Peraturan Perlindungan Data Umum (GDPR), undang-undang privasi data Uni Eropa yang penting, mulai berlaku pada tahun 2018. Namun, banyak organisasi masih kesulitan untuk memenuhi persyaratan kepatuhan, dan otoritas perlindungan data Uni Eropa tidak segan-segan memberikan hukuman.

Bahkan bisnis terbesar di dunia pun tidak lepas dari keruwetan GDPR. Regulator Irlandia menjatuhkan denda sebesar EUR 1,2 miliar kepada Meta (tautan berada di luar ibm.com) pada tahun 2023. Pihak berwenang Italia sedang menyelidiki OpenAI (tautan berada di luar ibm.com) atas dugaan pelanggaran, bahkan melarang ChatGPT untuk sementara waktu.

Banyak bisnis yang merasa kesulitan untuk menerapkan persyaratan GDPR karena undang-undang ini tidak hanya rumit tetapi juga menyerahkan banyak hal pada kebijaksanaan. GDPR menetapkan serangkaian aturan tentang bagaimana organisasi di dalam dan di luar Eropa menangani data pribadi penduduk Uni Eropa. Namun, ini memberi bisnis kelonggaran dalam bagaimana mereka memberlakukan aturan-aturan tersebut.

Detail rencana organisasi mana pun untuk sepenuhnya mematuhi GDPR akan bervariasi berdasarkan data yang dikumpulkan organisasi dan apa yang dilakukannya dengan data tersebut. Meskipun demikian, ada beberapa langkah inti yang dapat diambil oleh semua perusahaan saat menerapkan GDPR:

• Buat inventaris data pribadi
• Identifikasi dan lindungi data kategori khusus 
• Audit aktivitas pengolahan data
• Perbarui formulir persetujuan pengguna
• Buat sistem pencatatan
• Tunjuk tim kepatuhan
• Rancang kebijakan privasi data
• Pastikan mitra pihak ketiga mematuhi aturan
• Bangun proses untuk penilaian dampak perlindungan data
• Terapkan rencana respons pelanggaran data
• Permudah subjek data untuk menjalankan haknya
• Menerapkan langkah-langkah keamanan informasi

GDPR berlaku untuk organisasi mana pun yang memproses data pribadi penduduk Eropa, terlepas dari di mana organisasi itu berbasis. Mengingat sifat ekonomi digital yang saling terhubung dan bersifat internasional, hal ini mencakup banyak, bahkan mungkin sebagian besar, bisnis saat ini. Bahkan organisasi yang tidak termasuk dalam lingkup GDPR dapat mengadopsi persyaratannya untuk memperkuat perlindungan data.

Lebih khusus lagi, GDPR berlaku untuk semua pengendali data dan pemroses data yang berbasis di Area Ekonomi Eropa (EEA). EEA mencakup semua 27 negara anggota UE ditambah Islandia, Liechtenstein, dan Norwegia. 

Kontroler data adalah organisasi, kelompok, atau orang yang mengumpulkan data pribadi dan menentukan bagaimana data tersebut digunakan. Pikirkan: peritel online yang menyimpan alamat email pelanggan untuk mengirim pembaruan pesanan.

Pengolah data adalah organisasi atau kelompok yang melakukan aktivitas pengolahan data. GDPR secara luas mendefinisikan “pemrosesan” sebagai tindakan apa pun yang dilakukan pada data: menyimpan, menganalisis, mengubah, dan seterusnya. Pemroses mencakup pihak ketiga yang memproses data pribadi atas nama pengendali, seperti perusahaan pemasaran yang menganalisis data pengguna untuk membantu bisnis memahami demografi pelanggan utama.

GDPR juga berlaku untuk pengontrol dan pemroses yang berada di luar EEA jika mereka memenuhi setidaknya salah satu kondisi berikut: 

• Perusahaan secara teratur menawarkan barang dan jasa kepada penduduk EEA, meskipun tidak ada uang yang berpindah tangan.
• Perusahaan secara rutin memantau aktivitas penduduk EEA, misalnya dengan menggunakan cookie pelacak. 
• Perusahaan memproses data pribadi atas nama pengontrol yang berbasis di EEA. 
• Perusahaan memiliki karyawan di EEA.

