Regulasi Perlindungan Data
(
Inggris
:
General Data Protection Regulation
) adalah regulasi dalam
hukum Uni Eropa
(
UE
) yang mengatur perlindungan data pribadi di dalam maupun di luar UE. Regulasi perlindungan data terbaru yang diadopsi UE adalah Regulasi Umum Perlindungan Data (
General Data Protection Regulation/GDPR
) Regulasi (EU) 2016/679 tanggal 27 April 2016.
Regulasi ini dilandasi oleh
Piagam Hak Asasi Uni Eropa
yang menetapkan bahwa warga UE memiliki
hak
untuk melindungi
data
pribadi mereka.
GDPR
menstandardisasi
undang-undang
perlindungan
data
di semua negara UE dan menerapkan aturan baru yang ketat untuk mengendalikan dan memproses informasi
identitas
pribadi. Regulasi ini juga memperluas perlindungan data pribadi dan
hak
perlindungan data dengan memberikan kendali kembali ke
penduduk
UE.
GDPR
mengatur perorangan, perusahaan atau organisasi yang memproses data pribadi individu di UE.
GDPR
menggantikan Direktif Perlindungan Data UE 1995, dan mulai berlaku pada hari Jumat tanggal
25 Mei
2018
.
Latar belakang
Tantangan teknologi terhadap privasi
Perkembangan
teknologi
yang cepat serta
globalisasi
memberikan tantangan baru dalam upaya perlindungan data pribadi. Di mana skala pengumpulan dan berbagi (
sharing
) data pribadi meningkat secara signifikan. Teknologi juga memungkinkan perusahaan-perusahaan swasta maupun otoritas publik memanfaatkan data-data pribadi dalam skala yang belum pernah terjadi sebelumnya.
Pemrosesan data pribadi terjadi di berbagai bidang kegiatan ekonomi dan sosial, dan kemajuan
teknologi informasi
membuat pemrosesan dan pertukaran data tersebut jauh lebih mudah.
Menuding teknologi atas permasalahan
privasi
bukanlah hal baru. Sejak tahun 1890, Warren dan Brandeis pernah melayangkan pendapat bahwa privasi sedang diserang oleh "penemuan-penemuan dan metode-metode bisnis baru". Mereka meyakini bahwa tekanan yang dialami masyarakat modern menuntut untuk adanya "hak privasi", guna melindungi apa yang mereka sebut "hak untuk dibiarkan sendiri" (
right to be let alone
).
Mereka menganggap bahwa hak-hak ini harus dilindungi oleh hukum yang ada sebagai bagian dari masalah hak asasi manusia.
Teknologi berperan dalam berbagai masalah privasi, karena mempermudah dalam pengumpulan maupun pemrosesan informasi. Ketika orang-orang menjelajahi
web
, menggunakan
ponsel
dan melakukan transaksi
online
, mereka meninggalkan jejak di mana-mana. Teknologi sendiri tidaklah melanggar privasi, tetapi aktivitas dan tujuan si pengguna teknologi yang sebenarnya dapat menciptakan pelanggaran. Kelebihan atau cacat pada teknologi tidaklah melekat dalam teknologi itu sendiri, tetapi lebih tergantung pada bagaimana mereka digunakan dan sejauh mana penggunaannya diawasi dan dipertanggungjawabkan oleh pihak-pihak yang terlibat.
Memodernisasi sistem hukum perlindungan data pribadi di segala bidang demi memenuhi tantangan globalisasi, perkembangan teknologi, dan kepentingan otoritas publik dengan menerapkan prinsip-prinsip perlindungan data yang efektif, merupakan langkah konkret untuk memperkuat privasi di era
digital
saat ini.
Hukum perlindungan data di Eropa
Hukum perlindungan data mengacu pada skema hukum yang mengatur pengumpulan, kepemilikan, pemrosesan, pengungkapan, dan pemindahan informasi pribadi individu baik dalam jaringan (
online
) maupun di luar jaringan (
offline
). Di
Eropa
, skema hukum ini bertujuan melindungi
hak asasi
individu untuk
kerahasiaan pribadi
(privasi) secara umum, dan hak asasi untuk privasi data secara khusus. Hak-hak ini di Eropa dijamin dalam dua konvensi
supranasional
,
Konvensi Eropa tentang Hak Asasi Manusia
dan
Piagam Hak Asasi UE
.
