Peraturan Perlindungan Data Umum (GDPR) adalah undang-undang Uni Eropa (UE) yang mengatur cara organisasi mengumpulkan dan menggunakan data pribadi. Setiap perusahaan yang beroperasi di UE atau menangani data penduduk UE harus mematuhi persyaratan GDPR.
Namun, kepatuhan terhadap GDPR tidak selalu merupakan hal yang sederhana. Undang-undang tersebut menguraikan seperangkat hak privasi data bagi pengguna dan serangkaian prinsip untuk pemrosesan data pribadi. Organisasi harus menjunjung tinggi hak-hak dan prinsip-prinsip ini, tetapi GDPR menyisakan ruang bagi tiap-tiap perusahaan untuk memutuskan caranya.
Risikonya besar, dan GDPR memberlakukan hukuman yang berat untuk ketidakpatuhan. Pelanggaran yang paling serius dapat menyebabkan denda hingga EUR 20.000.000 atau 4% dari omset global organisasi di seluruh dunia pada tahun sebelumnya. Regulator GDPR juga dapat menghentikan kegiatan pemrosesan data terlarang dan memaksa organisasi untuk membuat perubahan.
Daftar periksa di bawah ini mencakup peraturan GDPR inti. Cara sebuah organisasi memenuhi peraturan ini akan bergantung pada keadaan uniknya, termasuk jenis data yang dikumpulkannya dan cara organisasi tersebut menggunakan data tersebut.
GDPR berlaku untuk setiap organisasi yang berbasis di Wilayah Ekonomi Eropa (EEA). EEA mencakup semua 27 negara anggota UE ditambah Islandia, Liechtenstein, dan Norwegia.
GDPR juga berlaku untuk organisasi di luar EEA jika:
GDPR tidak hanya berlaku untuk bisnis yang menggunakan data pelanggan untuk tujuan komersial. Peraturan ini berlaku untuk hampir semua organisasi yang memproses data penduduk EEA untuk tujuan apa pun. Sekolah, rumah sakit, dan lembaga pemerintah semuanya termasuk dalam kewenangan GDPR.
Satu-satunya kegiatan pemrosesan data yang dikecualikan dari GDPR adalah keamanan nasional atau kegiatan penegakan hukum dan penggunaan data murni pribadi.
GDPR menggunakan beberapa terminologi khusus. Untuk memahami persyaratan kepatuhan, organisasi harus memahami apa arti istilah-istilah ini dalam konteks ini.
GDPR mendefinisikan data pribadi sebagai informasi apa pun yang berkaitan dengan manusia yang dapat diidentifikasi. Segala sesuatu mulai dari alamat email hingga pendapat politik dianggap sebagai data pribadi.
Subjek data adalah manusia yang memiliki data tersebut. Dengan kata lain, itu adalah orang yang terkait dengan data tersebut. Katakanlah sebuah perusahaan mengumpulkan nomor telepon untuk mengirim pesan pemasaran melalui SMS. Pemilik nomor telepon tersebut akan menjadi subjek data.
Ketika GDPR mengacu pada subjek data, itu berarti subjek data yang tinggal di EEA. Subjek tidak perlu menjadi warga negara Uni Eropa untuk memiliki hak privasi data di bawah GDPR. Mereka hanya perlu menjadi penduduk EEA.
Pengontrol data adalah organisasi, kelompok, atau orang yang mendapatkan data pribadi dan menentukan cara data tersebut digunakan. Kembali ke contoh sebelumnya, perusahaan yang mengumpulkan nomor telepon untuk tujuan pemasaran akan menjadi pengontrol.
Pemrosesan data adalah tindakan apa pun yang dilakukan terhadap data, termasuk mengumpulkan, menyimpan, atau menganalisisnya. Pemroses data adalah organisasi atau aktor yang melakukan tindakan tersebut.