Ada beberapa hal lagi yang perlu diperhatikan tentang ruang lingkup GDPR. Pertama, ini hanya berkaitan dengan data pribadi perorangan, yang juga disebut subjek data dalam istilah GDPR. Perorangan adalah manusia yang hidup. GDPR tidak melindungi data badan hukum, seperti perusahaan, atau almarhum.

Kedua, seseorang tidak perlu menjadi warga negara UE untuk mendapatkan perlindungan GDPR. Mereka hanya perlu menjadi penduduk resmi EEA.

Terakhir, GDPR berlaku untuk pemrosesan data pribadi untuk hampir semua alasan: komersial, akademisi, pemerintahan, dan lainnya. Bisnis, rumah sakit, sekolah, dan otoritas publik semuanya tunduk pada GDPR. Satu-satunya operasi pemrosesan yang dikecualikan dari GDPR adalah keamanan nasional dan kegiatan penegakan hukum dan penggunaan data murni pribadi.

Tidak ada satu rencana kepatuhan GDPR yang cocok untuk semua, tetapi ada beberapa praktik dasar yang dapat digunakan organisasi untuk memandu upaya implementasi GDPR.

Untuk daftar persyaratan utama GDPR, lihat daftar kepatuhan GDPR. 

Buat inventaris data pribadi

Meskipun GDPR tidak secara eksplisit memerlukan inventaris data, banyak organisasi memulai di sini karena dua alasan. Pertama, mengetahui data apa saja yang dimiliki perusahaan dan bagaimana data tersebut diproses akan membantu organisasi untuk lebih memahami beban kepatuhannya. Sebagai contoh, sebuah bisnis yang mengumpulkan data kesehatan pengguna membutuhkan perlindungan yang lebih kuat daripada bisnis yang hanya mengumpulkan alamat email.

Kedua, inventaris yang komprehensif memudahkan pemenuhan permintaan pengguna untuk membagikan, memperbarui, atau menghapus data mereka. 

Inventaris data dapat merekam detail seperti:

• Jenis data yang dikumpulkan (nama pengguna, data penelusuran)
• Populasi data (pelanggan, karyawan, siswa)
• Bagaimana data dikumpulkan (pendaftaran acara, halaman arahan)
• Tempat penyimpanan data (server lokal, layanan cloud)
• Tujuan pengumpulan data (kampanye pemasaran, analisis perilaku)
• Cara data diproses (skor otomatis, agregasi)
• Siapa yang memiliki akses ke data (karyawan, vendor)
• Perlindungan yang ada (enkripsi, autentikasi multifaktor) 

Mungkin sulit untuk melacak data pribadi yang tersebar di seluruh jaringan organisasi di berbagai alur kerja, database, titik akhir, dan bahkan aset IT bayangan. Untuk membuat inventaris data lebih mudah dikelola, organisasi dapat mempertimbangkan untuk menggunakan solusi perlindungan data yang secara otomatis menemukan dan mengklasifikasikan data. 

Pelajari bagaimana IBM® Guardium Data Protection secara otomatis menemukan, mengklasifikasikan, dan melindungi data sensitif di seluruh repositori utama seperti AWS, DBaaS, dan mainframe lokal.

Identifikasi dan lindungi data kategori khusus 

Saat menginventarisasi data, organisasi harus mencatat data yang sangat sensitif yang membutuhkan perlindungan ekstra. GDPR mengamanatkan tindakan pencegahan tambahan untuk tiga jenis data secara khusus: data kategori khusus, data hukuman pidana, dan data anak-anak.

• Data kategori khusus meliputi biometrik, catatan kesehatan, ras, etnis, dan informasi yang sangat pribadi lainnya. Organisasi biasanya memerlukan persetujuan eksplisit dari pengguna untuk memproses data kategori khusus. 

• Data hukuman pidana hanya dapat dikendalikan oleh otoritas publik dan diproses sesuai arahan mereka. 

• Data anak-anak tidak dapat diproses tanpa persetujuan orang tua, dan organisasi memerlukan mekanisme untuk memverifikasi usia subjek data dan identitas orang tua mereka. Setiap negara bagian EEA menetapkan definisi sendiri tentang “anak” di bawah GDPR. Batas usianya berkisar dari di bawah 13 hingga di bawah 16 tahun. Perusahaan harus siap untuk mematuhi definisi yang berbeda-beda ini. 