Perlindungan data di UE juga diakui dalam
Perjanjian Lisboa
(Perjanjian tentang Berfungsinya Uni Eropa) dan Konvensi Perlindungan Data.
Selain itu, hak-hak ini juga diberlakukan oleh masing-masing negara Eropa, Dewan Eropa, dan UE. Setiap aktor swasta atau publik yang bertujuan mengumpulkan, menganalisis, atau memonetisasi informasi pribadi warga Eropa harus meluangkan waktu untuk memahami hak privasi data warga Eropa.
Konsep dasar perlindungan data pribadi pertama kali muncul sekitar tahun 1960. Selanjutnya tahun 1970,
Jerman
adalah negara pertama yang memberlakukan peraturan tentang perlindungan data yang kemudian diikuti oleh hukum nasional
Swedia
pada tahun 1973 dan
Prancis
pada tahun 1978.
Hukum perlindungan data UE
Lebih dari 20 tahun yang lalu,
Masyarakat Eropa
(sekarang UE) merasa perlu untuk menyelaraskan standar perlindungan data di negara anggota untuk memfasilitasi transfer data lintas-batas internal UE. Pada saat itu, undang-undang perlindungan data nasional memberikan tingkat perlindungan yang sangat berbeda dan tidak dapat memberikan kepastian hukum, baik untuk individu maupun untuk pengendali dan pemroses data. Oleh karena itu pada 1995 Masyarakat Eropa mengadopsi Direktif Perlindungan Data yang kemudian digantikan oleh Regulasi
GDPR
pada 2016.
Direktif 95/46/EC
Sebelum adanya Regulasi
GDPR
, pada tahun 1995 UE sudah menerapkan instrumen hukum perlindungan data yaitu Direktif 95/46/EC atau Direktif Perlindungan Data (DPD95).
Direktif ini diterbitkan untuk memastikan keseragaman perlindungan hak dan kebebasan individu yang berkaitan dengan pemrosesan data pribadi di semua negara anggota.
Direktif ini dianggap sebagai perangkat hukum perlindungan data yang paling ketat dan ekstensif di dunia, di dalamnya ditetapkan prinsip-prinsip dasar yang kuat dengan tujuan melindungi hak asasi dan kebebasan individu, termasuk privasi dan data pribadi mereka.
Direktif Perlindungan Data diterapkan tidak hanya di semua negara anggota UE, melainkan juga di negara-negara non-UE dari
Wilayah Ekonomi Eropa
(EEA) yaitu
Islandia
,
Liechtenstein
dan
Norwegia
. Pengecualian dalam penerapan Direktif ini adalah apa yang disebut pengecualian rumah tangga, yaitu pemrosesan data pribadi oleh individu semata-mata untuk keperluan pribadi atau
rumah tangga
. Pemrosesan tersebut umumnya dilihat sebagai bagian dari kebebasan dari privasi individu.
Sesuai dengan undang-undang primer UE yang berlaku pada saat adopsi Direktif Perlindungan Data, ruang lingkup direktif ini terbatas pada masalah pasar internal saja. Untuk masalah kerjasama kepolisian dan peradilan pidana, perlindungan data diambil dari instrumen hukum yang berbeda. Karena Direktif ini hanya tertuju pada negara anggota UE, instrumen hukum tambahan diperlukan untuk mengatur ketentuan perlindungan data yang lebih rinci, misalnya:
- Regulasi (EC) No. 45/2001 diterapkan untuk mengatur pemrosesan data pribadi oleh lembaga-lembaga dan badan UE.
- Direktif 2002/58/EC tentang pemrosesan data pribadi dan perlindungan privasi di sektor komunikasi elektronik (Direktif mengenai privasi dan komunikasi elektronik)
- Direktif 2006/24/EC tentang penyimpanan data yang dihasilkan atau diproses sehubungan dengan penyediaan layanan komunikasi elektronik yang tersedia untuk umum atau dari jaringan komunikasi publik
Kekurangan Direktif Perlindungan Data ini adalah tidak mempertimbangkan aspek-aspek seperti globalisasi (perlindungan data lintas yurisdiksi), perkembangan teknologi, seperti konvergensi teknologi,
jejaring sosial
, dan
komputasi awan
secara memadai.
Direktif ini diberlakukan sebelum menjamurnya
media sosial
, komputasi awan, penyimpanan data massal,
penggalian data
, profil elektronik,
Web 2.0
, serta ancaman-ancaman terhadap keamanan seputar data pribadi.
