Peraturan Perlindungan Data Umum (GDPR), undang-undang privasi data Uni Eropa yang penting, mulai berlaku pada tahun 2018. Namun, banyak organisasi masih kesulitan untuk memenuhi persyaratan kepatuhan, dan otoritas perlindungan data Uni Eropa tidak segan-segan memberikan hukuman.
Bahkan bisnis terbesar di dunia pun tidak lepas dari keruwetan GDPR. Regulator Irlandia menjatuhkan denda sebesar EUR 1,2 miliar kepada Meta (tautan berada di luar ibm.com) pada tahun 2023. Pihak berwenang Italia sedang menyelidiki OpenAI (tautan berada di luar ibm.com) atas dugaan pelanggaran, bahkan melarang ChatGPT untuk sementara waktu.
Banyak bisnis yang merasa kesulitan untuk menerapkan persyaratan GDPR karena undang-undang ini tidak hanya rumit tetapi juga menyerahkan banyak hal pada kebijaksanaan. GDPR menetapkan serangkaian aturan tentang bagaimana organisasi di dalam dan di luar Eropa menangani data pribadi penduduk Uni Eropa. Namun, ini memberi bisnis kelonggaran dalam bagaimana mereka memberlakukan aturan-aturan tersebut.
Detail rencana organisasi mana pun untuk sepenuhnya mematuhi GDPR akan bervariasi berdasarkan data yang dikumpulkan organisasi dan apa yang dilakukannya dengan data tersebut. Meskipun demikian, ada beberapa langkah inti yang dapat diambil oleh semua perusahaan saat menerapkan GDPR:
GDPR berlaku untuk organisasi mana pun yang memproses data pribadi penduduk Eropa, terlepas dari di mana organisasi itu berbasis. Mengingat sifat ekonomi digital yang saling terhubung dan bersifat internasional, hal ini mencakup banyak, bahkan mungkin sebagian besar, bisnis saat ini. Bahkan organisasi yang tidak termasuk dalam lingkup GDPR dapat mengadopsi persyaratannya untuk memperkuat perlindungan data.
Lebih khusus lagi, GDPR berlaku untuk semua pengendali data dan pemroses data yang berbasis di Area Ekonomi Eropa (EEA). EEA mencakup semua 27 negara anggota UE ditambah Islandia, Liechtenstein, dan Norwegia.
Kontroler data adalah organisasi, kelompok, atau orang yang mengumpulkan data pribadi dan menentukan bagaimana data tersebut digunakan. Pikirkan: peritel online yang menyimpan alamat email pelanggan untuk mengirim pembaruan pesanan.
Pengolah data adalah organisasi atau kelompok yang melakukan aktivitas pengolahan data. GDPR secara luas mendefinisikan “pemrosesan” sebagai tindakan apa pun yang dilakukan pada data: menyimpan, menganalisis, mengubah, dan seterusnya. Pemroses mencakup pihak ketiga yang memproses data pribadi atas nama pengendali, seperti perusahaan pemasaran yang menganalisis data pengguna untuk membantu bisnis memahami demografi pelanggan utama.
GDPR juga berlaku untuk pengontrol dan pemroses yang berada di luar EEA jika mereka memenuhi setidaknya salah satu kondisi berikut:
Ada beberapa hal lagi yang perlu diperhatikan tentang ruang lingkup GDPR. Pertama, ini hanya berkaitan dengan data pribadi perorangan, yang juga disebut subjek data dalam istilah GDPR. Perorangan adalah manusia yang hidup. GDPR tidak melindungi data badan hukum, seperti perusahaan, atau almarhum.
Kedua, seseorang tidak perlu menjadi warga negara UE untuk mendapatkan perlindungan GDPR. Mereka hanya perlu menjadi penduduk resmi EEA.