Audit aktivitas pengolahan data 

Selama inventarisasi data, organisasi mencatat setiap operasi pemrosesan yang dialami data. Kemudian, organisasi harus memastikan bahwa operasi ini mematuhi aturan pemrosesan GDPR. Beberapa prinsip GDPR yang paling penting meliputi:

• Semua pemrosesan harus memiliki dasar hukum yang ditetapkan: Pemrosesan data hanya dapat diterima jika organisasi memiliki dasar hukum yang disetujui untuk pemrosesan tersebut. Dasar hukum yang umum termasuk mendapatkan persetujuan pengguna, memproses data untuk melaksanakan kontrak dengan pengguna, dan memproses data untuk kepentingan publik. Organisasi harus mendokumentasikan dasar hukum untuk setiap operasi pemrosesan sebelum memulai.

Untuk daftar lengkap dasar hukum yang disetujui, lihat halaman kepatuhan GDPR.

• Batasan tujuan: Data harus dikumpulkan dan digunakan untuk tujuan yang ditentukan secara khusus. 

• Minimalisasi data: Organisasi harus mengumpulkan jumlah data minimum yang diperlukan untuk tujuan tertentu. 

• Akurasi: Organisasi harus memastikan bahwa data yang mereka kumpulkan adalah benar dan terkini. 

• Batasan penyimpanan: Organisasi harus membuang data dengan aman segera setelah tujuannya terpenuhi. 

Untuk daftar lengkap prinsip pemrosesan GDPR, lihat daftar periksa kepatuhan GDPR.

Perbarui formulir persetujuan pengguna

Persetujuan pengguna adalah dasar hukum umum untuk pemrosesan. Namun, persetujuan hanya berlaku di bawah GDPR jika diinformasikan, afirmatif, dan diberikan secara bebas. Organisasi mungkin perlu memperbarui formulir persetujuan untuk memenuhi persyaratan ini.

• Untuk memastikan bahwa persetujuan telah diinformasikan, organisasi harus menjelaskan dengan jelas apa yang dikumpulkan dan bagaimana organisasi akan menggunakan data tersebut pada saat pengumpulan data.

• Untuk memastikan bahwa persetujuan bersifat afirmatif, organisasi harus mengadopsi pendekatan persetujuan, di mana pengguna harus secara aktif mencentang kotak atau menandatangani pernyataan untuk menandakan persetujuan. Persetujuan juga tidak dapat dibundel. Pengguna harus menyetujui setiap aktivitas pemrosesan secara individual.

• Untuk memastikan bahwa persetujuan bersifat bebas, organisasi hanya dapat meminta persetujuan untuk aktivitas pemrosesan data yang benar-benar merupakan bagian integral dari layanan. Dengan kata lain, bisnis tidak dapat memaksa pengguna untuk mengungkapkan pendapat politik mereka untuk membeli kaos. Pengguna harus dapat mencabut persetujuan kapan saja.

Buat sistem pencatatan 

Organisasi dengan lebih dari 250 karyawan, dan perusahaan dengan ukuran berapa pun yang secara teratur memproses data atau menangani data berisiko tinggi, harus menyimpan catatan elektronik tertulis tentang aktivitas pemrosesan mereka. 

Namun, semua organisasi mungkin ingin menyimpan catatan tersebut. Hal ini tidak hanya membantu melacak upaya privasi dan keamanan, tetapi juga dapat menunjukkan kepatuhan jika terjadi audit atau pelanggaran. Perusahaan dapat mengurangi atau menghindari hukuman jika mereka dapat membuktikan bahwa mereka melakukan upaya dengan itikad baik untuk mematuhinya.

Pengontrol data mungkin ingin menyimpan catatan yang sangat kuat, karena GDPR membuat mereka bertanggung jawab atas kepatuhan mitra dan vendor mereka. 

Tentukan prospek kepatuhan GDPR

Semua otoritas publik dan organisasi mana pun yang secara teratur memproses data kategori khusus atau memantau subjek dalam skala besar harus menunjuk petugas perlindungan data (DPO). DPO adalah petugas perusahaan independen yang bertanggung jawab atas kepatuhan GDPR. Tanggung jawab umum termasuk mengawasi penilaian risiko, melatih karyawan tentang prinsip-prinsip perlindungan data, dan bekerja sama dengan otoritas pemerintah.

