RegulasiTekno

GPDR Jadi Model Regulasi Perlindungan Data Pribadi Pengguna Internet

BTN iklan

JAKARTA, LEI – GDPR (General Data Protection Regulation ) diproyeksikan sebagai model regulasi perlindungan data pribadi pengguna internet di tengah-tengah tren semakin besarnya kendali perusahaan penyedia layanan digital, media sosial, mesin pencari, e-commerce dan lain-lain, terhadap data tersebut untuk kebutuhan iklan digital tertarget, pengembangan produk kecerdasan-buatan dan proses machine learning.

Sejak Mei 2018, setiap orang, lembaga, perusahaan, organisasi yang melakukan proses pengumpulan, analisis dan komodikasi, sebagian atau seluruhnya, atas data-perilaku-pengguna-internet penduduk atau warga Uni Eropa terikat untuk menaati batasan-batasan dalam GDPR.

GDPR memiliki kedudukan strategis dalam upaya pengarusutamaan (mainstreaming) hukum perlindungan data pribadi secara global. Tak lama setelah GDPR diundangkan, banyak organisasi atau perusahaan mulai memperbaiki sistem pengolahan data yang mereka miliki. Tidak sedikit dari mereka yang membayar jasa Data Protection Ocers untuk memastikan ketaatan dan kesesuaian proses penyimpanan dan pelayanan data yang mereka kelola terhadap standar-standar GDPR.

Untuk urusan ini, GDPR telah mempublikasikan dokumen resmi tentang panduan pelaksanaan GDPR untuk sektor bisnis. Hal ini dimaksudkan sebagai solusi atas masalah bahwa berbeda entitas (bisnis, sosial, pemerintahan) berbeda standar pengolahan data, tujuan dan masalah yang muncul serta proses audit yang dibutuhkan. Berbeda negara dapat berbeda pula regulasi yang mengatur standard dan model pengolahan data, berikut proses audit, pengawasan dan bentuk penegakan hukumnya.

Meskipun pada awalnya cenderung menolak atau keberatan, perusahaan seperti Google, Amazon, Facebook, Apple dan Microsoft pada akhirnya juga tidak memiliki opsi lain selain melaksanakan GDPR. Bahkan muncul indikasi mereka justru hendak mengadopsi GDRP Uni Eropa sebagai standar perlindungan data-perilaku-pengguna-internet secara lebih luas.

Pertama, Uni Eropa bagaimana pun adalah pasar utama mereka. Menolak GDPR dalam hal ini akan mengoreksi pendapatan atau potensi pendapatan yang signikan dari perusahaan-perusahaan tersebut.

Kedua, akan sangat merepotkan jika perusahaan-perusahaan berskala global itu mesti menghadapi standar perlindungan data pribadi yang berbeda-beda di berbagai negara. Lebih efektif dan esien jika ada standar global tertentu dalam perlindungan data pribadi, betapa pun standar tersebut memberikan tanggung jawab lebih besar pada perusahaan-perusahaan penyedia layanan digital.

Siapa dan Apa Yang Tunduk Pada GDPR?
Menurut paparan Allen & Overy dalam Preparing for the General Data Protection Regulation pada Januari 2018, GDPR memiliki jangkauan yang lebih luas dibandingkan undang-undang perlindungan privasi atau perlindungan data yang ada sebelumnya, katakanlah Undang-Undang Perlindungan Data Uni Eropa Tahun 1995.

GDPR berlaku untuk organisasi atau perusahaan (baik sebagai Pengendali Data atau Pengolah Data) yang mengelola data pribadi (personal data) dan dibentuk di Uni Eropa (Pasal 3 dan 4).

Dalam beberapa keadaan, GDPR juga berlaku pada organisasi yang mengelola data pribadi dan dibentuk secara eksklusif di luar Uni Eropa. Ada tiga alasan utama penerapan GDPR yang dapat ditemukan dengan tiga uji berikut :

Uji Kedudukan Teritorial
Jika sebuah perusahaan atau organisasi memiliki kedudukan di luar Uni Eropa dan mengelola data pribadi dalam konteks kegiatan atau operasional perusahaan atau organisasi organisasi tersebut, maka mereka harus tunduk pada GDPR.

Tidak peduli di mana pengolahan data dilakukan di Uni Eropa atau di luar Uni Eropa, apakah pengolahan dilakukan sendiri atau oleh pihak ketiga seperti subkontraktor atau apakah data pribadi yang diolah berkaitan dengan Subyek Data yang merupakan warga Uni Eropa atau yang “hanya” tinggal di Uni Eropa.

