Peraturan Perlindungan Data Umum, atau GDPR, adalah undang-undang Uni Eropa (UE) yang mengatur cara organisasi di dalam dan di luar UE menangani data pribadi penduduk UE. GDPR diadopsi oleh Parlemen Eropa dan Dewan Uni Eropa pada 2016 dan mulai berlaku pada 25 Mei 2018.
Secara khusus, GDPR
- mendefinisikan cara yang disetujui secara hukum untuk mentransfer dan memproses data pribadi;
- merinci bagaimana organisasi harus melindungi data pribadi saat tidak digunakan dan dalam perjalanan; dan
- menetapkan hak-hak penduduk Uni Eropa atas pengumpulan, penggunaan, dan kepemilikan data pribadi.
GDPR mendefinisikan data pribadi sebagai informasi apa pun yang berkaitan dengan manusia yang dapat diidentifikasi, termasuk pengenal langsung dan tidak langsung. Pengenal langsung adalah titik data unik seseorang, seperti nama atau nomor kartu kredit mereka. Pengenal tidak langsung mencakup ciri-ciri tidak unik yang masih dapat mengidentifikasi seseorang, seperti karakteristik fisik dan tanggal lahir.
Dalam istilah GDPR, subjek data adalah orang yang menjadi objek sebuah data. Misalnya, jika sebuah perusahaan mengumpulkan alamat email, pemilik alamat tersebut adalah subjek data.
Meskipun GDPR adalah undang-undang Eropa, namun memiliki jangkauan global. Ini berlaku untuk organisasi mana pun di mana pun yang mengumpulkan atau menggunakan data pribadi penduduk UE.
Untuk membantu organisasi memenuhi persyaratan GDPR, IBM meningkatkan komitmen berkelanjutan terhadap privasi data dengan penuh kesadaran. IBM berupaya untuk menanamkan prinsip-prinsip perlindungan data lebih dalam lagi ke dalam proses bisnisnya. Upaya ini juga memperkuat perlindungan yang sudah ada untuk membatasi akses ke data pribadi, termasuk aplikasi seluler yang mencegah pembagian data pribadi secara default.
Sebagai bagian dari upaya ini, banyak penawaran dan layanan IBM Cloud yang memiliki Sertifikasi Pedoman Perilaku Cloud Uni Eropa (EU Cloud CoC) (tautan berada di luar ibm.com). Persyaratan EU Cloud CoC menyediakan kerangka kerja bagi Penyedia Layanan Cloud (CSP) untuk menunjukkan kemampuan mereka dalam mematuhi GDPR. Untuk informasi lebih lanjut tentang penawaran dan layanan IBM Cloud tertentu yang telah memperoleh Sertifikasi EU Cloud CoC, kunjungi laman EU Cloud CoC kami atau baca Verifikasi Pernyataan Kepatuhan (tautan berada di luar ibm.com).
Untuk informasi lebih lanjut tentang IBM Security and Privacy, silakan kunjungi IBM Trust Center.
Untuk informasi lebih lanjut tentang Ketentuan Kontrak Privasi Data IBM, tinjau di Ketentuan IBM, di bawah Perlindungan Data.
Untuk pertanyaan terkait privasi data, hubungi tim privasi IBM secara langsung di chiefprivacyoffice@ca.ibm.com.
Aturan dan prinsip penanganan data GDPR berlaku untuk semua pengendali dan pemroses data yang aktif di EEA, yang mencakup semua 27 negara anggota Uni Eropa ditambah Islandia, Liechtenstein, dan Norwegia.
Pengontrol data (pengontrol) adalah organisasi, otoritas publik, atau kelompok atau orang lain yang mengumpulkan data pribadi dan menentukan cara data tersebut digunakan. Sebagai contoh, sebuah situs media sosial yang menyimpan database penggunanya akan menjadi pengontrol.
Pemroses data (pemroses) adalah organisasi apa pun yang bertindak atas data pribadi dengan cara tertentu, seperti dengan menganalisis, menyimpan, atau mengubahnya. Sebuah perusahaan dapat menjadi pengontrol sekaligus pemroses. Pemroses juga dapat berupa organisasi pihak ketiga yang memproses data atas nama pengontrol, seperti penyedia layanan cloud yang menawarkan penyimpanan data dan analisis.
Semua pengontrol dan pemroses yang berbasis di EEA terikat oleh GDPR, meskipun mereka menyimpan dan memproses data di luar EEA.