Terakhir, GDPR berlaku untuk pemrosesan data pribadi untuk hampir semua alasan: komersial, akademisi, pemerintahan, dan lainnya. Bisnis, rumah sakit, sekolah, dan otoritas publik semuanya tunduk pada GDPR. Satu-satunya operasi pemrosesan yang dikecualikan dari GDPR adalah keamanan nasional dan kegiatan penegakan hukum dan penggunaan data murni pribadi.
Tidak ada satu rencana kepatuhan GDPR yang cocok untuk semua, tetapi ada beberapa praktik dasar yang dapat digunakan organisasi untuk memandu upaya implementasi GDPR.
Untuk daftar persyaratan utama GDPR, lihat daftar kepatuhan GDPR.
Meskipun GDPR tidak secara eksplisit memerlukan inventaris data, banyak organisasi memulai di sini karena dua alasan. Pertama, mengetahui data apa saja yang dimiliki perusahaan dan bagaimana data tersebut diproses akan membantu organisasi untuk lebih memahami beban kepatuhannya. Sebagai contoh, sebuah bisnis yang mengumpulkan data kesehatan pengguna membutuhkan perlindungan yang lebih kuat daripada bisnis yang hanya mengumpulkan alamat email.
Kedua, inventaris yang komprehensif memudahkan pemenuhan permintaan pengguna untuk membagikan, memperbarui, atau menghapus data mereka.
Inventaris data dapat merekam detail seperti:
Mungkin sulit untuk melacak data pribadi yang tersebar di seluruh jaringan organisasi di berbagai alur kerja, database, titik akhir, dan bahkan aset IT bayangan. Untuk membuat inventaris data lebih mudah dikelola, organisasi dapat mempertimbangkan untuk menggunakan solusi perlindungan data yang secara otomatis menemukan dan mengklasifikasikan data.
Saat menginventarisasi data, organisasi harus mencatat data yang sangat sensitif yang membutuhkan perlindungan ekstra. GDPR mengamanatkan tindakan pencegahan tambahan untuk tiga jenis data secara khusus: data kategori khusus, data hukuman pidana, dan data anak-anak.
Selama inventarisasi data, organisasi mencatat setiap operasi pemrosesan yang dialami data. Kemudian, organisasi harus memastikan bahwa operasi ini mematuhi aturan pemrosesan GDPR. Beberapa prinsip GDPR yang paling penting meliputi:
Untuk daftar lengkap dasar hukum yang disetujui, lihat halaman kepatuhan GDPR.
Untuk daftar lengkap prinsip pemrosesan GDPR, lihat daftar periksa kepatuhan GDPR.
Persetujuan pengguna adalah dasar hukum umum untuk pemrosesan. Namun, persetujuan hanya berlaku di bawah GDPR jika diinformasikan, afirmatif, dan diberikan secara bebas. Organisasi mungkin perlu memperbarui formulir persetujuan untuk memenuhi persyaratan ini.
Organisasi dengan lebih dari 250 karyawan, dan perusahaan dengan ukuran berapa pun yang secara teratur memproses data atau menangani data berisiko tinggi, harus menyimpan catatan elektronik tertulis tentang aktivitas pemrosesan mereka.
Namun, semua organisasi mungkin ingin menyimpan catatan tersebut. Hal ini tidak hanya membantu melacak upaya privasi dan keamanan, tetapi juga dapat menunjukkan kepatuhan jika terjadi audit atau pelanggaran. Perusahaan dapat mengurangi atau menghindari hukuman jika mereka dapat membuktikan bahwa mereka melakukan upaya dengan itikad baik untuk mematuhinya.
Pengontrol data mungkin ingin menyimpan catatan yang sangat kuat, karena GDPR membuat mereka bertanggung jawab atas kepatuhan mitra dan vendor mereka.
Semua otoritas publik dan organisasi mana pun yang secara teratur memproses data kategori khusus atau memantau subjek dalam skala besar harus menunjuk petugas perlindungan data (DPO). DPO adalah petugas perusahaan independen yang bertanggung jawab atas kepatuhan GDPR. Tanggung jawab umum termasuk mengawasi penilaian risiko, melatih karyawan tentang prinsip-prinsip perlindungan data, dan bekerja sama dengan otoritas pemerintah.
