Apa itu GDPR, Memahami dan mematuhi Persyaratan Perlindungan Data GDPR

Apa itu GDPR, Memahami dan Mematuhi Persyaratan Perlindungan Data GDPR.  Buat sobat yang menggunakan Google Analytics untuk analisa situs sobat, pasti mendapat email dari Google mengenai pemberlakuan GDPR tanggal 25 Mei 2018 nanti. Email ini bukan email pemberitahuan, tapi lebih ke perintah untuk mereview dan merubah beberapa pengaturan pada Google Analytics. Bisa di cek di pengaturan Data Retention dan Agreement.

Definisi GDPR (General Data Protection Regulation)

Peraturan Perlindungan Data Umum atau dalam bahasa inggris General Data Protection Regulation (GDPR) , disepakati oleh Parlemen Eropa dan Dewan pada bulan April 2016, yang akan menggantikan Peraturan Perlindungan Data 95/46/ec pada 25 Mei  2018 sebagai hukum utama yang mengatur bagaimana perusahaan melindungi data pribadi warga Uni Eropa. Perusahaan yang sudah sesuai dengan Petunjuk harus memastikan bahwa mereka sesuai dengan persyaratan baru GDPR sebelum menjadi efektif pada 25 Mei 2018. Perusahaan yang gagal mencapai kepatuhan GDPR sebelum batas waktu akan dikenakan hukuman pinalti dan denda.

Persyaratan GDPR berlaku untuk setiap negara anggota Uni Eropa, yang bertujuan untuk menciptakan perlindungan yang lebih konsisten terhadap data konsumen dan pribadi di seluruh negara UE. Beberapa kunci privasi dan persyaratan perlindungan data dari GDPR meliputi:

• Membutuhkan persetujuan subyek untuk pemrosesan data
• Menganonimkan data yang dikumpulkan untuk melindungi privasi
• Memberikan pemberitahuan pelanggaran data
• Aman menangani transfer data lintas batas
• Mewajibkan perusahaan tertentu untuk menunjuk petugas perlindungan data untuk mengawasi kepatuhan GDPR

Sederhananya, GDPR memberikan standar dasar untuk perusahaan yang menangani data warga UE untuk lebih menjaga pemrosesan dan pergerakan data pribadi warga UE.

Siapa yang harus mematuhi GDPR?

Tujuan GDPR adalah memberlakukan undang-undang keamanan data yang seragam pada semua anggota Uni Eropa, sehingga setiap negara anggota UE tidak perlu lagi menulis undang-undang perlindungan data dan hukumnya konsisten di seluruh UE.

Bagamana dengan negara selain UE?

Selain anggota UE, penting untuk dicatat bahwa setiap perusahaan yang memasarkan barang atau jasa kepada penduduk UE, terlepas dari lokasinya, tunduk pada peraturan tersebut . Akibatnya, GDPR akan berdampak pada persyaratan perlindungan data secara global.

Jadi, walaupun aturan ini dibuat untuk melindungi privasi data pengguna daru UE, aturan GDPR ini juga berlaku dan berefek untuk pembisnis internet khususnya blogger dan website bisnis di seluruh dunia termasuk di Indonesia.

Singkatnya jika ada yang mengakses situs sobat dari UE, maka sobat harus mematuhi GDPR atau jika tidak ingin mematuhinya, sobat bisa memblokir visitor dari wilayah UE.

Buat sobat yang mempunyai website dengan wordpress, joomla, prestashop dll (open source), sobat bisa menggunakan plugin/tools untuk mengecek GDPR atau jika tidak khawatir dengan berkurangnya visitor sobat bisa memblokir pengunjung dari negara2 UE.

Namun jika sobat memakai bloger bikinan gugel, sobat perlu menambahkan Privacy Policy. Kenapa? Sebab blogspot tidak memiliki fitur untuk memblokir pengunjung dari negara atau ISP tertentu, jadi mau tidak mau sobat harus menambahkan atau merubah halaman perlindungan data pengunjung yang biasanya di kenal dengan sebutan “Kebijakan Privasi” dalam bahasa Indonesia.

Halaman kebijakan ini sangat penting (wajib) dibuat apabila sobat memiliki blog atau web yang sering di akses oleh orang dari wilayah UE. Terlebih blog berbahasa inggris yang mayoritas pengunjung dari negara-negara berbahasa inggris. Isi Kebijakan privasi tidak perlu panjang, intinya bisa berupa 2 pilihan

• Kebijakan pribvasi yang sesuai dengan persyaratan GDPR atau,
• bahwa jika pengunjung dari UE, maka pengunjung dianggap memahami dan menyetujui bahwa website sobat tidak menerapkan aturan GDPR

Sanksi jika melanggar atau tidak mematuhi GDPR

Dibandingkan dengan Pedoman Perlindungan Data sebelumnya, GDPR telah meningkatkan hukuman untuk ketidakpatuhan. SA memiliki otoritas lebih dari pada undang-undang sebelumnya karena GDPR menetapkan standar di seluruh UE untuk semua perusahaan yang menangani data pribadi warga Uni Eropa. SA memiliki kekuatan investigasi dan korektif dan dapat mengeluarkan peringatan untuk ketidakpatuhan, melakukan audit untuk memastikan kepatuhan, mengharuskan perusahaan untuk membuat perbaikan tertentu dengan tenggat waktu yang ditentukan, data pesanan untuk dihapus, dan memblokir perusahaan dari mentransfer data ke negara lain. Pengontrol dan pengolah data tunduk pada kekuatan dan hukuman SA.