Di sisi lain karena direktif ini harus diubah terlebih dahulu menjadi undang-undang nasional sebelum diterapkan, menghasilkan implementasi yang berbeda-beda di masing-masing negara anggota UE.
Piagam Hak Asasi UE
Dengan mengakui bahwa kebijakannya dapat berdampak pada
hak asasi manusia
serta untuk membuat warga merasa 'lebih dekat' kepada UE, UE pada tahun 2000 memproklamasikan
Piagam Hak Asasi UE
. Piagam ini menggabungkan hak-hak sipil, politik, ekonomi dan sosial warga negara Eropa, dengan memadukan tradisi konstitusional dan kewajiban
internasional
yang sama bagi negara-negara anggota. Hak-hak yang dijelaskan dalam Piagam dibagi menjadi enam bagian: martabat, kebebasan, kesetaraan, solidaritas, hak warga negara dan keadilan. Meskipun awalnya hanya dokumen politik, Piagam tersebut secara hukum mengikat sebagai hukum utama UE dengan berlakunya
Perjanjian Lisboa
pada 1 Desember 2009. Hukum primer UE juga menetapkan kewenangan UE untuk membuat undang-undang tentang perlindungan data.
Piagam ini tidak hanya menjamin atas kehidupan pribadi dan keluarga, tetapi juga menetapkan hak atas perlindungan data, secara eksplisit meningkatkan perlindungan terhadap hak asasi dalam hukum UE. Lembaga-lembaga UE beserta negara-negara anggota harus mengamati dan menjamin hak-hak ini. Dirumuskan beberapa tahun setelah Direktif Perlindungan Data, Pasal 8 Piagam ini dipahami sebagai perwujudan hukum perlindungan data UE yang sudah ada sebelumnya. Piagam ini tidak hanya secara eksplisit menyebutkan hak atas perlindungan data, tetapi juga mengacu pada prinsip-prinsip perlindungan data utama dalam Pasal 8 (2). Pasal 8 (3) Piagam menetapkan bahwa otoritas independen yang akan mengontrol pelaksanaan prinsip-prinsip ini.
"Setiap orang berhak atas perlindungan data pribadi yang berkenaan dengan mereka."
Regulasi (EU) 2016/679
GDPR
Hukum perlindungan data UE telah lama dianggap sebagai standar emas di seluruh dunia. Namun perkembangan teknologi dan globalisasi yang cukup pesat mengharuskan UE untuk meninjau kembali dan memodernisasi peraturan-peraturan tersebut,
juga diperlukannya pedoman-pedoman dan amendemen baru untuk perlindungan data dan privasi.
Pada 25 Januari 2012,
Komisi Eropa
mengusulkan paket reformasi perlindungan data.
Usulan ini mencakup dua elemen utama: rancangan
regulasi
yang secara umum berurusan dengan perlindungan data (
GDPR
), dan sebuah rancangan
direktif
yang berkaitan dengan pemrosesan data pribadi dalam sistem peradilan pidana.
Setelah lebih dari empat tahun diskusi,
GDPR
baru diadopsi pada 8 April 2016, menggantikan Direktif Perlindungan Data 1995, selain itu juga diadopsi Direktif Perlindungan Data yang baru. Adapun paket perlindungan data UE yang terbaru yaitu:
- Regulasi (EU) 2016/679
GDPR
: regulasi ini sebagai langkah UE untuk memperkuat
hak asasi
warga di era
digital
dan mempermudah
bisnis
dengan menyederhanakan aturan bagi perusahaan-perusahaan di pasar tunggal digital (
digital single market
).
GDPR
merupakan satu perundangan komprehensif untuk seluruh wilayah UE yang dapat menghilangkan fragmentasi dan beban administrasi yang mahal.
GDPR
berlaku untuk siapa pun yang memproses atau yang mengendalikan pemrosesan data pribadi. Mengingat pentingnya ekonomi data, perusahaan-perusahaan akan terpengaruh oleh
GDPR
. Regulasi ini mulai berlaku pada 24 Mei 2016 dan diterapkan mulai 25 Mei 2018.
- Direktif
(EU) 2016/680: direktif ini melindungi hak asasi warga negara untuk perlindungan data setiap kali data pribadinya digunakan oleh otoritas penegak hukum
pidana
. Untuk memastikan bahwa data pribadi korban, saksi, maupun tersangka kejahatan dilindungi sepatutnya dan mempermudah kerjasama lintas batas dalam memerangi kejahatan dan
terorisme
. Direktif ini melindungi individu ketika data pribadi mereka diproses oleh pihak berwenang untuk tujuan pencegahan, penyelidikan, deteksi atau penuntutan pelanggaran pidana atau untuk eksekusi hukuman pidana.
