Apa Itu GDPR (General Data Protection Regulation)
Seperti anak sekolah yang belum memulai proyek akhir tahun mereka pada bulan Mei, apakah Anda tetap terjaga di malam hari dengan ketakutan yang merayap bahwa Anda seharusnya melakukan sesuatu tentang GDPR tetapi Anda merasa telah menunggu terlalu lama untuk bertanya apa sebenarnya itu?
Mari kita perbaiki itu! Inilah ide dasar tentang apa arti GDPR bagi bisnis internet kecil Anda — dalam kata-kata sesedikit mungkin!
Catatan: Saya bukan pengacara. Saya bahkan bukan penduduk UE. Saya hanya membagikan catatan saya sendiri untuk menghemat waktu Anda dan mengarahkan Anda ke arah yang benar. Saya tidak mengklaim bahwa informasi ini akurat dan tidak seorang pun boleh mendengarkan apa pun yang saya katakan.
Apa itu GDPR?
Tidak seperti pemerintah Amerika Serikat, Uni Eropa bosan dengan perusahaan internet raksasa yang mengumpulkan banyak data konsumen dan kemudian terus-menerus membocorkannya atau menyalahgunakannya. Untuk mencoba memperbaikinya, mereka membuat Peraturan Perlindungan Data Umum (GDPR). Ini adalah seperangkat peraturan Uni Eropa baru yang menetapkan dengan tepat bagaimana perusahaan harus mengelola data pribadi.
Jika perusahaan Anda tidak mematuhi, Anda dapat didenda hingga puluhan juta Euro (sesuai dengan tingkat keparahan dan skala pelanggaran Anda).
Uni Eropa? Tapi saya di Inggris. LOL Brexit!
Maaf, peraturan GDPR masih berlaku sebelum Brexit selesai dan Inggris telah mengatakan bahwa mereka akan menerapkan GDPR yang setara dengan mereka sendiri setelah Brexit. Jadi tidak ada yang berbeda untuk Anda. Uni Eropa? Saya bahkan belum pernah ke sana!
TWIST — Anda mungkin masih terpengaruh. Anda harus mengikuti peraturan GDPR untuk mengelola data pribadi jika Anda menawarkan barang atau jasa kepada siapa pun di UE di mana pun lokasi Anda!
Tebak apa? Situs web atau aplikasi seluler Anda adalah layanan dan alamat IP dianggap sebagai data pribadi. Jadi, kecuali Anda hanya memblokir siapa pun di UE untuk menggunakan layanan Anda atau Anda tidak mengumpulkan informasi pribadi apa pun, Anda tetap harus mematuhinya.
Tetapi saya mendengar bahwa GDPR hanya berlaku untuk bisnis dengan lebih dari 250 karyawan!
Tidak, itu sama sekali tidak benar. Ada beberapa aturan dokumentasi yang longgar untuk perusahaan kecil yang hanya sesekali memproses data pribadi, tetapi secara umum Anda tetap harus mengikuti peraturan GDPR.
Kapan GDPR mulai berlaku?
Anda dapat mulai didenda karena tidak mengikuti aturan mulai 25 Mei 2018.
Artikel Terkait Lainnya :
Baiklah! Jenis data pribadi apa yang diatur?
GDPR mencakup data apa pun yang dapat digunakan untuk mengidentifikasi seseorang, bahkan secara tidak langsung. Jadi jenis data pribadi berikut diatur:
- Hal-hal yang jelas, seperti nama, alamat, lokasi GPS, dan detail bank.
- Hal-hal yang kurang jelas, seperti alamat IP, alamat email, atau bahkan postingan, tweet, atau cerita instagram pengguna.
- Bahkan hal-hal yang kurang jelas, seperti id pengguna mentah atau data "dianonimkan" jika dimungkinkan untuk bekerja mundur dari data untuk mengidentifikasi orang tersebut.
Apa yang harus saya lakukan untuk mematuhi GDPR?
Meskipun peraturan GDPR lengkap cukup panjang dan rumit, kami secara mental dapat memecahnya menjadi beberapa persyaratan umum yang lebih mudah untuk dipikirkan.
