Regulasi baru Uni Eropa tentang perlindungan data pribadi, GDPR, mewajibkan perusahaan untuk memenuhi standar yang lebih tinggi dalam pengolahan dan perlindungan data pribadi pengguna. Pelanggaran aturan GDPR dapat dikenakan denda hingga 20 juta Euro atau 4% pendapatan perusahaan. GDPR memberikan hak bagi pengguna untuk mengakses, memperbarui, atau menghapus data pribadinya.
2. APA ITU GDPR
Pada tahun 2016 (27 April) EU-COUNCIL
merumuskan tentang regulasi
Pengolahan dan penggunaan DATA
PRIBADI, saat itu disebut DATA
PROTECTION DIRECTIVE (DPD), lalu di
tahun 2018, DPD ini di rubah sesuai
dengan kemajuan teknologi dan arus
informasi menjadi GDPR.
GDPR atau singkatan dari Global Data Protection Regulation, adalah sebuah sistem yang ditetapkan
oleh Uni-Eropa untuk melindungi konsumen (pengguna Internet/Users) dari penggunaan data pribadi
(personal data). Regulasi ini juga bentuk perluasan dari Facebook Data Breach, Facebook Data Breach
TERBUKTI telah mengungkap Data Pribadi pengguna Facebook untuk digunakan diluar ranah Facebook,
tanpa sepengetahuan Pemilik Data.
Maksud dan tujuan GDPR adalah mengembalikan peran
PENGENDALIAN DATA PRIBADI, dan MENJAMIN : Hak dan
kebebasan fundamental Pengguna (Hak Asasi Pengguna
terhadap data pribadi), maka dalam pengolahan data, GDPR
mengharuskan para pengelola patuh terhadap : Klasifikasi
wajib dalam penggunaan data, tata cara pengambilan data,
transparansi, dokumentasi yang jelas, dan PERSETUJUAN
USER (Consents).
3. Ruang Lingkup GDPR
Setiap Organisasi atau perusahaan (Data Controller) yang menggunakan DATA PRIBADI, WAJIB
memantau dan mencatat (log / record) semua aktivitas yang berhubungan dengan DATA PRIBADI,
termasuk didalamnya adalah perusahaan (Data Processor / 3rd party) yang berhubungan dengan
pengolahan, penarikan dan penggunaan data tersebut.
Yang termasuk kedalam Data Processors adalah SIAPAPUN yang dalam perngoperasiannya
menggunakan sistem Tracking, Profiling, dan Data Recording. Termasuk semua yang berbentuk layanan
: i.e Perusahaan SaaS providers.
Transparansi, adalah KEWAJIBAN bagi para Data Controller dan Data Processor untuk dapat memetakan
dan menjelaskan tentang penggunaan data, tujuan penggunaan data, dan (bila ada perpindahan)
regional/geo location dari data tersebut : i.e Website Indonesia, dengan OAUTH Google (Singapore). Serta
transfer data ini HANYA BOLEH DILAKUKAN kepada perusahaan atau organisasi yang MEMILIKI dan
MEMENUHI SYARAT sebagai perusahaan yang MAMPU MENJAMIN HAK DAN KEAMANAN YANG
BERKAITAN DENGAN GDPR.
Penarikan data. Setiap "ijin persetujuan/pilihan/perubahan seorang pengguna/users" terhadap Data
Pribadi mereka, HARUS DIREKAM (LOG) sebagai bukti Persetujuan (Consent). Hal ini untuk mencegah
KETIDAK TAHUAN pengguna akan pengolahan data yang dilakukan oleh perusahaan/organisasi.
4. HAK
Setiap pengguna mempunyai : "Hak untuk portabilitas
DATA", "Hak untuk MELIHAT data pribadi mereka", dan
juga "Hak untuk Menghapus", termasuk didalamnya
untuk menarik IJIN (Consent) KAPANPUN. Dan
KEWAJIBAN Data Controller adalah memastikan HAK
INI DIPENUHI.
Bila terjadi pembobolan DATA, maka sebuah
perusahaan/organisasi mempunyai kewajiban untuk
memberikan informasi ini kepada pengguna/user yang
datanya ter-ekspose, dan PIHAK YANG BERWAJIB
(Data Security) dalam kurun waktu 72 JAM.
Setiap perusahaan yang mempunyai karyawan lebih
dari 250 orang, dan menggunakan atau mengolah
data-data pribadi secara luas/besar/banyak, WAJIB
memperkerjakan seorang Data Protection Officers
(DPO), merekalah yang kemudian pihak yang
memastikan aturan GDPR tidak dilanggar.