Bisnis yang berbasis di luar EEA terikat oleh GDPR jika memenuhi salah satu dari kondisi berikut ini:
- Perusahaan secara teratur menawarkan barang dan jasa kepada penduduk EEA, meskipun tidak ada uang yang berpindah tangan.
- Perusahaan secara rutin memantau aktivitas penduduk EEA, misalnya dengan menggunakan cookie pelacak.
- Perusahaan memproses data atas nama pengontrol yang berbasis di EEA.
Satu-satunya kegiatan pemrosesan data yang dikecualikan dari GDPR adalah keamanan nasional atau kegiatan penegakan hukum dan penggunaan data murni pribadi.
GDPR menetapkan beberapa prinsip yang harus diikuti oleh pengontrol dan pemroses saat menangani data pribadi. Secara umum, prinsip-prinsip ini menyatakan bahwa semua kegiatan pemrosesan harus didefinisikan dengan jelas, transparan, dan adil.
Berdasarkan prinsip pembatasan tujuan, perusahaan harus memiliki tujuan spesifik dan sah untuk setiap data yang mereka kumpulkan. Mereka harus menyampaikan tujuan tersebut kepada pengguna dan hanya mengumpulkan jumlah minimum data yang diperlukan untuk tujuan tersebut.
Perusahaan harus menggunakan data secara adil. Mereka harus terus memberikan informasi kepada pengguna tentang pemrosesan data pribadi dan mengikuti aturan perlindungan data. Berdasarkan prinsip pembatasan penyimpanan, perusahaan hanya boleh menyimpan data pribadi sampai tujuannya terpenuhi. Data harus dihapus setelah tidak diperlukan lagi.
GDPR mendefinisikan dasar hukum yang dapat digunakan perusahaan untuk memproses data pribadi. Setidaknya salah satu dari syarat-syarat ini harus dipenuhi, jika tidak, maka pemrosesan tersebut ilegal.
Subjek data menyetujui datanya diproses. Perusahaan dapat memproses data seseorang jika mereka menyetujuinya. Persetujuan hanya sah jika diinformasikan, ditegaskan dan diberikan secara sukarela.
Agar persetujuan dapat diberikan, perusahaan harus menjelaskan dengan jelas data apa yang dikumpulkan dan cara perusahaan akan menggunakan data tersebut. Agar persetujuan menjadi tegas, pengguna harus mengambil tindakan secara sadar untuk menunjukkan persetujuan mereka, seperti dengan menandatangani pernyataan atau mencentang kotak. Persetujuan tidak bisa menjadi opsi default. Hal-hal seperti kotak yang sudah dicentang sebelumnya melanggar GDPR. Agar persetujuan dapat diberikan secara bebas, perusahaan tidak dapat memengaruhi atau memaksa subjek dengan cara apa pun. Perusahaan tidak dapat meminta persetujuan untuk menggunakan layanan kecuali jika pemrosesan diperlukan agar layanan dapat berfungsi. Sebagai contoh, sebuah perusahaan mungkin membutuhkan nomor kartu kredit seseorang untuk menjual sesuatu kepada mereka, tetapi mungkin tidak membutuhkan alamat IP mereka.
Perusahaan tidak dapat menggabungkan persetujuan jika data sedang diproses untuk beberapa tujuan. Subjek harus dapat menerima atau menolak setiap aktivitas pemrosesan secara individual. Organisasi harus menyimpan catatan persetujuan. Subjek dapat menarik persetujuannya kapan pun. Jika ya, pemrosesan harus dihentikan.
Data harus diproses untuk melaksanakan kontrak dengan subjek data atau atas nama subjek. Misalnya, jika seseorang mengajukan pinjaman, bank mungkin perlu memproses data keuangan dan riwayat pekerjaan mereka.
Pengontrol mempunyai kewajiban hukum untuk memproses data. Misalnya, beberapa peraturan layanan kesehatan mewajibkan rumah sakit untuk menyimpan data pasien.
Data harus diproses untuk melindungi kepentingan vital subjek atau orang lain. Hal ini mengacu pada situasi di mana data harus diproses untuk menyelamatkan nyawa seseorang atau mencegah bahaya.
Data harus diproses untuk melaksanakan tugas yang merupakan kepentingan publik atau bagian dari wewenang resmi pengontrol. Jurnalisme adalah contoh klasik dari alasan kepentingan publik untuk memproses data pribadi. Instansi pemerintah dapat memproses data pribadi untuk menjalankan fungsi resminya.