Meskipun hanya beberapa organisasi yang diminta untuk menunjuk DPO, semua mungkin ingin mempertimbangkan untuk melakukannya. Memiliki pemimpin kepatuhan GDPR khusus dapat membantu menyederhanakan implementasi.

DPO dapat berupa karyawan bisnis atau konsultan eksternal yang menawarkan layanan mereka berdasarkan kontrak. DPO harus melaporkan langsung ke tingkat manajemen tertinggi. Perusahaan tidak dapat melakukan pembalasan terhadap DPO yang melakukan tugasnya. 

Organisasi di luar EEA harus menunjuk perwakilan di dalam EEA jika mereka secara teratur memproses data penduduk EEA atau menangani data yang sangat sensitif. Tugas utama perwakilan EEA adalah berkoordinasi dengan otoritas perlindungan data atas nama perusahaan selama penyelidikan. Perwakilan dapat berupa karyawan, perusahaan afiliasi, atau layanan berbayar. 

DPO dan perwakilan EEA adalah peran yang berbeda dengan tanggung jawab yang berbeda. Perwakilan bertindak atas arahan organisasi, sedangkan DPO harus merupakan petugas independen. Organisasi tidak dapat menunjuk satu pihak (tautan berada di luar ibm.com) untuk perwakilan DPO dan EEA.

Jika sebuah organisasi beroperasi di beberapa negara bagian EEA, organisasi tersebut harus mengidentifikasi otoritas pengawas utama. Otoritas pengawas utama adalah otoritas perlindungan data (DPA) utama yang mengawasi kepatuhan GDPR untuk perusahaan tersebut di seluruh Eropa. 

Biasanya, otoritas pengawas utama adalah DPA di negara anggota di mana organisasi tersebut memiliki kantor pusat atau melakukan kegiatan pemrosesan intinya. 

Rancang kebijakan privasi data 

GDPR mengharuskan organisasi memberi tahu pengguna cara mereka menggunakan data. Perusahaan dapat memenuhi persyaratan ini dengan menyusun kebijakan privasi yang dengan jelas menjelaskan operasi pemrosesan mereka, termasuk apa yang dikumpulkan perusahaan, kebijakan penyimpanan dan penghapusan, hak pengguna, dan detail relevan lainnya.

Kebijakan privasi harus menggunakan bahasa sederhana yang dapat dipahami semua orang. Menyembunyikan informasi penting di balik jargon padat dapat melanggar GDPR. Organisasi dapat memastikan bahwa pengguna melihat kebijakan mereka dengan membagikan pemberitahuan privasi pada titik pengumpulan data. Organisasi juga dapat meng-host kebijakan privasi mereka di halaman publik yang mudah ditemukan di situs web mereka. 

Pastikan mitra pihak ketiga mematuhi aturan 

Kontroler pada akhirnya bertanggung jawab atas data pribadi yang mereka kumpulkan, termasuk bagaimana pemroses, vendor, dan pihak ketiga lainnya menggunakan data. Jika mitra tidak patuh, kontroler bisa mendapat penalti. 

Organisasi harus meninjau kontrak mereka dengan pihak ketiga yang memiliki akses ke data mereka. Kontrak ini harus dengan jelas menjelaskan hak dan tanggung jawab semua pihak sehubungan dengan GDPR dengan cara yang mengikat secara hukum.

Jika suatu organisasi bekerja dengan pemroses di luar EEA, pemroses tersebut tetap harus memenuhi persyaratan GDPR. Faktanya, transfer data di luar EEA tunduk pada standar yang ketat. Pengontrol di EEA hanya dapat berbagi data dengan pemroses di luar EEA jika salah satu kriteria berikut terpenuhi:

• Komisi Eropa telah menganggap undang-undang privasi negara tersebut memadai
• Komisi Eropa telah menganggap pemroses memiliki perlindungan data yang memadai
• Kontroler telah mengambil langkah-langkah untuk memastikan bahwa data dilindungi

Salah satu cara untuk memastikan bahwa semua kemitraan dan transfer data mematuhi GDPR adalah dengan menggunakan klausul kontrak standar. Klausul yang telah ditulis sebelumnya ini telah disetujui sebelumnya oleh Komisi Eropa dan tersedia secara gratis untuk digunakan oleh organisasi mana pun. Memasukkan klausul ini ke dalam kontrak membuatnya sesuai dengan GDPR, asalkan masing-masing pihak mematuhinya. Untuk informasi lebih lanjut tentang klausul kontrak standar, lihat situs web Komisi Eropa (tautan berada di luar ibm.com).