Direktif ini mulai berlaku pada tanggal 5 Mei 2016 dan negara-negara UE harus mentransformasikannya ke dalam hukum nasional mereka pada 6 Mei 2018.
- Peraturan lain mengenai perlindungan data pribadi, serta pihak-pihak berwenang yang bertugas menegakkan hukum tersebut.
Sebagai regulasi,
GDPR
berbeda dengan direktif,
GDPR
secara langsung berlaku di negara-negara anggota UE tanpa perlu penyusunan direktif atau peraturan pelaksanaan oleh negara anggota.
Dengan menyamakan aturan untuk perlindungan data,
GDPR
akan mengarah pada kepastian hukum yang lebih besar dan menghilangkan rintangan potensial terhadap aliran bebas data pribadi.
Beberapa perubahan utama yang digariskan oleh
GDPR
antara lain
:
- Peningkatan ruang lingkup teritorial
- Syarat penyimpanan data yang ditingkatkan
- Peningkatan penalti
- Penunjukan Petugas Perlindungan Data (
Data Protection Officer/DPO
)
- Kewajiban yang lebih luas untuk Pengontrol Data (organisasi yang mengumpulkan dan mengelola data warga UE)
- Kewajiban yang lebih luas untuk Pengolah Data (setiap perusahaan yang memproses data pribadi atas nama Pengontrol Data)
- Pelaporan pembobolan data yang lebih tepat waktu
- Hak atas portabilitas data
- Hak untuk dihapus (hak untuk dilupakan atau
right to be forgotten
)
- Izin subyek data yang diperkuat
Dari perspektif teritorial,
GDPR
tidak membedakan antara pengendali (
controller
) dan prosesor (
processor
) dengan menetapkan lingkup teritorial yang sama untuk keduanya. Utamanya
GDPR
berlaku dalam dua situasi berikut:
- perusahaan atau entitas yang memproses data pribadi sebagai bagian dari kegiatan salah satu cabangnya yang didirikan di UE, terlepas dari mana data diproses, atau
- perusahaan yang didirikan di luar UE yang menawarkan barang/jasa (berbayar atau gratis) atau yang memantau perilaku individu di UE.
Ruang lingkup
GDPR
Organisasi-organisasi
yang ada di UE dan memproses data pribadi milik individu yang berbasis di UE diwajibkan mematuhi
GDPR
paling lambat pada 25 Mei 2018.
GDPR
memperbarui dan mengharmonisasi kerangka kerja dalam memproses data pribadi di UE, memberikan kewajiban-kewajiban baru bagi organisasi dan hak-hak baru bagi para individu.
GDPR
dipandang sebagai solusi atas perlindungan data publik di
internet
sehingga mendorong pengendali data (seperti
media sosial
) untuk lebih waspada dalam melindungi data milik subjek data (pengguna). Di dalam
GDPR
terkandung beberapa poin berikut:
- Syarat dan Ketentuan Harus Sederhana
,
Consent
(izin) dan
Terms of Agreements
(syarat-syarat ketentuan) sering kali diabaikan oleh para pengguna karena tulisan-tulisan tersebut sering kali terlalu panjang dan kecil sehingga sulit untuk dibaca. Pada pasal 7
GDPR
, dijelaskan bahwa tulisan mengenai hal tersebut harus ditulis dengan bahasa yang jelas dan lugas. Bila tidak, maka syarat dan ketentuan tidak akan berlaku. Subyek data (pemilik data) juga memiliki hak untuk membatalkan persetujuan yang mereka berikan pada
Consents
atau
Terms of Agreements
.
Apabila pengguna masih di bawah umur, maka diwakili orang tua atau wali yang memiliki kekuatan hukum untuk menyetujui
Consents
dan
Terms of Agreements
tersebut.
- Lindungi Kehidupan Pribadi Pengguna
, Ada larangan untuk membongkar segala informasi yang mengungkap identitas
ras
,
etnis
,
agama
, keyakinan, data
biometrik
, data kesehatan, dan kehidupan seksual pengguna, seperti yang dijelaskan pada pasal 9
GDPR
. Pemilik data harus terlebih dulu setuju apabila data-data tersebut diproses, tapi pasal ini tidak berlaku bila ada keperluan yang sifatnya darurat seperti penegakan hukum. Itu pun dengan memperhatikan hak-hak asasi pemilik data dapat terjaga.