Persyaratan 1: Membenarkan kebutuhan Anda akan data pribadi
Pertama, Anda hanya dapat mengumpulkan data pribadi jika Anda memiliki alasan yang sah untuk mengumpulkannya. Tapi Anda tidak bisa hanya membuat alasan Anda sendiri. Uni Eropa mengatakan bahwa ada enam pembenaran hukum untuk mengumpulkan data:
- Anda mendapat persetujuan eksplisit dari pengguna untuk mengumpulkan data.
- Anda memerlukan data untuk memenuhi keberatan kontraktual dengan pengguna — seperti bagaimana perusahaan telepon jelas perlu mengetahui nomor telepon pelanggan untuk menyediakan layanan telepon kepada pelanggan tersebut.
- Anda memerlukan data untuk mematuhi undang-undang lain.
- Anda memerlukan data untuk melindungi kehidupan seseorang.
- Anda adalah otoritas publik (seperti kantor pemerintah) dan Anda memerlukan data untuk melaksanakan tanggung jawab Anda.
- Anda memiliki "kepentingan yang sah" dalam data. Pembenaran ini tidak jelas dan membutuhkan dokumentasi tambahan.
Secara umum, Anda diharapkan untuk menggunakan justifikasi yang paling terbatas dan memiliki kebutuhan bisnis yang sebenarnya untuk semua data yang Anda kumpulkan.
Selanjutnya, Anda perlu memilih alasan hukum Anda untuk mengumpulkan data sebelum Anda mengumpulkannya dan Anda perlu memberi tahu pengguna tentang alasan Anda pada saat Anda mengumpulkan data. Misalnya, Anda tidak dapat memberi tahu pengguna bahwa Anda memerlukan alamat mereka untuk mengirimkan produk kepada mereka, lalu berbalik dan menjual kembali alamat tersebut kepada pengiklan.
Masing-masing pembenaran hukum ini memiliki seperangkat sub-aturannya sendiri yang harus Anda ikuti. Misalnya, mendapatkan persetujuan dari pengguna untuk mengumpulkan data mereka harus dilakukan sesuai dengan seperangkat aturan yang sangat spesifik. Lewatlah sudah hari-hari kotak centang yang dicentang sebelumnya dan penafian hukum yang tersembunyi dalam kebijakan privasi.
Segalanya menjadi lebih berantakan jika Anda bekerja dengan jenis data tertentu yang dianggap ekstra sensitif — hal-hal seperti ras, agama, orientasi seksual, afiliasi partai politik atau serikat pekerja, informasi kesehatan, dan biometrik. Jika Anda bekerja dengan data semacam ini, Anda mungkin harus berhenti membaca ini dan berbicara dengan seorang profesional.
Persyaratan 2: Berikan Pengguna Kontrol Atas Data Mereka
Setelah Anda mengumpulkan data, Anda diminta untuk memberikan kontrol kepada pengguna atas data yang Anda kumpulkan. GDPR menguraikan delapan hak khusus yang dimiliki pengguna atas data mereka:
- Anda harus memberi tahu pengguna Anda mengapa Anda mengumpulkan data mereka, apa yang Anda lakukan dengannya, dan berapa lama Anda menyimpannya.
- Jika pengguna memintanya, Anda harus memberi mereka salinan semua data yang telah Anda kumpulkan tentang mereka.
- Jika pengguna mengatakan bahwa data mereka tidak akurat, Anda harus memperbaikinya.
- Jika pengguna memintanya, Anda harus menghapus semua data mereka.
- Jika pengguna memintanya, Anda harus berhenti memproses data mereka.
- Jika pengguna ingin berpindah dari layanan Anda ke layanan lain, Anda harus mengizinkan mereka untuk mentransfer data mereka keluar dari layanan Anda dalam format yang dapat dibaca mesin.
- Pengguna memiliki hak khusus untuk menolak data mereka digunakan untuk tujuan tertentu, seperti pemasaran langsung.
- Jika Anda menggunakan data pribadi untuk pengambilan keputusan atau pembuatan profil otomatis (seperti memasukkan data pelanggan ke dalam model pembelajaran mesin untuk menyetujui pinjaman rumah), maka Anda dihadapkan pada banyak persyaratan tambahan seputar menjelaskan cara kerja model Anda, memiliki sistem banding dan seterusnya.