Bangun proses untuk penilaian dampak perlindungan data

GDPR mewajibkan organisasi untuk melakukan penilaian dampak perlindungan data (DPIA) sebelum melakukan pemrosesan berisiko tinggi. Meskipun GDPR menawarkan beberapa contoh, seperti pemrosesan data sensitif berskala besar dengan teknologi baru, GDPR tidak secara lengkap mencantumkan setiap aktivitas berisiko tinggi.

Organisasi dapat mempertimbangkan untuk melakukan DPIA sebelum operasi pemrosesan baru agar aman. Orang lain mungkin menggunakan pra-peninjauan yang disederhanakan untuk menentukan apakah risikonya cukup tinggi untuk menjamin DPIA.

Setidaknya, DPIA harus menjelaskan pemrosesan dan tujuannya, menilai kebutuhan pemrosesan, mengevaluasi risiko terhadap subjek data, dan mengidentifikasi langkah-langkah mitigasi. Jika risiko tetap tinggi setelah mitigasi, organisasi harus berkonsultasi dengan otoritas perlindungan data sebelum melangkah maju. 

Pelajari cara IBM Guardium Insights dapat membantu menyederhanakan pelaporan kepatuhan dengan alur kerja yang telah dikonfigurasikan sebelumnya untuk GDPR, CCPA, dan peraturan utama lainnya.

Terapkan rencana respons pelanggaran data 

Organisasi harus melaporkan sebagian besar pelanggaran data pribadi kepada otoritas pengawas dalam waktu 72 jam. Jika pelanggaran menimbulkan risiko terhadap subjek data, seperti pencurian identitas, perusahaan juga harus memberi tahu subjek tersebut. Pemberitahuan harus dikirimkan langsung kepada korban kecuali jika hal itu tidak memungkinkan. Dalam hal tersebut, pemberitahuan publik sudah cukup.

Organisasi memerlukan rencana respons insiden efektif yang dengan cepat mengidentifikasi pelanggaran yang sedang berlangsung, memberantas ancaman, dan memberi tahu pihak berwenang. Rencana respons insiden harus mencakup alat dan taktik untuk memulihkan sistem dan memulihkan keamanan informasi. Semakin cepat suatu organisasi mendapatkan kembali kendali, semakin kecil kemungkinan organisasi akan mengalami regulasi yang serius.

Organisasi juga dapat mengambil kesempatan ini untuk memperkuat upaya keamanan data. Jika pelanggaran tidak mungkin membahayakan pengguna, misalnya, jika data yang dicuri dienkripsi dengan sangat ketat sehingga peretas tidak dapat menggunakannya, perusahaan tidak perlu memberi tahu subjek data. Ini dapat membantu menghindari kerusakan reputasi dan pendapatan yang dapat mengikuti pelanggaran data.

Permudah subjek data untuk menggunakan haknya 

GDPR memberikan hak kepada subjek data atas bagaimana organisasi menggunakan data mereka. Misalnya, hak perbaikan memungkinkan pengguna memperbaiki data lama atau tidak akurat. Hak untuk menghapus memungkinkan pengguna menghapus data mereka.

Secara umum, organisasi harus mematuhi permintaan subjek data dalam waktu 30 hari. Untuk membuat permintaan lebih mudah dikelola, organisasi dapat membangun portal layanan mandiri di mana subjek dapat mengakses data mereka, membuat perubahan, dan membatasi penggunaannya. Portal harus menyertakan cara untuk memverifikasi identitas subjek. GDPR membebani organisasi untuk memverifikasi bahwa pemohon adalah siapa yang mereka katakan.

Keputusan otomatis dan pembuatan profil 

Subjek data memiliki hak khusus terkait pemrosesan otomatis. Secara khusus, organisasi tidak dapat menggunakan otomatisasi untuk membuat keputusan yang signifikan tanpa persetujuan pengguna. Pengguna memiliki hak untuk menyanggah keputusan otomatis dan meminta agar manusia meninjau keputusan tersebut. 