Meskipun hanya beberapa organisasi yang diminta untuk menunjuk DPO, semua mungkin ingin mempertimbangkan untuk melakukannya. Memiliki pemimpin kepatuhan GDPR khusus dapat membantu menyederhanakan implementasi.
DPO dapat berupa karyawan bisnis atau konsultan eksternal yang menawarkan layanan mereka berdasarkan kontrak. DPO harus melaporkan langsung ke tingkat manajemen tertinggi. Perusahaan tidak dapat melakukan pembalasan terhadap DPO yang melakukan tugasnya.
Organisasi di luar EEA harus menunjuk perwakilan di dalam EEA jika mereka secara teratur memproses data penduduk EEA atau menangani data yang sangat sensitif. Tugas utama perwakilan EEA adalah berkoordinasi dengan otoritas perlindungan data atas nama perusahaan selama penyelidikan. Perwakilan dapat berupa karyawan, perusahaan afiliasi, atau layanan berbayar.
DPO dan perwakilan EEA adalah peran yang berbeda dengan tanggung jawab yang berbeda. Perwakilan bertindak atas arahan organisasi, sedangkan DPO harus merupakan petugas independen. Organisasi tidak dapat menunjuk satu pihak (tautan berada di luar ibm.com) untuk perwakilan DPO dan EEA.
Jika sebuah organisasi beroperasi di beberapa negara bagian EEA, organisasi tersebut harus mengidentifikasi otoritas pengawas utama. Otoritas pengawas utama adalah otoritas perlindungan data (DPA) utama yang mengawasi kepatuhan GDPR untuk perusahaan tersebut di seluruh Eropa.
Biasanya, otoritas pengawas utama adalah DPA di negara anggota di mana organisasi tersebut memiliki kantor pusat atau melakukan kegiatan pemrosesan intinya.
GDPR mengharuskan organisasi memberi tahu pengguna cara mereka menggunakan data. Perusahaan dapat memenuhi persyaratan ini dengan menyusun kebijakan privasi yang dengan jelas menjelaskan operasi pemrosesan mereka, termasuk apa yang dikumpulkan perusahaan, kebijakan penyimpanan dan penghapusan, hak pengguna, dan detail relevan lainnya.
Kebijakan privasi harus menggunakan bahasa sederhana yang dapat dipahami semua orang. Menyembunyikan informasi penting di balik jargon padat dapat melanggar GDPR. Organisasi dapat memastikan bahwa pengguna melihat kebijakan mereka dengan membagikan pemberitahuan privasi pada titik pengumpulan data. Organisasi juga dapat meng-host kebijakan privasi mereka di halaman publik yang mudah ditemukan di situs web mereka.
Kontroler pada akhirnya bertanggung jawab atas data pribadi yang mereka kumpulkan, termasuk bagaimana pemroses, vendor, dan pihak ketiga lainnya menggunakan data. Jika mitra tidak patuh, kontroler bisa mendapat penalti.
Organisasi harus meninjau kontrak mereka dengan pihak ketiga yang memiliki akses ke data mereka. Kontrak ini harus dengan jelas menjelaskan hak dan tanggung jawab semua pihak sehubungan dengan GDPR dengan cara yang mengikat secara hukum.
Jika suatu organisasi bekerja dengan pemroses di luar EEA, pemroses tersebut tetap harus memenuhi persyaratan GDPR. Faktanya, transfer data di luar EEA tunduk pada standar yang ketat. Pengontrol di EEA hanya dapat berbagi data dengan pemroses di luar EEA jika salah satu kriteria berikut terpenuhi:
Salah satu cara untuk memastikan bahwa semua kemitraan dan transfer data mematuhi GDPR adalah dengan menggunakan klausul kontrak standar. Klausul yang telah ditulis sebelumnya ini telah disetujui sebelumnya oleh Komisi Eropa dan tersedia secara gratis untuk digunakan oleh organisasi mana pun. Memasukkan klausul ini ke dalam kontrak membuatnya sesuai dengan GDPR, asalkan masing-masing pihak mematuhinya. Untuk informasi lebih lanjut tentang klausul kontrak standar, lihat situs web Komisi Eropa (tautan berada di luar ibm.com).