5. DEFINISI DATA PRIBADI (PERSONAL DATA)
Nama, Alamat, Geo-Location, Username, Informasi berkaitan dengan kesehatan (biology ie. umur,
kelamin ), pendapatan, agama, kebangsaan, dan data lainnya yang menyangkut atau merupakan DATA
UNIK individu, termasuk juga COOKIES DATA.
EU-GDPR mendefinisikan personal data : "any information relating to an IDENTIFIED or IDENTIFIABLE
NATURAL PERSON ('data subject'); an Udentifiable natural person is one who can be IDENTIFIED, DIRECT or
INDIRECTLY, in particular by reference to an identifier such as a NAME, an IDENTIFICATION NUMBER,
LOCATION DATA, an ONLINE IDENTIFIER or to one more factors specific to the PHYSICAL, PHYSIOLOGICAL,
GENETIC, MENTAL, ECONOMIC, CULTURAL or SOCIAL IDENTITY of that NATURAL PERSON".
Bahkan IP ADDRESS sekarang sudah termasuk DATA PRIBADI, kecuali ketika pengguna menggunakan
metode ANONIM ie. Incognito on Chrome.
DATA MASKING (Pseudonymized personal data) juga termasuk Personal Data yang dilindungi oleh GDPR
BILA : penggunaan reverse engineering dapat membongkar identifikasi pemilik data.
5
6. Perusahaan atau Organisasi yang tidak patuh terhadap aturan GDPR
ini, akan dikenakan denda : Maksimal 20 JUTA EURO, atau 4% Dari
pendapatan perusahaan secara global selama 1 TAHUN, diambil
yang terbesar diantara pilihan tersebut.
DENDA
7. GDPR Checklist
1. Persiapan :
Pelatihan Cyber Security, Privacy
(yang terkait dengan usaha
perusahaan), dan Pengetahuan
Dasar tentang Privacy Policy.
Serta mempersiapkan DPO (bila
perusahaan mempunyai karyawan
lebih dari 250 orang).
3. Audit Services Partner
Service Partner (3rd party) atau
layanan Saas yang berkerjasama
dalam penggunaan data pribadi
harus MEMENUHI SYARAT
GDPR. Dan flow data mereka pun
harus secara transparant
diketahui oleh
perusahaan/organisasi.
2. Data Audit :
Dokumentasi rekam data, proses,
transformasi, pengolahan dan akses
terhadap data, termasuk penguunaan alat
yang mampu merekam atau menduplikasi
data. Membuat aturan tentang penggunaan
dan pengolahan data, serta selalu
memperbaharui Privacy Policies.
4. Persiapan :
Semua ijin harus terdokumentasi
dan semua pengguna yang
memiliki data harus SELALU
diberikan pilihan untuk
MELANJUTKAN,
MEMBERHENTIKAN atau
MENGHAPUS datanya.
5. Penanganan DATA :
Membuat prosedur penanganan terhadap
data pribadi, i.e DATA ACCESS,
perubahan penggunaan data dari User,
dan termasuk tata cara penghapusan
data. Semua ini dituangkan dalam
Standar Regulasi Penanganan Data
Perusahaan.
5. Penanganan DATA :
Membuat prosedur
penanganan dan strategi
preventive bila terjadi
eksploitasi data, langkah ini
harus memenuhi standar GDPR
yaitu dibawah 72 jam, untuk
penanganan, pemberian
notifikasi, dan report.
8. TERMINOLOGI
DPD : Data Protection Directive, sebuah rumusan tentang Regulasi Pengolahan data yang dibuat oleh
EU-COUNCIL pada tahun 2016
Consent : Ijin, persetujuan, pemahaman, dan pilihan yang diberikan kepada Pengguna/User.
Data Protection Officer (DPO) : Adalah jabatan kewenangan terhadap individu yang telah memenuhi syarat
sebagai orang yang MENGOLAH KEAMANAN DATA.
Data Controller : Perusahaan atau Organisasi yang mengolah dan atau menyimpan data pribadi kemudian
disebut
Data Processor : Perusahaan rekanan (3rd Party) yang berkerjasama dengan Data Controller dalam
pengolahan, penggunaan dan atau penarikan data.
9. SOURCES
Source of Research & Information :
https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-e
u-data-protection-rules_en
https://ec.europa.eu/justice/smedataprotect/index_en.htm
https://www.w3counter.com/legal/gdpr
https://www.w3.org/2018/vocabws/sponsorship.html
https://www.wsj.com/articles/5-questions-about-what-to-expect-when-gdpr-takes-effect-1527154200
https://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=ASW12436USEN
https://ec.europa.eu/justice/smedataprotect/index_en.htm