Apa itu GDPR? [Meaning & Requirements in 2023]

Peraturan Perlindungan Data Umum (GDPR) adalah undang-undang privasi data tengara dan tolok ukur yang digunakan untuk mengukur semua undang-undang privasi lainnya. Diloloskan oleh Uni Eropa pada tahun 2016, meskipun jangkauannya luas, ini melindungi hak privasi data warga negara UE. Tapi apa itu GDPR dan bagaimana pengaruhnya terhadap Anda?

Poin Utama: Penafsiran Hukum GDPR

  • GDPR adalah salah satu undang-undang privasi data terpenting yang disahkan dalam beberapa tahun terakhir.
  • Ini menentukan bagaimana bisnis dan organisasi mengumpulkan dan memproses data yang dikumpulkan dari pengguna, karyawan, atau bisnis lain atau orang yang berinteraksi dengan mereka.
  • Meskipun berlaku untuk semua perusahaan yang memproses data warga negara UE, termasuk yang berlokasi di luar UE, namun tidak berlaku untuk warga negara lain seperti AS.

Meskipun tampaknya hanya mencakup warga negara UE, siapa pun yang ingin berbisnis di pasar UE harus mematuhi aturannya, meskipun mereka tidak tergabung dalam negara UE. Ini sebenarnya mencakup hampir semua layanan online. Baca terus untuk mengetahui apa itu GDPR, apa dampaknya, dan bagaimana perusahaan dapat mematuhinya.

  • GDPR adalah peraturan perlindungan data yang mengatur bagaimana data pribadi individu di Uni Eropa dikumpulkan, diproses, dan disimpan.

  • GDPR memastikan warga UE menikmati hak privasi mendasar dengan melindungi mereka dari penggunaan pengumpulan dan pemrosesan data yang berbahaya.

  • Setiap perusahaan atau entitas yang menangani data warga negara UE harus mematuhi GDPR, meskipun berbasis di AS. Namun, perusahaan ini tidak diwajibkan untuk memberikan tingkat perlindungan data yang sama kepada subjek data AS mereka.

Apa itu GDPR?

GDPR adalah undang-undang privasi data yang melindungi informasi pribadi warga negara UE. Itu diadopsi pada 2016 dan mulai berlaku pada 25 Mei 2018, dan berlaku untuk perusahaan mana pun yang memproses data pribadi milik warga negara UE, di mana pun lokasinya.

Pemrosesan data Swiss

GDPR mengatur cara bisnis mengumpulkan dan memproses data subjek data UE.

GDPR memberi warga UE beberapa hak penting. Ini menetapkan bahwa perusahaan tidak dapat memproses data pribadi pengguna tanpa persetujuan tertulis dari mereka. Ini juga memungkinkan pengguna untuk meninjau dan memperbaiki data pribadi apa pun yang terkait dengannya.

Yang penting, GDPR menyertakan apa yang disebut hak untuk dilupakan, yang berarti bahwa pengguna dapat memilih untuk menghapus semua data mereka, dan perusahaan harus mematuhi pilihan mereka.

Meskipun ini adalah ketentuan paling penting di bawah GDPR, ketentuan ini juga mencakup beberapa ketentuan lainnya. Misalnya, jika sebuah perusahaan mengalami pelanggaran data, ia harus memberi tahu semua pengguna yang terpengaruh. Perusahaan juga harus mempekerjakan Petugas Perlindungan Data (DPO) untuk menangani semua masalah terkait GDPR.

GDPR mendefinisikan pengguna yang terpengaruh sebagai “subjek data”, sementara setiap entitas atau organisasi yang memproses data pribadi didefinisikan sebagai “pengontrol data” atau “pemroses data”. Istilah terakhir digunakan sedikit berbeda: pengontrol data adalah entitas yang menentukan tujuan pengumpulan atau pemrosesan data, sedangkan pemroses data adalah entitas yang memproses data, yang dapat bersifat internal atau eksternal untuk pengontrol data.