Sebuah perusahaan dapat menjadi pengontrol dan pemroses, seperti perusahaan yang mengumpulkan nomor telepon dan menggunakannya untuk mengirim pesan pemasaran. Pemroses juga mencakup pihak ketiga yang memproses data atas nama pengontrol, seperti layanan penyimpanan cloud yang menjadi host database nomor telepon untuk bisnis lain.
Otoritas pengawas adalah badan pengatur yang menegakkan persyaratan GDPR. Setiap negara EEA memiliki otoritas pengawas sendiri.
Secara umum, organisasi dianggap mematuhi GDPR jika:
Daftar periksa berikut memperinci persyaratan ini lebih lanjut. Langkah-langkah praktis yang diambil organisasi untuk memenuhi persyaratan ini akan bergantung pada lokasi, sumber daya, dan aktivitas pemrosesan data, di samping faktor-faktor lainnya.
GDPR menciptakan seperangkat prinsip yang harus diikuti organisasi ketika memproses data pribadi. Prinsip-prinsipnya adalah sebagai berikut.
GDPR mendefinisikan keadaan yang mengizinkan perusahaan memproses data pribadi secara legal. Organisasi harus menetapkan dan mendokumentasikan dasar hukumnya sebelum mengumpulkan data apa pun. Organisasi harus mengkomunikasikan dasar ini kepada pengguna pada saat pengumpulan data. Organisasi tidak boleh mengubah dasar ini setelahnya kecuali mendapat persetujuan pengguna untuk melakukannya.
Basis hukum yang mungkin termasuk:
Menurut prinsip GDPR tentang pembatasan tujuan, pengontrol harus memiliki tujuan yang teridentifikasi dan terdokumentasi untuk mengumpulkan data. Pengontrol harus mengomunikasikan tujuan ini kepada pengguna pada saat pengumpulan, dan hanya dapat menggunakan data untuk tujuan yang disebutkan ini.
Pengontrol hanya dapat mengumpulkan jumlah data minimum yang diperlukan untuk memenuhi tujuan yang dinyatakan.
Pengontrol harus mengambil langkah-langkah yang wajar untuk memastikan data pribadi yang mereka miliki akurat dan terkini.
GDPR mensyaratkan kebijakan retensi dan penghapusan data yang ketat. Perusahaan hanya dapat menyimpan data hingga tujuan yang ditentukan untuk mengumpulkan data tersebut terpenuhi, dan mereka harus menghapus data tersebut setelah tidak lagi dibutuhkan.
Pengontrol dan pemroses harus menerapkan perlindungan tambahan untuk jenis data pribadi tertentu.
Data kategori khusus mencakup data yang sangat sensitif seperti ras dan biometrik seseorang. Organisasi hanya dapat memproses data kategori khusus dalam keadaan yang sangat terbatas, seperti untuk mencegah ancaman kesehatan masyarakat yang serius. Perusahaan juga dapat memproses data kategori khusus dengan persetujuan eksplisit subjek.
Data hukuman pidana hanya dapat dikontrol oleh otoritas publik. Pemroses hanya dapat memproses informasi ini atas arahan otoritas publik.
Pengontrol harus mendapat persetujuan orang tua sebelum memproses data anak-anak. Mereka harus mengambil langkah-langkah yang wajar untuk memverifikasi usia subjek dan identitas orang tua. Jika mengumpulkan data dari anak-anak, pengontrol harus memberikan pemberitahuan privasi dalam bahasa yang ramah anak.
Setiap negara bagian EEA menetapkan definisi sendiri tentang “anak” di bawah GDPR. Ini berkisar dari “siapa saja di bawah usia 13” hingga “siapa saja di bawah usia 16 tahun.”
Organisasi dengan lebih dari 250 karyawan harus menyimpan catatan pemrosesan data. Organisasi dengan kurang dari 250 karyawan harus menyimpan catatan jika mereka memproses data yang sangat sensitif, memproses data secara teratur, atau memproses data dengan cara yang menimbulkan risiko signifikan terhadap subjek data.