Data harus diproses untuk memenuhi kepentingan yang sah dari pengontrol atau pihak ketiga. Kepentingan yang sah adalah manfaat yang dapat diperoleh perusahaan melalui pemrosesan data. Contohnya, melakukan pemeriksaan latar belakang karyawan atau melacak alamat IP di jaringan perusahaan untuk tujuan keamanan siber. Pemrosesan harus diperlukan untuk dihitung sebagai kepentingan yang sah. Perusahaan tidak dapat mengklaim kepentingan yang sah jika perusahaan dapat menyelesaikan tugas tanpa data yang dimaksud. Subjek data juga harus secara wajar mengharapkan pemrosesan tersebut. Jika subjek akan terkejut mendengar bahwa data mereka digunakan dengan cara tertentu, kemungkinan besar perusahaan tidak memiliki alasan kepentingan yang sah. Hak-hak subjek data umumnya mengalahkan kepentingan sah perusahaan.
Organisasi harus menetapkan dan mendokumentasikan basis data mereka sebelum mengumpulkan data. Mereka harus mengomunikasikan basis ini kepada pengguna. Perusahaan tidak dapat mengubah basis data mereka setelah fakta tanpa persetujuan subjek.
GDPR menganggap beberapa jenis data sangat sensitif. Kategori khusus ini mencakup informasi antara lain tentang ras atau etnis seseorang, keyakinan agama, pendapat politik dan data biometrik.
Perusahaan hanya dapat memproses data kategori khusus dalam keadaan yang sangat spesifik. Ini termasuk, namun tidak terbatas pada:
Subjek telah memberikan persetujuan eksplisit.
Pemrosesan diperlukan untuk penelitian ilmiah atau sejarah.
Data tentang hukuman pidana hanya dapat dikendalikan oleh otoritas resmi dan diproses atas arahan mereka.
Selain mengikuti prinsip-prinsip pemrosesan dan menetapkan dasar hukum untuk semua aktivitas pemrosesan, organisasi harus mengikuti beberapa aturan lain agar sesuai dengan GDPR.
Jika perusahaan ingin memproses data dengan cara yang menimbulkan risiko signifikan terhadap subjek data, perusahaan harus terlebih dahulu melakukan penilaian dampak perlindungan data. Situasi yang dapat memicu penilaian dapat mencakup pemrosesan otomatis atau pemrosesan data sensitif berskala besar.
Penilaian harus menjelaskan proses pengolahan, menjelaskan alasan hal tersebut diperlukan, mengevaluasi risiko, dan mencari cara untuk memitigasinya. Jika penilaian menunjukkan bahwa terdapat risiko yang tidak dapat ditoleransi yang signifikan, perusahaan harus berkonsultasi dengan otoritas perlindungan data yang relevan sebelum melangkah lebih jauh.
Di bawah GDPR, beberapa perusahaan harus menunjuk petugas perlindungan data (DPO). DPO adalah petugas perusahaan independen yang bertanggung jawab atas kepatuhan GDPR. Perusahaan tidak dapat melakukan pembalasan terhadap DPO karena menjalankan tugasnya.
Tanggung jawab DPO termasuk memberi saran kepada organisasi tentang GDPR dan undang-undang perlindungan data lainnya, mengawasi penilaian dampak perlindungan data, dan bertindak sebagai titik kontak untuk regulator pemerintah dan subjek data.
Semua otoritas publik harus menunjuk DPO. Perusahaan swasta harus menunjuk DPO jika mereka memantau subjek data dalam skala besar atau memproses data kategori khusus sebagai kegiatan inti. Selain itu, perusahaan di luar Eropa harus menunjuk perwakilan di EEA jika mereka secara teratur memproses data penduduk EEA atau data yang sangat sensitif.
Pengontrol data bertanggung jawab atas semua data yang mereka bagikan dengan pemroses dan pihak ketiga. Pengontrol dan pemroses sering kali menandatangani perjanjian pemrosesan data formal untuk mematuhi GDPR. Kontrak yang mengikat ini menguraikan detail seperti jenis pemrosesan yang dapat dilakukan pemroses dan jenis tindakan keamanan yang harus mereka terapkan.
Pemroses pihak ketiga hanya dapat memproses data di bawah arahan pengontrol. Mereka tidak dapat menggunakan data pengontrol untuk tujuan mereka sendiri.