Tujuh prinsip utama GDPR

GDPR dibuat di tujuh prinsip jantung.

1. Legal, adil dan transparan

Data pribadi harus diproses secara sah dan transparan.

2. Batasan tujuan

Data yang dikumpulkan harus memiliki tujuan sah yang jelas dan tidak boleh diproses dengan cara yang menyimpang dari tujuan tersebut.

3. Minimisasi Data

Data yang dikumpulkan harus relevan dengan layanan yang disediakan dan digunakan untuk tujuan yang disetujui oleh pengguna.

4. Akurasi

Data pribadi harus akurat dan terkini, dan subjek data harus diizinkan untuk memperbaiki data yang tidak akurat.

5. Batas Penyimpanan

Data yang dikumpulkan dan diproses tidak boleh disimpan lebih lama dari yang diperlukan untuk tujuan yang disediakan.

6. Integritas dan Kerahasiaan (Keamanan)

Data pribadi harus dilindungi sedemikian rupa sehingga terlindung dari pencurian, kehilangan yang tidak disengaja, atau pemrosesan yang tidak sah.

7. Akuntabilitas

Semua pengontrol data bertanggung jawab untuk menerapkan aturan GDPR dengan benar, dan kegagalan untuk mematuhinya akan mengakibatkan penalti berupa denda.

Apa itu data pribadi berdasarkan GDPR?

Aspek penting GDPR adalah seberapa luas istilah “data pribadi” diinterpretasikan. definisinya Mencakup setiap data yang dapat digunakan untuk mengidentifikasi individu, baik sendiri maupun digabungkan dengan data lain. Ini termasuk berbagai data pribadi sensitif seperti nama pengguna, usia, lokasi, atau alamat IP.

Selain itu, data tertentu tunduk pada perlindungan khusus, seperti data biometrik, data genetik (termasuk ras dan etnis) dan informasi medis, serta afiliasi politik, orientasi seksual, dan afiliasi agama.

Definisi luas ini memungkinkan pengguna dilindungi dari perusahaan yang menggunakan analitik mendalam untuk mengumpulkan data dan membuat profil pengguna mereka. Misalnya, di bawah definisi ini, sesuatu yang tidak berbahaya seperti Facebook dapat dianggap sebagai informasi yang dapat diidentifikasi dan juga data pribadi.

data pribadi di bawah gdpr

Definisi luas GDPR tentang data pribadi memungkinkan tingkat perlindungan privasi yang lebih besar.

Namun, yang penting, hanya data yang benar-benar anonim dengan informasi identitas pribadi yang dihapus tidak dianggap sebagai data pribadi. Data yang disamarkan (kumpulan data yang tidak mengidentifikasi Anda sebagai individu tetapi berisi semua informasi Anda) masih dianggap sebagai data pribadi karena mudah bagi pialang data untuk mendeanonimkannya dan melampirkan data tersebut ke orang sungguhan.

Untungnya, ada alat, seperti Incogni dan DeleteMe dari Surfshark, yang dapat sepenuhnya menghapus data Anda dari arsip broker data. Anda dapat membaca ulasan Penyamaran dan ulasan DeleteMe kami untuk mendapatkan gambaran yang lebih baik tentang cara kerjanya.

Petugas Perlindungan Data (DPO)

Menurut GDPR, a Petugas Perlindungan Data, atau DPO, bertanggung jawab atas semua masalah terkait GDPR di perusahaan, dan semua perusahaan yang mematuhi GDPR diwajibkan untuk menggunakan DPO. DPO adalah titik kontak utama antara perusahaan dan regulator, serta pengguna yang ingin menggunakan haknya.

Tanggung jawab mereka bervariasi dan meliputi:

  • tetap patuh
  • Melakukan audit dan pemantauan secara teratur dan sistematis
  • Berikan penilaian dampak perlindungan data
  • Memberikan pelatihan staf
  • Berikan saran pemrosesan data
  • Pemrosesan Permintaan Subjek Data
  • Berkomunikasi dengan regulator terkait
Petugas Perlindungan Data

Tugas Petugas Perlindungan Data adalah memastikan bahwa bisnis mematuhi semua aturan GDPR.