- Komunikasi Harus Transparan
, Pengendali data (misalnya, media sosial) harus menyajikan informasi yang jelas, mudah dimengerti, dan mudah diakses bila dimintai penjelasan oleh pemilik data. Apabila pengendali data tidak memberikan respons yang diminta, maka mereka diwajibkan untuk segera memberikan penjelasan selambat-lambatnya satu bulan.
- Hak Menghapus Seluruh Data
, Ada istilah
Right to be Forgotten
atau Hak untuk Dilupakan. Pada pasal 17
GDPR
, pemilik data memiliki hak agar data miliknya dihapus secara keseluruhan tanpa ditunda oleh pengendali data. Sebagai contoh, bila pemilik data menyetorkan datanya di sebuah situs, maka situs itu wajib menghapus semua data pengguna bila diminta. Dengan begitu, sebuah situs tidak dapat menyimpan data pengguna yang sudah tidak menggunakan layanan situs tersebut. Ada pengecualian dalam hal ini, contohnya bila penghapusan data bertabrakan dengan perkara hukum, maka data tidak bisa dihapus.
- Hak Mengakses Data
, Pemilik data memiliki hak untuk mendapat konfirmasi perihal pengelolaan data milik mereka. Contohnya tujuan dari pengelolaan data mereka, lalu tentang kategori data milik mereka yang dikelola, atau siapa yang mengelola data pribadi milik mereka. Sama halnya bila data pengguna ditransfer ke pihak ketiga atau organisasi internasional, maka pemilik data berhak mendapat informasi.
Skandal
Cambridge Analytica
merupakan contoh saat data pengguna dipakai oleh pihak ketiga tanpa diketahui. Dalam kasus ini
Facebook
adalah si pengendali data. Kewajiban lain dari pengendali data juga harus memastikan bahwa data pengguna terlindungi bila dipindah ke pihak ketiga, baik pihak ketiga dalam bentuk negara lain atau organisasi internasional. Pemilik data juga memiliki hak protes bila data pribadi mereka dipakai untuk hal-hal pemasaran, misalnya untuk dijadikan target iklan.
- Harus Ada Petugas Pengawas Data
, Tiap negara UE harus menyediakan setidaknya satu badan publik untuk memastikan implementasi regulasi ini, serta memberikan bantuan kepada pemilik data. Dalam pembentukannya, badan tersebut bisa dibentuk oleh pihak pemerintah secara transparan, baik oleh legislatif maupun eksekutif. Seperti yang disebut pada pasal 53
GDPR
, seseorang yang diangkat menjadi anggota pengawasan perlindungan data wajib memiliki kualifikasi, pengalaman, dan kemampuan yang sesuai di bidang perlindungan data, sehingga tidak boleh asal memberi jabatan kepada orang yang tidak punya pemahaman mumpuni terkait bidang digital.
- Penalti
, Ada dua penalti utama yang diberikan bagi yang melanggar regulasi ini, dan tergantung pasal mana yang dilanggar. Penalti yang pertama adalah denda 10 juta euro atau sejumlah 2 persen keuntungan perusahaan, dan yang dijatuhkan adalah jumlah yang paling besar. Penalti yang kedua adalah sebesar 20 juta euro atau denda sejumlah 4 persen keuntungan perusahaan, dan yang dijatuhkan juga jumlah yang paling besar.
Prinsip perlindungan data
GDPR
Pasal 5 pada Bab II
GDPR
menetapkan prinsip-prinsip yang berkaitan dengan pemrosesan data pribadi:
- Keabsahan, keadilan dan transparansi: data pribadi harus diproses secara sah, adil, dan transparan dalam kaitannya dengan subjek data individu.
- Pembatasan tujuan: data pribadi harus dikumpulkan untuk tujuan yang jelas, eksplisit, dan sah serta tidak diproses lebih lanjut dengan cara yang tidak sesuai dengan tujuan tersebut; pengolahan lebih lanjut untuk tujuan pengarsipan untuk kepentingan publik, untuk tujuan penelitian ilmiah atau historis, atau untuk tujuan statistik harus sesuai dengan Pasal 89 (1), jika dianggap tidak sesuai dengan tujuan awal.
