Pendahuluan
GDPR (General Data Protection Regulation) adalah undang-undang privasi data yang komprehensif yang berlaku di seluruh wilayah Uni Eropa (EU). Diperkenalkan pada Mei 2018, GDPR menggantikan Directive 95/46/EC, yang dikenal sebagai Data Protection Directive. GDPR memberikan perlindungan yang lebih kuat bagi warga negara EU dan memberikan kontrol yang lebih besar kepada mereka atas data pribadi mereka.
GDPR dimaksudkan untuk menyatukan hukum perlindungan data di seluruh UE dan untuk menyederhanakan peraturan bagi bisnis, dengan memberikan satu set aturan tunggal untuk semua perusahaan yang beroperasi di dalam blok tersebut. Peraturan ini berlaku untuk semua organisasi yang memproses data pribadi warga negara UE, terlepas dari lokasi organisasi tersebut.
Prinsip-Prinsip Utama GDPR
GDPR didasarkan pada enam prinsip utama yang harus diikuti oleh pengontrol data ketika memproses data pribadi. Prinsip-prinsip ini memastikan bahwa data pribadi diproses secara adil, hukum, transparan, dan untuk tujuan spesifik.
1. Hukum, Adil, dan Transparan
Pengolahan data pribadi harus legal, adil, dan transparan. Ini berarti bahwa individu harus diberitahu tentang bagaimana data mereka dikumpulkan, digunakan, dan dibagikan.
2. Tujuan Spesifik
Data pribadi hanya boleh dikumpulkan untuk tujuan spesifik yang dinyatakan dan legal, dan tidak boleh diproses lebih lanjut dengan cara yang tidak kompatibel dengan tujuan ini.
3. Relevansi dan Minimalisasi Data
Hanya data yang diperlukan untuk tujuan spesifik yang boleh dikumpulkan dan diproses.
4. Akurasi
Data pribadi harus akurat dan, jika perlu, diperbarui.
5. Pembatasan Penyimpanan
Data pribadi hanya boleh disimpan selama diperlukan untuk tujuan pengolahan.
6. Integritas dan Kerahasiaan
Data pribadi harus diproses dengan cara yang memastikan keamanan dan kerahasiaan, melindungi dari pemrosesan yang tidak sah atau ilegal dan dari kehilangan, kerusakan atau penghancuran yang tidak disengaja.
Hak Individu di Bawah GDPR
GDPR memberikan sejumlah hak kepada individu sehubungan dengan data pribadi mereka. Hak-hak ini dirancang untuk memberikan kontrol kepada individu atas data mereka.
1. Hak Akses
Individu memiliki hak untuk mengakses data pribadi mereka yang dimiliki oleh pengontrol data. Ini berarti bahwa mereka dapat meminta salinan data mereka dan informasi tentang bagaimana data tersebut digunakan.
2. Hak Koreksi
Individu memiliki hak untuk memperbaiki data pribadi mereka jika tidak akurat.
3. Hak Penghapusan ("Hak untuk Dilupakan")
Individu memiliki hak untuk menghapus data pribadi mereka dalam kondisi tertentu, seperti ketika data tersebut tidak lagi diperlukan untuk tujuan pengolahan atau ketika data tersebut diproses secara tidak sah.
4. Hak Pembatasan Pemrosesan
Individu memiliki hak untuk membatasi pemrosesan data pribadi mereka dalam kondisi tertentu, seperti ketika mereka menentang keakuratan data atau ketika mereka menentang pemrosesan data untuk tujuan pemasaran langsung.
5. Hak Portabilitas Data
Individu memiliki hak untuk menerima data pribadi mereka dalam format yang dapat dibaca mesin dan untuk mentransmisikan data tersebut ke pengontrol data lain.
6. Hak Keberatan
Individu memiliki hak untuk keberatan atas pemrosesan data pribadi mereka berdasarkan kepentingan yang sah atau untuk tujuan pemasaran langsung.
Kewajiban Pengontrol Data
GDPR mewajibkan pengontrol data untuk mengambil langkah-langkah tertentu untuk melindungi data pribadi. Kewajiban ini meliputi:
1. Penunjukan Petugas Perlindungan Data (DPO)
Organisasi yang memproses data pribadi dalam skala besar atau yang memproses data sensitif harus menunjuk Petugas Perlindungan Data (DPO). DPO bertanggung jawab untuk memberikan nasihat tentang kepatuhan GDPR dan untuk bertindak sebagai titik kontak bagi individu dan otoritas pengawas.
2. Penilaian Dampak Perlindungan Data (DPIA)
Organisasi harus melakukan Penilaian Dampak Perlindungan Data (DPIA) untuk menilai risiko privasi yang terkait dengan pemrosesan data pribadi tertentu, terutama ketika pemrosesan melibatkan data sensitif atau melibatkan pemrosesan skala besar.
3. Dokumentasi
Organisasi harus mendokumentasikan aktivitas pemrosesan data mereka, termasuk tujuan pemrosesan, jenis data yang diproses, dan tindakan keamanan yang diterapkan.
4. Notifikasi Pelanggaran Data
Organisasi harus melaporkan pelanggaran data kepada otoritas pengawas dalam waktu 72 jam setelah menyadari pelanggaran tersebut, kecuali jika pelanggaran tersebut tidak mungkin berdampak negatif pada individu.
5. Akuntabilitas
Organisasi bertanggung jawab untuk menunjukkan bahwa mereka mematuhi GDPR. Ini berarti bahwa mereka harus dapat menunjukkan langkah-langkah yang diambil untuk melindungi data pribadi dan bahwa mereka memiliki mekanisme untuk memantau kepatuhan mereka.
Hukuman Pelanggaran GDPR
Pelanggaran GDPR dapat mengakibatkan denda yang signifikan. Denda maksimum untuk pelanggaran GDPR adalah €20 juta atau 4% dari total pendapatan tahunan global organisasi, mana yang lebih tinggi. Denda juga dapat diberikan karena kekurangan dalam manajemen risiko, keamanan, atau pelanggaran hak individu.
Kesimpulan
GDPR adalah peraturan yang penting yang berdampak pada cara organisasi mengumpulkan, menggunakan, dan menyimpan data pribadi. Organisasi harus memahami kewajiban mereka di bawah GDPR dan mengambil langkah-langkah yang diperlukan untuk memastikan kepatuhan mereka. Dengan memahami prinsip-prinsip utama, hak individu, kewajiban pengontrol data, dan potensi denda karena pelanggaran, organisasi dapat melindungi diri mereka sendiri dari tindakan hukum dan memastikan bahwa mereka memproses data pribadi secara bertanggung jawab dan etis.