Organisasi dapat menggunakan portal layanan mandiri untuk memberi subjek data cara untuk menentang keputusan otomatis. Perusahaan juga harus siap untuk menunjuk peninjau manusia sesuai kebutuhan. 

Portabilitas data 

Subjek data memiliki hak untuk mentransfer data mereka ke mana pun mereka inginkan, dan organisasi harus memfasilitasi transfer tersebut. 

Selain memudahkan pengguna untuk meminta transfer, organisasi harus menyimpan data dalam format yang dapat dibagikan. Menggunakan format kepemilikan dapat membuat transfer menjadi sulit dan menghambat hak pengguna. 

Untuk daftar lengkap hak subjek data, lihat halaman kepatuhan GDPR.

Menerapkan upaya keamanan informasi

GDPR mengharuskan organisasi menggunakan langkah-langkah perlindungan data yang wajar untuk menutup kerentanan sistem dan mencegah akses yang tidak sah atau penggunaan ilegal. GDPR tidak mengamanatkan langkah-langkah spesifik, tetapi menyatakan bahwa organisasi memerlukan kontrol teknis dan organisasi.

Kontrol keamanan teknis mencakup perangkat lunak, perangkat keras, dan alat teknologi lainnya, seperti SIEM dan solusi pencegahan kehilangan data. GDPR sangat mendorong enkripsi dan pseudonimisasi, jadi organisasi mungkin ingin menerapkan kontrol ini secara khusus. 

Langkah-langkah organisasi mencakup proses seperti melatih karyawan tentang aturan GDPR dan menerapkan kebijakan tata kelola data. 

GDPR juga mengarahkan perusahaan untuk mengadopsi prinsip perlindungan data berdasarkan desain dan secara default. “Sesuai peruntukan” berarti bahwa perusahaan harus membangun privasi data ke dalam sistem dan proses sejak awal. “Secara default” berarti bahwa pengaturan default untuk sistem apa pun harus menjadi yang paling menjaga privasi pengguna. 

Pelajari bagaimana solusi keamanan dan perlindungan data IBM mengamankan data di seluruh hybrid cloud dan menyederhanakan persyaratan kepatuhan.

Setiap organisasi yang ingin beroperasi di Wilayah Ekonomi Eropa (EEA) harus mematuhi GPDR. Ketidakpatuhan dapat menimbulkan konsekuensi serius. Pelanggaran yang paling signifikan dapat mengakibatkan denda hingga EUR 20.000.000 atau 4% dari pendapatan organisasi di seluruh dunia pada tahun sebelumnya, mana saja yang lebih tinggi.

Tetapi kepatuhan data bukan hanya tentang menghindari konsekuensi. Ini juga bermanfaat. Selain fakta bahwa kepatuhan terhadap GDPR memungkinkan organisasi mengakses salah satu pasar terbesar di dunia, prinsip-prinsip GDPR dapat secara signifikan memperkuat langkah-langkah keamanan data. Organisasi dapat menghentikan lebih banyak pelanggaran data sebelum terjadi, menghindari biaya rata-rata 4,45 juta USD per pelanggaran.

Kepatuhan GDPR juga dapat meningkatkan reputasi bisnis dan membangun kepercayaan dengan konsumen. Orang umumnya lebih suka melakukan bisnis dengan organisasi yang secara bermakna melindungi data pelanggan (tautan berada di luar ibm.com).

GDPR telah menginspirasi undang-undang perlindungan data serupa di wilayah lain, termasuk Undang-Undang California Consumer Privacy Act dan Undang-Undang Perlindungan Data Pribadi Digital India. GDPR sering dianggap sebagai salah satu undang-undang yang paling ketat, sehingga dengan mematuhinya, organisasi juga dapat memposisikan diri untuk mematuhi peraturan lainnya.

Terakhir, jika perusahaan benar-benar melanggar GDPR, menunjukkan tingkat kepatuhan tertentu dapat membantu mengurangi dampaknya. Badan pengawas mempertimbangkan faktor-faktor seperti kontrol keamanan siber yang ada dan kerja sama dengan otoritas pengawas saat menentukan hukuman.