- Minimisasi data: data pribadi harus memadai, relevan, dan terbatas pada apa yang diperlukan dalam kaitannya dengan tujuannya diproses.
- Akurasi: data pribadi harus akurat, jika perlu terus diperbarui, setiap langkah harus diambil untuk memastikan data pribadi yang tidak akurat, dihapus atau diperbaiki tanpa penundaan.
- Pembatasan penyimpanan: data pribadi harus disimpan dalam bentuk yang memungkinkan identifikasi subyek data individu tidak lebih lama dari yang diperlukan, data pribadi dapat disimpan untuk periode yang lebih lama jika diproses semata-mata untuk keperluan pengarsipan untuk kepentingan publik, untuk tujuan penelitian ilmiah atau sejarah, atau untuk tujuan statistik sesuai dengan Pasal 89 (1) tunduk pada penerapan yang sesuai dengan langkah-langkah teknis dan organisasional yang disyaratkan oleh
GDPR
untuk melindungi hak dan kebebasan dari subyek data.
- Integritas dan kerahasiaan: data pribadi harus diproses secara aman, termasuk perlindungan terhadap pemrosesan yang tidak sah atau melanggar hukum serta perlindungan terhadap kehilangan, penghancuran, atau kerusakan yang tidak disengaja.
Pengendali (
controller
) harus bertanggung jawab, dan mampu menunjukkan kepatuhan terhadap prinsip-prinsip ini ("akuntabilitas"). Artinya catatan dan bukti kepatuhan harus ada.
Otoritas Perlindungan Data
Otoritas Perlindungan Data (
Data Protection Authority
) adalah badan nasional negara anggota UE yang bertugas memberikan nasihat tentang regulasi perlindungan data. Selain itu, petugas perlindungan data dari pihak organisasi juga harus bekerja sama dan memberikan rincian kontak mereka kepada otoritas pengawas perlindungan data.
GDPR
menetapkan bahwa setiap otoritas perlindungan data memiliki tugas-tugas berikut:
- Memantau dan melaksanakan penerapan
GDPR
- Meningkatkan kesadaran dan pemahaman publik mengenai risiko, aturan, perlindungan, dan hak-hak terkait dengan pemrosesan. Kegiatan yang ditujukan khusus untuk anak-anak mendapat perhatian khusus.
- Memberi saran sesuai dengan undang-undang negara anggota, parlemen nasional, pemerintah, dan lembaga atau badan lain tentang tindakan legislatif dan administratif yang berkaitan dengan perlindungan hak-hak individu terkait dengan pemrosesan.
- Meningkatkan kesadaran pengendali dan pemroses akan kewajiban mereka di bawah
GDPR
- Memberikan informasi kepada setiap subyek data terkait pelaksanaan hak-hak mereka di bawah
GDPR
dan bekerja sama dengan otoritas supervisi perlindungan data di negara-negara anggota lainnya.
- Menangani pengaduan yang diajukan oleh subjek data individu atau oleh badan, organisasi, atau asosiasi sesuai dengan Pasal 80, menyelidiki pokok permasalahan pengaduan, dan menginformasikan pada pengadu tentang kemajuan dan hasil penyelidikan dalam waktu yang wajar, khususnya jika penyelidikan lebih lanjut atau koordinasi dengan otoritas pengawas perlindungan data lain diperlukan.
Pada 25 Mei 2018,
Article 29 Working Party
tidak ada lagi dan digantikan oleh Badan Perlindungan Data Eropa (
European Data Protection Board
) yang mengelompokkan semua 28 otoritas perlindungan data, memiliki wewenang untuk memberikan panduan dan interpretasi dan mengambil keputusan yang mengikat jika beberapa negara UE menghadapi kasus yang sama.
Perwakilan
Organisasi-organisasi di luar UE yang menargetkan atau berurusan dengan data pribadi di UE harus memiliki perwakilan yang ditunjuk untuk menangani masalah tersebut.
Pengendali atau prosesor yang tidak didirikan di UE yang memproses data pribadi dari setiap subyek data yang berada di UE, dan kegiatan pemrosesannya terkait dengan penawaran barang atau jasa, harus menunjuk perwakilan yang bertindak atas nama pengendali atau prosesor tersebut dan dapat dipanggil oleh otoritas pengawas perlindungan data.