Dalam kebanyakan kasus, Anda diminta untuk memproses salah satu permintaan pengguna ini dalam waktu satu bulan.
Bergantung pada pembenaran Anda untuk awalnya mengumpulkan data, tidak semua hak pengguna ini selalu berlaku. Ada matriks Bizantium di mana hak-hak berlaku untuk pembenaran hukum mana. Tetapi jika Anda secara umum menyusun operasi Anda sehingga Anda dapat mendukung semua hak pengguna ini, Anda akan baik-baik saja.
Persyaratan 3: Jaga Keamanan Data Pelanggan
Di bawah GDPR, Anda diharuskan untuk menjaga keamanan data pribadi dan Anda diharuskan untuk menguji langkah-langkah keamanan Anda secara teratur. Anda juga diharapkan untuk mempertimbangkan keamanan sebagai bagian dari proses desain Anda dan tidak hanya memasang beberapa langkah keamanan yang lemah setelah Anda membangun produk Anda.
Apa artinya itu? GDPR hanya memberi Anda panduan seperti mengambil "langkah-langkah teknis dan organisasi yang sesuai". Itu tidak memberi tahu Anda dengan tepat apa yang perlu Anda lakukan, tetapi daftar periksa ini mungkin adalah tempat yang cukup bagus untuk memulai.
Sejalan dengan itu, Anda juga perlu secara proaktif memantau pelanggaran data, melaporkan pelanggaran apa pun dalam waktu 72 jam kepada regulator, dan menyimpan catatan pelanggaran apa pun.
Persyaratan 4: Menerapkan Tata Kelola dan Dokumentasi Data
Sebagian besar GDPR adalah mempertahankan tata kelola, akuntabilitas, dan pencatatan yang tepat. Untuk semua yang telah kami sebutkan sejauh ini, Anda harus dapat mendokumentasikan kepatuhan Anda.
Berikut adalah beberapa persyaratan khusus:
- Anda harus memiliki catatan tertulis tentang tujuan Anda mengumpulkan data, kebijakan penyimpanan data Anda, riwayat kapan saja data dibagikan, kebijakan keamanan Anda, dan sebagainya.
- Jika Anda mempekerjakan orang luar untuk memproses data Anda untuk Anda, Anda harus memiliki kontrak tertulis dengan mereka yang menguraikan tanggung jawab privasi mereka.
Jika Anda adalah bisnis kecil atau menengah (kurang dari 250 karyawan) yang hanya melakukan pemrosesan data penduduk UE “sesekali”, beberapa persyaratan ini dilonggarkan dan Anda tidak diharapkan untuk menyimpan catatan tertulis (dengan beberapa pengecualian di sekitar “ data berisiko).
Hal-hal menjadi jauh lebih rumit jika Anda adalah perusahaan besar (lebih dari 250 karyawan) atau bekerja dengan data "berisiko". Jika salah satu dari itu berlaku untuk Anda, bicarakan dengan seorang profesional. Anda harus melakukan hal-hal ekstra seperti melakukan audit perlindungan reguler (DPA) dan memberi nama Petugas Perlindungan Data (DPO).
Itu terdengar mustahil! Saya menyerah!
Jika Anda adalah bisnis kecil yang berlokasi di negara lain seperti Amerika Serikat, Anda mungkin tergoda untuk memblokir semua pengguna UE daripada mengambil risiko terkena denda 20 juta Euro.
Tetapi reaksi semacam itu mungkin merupakan kesalahpahaman tentang cara kerja regulator UE. Tujuan dari peraturan ini adalah untuk meningkatkan penanganan data, bukan untuk memperkenalkan aturan yang sangat rumit dan kemudian menghukum perusahaan karena masalah teknis. GDPR dengan jelas merinci bahwa perusahaan yang melakukan yang terbaik untuk bekerja sama dengan regulator dan mengikuti peraturan ini akan jauh lebih sedikit berisiko terkena denda.
Semoga berhasil!