tapi pasal ini tidak berlaku bila ada keperluan yang sifatnya darurat seperti penegakan hukum. Itu pun dengan memastikan hak-hak fundamental dari pemilik data dapat terjaga.
- Komunikasi Harus Transparan, Pengendali data (contoh, media sosial) harus menyajikan informasi yang jelas, mudah dimengerti, dan mudah diakses bila diminta penjelasan oleh pemilik data. Apabila pengendali data tidak memberikan respons yang diminta, maka mereka diwajibkan untuk segera memberikan penjelasan selambat-lambatnya satu bulan.
- Hak Menghapus Seluruh Data, Ada istilah Right to be Forgotten atau Hak untuk Dilupakan. Pada pasal 17 GDPR, pemilik data memiliki hak agar data miliknya dihapus secara keseluruhan tanpa ditunda oleh pengendali data. Sebagai contoh, bila pemilik data menyetorkan datanya di sebuah situs, maka situs itu wajib menghapus semua data pengguna bila diminta. Dengan begitu, sebuah situs tidak dapat menyimpan data pengguna yang sudah tidak menggunakan layanan situs tersebut. Ada pengecualian dalam hal ini, contohnya bila penghapusan data bertabrakan dengan perkara hukum, maka data tidak bisa dihapus.
- Hak Mengakses Data, Pemilik data memiliki hak untuk mendapat konfirmasi perihal pengelolaan data milik mereka. Contohnya tujuan dari pengelolaan data mereka, lalu tentang kategori data milik mereka yang dikelola, atau siapa yang mengelola data pribadi milik mereka. Sama halnya bila data pengguna ditransfer ke pihak ketiga atau organisasi internasional, maka pemilik data berhak mendapat informasi. Skandal Cambridge Analytica merupakan contoh saat data pengguna dipakai oleh pihak ketiga tanpa diketahui. Dalam kasus ini Facebook adalah si pengendali data. Kewajiban lain dari pengendali data juga harus memastikan bahwa data pengguna terlindungi bila dipindah ke pihak ketiga, baik pihak ketiga dalam bentuk negara lain atau organisasi internasional. Pemilik data juga memiliki hak protes bila data pribadi mereka dipakai untuk hal-hal pemasaran, seperti untuk dijadikan target iklan.
- Harus Ada Petugas Pengawas Data, Tiap negara Uni Eropa harus menyediakan setidaknya satu badan publik untuk memastikan implementasi regulasi ini, serta memberikan bantuan kepada pemilik data. Pada pembentukannya, badan tersebut bisa dibentuk oleh pihak pemerintah secara transparan, baik oleh legislatif maupun eksekutif. Seperti yang disebut pada pasal 53 GDPR, seseorang yang diangkat menjadi anggota pengawasan perlindungan data wajib memiliki kualifikasi, pengalaman, dan kemampuan yang sesuai di bidang perlindungan data, sehingga tidak boleh asal memberi jabatan ke orang yang tidak punya pemahaman mumpuni terkait bidang digital.
- Penalti, Ada dua penalti utama yang diberikan pada orang-orang yang melanggar regulasi ini, dan tergantung pasal mana yang dilanggar. Penalti yang pertama adalah denda 10 juta euro atau sekitar Rp 168 miliar (asumsi kurs Rp 16.843 per euro) atau sejumlah 2 persen keuntungan perusahaan itu, dan yang dijatuhkan adalah jumlah yang paling besar. Penalti yang kedua adalah sebesar 20 juta euro atau sekitar Rp 275 miliar, atau denda sejumlah 4 persen keuntungan perusahaan itu, dan yang dijatuhkan juga jumlah yang paling besar.