GDPR juga memungkinkan SA untuk mengeluarkan denda yang lebih besar daripada Data Protection Directive; denda ditentukan berdasarkan keadaan masing-masing kasus dan SA dapat memilih apakah akan memaksakan kekuatan korektif mereka dengan atau tanpa denda. Untuk perusahaan yang gagal memenuhi persyaratan GDPR tertentu, denda dapat mencapai 2% atau 4% dari total perputaran tahunan global atau € 10 juta atau € 20 juta, mana yang lebih besar.

Silahkan dihitung saja penghasilan dari iklan sobat berapa kemudian di potong 4%.

Kesimpulan dan Saran mengenai pemberlakuan GDPR

Ini bukanlah sebuah momok yang harus ditakuti, tapi malah sebaliknya, Indonesia khususnya dan negara ASEAN sebaiknya juga mulai mengikuti UE, walupun entah bisa atau ngga nya.

Buat sobat yang belum mengubah halaman Privacy Policy atau Kebijakan Privasi segeralah mengubah atau membuatnya dengan memberikan penjelasan tegas tentang perlindungan data mereka (pengunjung dari Eropa). Peraturan GDPR ini akan diberlakukan mulai 25 Mei 2018 dan seluruh blog dan web di internet yang memiliki pengunjung tetap dari Eropa sudah harus memiliki halaman perlindungan data pengguna terkait dengan aturan GDPR.

Menurut berbagai media, aturan ini juga akan mempengaruhi Algoritma Google serta periklanan yang sedang hangat dibicarakan, terkait dengan masalah yang dihadapi Facebook beberapa waktu lalu. Google, YouTube dan situs-situs besar lainnya juga akan merubah beberapa aturan mereka sebelum GDPR ini resmi berlaku.

Kebijakan ini resmi di umumkan oleh situs-situs media besar agar setiap pengguna di internet (warganet) mengerti dan menaati peraturan baru ini.

Persyaratan Peraturan Perlindungan Data Umum 2018

GDPR sendiri berisi 11 bab dan 91 artikel. Berikut ini adalah beberapa bab dan artikel yang memiliki potensi dampak terbesar pada operasi keamanan:

• Pasal 17 & 18 – Pasal 17 dan 18 dari GDPR memberikan subyek data lebih banyak kontrol atas data pribadi yang diproses secara otomatis. Hasilnya adalah bahwa subyek data dapat mentransfer data pribadi mereka di antara penyedia layanan lebih mudah (juga disebut “hak untuk mudah dibawa”), dan mereka dapat mengarahkan pengontrol untuk menghapus data pribadi mereka dalam keadaan tertentu (juga disebut “hak untuk menghapus” ).
• Pasal 23 & 30 – Pasal 23 dan 30 mengharuskan perusahaan untuk menerapkan langkah-langkah perlindungan data yang wajar untuk melindungi data pribadi dan privasi konsumen terhadap kehilangan atau eksposur.
• Pasal 31 & 32 – Pemberitahuan pelanggaran data memainkan peran besar dalam teks GDPR. Pasal 31 menetapkan persyaratan untuk pelanggaran data tunggal: pengendali harus memberi tahu SA tentang pelanggaran data pribadi dalam waktu 72 jam setelah mempelajari pelanggaran dan harus memberikan rincian spesifik pelanggaran seperti sifatnya dan perkiraan jumlah subjek data yang terpengaruh. Pasal 32 mengharuskan pengontrol data untuk memberi tahu subyek data secepat mungkin dari pelanggaran ketika pelanggaran menempatkan hak dan kebebasan mereka pada risiko tinggi.
• Pasal 33 & 33a – Pasal 33 dan 33a mewajibkan perusahaan untuk melakukan Analisis Dampak Perlindungan Data untuk mengidentifikasi risiko terhadap data konsumen dan Tinjauan Kepatuhan Perlindungan Data untuk memastikan risiko tersebut ditangani.
• Pasal 35 – Pasal 35 mensyaratkan bahwa perusahaan tertentu menunjuk petugas perlindungan data. Secara khusus, setiap perusahaan yang memproses data mengungkapkan data genetik subjek, kesehatan, asal ras atau etnis, keyakinan agama, dll. Harus menunjuk petugas perlindungan data; petugas ini berfungsi untuk memberi saran kepada perusahaan tentang kepatuhan terhadap peraturan dan bertindak sebagai titik kontak dengan Otoritas Pengawas (SA). Beberapa perusahaan mungkin mengalami aspek ini dari GDPR hanya karena mereka mengumpulkan informasi pribadi tentang karyawan mereka sebagai bagian dari proses sumber daya manusia.
• Pasal 36 & 37 – Pasal 36 dan 37 menguraikan posisi petugas perlindungan data dan tanggung jawabnya dalam memastikan kepatuhan GDPR serta melaporkan kepada Otoritas Pengawas dan subyek data.
• Pasal 45 – Pasal 45 memperluas persyaratan perlindungan data kepada perusahaan internasional yang mengumpulkan atau memproses data pribadi warga Uni Eropa, yang menundukkan mereka pada persyaratan dan hukuman yang sama dengan perusahaan yang berbasis di UE.
• Pasal 79 – Pasal 79 menjabarkan hukuman untuk ketidakpatuhan GDPR, yang dapat mencapai hingga 4% dari pendapatan tahunan global perusahaan yang melanggar tergantung pada sifat pelanggaran.

Apa itu GDPR, Memahami dan Mematuhi Persyaratan Perlindungan Data GDPR