Pengontrol harus mendokumentasikan hal-hal seperti data yang mereka kumpulkan, apa yang mereka lakukan dengan data tersebut, peta alur data, dan pengamanan data. Pemroses harus mendokumentasikan pengontrol yang mereka gunakan, jenis pemrosesan yang mereka lakukan untuk setiap pengontrol, dan kontrol keamanan yang mereka gunakan.
Di bawah GDPR, tanggung jawab utama untuk kepatuhan ada pada pengontrol data. Ini berarti pengontrol harus memastikan—dan dapat membuktikan—bahwa prosesor pihak ketiganya memenuhi semua persyaratan GDPR yang relevan.
GDPR memberikan hak tertentu kepada subjek data atas data mereka. Pengontrol dan pemroses harus menghormati hak-hak ini.
Organisasi harus memberi subjek data cara sederhana untuk menerapkan hak-hak mereka atas data mereka. Hak-hak ini meliputi:
Secara umum, organisasi harus menanggapi semua permintaan akses subjek data dalam waktu 30 hari. Perusahaan biasanya harus mematuhi permintaan subjek kecuali jika perusahaan dapat membuktikan bahwa mereka memiliki alasan yang sah dan lebih utama untuk tidak melakukannya.
Jika sebuah organisasi menolak permintaan, organisasi tersebut harus menjelaskan alasannya. Organisasi juga harus memberi tahu subjek bagaimana cara mengajukan banding atas keputusan tersebut kepada petugas perlindungan data perusahaan atau otoritas pengawas yang relevan.
Di bawah GDPR, subjek data memiliki hak untuk tidak terikat oleh proses pengambilan keputusan otomatis yang dapat berdampak signifikan pada mereka. Ini termasuk pembuatan profil, yang didefinisikan oleh GDPR sebagai penggunaan otomatisasi untuk mengevaluasi beberapa aspek dari seseorang, seperti memprediksi performa kerjanya.
Jika suatu organisasi memang menggunakan keputusan otomatis, organisasi tersebut harus memberi subjek data cara untuk menyanggah keputusan tersebut. Subjek juga dapat meminta agar karyawan manusia meninjau setiap keputusan otomatis yang berdampak pada mereka.
Pengontrol dan pemroses harus secara proaktif dan jelas menginformasikan subjek data tentang aktivitas pemrosesan data, termasuk data yang mereka kumpulkan, apa yang mereka lakukan dengan data tersebut, dan cara subjek data dapat menggunakan hak-hak mereka atas data.
Informasi ini biasanya harus dikomunikasikan melalui pemberitahuan privasi yang disampaikan kepada subjek saat pengumpulan data. Jika perusahaan tidak mengumpulkan data pribadi secara langsung dari subjek, pemberitahuan privasi harus dikirimkan kepada subjek dalam waktu satu bulan. Perusahaan juga dapat menyertakan detail ini dalam kebijakan privasi yang dapat diakses publik di situs web mereka.
GDPR mewajibkan pengontrol dan pemroses untuk mengambil langkah-langkah untuk mencegah penyalahgunaan data pribadi dan melindungi subjek data dari bahaya.
Pengontrol dan pemroses harus menerapkan langkah-langkah keamanan untuk melindungi kerahasiaan dan integritas data pribadi. GDPR tidak mewajibkan kontrol tertentu, tetapi menyatakan bahwa perusahaan harus mengadopsi langkah-langkah teknis dan organisasi.
Langkah-langkah teknis mencakup solusi teknologi, seperti platform manajemen identitas dan akses (IAM), pencadangan otomatis, dan alat keamanan data. Meskipun GDPR tidak secara eksplisit mengamanatkan enkripsi data, GDPR merekomendasikan agar organisasi menggunakan pseudonimisasi dan anonimisasi sedapat mungkin.
Langkah-langkah organisasi mencakup pelatihan karyawan, penilaian risiko yang berkelanjutan, serta kebijakan dan proses keamanan lainnya. Perusahaan juga harus mengikuti prinsip perlindungan data berdasarkan desain dan secara default saat membuat atau menerapkan sistem dan produk baru.