Pengontrol di EEA hanya dapat mentransfer data ke pemroses di "negara ketiga" di luar EEA dalam kondisi tertentu. Mereka dapat dengan bebas mentransfer data ke negara ketiga mana pun yang dianggap Komisi Eropa memiliki undang-undang privasi data yang memadai. Pengontrol juga dapat mentransfer data ke pemroses individu yang perlindungannya dianggap cukup oleh Komisi. Jika baik negara maupun pemroses tidak memiliki persetujuan Komisi, transfer mungkin masih diizinkan jika pengontrol dapat memastikan data akan dilindungi.
Pengontrol dan pemroses harus menerapkan langkah-langkah keamanan organisasi dan teknis untuk melindungi data pribadi.
Langkah-langkah organisasi mencakup proses seperti melatih karyawan tentang aturan GDPR dan menerapkan kebijakan tata kelola data .
Kontrol keamanan teknis mencakup perangkat lunak, perangkat keras, dan alat teknologi lainnya. Contohnya, enkripsi dan teknik penyamaran lainnya dapat menyulitkan peretas untuk mencegat data pribadi. Sebagai contoh:
- Manajemen identitas dan akses, pencegahan kehilangan data, dan alat keamanan data lainnya dapat memberlakukan izin sehingga hanya orang yang tepat yang dapat mengakses data pribadi untuk alasan yang tepat. Solusi pencadangan data dapat memulihkan data yang rusak atau terhapus.
- Platform informasi keamanan dan manajemen peristiwa (SIEM) dapat melacak aktivitas jaringan dan mendeteksi pelanggaran data atau penyalahgunaan data, sehingga organisasi dapat merespons insiden dengan lebih cepat .
- Meskipun keberadaan kerentanan jaringan mungkin tidak melanggar GDPR, kerentanan tersebut dapat menyebabkan pelanggaran dengan mempermudah peretas untuk menjangkau data yang dilindungi. Manajemen kerentanan dan solusi manajemen permukaan serangan dapat membantu perusahaan menemukan dan menutup kerentanan ini.
GDPR mengarahkan perusahaan untuk mengadopsi prinsip perlindungan data dengan sengaja dan secara default. Dengan kata lain, organisasi harus menjadikan keamanan data sebagai faktor kunci dalam setiap proses, produk, dan sistem yang mereka rancang atau terapkan. Prinsip-prinsip perlindungan data harus menjadi dasar dari semua hal yang dilakukan perusahaan, bukan hanya sebagai tambahan.
Pengontrol harus melaporkan sebagian besar pelanggaran data pribadi kepada otoritas pengawas dalam waktu 72 jam. Jika pelanggaran menimbulkan risiko bagi subjek data—seperti pencurian uang atau identitas—perusahaan harus memberi tahu subjek yang terdampak.
Pemberitahuan pelanggaran harus dikirim langsung kepada korban. Pengumuman publik tidak cukup kecuali jika komunikasi langsung tidak memungkinkan. Pemberitahuan harus menyertakan rincian tentang jenis data yang dicuri, risiko terhadap subjek, dan cara perusahaan menangani situasi tersebut. Pemberitahuan tersebut juga harus memberi tahu subjek tentang cara menghubungi DPO atau perwakilan lain terkait dengan masalah. Perusahaan tidak perlu memberi tahu subjek jika pelanggaran tidak menimbulkan risiko nyata bagi mereka. Misalnya, pemberitahuan tidak diperlukan jika data yang dicuri terenkripsi dengan baik dan tidak dapat digunakan oleh peretas.
GDPR menetapkan sejumlah hak untuk subjek data dalam hukumnya.
Subjek data berhak untuk mengetahui siapa yang memiliki data mereka, cara mereka mendapatkannya, dan apa yang mereka lakukan dengan data tersebut.
Subjek data memiliki hak untuk mengakses data apa pun yang dimiliki perusahaan.
Subjek data memiliki hak untuk mengoreksi data pribadi yang tidak akurat atau kedaluwarsa.
Kadang-kadang disebut "hak untuk dilupakan", ini mengacu pada hak subjek untuk meminta perusahaan menghapus data mereka. Perusahaan harus mematuhi kecuali jika kepentingan mereka terhadap data (misalnya, kewajiban hukum untuk menyimpan catatan tertentu) lebih besar daripada hak ini.