Meskipun DPO adalah satu orang, perusahaan besar harus memiliki tim perlindungan data untuk memastikan kepatuhan penuh terhadap GDPR.

DPO itu sendiri harus:

  • menjadi pegawai tetap perusahaan
  • Tidak bertanggung jawab kepada otoritas yang lebih tinggi selain manajemen puncak
  • Jangan mengontrol pemrosesan data apa pun
  • mengelola anggaran Anda sendiri

Sejarah perlindungan data UE

Pada tahun 1950, Eropa mengambil langkah pertamanya dalam perlindungan data Konvensi Eropa tentang Hak Asasi Manusia, yang menjadikan privasi sebagai hak asasi manusia yang mendasar. Kemudian, dengan munculnya internet, peraturan baru menjadi perlu dan Arahan Perlindungan Data Eropa tahun 1995 mulai berlaku.

Namun, tidak ada yang bisa memprediksi pertumbuhan eksponensial yang akan dialami internet dalam beberapa dekade mendatang, atau lubang hitam pengumpulan data besar-besaran dari media sosial dan raksasa teknologi seperti Google dan Microsoft. Oleh karena itu, perlu untuk lebih melindungi hak privasi warga negara UE.

Hal ini menyebabkan terciptanya Peraturan Perlindungan Data Umum, yang pertama kali disahkan oleh Parlemen Eropa pada tahun 2016 dan memberi perusahaan masa tenggang dua tahun untuk mematuhinya. Sejak 2018, semua perusahaan yang memproses data pribadi subjek data UE harus mematuhi GDPR.

Apakah GDPR berlaku di Inggris Raya?

Terlepas dari Brexit, GDPR masih berlaku di Inggris karena diabadikan dalam undang-undang berupa Data Protection Act (DPA) 2018. Kantor Komisi Informasi Inggris Raya adalah badan publik yang bertanggung jawab untuk mengawasi semua aktivitas pemrosesan data di Inggris Raya dan memastikan bahwa perusahaan Inggris Raya, serta pengontrol dan pemroses data yang menyimpan data warga Inggris Raya, tetap mematuhi GDPR.

Bagaimana pengaruh GDPR terhadap pengguna?

Menurut prinsip perlindungan data GDPR, pengguna memiliki kendali besar atas data pribadi mereka. Aspek penting adalah persetujuan untuk setiap pengumpulan, pemrosesan, atau transfer data pribadi. Tidak ada pemroses data yang dapat mengumpulkan atau memproses data Anda tanpa persetujuan tertulis dari Anda.

Ada juga aspek portabilitas data, yang pada dasarnya berarti Anda dapat mengambil dan menyimpan semua data yang dimiliki pemroses data tentang Anda, dan mentransfer data tersebut ke entitas lain jika diinginkan.

Misalnya, jika Anda ingin beralih ke pengelola kata sandi baru, Anda harus dapat mengunduh semua informasi login Anda dalam format yang memungkinkan Anda mengunggahnya ke pengelola kata sandi lain.

Namun, mungkin aspek paling penting dari GDPR bagi pengguna adalah hak untuk dilupakan, yang memungkinkan pengguna menghapus sepenuhnya semua data yang dikumpulkan dari pengontrol data atau basis data prosesor.

Bagaimana bisnis dapat memastikan kepatuhan GDPR?

bisnis yang sesuai dengan gdpr

Jika bisnis ingin berbisnis dengan warga atau entitas UE, bisnis tersebut harus mematuhi GDPR.

Aturan GDPR berlaku untuk semua bisnis, organisasi, atau entitas lain yang memproses data pengguna Eropa atau berkantor pusat di negara anggota UE. Untuk memastikan kepatuhan terhadap GDPR, pemroses dan pengontrol data harus mematuhi aturan yang ditetapkan dalam GDPR. Berikut adalah beberapa langkah untuk membuat bisnis Anda mematuhi GDPR.