Jika perusahaan berencana untuk memproses data dengan cara yang berisiko tinggi terhadap hak-hak subjek, perusahaan harus terlebih dahulu melakukan penilaian dampak perlindungan data (DPIA). Jenis pemrosesan yang dapat memicu DPIA, antara lain, adalah pembuatan profil otomatis dan pemrosesan skala besar untuk kategori data pribadi khusus.
DPIA harus menjelaskan data yang digunakan, pemrosesan yang dimaksudkan dan tujuan pemrosesan. DPIA harus mengidentifikasi risiko pemrosesan dan cara untuk mengurangi risiko tersebut. Jika ada risiko tak terbatas yang signifikan, organisasi harus berkonsultasi dengan otoritas pengawas sebelum bergerak maju.
Organisasi harus menunjuk petugas perlindungan data (DPO) jika organisasi tersebut memantau subjek dalam skala besar atau memproses data kategori khusus sebagai aktivitas inti. Semua otoritas publik juga harus menunjuk DPO.
DPO bertanggung jawab untuk memastikan organisasi tetap mematuhi GDPR. Tugas utama termasuk berkoordinasi dengan otoritas perlindungan data, memberikan saran kepada organisasi tentang persyaratan GDPR, dan mengawasi DPIA.
DPO harus merupakan petugas independen yang melapor langsung ke tingkat manajemen tertinggi. Organisasi tidak dapat melakukan pembalasan terhadap DPO karena melakukan tugasnya.
Organisasi harus melaporkan sebagian besar pelanggaran data pribadi kepada otoritas pengawas terkait dalam waktu 72 jam. Jika pelanggaran menimbulkan risiko bagi subjek data, organisasi juga harus memberi tahu subjek. Organisasi harus memberi tahu subjek secara langsung kecuali jika komunikasi langsung tidak memungkinkan, dalam hal ini pemberitahuan publik dapat diterima.
Pemroses yang mengalami pelanggaran harus memberi tahu pengontrol terkait tanpa penundaan yang tidak semestinya.
Setiap perusahaan di luar EEA yang secara rutin memproses data penduduk EEA atau memproses data yang sangat sensitif harus menunjuk perwakilan di EEA. Perwakilan tersebut berkoordinasi dengan otoritas pemerintah atas nama perusahaan dan bertindak sebagai narahubung untuk masalah kepatuhan GDPR.
GDPR menetapkan aturan tentang bagaimana organisasi berbagi data pribadi dengan perusahaan lain di dalam dan di luar EEA.
Pengontrol dapat membagikan data pribadi dengan pemroses dan pihak ketiga lainnya, tetapi hubungan ini harus diatur oleh perjanjian pemrosesan data formal. Perjanjian ini harus menguraikan hak dan tanggung jawab semua pihak sehubungan dengan GDPR.
Pemroses pihak ketiga hanya dapat memproses data sesuai arahan pengontrol. Mereka tidak dapat menggunakan data pengontrol untuk tujuan mereka sendiri. Pemroses harus memperoleh persetujuan dari pengontrol sebelum berbagi data dengan sub-pemroses.
Pengontrol hanya dapat berbagi data dengan pihak ketiga yang berlokasi di luar EEA jika transfer data memenuhi setidaknya salah satu kriteria berikut:
Kepatuhan terhadap GDPR merupakan proses yang berkelanjutan, dan persyaratan organisasi dapat berubah seiring dengan pengumpulan data baru dan aktivitas pemrosesan yang baru.
Solusi keamanan dan kepatuhan data seperti IBM Security Guardium dapat membantu merampingkan proses mencapai—dan mempertahankan—kepatuhan terhadap GDPR. Guardium dapat secara otomatis menemukan data yang diatur oleh GDPR, menegakkan aturan kepatuhan untuk data tersebut, memantau penggunaan data, dan memberdayakan organisasi untuk merespons ancaman terhadap keamanan data.
Jelajahi solusi keamanan dan perlindungan data
Pelajari lebih lanjut tentang rangkaian produk keamanan dan kepatuhan data IBM.