Pengecualian
GDPR
juga merujuk pada isu-isu yang dikecualikan:
GDPR
tidak membahas keamanan nasional,
GDPR
tidak berlaku untuk pemrosesan data oleh orang perseorangan dalam kegiatan yang murni pribadi atau rumah tangga (tidak berhubungan dengan aktivitas profesional atau komersial),
GDPR
tidak mengurangi penerapan Direktif
Perdagangan elektronik
(
eCommerce Directive
).
GDPR
juga tidak mengatur data tentang perusahaan atau entitas hukum lainnya. Salah satu pengecualian yang paling penting adalah
GDPR
hanya berlaku untuk data pribadi individu yang masih hidup, sehingga tidak termasuk data individu yang sudah tiada.
GDPR
tidak berlaku untuk pemrosesan data pribadi:
- Dalam kegiatan yang berada di luar ruang lingkup undang-undang UE.
- Oleh negara-negara anggota ketika melakukan kegiatan yang termasuk dalam ruang lingkup Bab 2
Title
V dalam
Perjanjian Uni Eropa
.
- Oleh individu dengan tujuan murni kegiatan pribadi atau rumah tangga.
- Oleh otoritas yang berkompeten untuk tujuan pencegahan, penyelidikan, deteksi, atau penuntutan pelanggaran pidana atau pelaksanaan hukuman pidana, termasuk perlindungan dan mencegah ancaman keamanan publik.
Untuk pemrosesan data pribadi oleh lembaga-lembaga UE, regulasi yang berbeda telah diberlakukan. Regulasi (EC) No 45/2001 dan instrumen hukum UE lainnya yang berlaku untuk pemrosesan data pribadi disesuaikan dengan prinsip dan aturan
GDPR
.
ePrivacy
Legislasi
ePrivacy
perlu disesuaikan agar sejalan dengan
GDPR
. Rancangan resmi pertama dari Regulasi
ePrivacy
(ePR) dipresentasikan oleh Komisi pada 10 Januari 2017 yang diusulkan untuk menggantikan Direktif
ePrivacy
lama (Direktif 2008/58/EC) untuk memastikan privasi yang lebih kuat dalam komunikasi elektronik, sekaligus membuka peluang bisnis baru,
sehingga memperkuat kepercayaan dan keamanan di Pasar Tunggal Digital (
Digital Single Market
). Penegakan aturan kerahasiaan dalam Regulasi ini akan menjadi tanggung jawab otoritas perlindungan data.
Sementara
GDPR
adalah peraturan umum untuk data pribadi yang disimpan atau digunakan oleh perusahaan,
ePrivacy
merupakan
lex specialis
untuk
GDPR
dalam bidang komunikasi. Artinya ketika masalah privasi data muncul sehubungan dengan komunikasi, para regulator akan menggunakan
ePrivacy
.
Hari pertama pemberlakuan
GDPR
Saat hari pertama pemberlakuan
GDPR
pada Jumat tanggal 25 Mei 2018, beberapa perusahaan
teknologi
besar sudah melanggar aturan baru tersebut.
Facebook
serta anak perusahaannya
Whatsapp
dan
Instagram
, juga
Google
akan menghadapi tuntutan hukum karena gagal mematuhi
GDPR
. Perusahaan-perusahaan tersebut dapat dikenai denda miliaran dolar jika regulator Eropa sepakat bahwa mereka memang gagal mematuhinya (denda 4% dari penghasilan tahunan setiap kali perusahaan-perusahaan tersebut melanggar). Laporan terhadap
Facebook
diajukan oleh regulator data
Austria
,
Google
oleh regulator
Prancis
,
WhatsApp
oleh regulator
Jerman
dan
Instagram
oleh regulator
Belgia
segera setelah regulasi tersebut mulai berlaku saat tengah malam.
Beberapa organisasi juga belum dapat memenuhi tenggat waktu untuk mematuhi perubahan tersebut. Sejumlah situs web mengalami
down
termasuk para penyedia berita utama di UE, mereka memposting informasi kepada pembaca mengenai peraturan baru tersebut.
Tronc
, perusahaan penerbitan pemilik
Los Angeles Times
,
Chicago Tribune
,
New York Daily News
, dan surat kabar lainnya, telah mematikan seluruh daftar situs webnya bagi pengguna Eropa. Sebagian besar situs berita utama lainnya tidak terpengaruh oleh perubahan kebijakan tersebut, meskipun
USA Today
dan
NPR
memberi pengumuman untuk pengguna Eropa. Dalam kasus
NPR
, pengguna harus setuju dengan pelacakan atau mengunjungi versi teks biasa dari situs web mereka.