Jika subjek meyakini bahwa data mereka tidak akurat, digunakan secara tidak sah, atau tidak lagi diperlukan untuk tujuan perusahaan, mereka dapat meminta perusahaan untuk membatasi penggunaan data mereka. Perusahaan harus mematuhi kecuali jika perusahaan dapat membuktikan bahwa mereka memiliki kepentingan lebih utama dalam memproses data.
Subjek berhak untuk memindahkan data mereka dari satu perusahaan ke perusahaan lain. Perusahaan harus memfasilitasi transfer data pribadi dengan menyimpan data dalam format yang dapat dibagikan atau mengirimkannya ke pihak ketiga atas permintaan subjek.
Subjek data dapat menolak pemrosesan data mereka kapan pun. Perusahaan harus menghentikan pemrosesan kecuali dan sampai dapat membuktikan bahwa perusahaan memiliki alasan sah dan utama untuk melakukannya.
GDPR mendefinisikan pembuatan profil sebagai penggunaan pemrosesan otomatis untuk mengevaluasi beberapa aspek dari seseorang, seperti memprediksi performa kerja atau perilaku penelusuran web. Perusahaan tidak dapat menggunakan pemrosesan otomatis untuk membuat keputusan signifikan tanpa persetujuan dari orang-orang yang terdampak. Subjek berhak untuk menentang keputusan yang dibuat hanya berdasarkan pemrosesan otomatis. Mereka dapat memberi masukan atas keputusan tersebut dan meminta perusahaan untuk menunjuk karyawan manusia untuk meninjau keputusan tersebut.
GDPR ditegakkan oleh badan pengatur publik yang disebut otoritas perlindungan data (DPA), yang juga dikenal sebagai otoritas pengawas. Setiap negara anggota memiliki DPA sendiri, yang memiliki yurisdiksi atas perusahaan-perusahaan yang berbasis di negara tersebut. Otoritas pengawas dapat mengaudit perusahaan, mendengar keluhan dari subjek data, dan menyelidiki pelanggaran. Jika potensi pelanggaran menyangkut subjek dari beberapa negara, penyelidikan dipimpin oleh otoritas pengawas di negara tempat perusahaan atau perwakilannya berada.
Jika terjadi ketidakpatuhan, otoritas pengawas dapat mengenakan denda dan memaksa organisasi untuk melakukan perubahan tertentu. Mereka dapat memaksa perusahaan untuk memenuhi permintaan subjek data dan menghentikan aktivitas pemrosesan data terlarang.
Dewan Perlindungan Data Eropa (EDPB) memfasilitasi koordinasi antara DPA dan memastikan penerapan aturan GDPR yang konsisten di seluruh EEA.
Denda karena ketidakpatuhan bisa sangat besar. Pelanggaran ringan, seperti memproses data anak tanpa izin orang tua, dapat mengakibatkan denda hingga EUR 10.000.000 atau 2% dari pendapatan organisasi di seluruh dunia pada tahun sebelumnya, mana pun yang lebih tinggi.
Pelanggaran besar, seperti memproses data untuk tujuan yang melanggar hukum, dapat mengakibatkan denda hingga EUR 20.000.000 atau 4% dari pendapatan organisasi di seluruh dunia pada tahun sebelumnya—sekali lagi, mana pun yang lebih tinggi.
Melindungi data penting dan menyederhanakan alur kerja kepatuhan. Guardium Insights memperkuat keamanan data dengan kemampuan yang kuat yang membantu mengungkap data bayangan, melindungi informasi sensitif, memberikan visibilitas pusat di seluruh hybrid-cloud dan mengotomatiskan penegakan kebijakan kepatuhan.
Membangun infrastruktur yang aman dan dapat diskalakan dengan biaya lebih rendah. Menerapkan aplikasi baru secara instan, dan menskalakan beban kerja yang sangat penting dan sensitif berdasarkan permintaan—semuanya dalam platform yang sangat aman.
Bersiaplah dengan lebih baik untuk menghadapi pelanggaran dengan memahami penyebabnya dan faktor-faktor yang meningkatkan atau mengurangi biaya. Belajarlah dari pengalaman lebih dari 550 organisasi yang menjadi korban pelanggaran data.
PII adalah informasi apa pun yang dapat digunakan untuk mengungkap identitas individu tersebut, seperti nomor jaminan sosial, nama lengkap, atau alamat email.
Perjalanan dimulai dengan kerangka kerja tata kelola data multimodal, didukung oleh arsitektur data yang kuat seperti struktur data.