Uji ini berfokus pada konsep establishment di Uni Eropa serta pengolahan yang dilakukan “dalam konteks kegiatan atau operasionalisasi” suatu organisasi atau perusahaan.

Konsep establishment di sini diartikan secara luas oleh pengadilan dan merujuk pada entitas hukum yang menjalankan kegiatan yang nyata dan efektif secara langsung atau tidak langsung melalui pengaturan yang stabil, tanpa mempedulikan bentuk badan hukumnya. Dengan demikian, organisasi atau perusahaan yang memiliki perwakilan lokal, situs web atau alamat lokal di Uni Eropa mesti tunduk pada rezim GDPR.

Uji Penawaran Barang dan Jasa
Apabila perangkat pengendali atau pengolah data tidak ditempatkan di Uni Eropa, GDPR juga akan berlaku jika sebuah organisasi atau perusahaan mengendalikan dan mengolah data terkait individu-individu yang berada di Uni Eropa, warga negara atau nonwarga negara dan pengolahan ini terkait dengan salah satu dari dua hal berikut:

Yang pertama menawarkan barang atau jasa terhadap Subyek Data yang berada di Uni Eropa dan yang kedua memantau perilaku Subyek warga negara atau penduduk Uni Eropa.

Lokasi Subyek Data menjadi pertimbangan utama dalam GDPR, bukan status kewarganegaraan Subyek. Perlindungan data pribadi dalam GDPR tidak mengikat untuk pengolahan data warga negara Uni Eropa yang sedang bepergian ke luar Uni Eropa.

“Menawarkan barang dan jasa” di sini berlaku untuk pihak Pengendali Data atau Pengolah data yang terbukti menawarkan layanan barang atau jasa kepada Subyek Data di satu atau lebih dari negara anggota Uni Eropa.
Dengan demikian, perusahaan e-commerce yang hanya menyediakan situs web yang dapat diakses dari dalam Uni Eropa saja belum terikat untuk mematuhi GDPR.

Namun perlu diperhatikan, penggunaan bahasa atau mata uang lokal yang lazim digunakan di teritori Uni Eropa, atau menyinggung konsumen yang bertempat tinggal di Uni Eropa, dapat memberi kesan bahwa barang atau jasa telah “ditawarkan” ke orang-orang di Uni Eropa oleh situs e-commerce tertentu. Dengan demikian, menghasilkan alasan untuk memberlakukan ketentuan dalam GDPR.

Uji Pemantauan Perilaku Digital
“Pemantauan Perilaku” di sini mencakup uji untuk mengetahui apakah organisasi atau perusahaan penyedia layanan digital melakukan proses pemantauan atas perilaku dan sikap orang-orang melalui teknik pelacakan digital serta teknik proling tertentu guna menghasilkan prediksi preferensi atau perilaku pribadi dari Subyek sebagai pengguna layanan internet.

Organisasi atau perusahaan yang tidak memiliki kedudukan di Uni Eropa, tetapi terjaring oleh uji-uji di atas diwajibkan menunjuk seorang perwakilan di salah satu negara anggota Uni Eropa terkait.

Mereka juga mesti menjelaskan langkah-langkah yang akan mereka lakukan untuk memenuhi standar GDPR terkait dengan kegiatan operasional mereka yang menghasilkan dampak sebagaimana terbukti dalam uji yang telah dilakukan.

GDPR menekankan posisi dan perbedaan antara Pengendali Data dan Pengolah Data. Tidak seperti Undang- undang Perlindungan Data Uni Eropa (EU Data Protection Directive), GDPR berlaku baik untuk pihak pengendali data maupun pengolah data.

Meskipun begitu, hanya sedikit ketentuan GDPR yang berlaku secara langsung kepada Pengolah Data.

Sejumlah ketentuan secara tidak langsung berdampak pada posisi Pengolah data, yakni ketika pengendali data melalui mekanisme legal tertentu membagikan atau mendelegasikan tanggung jawab ke Pengolah data.

GDPR juga menekankan pentingnya pengaturan soal Pengolahan Data (data processing). Sesuai dengan legislasi yang berlaku sebelum GDPR, Pengolahan data didenisikan dengan sangat luas mencakup tindakan mengumpulkan, mengatur, menyimpan, mengubah, mengambil, menggunakan, memberitahukan dan menghapus data pribadi, di samping kegiatan-kegiatan lainnya.