GDPR mewajibkan organisasi untuk melakukan penilaian dampak perlindungan data (DPIA) sebelum melakukan pemrosesan berisiko tinggi. Meskipun GDPR menawarkan beberapa contoh, seperti pemrosesan data sensitif berskala besar dengan teknologi baru, GDPR tidak secara lengkap mencantumkan setiap aktivitas berisiko tinggi.
Organisasi dapat mempertimbangkan untuk melakukan DPIA sebelum operasi pemrosesan baru agar aman. Orang lain mungkin menggunakan pra-peninjauan yang disederhanakan untuk menentukan apakah risikonya cukup tinggi untuk menjamin DPIA.
Setidaknya, DPIA harus menjelaskan pemrosesan dan tujuannya, menilai kebutuhan pemrosesan, mengevaluasi risiko terhadap subjek data, dan mengidentifikasi langkah-langkah mitigasi. Jika risiko tetap tinggi setelah mitigasi, organisasi harus berkonsultasi dengan otoritas perlindungan data sebelum melangkah maju.
Organisasi harus melaporkan sebagian besar pelanggaran data pribadi kepada otoritas pengawas dalam waktu 72 jam. Jika pelanggaran menimbulkan risiko terhadap subjek data, seperti pencurian identitas, perusahaan juga harus memberi tahu subjek tersebut. Pemberitahuan harus dikirimkan langsung kepada korban kecuali jika hal itu tidak memungkinkan. Dalam hal tersebut, pemberitahuan publik sudah cukup.
Organisasi memerlukan rencana respons insiden efektif yang dengan cepat mengidentifikasi pelanggaran yang sedang berlangsung, memberantas ancaman, dan memberi tahu pihak berwenang. Rencana respons insiden harus mencakup alat dan taktik untuk memulihkan sistem dan memulihkan keamanan informasi. Semakin cepat suatu organisasi mendapatkan kembali kendali, semakin kecil kemungkinan organisasi akan mengalami regulasi yang serius.
Organisasi juga dapat mengambil kesempatan ini untuk memperkuat upaya keamanan data. Jika pelanggaran tidak mungkin membahayakan pengguna, misalnya, jika data yang dicuri dienkripsi dengan sangat ketat sehingga peretas tidak dapat menggunakannya, perusahaan tidak perlu memberi tahu subjek data. Ini dapat membantu menghindari kerusakan reputasi dan pendapatan yang dapat mengikuti pelanggaran data.
GDPR memberikan hak kepada subjek data atas bagaimana organisasi menggunakan data mereka. Misalnya, hak perbaikan memungkinkan pengguna memperbaiki data lama atau tidak akurat. Hak untuk menghapus memungkinkan pengguna menghapus data mereka.
Secara umum, organisasi harus mematuhi permintaan subjek data dalam waktu 30 hari. Untuk membuat permintaan lebih mudah dikelola, organisasi dapat membangun portal layanan mandiri di mana subjek dapat mengakses data mereka, membuat perubahan, dan membatasi penggunaannya. Portal harus menyertakan cara untuk memverifikasi identitas subjek. GDPR membebani organisasi untuk memverifikasi bahwa pemohon adalah siapa yang mereka katakan.
Subjek data memiliki hak khusus terkait pemrosesan otomatis. Secara khusus, organisasi tidak dapat menggunakan otomatisasi untuk membuat keputusan yang signifikan tanpa persetujuan pengguna. Pengguna memiliki hak untuk menyanggah keputusan otomatis dan meminta agar manusia meninjau keputusan tersebut.