  1. Menentukan dasar hukum untuk memproses data pengguna.
    Karena data yang Anda kumpulkan dan proses harus terkait dengan tujuan tertentu, Anda perlu memastikan bahwa tujuan tersebut sesuai dengan hukum dan relevan dengan layanan yang Anda berikan dan bahwa Anda telah mendapatkan persetujuan untuk pengumpulan dan pemrosesan data tersebut.
  2. Tinjau dan perbarui kebijakan dan praktik privasi perusahaan.
    Semua praktik pengumpulan dan pemrosesan data harus diperbarui untuk mematuhi standar GDPR. Kebijakan privasi dan formulir persetujuan harus dicantumkan dalam bahasa yang jelas dan tidak ambigu.
  3. Melakukan review data awal.
    Identifikasi semua data pribadi yang dikumpulkan, diproses, dan disimpan oleh perusahaan. Ini termasuk data tentang karyawan, pelanggan, dan individu lain yang berinteraksi dengan perusahaan.
  4. Amankan data Anda.
    Bisnis Anda harus mengambil langkah-langkah untuk melindungi data yang disimpannya dengan benar.Ini termasuk penyimpanan yang tepat, enkripsi dan cadangan, dan membatasi akses ke data pengguna, sebagai praktik terbaik Kebijakan Tanpa Kepercayaan.
  5. Menunjuk petugas perlindungan data.
    Ini diperlukan di bawah GDPR. Menyewa DPO memastikan bahwa ada satu individu yang tujuan utamanya adalah untuk mengawasi tata kelola data yang tepat dan kepatuhan GDPR.
  6. Mendidik dan melatih staf Anda.
    Anda perlu memberi karyawan Anda pelatihan yang sesuai agar mereka dapat menangani data pribadi secara bertanggung jawab, menanggapi permintaan subjek data (seperti koreksi atau penghapusan data), dan melaporkan pelanggaran keamanan.
  7. Audit dan tinjauan rutin dilakukan.
    Pastikan bisnis Anda tetap mengikuti tren keamanan dan privasi, dan praktik privasi Anda diperbarui seiring perkembangan standar industri. Pantau terus akses data dan tinjau prosedur pengumpulan dan pemrosesan data Anda secara rutin.

Denda GDPR

Untuk memastikan kepatuhan, GDPR mengenakan denda berat pada perusahaan yang melanggar ketentuannya. Denda karena tidak mematuhi kewajiban hukumnya adalah €10 juta, atau 2% dari omzet tahunan global pengontrol data, mana yang lebih tinggi.

Pikiran Akhir: GDPR

GDPR adalah salah satu undang-undang privasi data terpenting di dunia, memicu revolusi dalam privasi data online. Sementara sebagian besar perusahaan di seluruh dunia diwajibkan untuk mematuhinya, sayangnya warga AS tidak dilindungi. Sementara lima negara bagian telah menerapkan undang-undang perlindungan data mereka sendiri di bawah GDPR, masih ada sedikit perlindungan di tingkat federal.

Apa pendapat Anda tentang GDPR? Apakah menurut Anda itu memberikan perlindungan yang memadai bagi warga negara UE? Apakah Anda ingin melihat undang-undang semacam itu ditandatangani di Amerika Serikat? Beri tahu kami di komentar di bawah, dan seperti biasa, terima kasih telah membaca.

Jika Anda menyukai artikel ini, beri tahu kami. Ini adalah satu-satunya cara kita dapat meningkatkan.



Bandwidth vs Kecepatan Data Dijelaskan 2023 [Guide to VPN…

Jika Anda pernah mencoba membeli paket data atau VPN, Anda mungkin pernah melihat istilah “bandwidth” dan “laju data” sebelumnya, dan Anda bahkan mungkin melihatnya...
Ngademin
4 min read