Data Pribadi adalah semua informasi yang terkait dengan orang perorang yang dikenali atau dapat dikenali. Data ini dapat dikenali melalui rujukan pengenal seperti nama, nomor tanda pengenal, data lokasi atau pengenal daring, atau melalui faktorfaktor khas tentang diri pribadi seperti identitas sik, data genetik, data biometrik, status ekonomi atau status sosial.

GDPR juga memasukkan alamat IP serta informasi yang dapat diambil dari alamat IP sebagai data pribadi. GDPR sangat ketat dalam mendenisikan dan mengatur perlindungan privasi ini, meskipun sanksi denda yang dapat diterapkan GDPR untuk pelanggarannya menurut beberapa pihak masih rendah dan dikhawatirkan belum menghasilkan efek jera.

Apa dampak dari Lingkup Pengaturan GDPR di atas? Menurut Lukasz Olejnik, peneliti tentang kemanan siber dan perlindungan privasi, organisasi atau perusahaan di luar Uni Eropa harus memastikan keberadaan mereka berdasarkan Tiga Uji di atas, terutama “Uji Penawaran Barang dan Jasa” dan “Uji Pemantauan Perilaku Digital”.

Jika tidak lolos dari uji tersebut, maka mesti segera mempertimbangkan beberapa solusi struktural. Misalnya dengan melarang pengunjung berdomisili di Uni Eropa untuk mengakses web atau layanan digital yang disediakan, menghindari penempatan cookie pada perangkat yang dioperasikan pengguna berdomisili di Uni Eropa. Hal ini untuk menghindari kewajiban memenuhi syarat-syarat GDPR terhadap entitas non-Uni Eropa atau menghindari perluasan pemberlakuan standar GDPR ke luar Uni Eropa.

Organisasi atau perusahaan Pengolah data mesti meninjau bagaimana mereka akan terdampak pemberlakuan GDPR serta memahami kewajiban hukum baru sekaligus perubahan sifat hubungan mereka dengan pihak Pengendali Data sebagai konsekuensi dari pemberlakuan GDPR.

Syarat Pengolahan Data
Pasal 6 GDPR menegaskan semua praktek pengolahan data pribadi mesti berdasarkan syarat yang sah. Meskipun bukan hal yang baru, di bawah GDPR hal ini lebih ditekankan dan menjadi lebih penting bagi Pengolah data untuk memahami dan mencatat dasar-dasar pengolahan data.

Untuk mengolah data data pribadi secara hukum, Pengendali Data (dalam hal ini pihak yang menentukan tujuan dan cara pengolahan data pribadi) atau Pengolah Data harus memiliki setidaknya satu dari syarat sah sebagai berikut:

  1. Subyek Data telah memberikan persetujuan untuk pengolahan data dengan satu tujuan spesik atau lebih (Pasal 7 dan 8)
  2. Pengolahan Data dilakukan dalam konteks menjalankan kontrak di mana Subyek Data adalah salah satu pihak terkait atau dengan tujuan mengambil langkah-langkah pengolahan data sesuai permintaan Subyek Data sebelum memasuki sebuah kontrak.
  3. Pengolahan Data diperlukan untuk memenuhi kewajiban hukum tertentu di mana pihak Pengendali Data mesti tunduk kepadanya.
  4. Pengolahan Data diperlukan untuk melindungi kepentingan utama Subyek Data atau orang biasa lainnya.
  5. Pengolahan Data diperlukan untuk menjalankan misi menjalankan kepentingan publik atau menjalankan otoritas resmi yang berada di tangan Pengendali Data.
  6. Pengolahan Data diperlukan untuk mewujudkan kepentingan yang sah Subyek Data atau pihak ketiga, kecuali jika kepentingan ini mengesampingkan hak fundamental dan kebebasan Subyek yang dilindungi menurut prinsip perlindungan data pribadi, terutama sekali jika Subyek Data adalah anak-anak.

Pihak Pengendali Data juga diwajibkan untuk menyediakan catatan resmi terkait dengan pemenuhan syarat-syarat di atas.  Apa konsekuensi Syarat Pengolahan Data di atas? Syarat pengolahan data untuk pihak Pengendali Data atau Pengolah Data di atas menjadi dasar perumusan hak Subyek Data. (antaranews)

 

Kata kunci
Perlihatkan Lebih

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Related Articles

Close