Organisasi dapat menggunakan portal layanan mandiri untuk memberi subjek data cara untuk menentang keputusan otomatis. Perusahaan juga harus siap untuk menunjuk peninjau manusia sesuai kebutuhan.
Subjek data memiliki hak untuk mentransfer data mereka ke mana pun mereka inginkan, dan organisasi harus memfasilitasi transfer tersebut.
Selain memudahkan pengguna untuk meminta transfer, organisasi harus menyimpan data dalam format yang dapat dibagikan. Menggunakan format kepemilikan dapat membuat transfer menjadi sulit dan menghambat hak pengguna.
Untuk daftar lengkap hak subjek data, lihat halaman kepatuhan GDPR.
GDPR mengharuskan organisasi menggunakan langkah-langkah perlindungan data yang wajar untuk menutup kerentanan sistem dan mencegah akses yang tidak sah atau penggunaan ilegal. GDPR tidak mengamanatkan langkah-langkah spesifik, tetapi menyatakan bahwa organisasi memerlukan kontrol teknis dan organisasi.
Kontrol keamanan teknis mencakup perangkat lunak, perangkat keras, dan alat teknologi lainnya, seperti SIEM dan solusi pencegahan kehilangan data. GDPR sangat mendorong enkripsi dan pseudonimisasi, jadi organisasi mungkin ingin menerapkan kontrol ini secara khusus.
Langkah-langkah organisasi mencakup proses seperti melatih karyawan tentang aturan GDPR dan menerapkan kebijakan tata kelola data.
GDPR juga mengarahkan perusahaan untuk mengadopsi prinsip perlindungan data berdasarkan desain dan secara default. “Sesuai peruntukan” berarti bahwa perusahaan harus membangun privasi data ke dalam sistem dan proses sejak awal. “Secara default” berarti bahwa pengaturan default untuk sistem apa pun harus menjadi yang paling menjaga privasi pengguna.
Setiap organisasi yang ingin beroperasi di Wilayah Ekonomi Eropa (EEA) harus mematuhi GPDR. Ketidakpatuhan dapat menimbulkan konsekuensi serius. Pelanggaran yang paling signifikan dapat mengakibatkan denda hingga EUR 20.000.000 atau 4% dari pendapatan organisasi di seluruh dunia pada tahun sebelumnya, mana saja yang lebih tinggi.
Tetapi kepatuhan data bukan hanya tentang menghindari konsekuensi. Ini juga bermanfaat. Selain fakta bahwa kepatuhan terhadap GDPR memungkinkan organisasi mengakses salah satu pasar terbesar di dunia, prinsip-prinsip GDPR dapat secara signifikan memperkuat langkah-langkah keamanan data. Organisasi dapat menghentikan lebih banyak pelanggaran data sebelum terjadi, menghindari biaya rata-rata 4,45 juta USD per pelanggaran.
Kepatuhan GDPR juga dapat meningkatkan reputasi bisnis dan membangun kepercayaan dengan konsumen. Orang umumnya lebih suka melakukan bisnis dengan organisasi yang secara bermakna melindungi data pelanggan (tautan berada di luar ibm.com).
GDPR telah menginspirasi undang-undang perlindungan data serupa di wilayah lain, termasuk Undang-Undang California Consumer Privacy Act dan Undang-Undang Perlindungan Data Pribadi Digital India. GDPR sering dianggap sebagai salah satu undang-undang yang paling ketat, sehingga dengan mematuhinya, organisasi juga dapat memposisikan diri untuk mematuhi peraturan lainnya.
Terakhir, jika perusahaan benar-benar melanggar GDPR, menunjukkan tingkat kepatuhan tertentu dapat membantu mengurangi dampaknya. Badan pengawas mempertimbangkan faktor-faktor seperti kontrol keamanan siber yang ada dan kerja sama dengan otoritas pengawas saat menentukan hukuman.