Shutdown
masal ini membuktikan masih banyak yang tidak siap untuk perubahan dalam hal hukum privasi. Saat tenggat waktu mendekati, kotak masuk
email
para pengguna internet dipenuhi dengan kebijakan privasi yang diperbarui, menunjukkan betapa waswasnya perusahaan-perusaahaan ini akan denda yang dikenakan.
Adopsi masal standar privasi
GDPR
oleh perusahaan internasional dirujuk sebagai contoh "efek Brussels" (
Brussels effect
), sebuah fenomena di mana undang-undang dan regulasi Eropa digunakan sebagai dasar global karena gravitas mereka.
Perusahaan raksasa
Microsoft
menegaskan komitmennya terhadap
GDPR
, mereka akan menerapkannya tidak hanya untuk konsumennya di Eropa saja, tetapi juga diberlakukan untuk pelanggannya di seluruh dunia. Mereka memiliki lebih dari 1.600 engineer untuk mengerjakan berbagai proyek terkait
GDPR
.
Catatan kaki
Referensi
- Dewi, Sinta (2016). "Konsep Perlindungan Hukum atas Privasi dan Data Pribadi Dikaitkan dengan Penggunaan Cloud Computing di Indonesia".
Yustisia
.
Surakarta
: Universitas Sebelas Maret.
5
(1): 35?53.
doi
:
10.20961/yustisia.v5i1.8712
.
ISSN
2549-0907
.
- Dorraji, Seyed Ebrahim; Barcys, Mantas (2014). "Privacy in Digital Age: Dead or Alive?! Regarding the New EU Data Protection Regulations".
Social Technologies
(dalam bahasa Inggris).
Lithuania
: Mykolas Romeris University.
4
(3): 306?317.
doi
:
10.13165/ST-14-4-2-05
.
ISSN
2029-7564
.
- Dropbox
(2018).
"Pusat Panduan GDPR Dropbox"
.
San Francisco
: Dropbox
. Diakses tanggal
22 Mei
2018
.
- Eickmeier, Frank (2018).
"What does the ePrivacy Regulation mean for the online industry?"
(dalam bahasa Inggris).
Hamburg
: ePrivacy GmbH
. Diakses tanggal
14 Juni
2018
.
- European Commission
.
"Data protection in the EU"
(dalam bahasa Inggris).
Brussels
: European Commission
. Diakses tanggal
21 Mei
2018
.
- European Commission
(2017).
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications)
.
COM/2017/010 final
.
Brussels
: General for Communications Networks, Content and Technology.
- European Commission
(2018a).
A new era for data protection in the EU ? What changes after May 2018
(PDF)
(dalam bahasa Inggris).
Brussels
: European Commission
. Diakses tanggal
14 Juni
2018
.
- European Commission
(2018b).
"Proposal for an ePrivacy Regulation"
(dalam bahasa Inggris).
Brussels
: European Commission
. Diakses tanggal
14 Juni
2018
.
- European Communities
(1995).
"Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data"
.
Official Journal of the European Communities
. L 281 (dalam bahasa Inggris).
Brussels
: Publication Office.
38
: 0031?0050.
ISSN
0378-6978
.
- European Communities
(2001).
"Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data"
.
Official Journal of the European Communities
. L 008 (dalam bahasa Inggris).
Brussels
: Publication Office.
44
: 0001?0022.
ISSN
0378-6978
.
- European Union
(2012).
"Charter of Fundamental Rights of the European Union"
.
Official Journal of the European Union
. C 326 (dalam bahasa Inggris).
Brussels
: Publication Office.
55
: 391?407.
ISSN
1977-091X
.
- European Union
(2014).
Handbook on European data protection law
(dalam bahasa Inggris).
Belgium
: Publications Office of the European Union.
doi
:
10.2811/69915
.
ISBN
978-92-871-9934-8
.
- European Union
(2016a).
"Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance)"
.
Official Journal of the European Union
. L 119 (dalam bahasa Inggris).
Brussels
: Publication Office.
59
: 1?88.
ISSN
1977-0677
.
- European Union
(2016b).
How will the data protection reform help fight international crime?
.
Factsheet
(dalam bahasa Inggris).
Brussels
: Publication Office.
doi
:
10.2838/57129
.
ISBN
978-92-79-60494-2
.
- Forrest, Conner (2018).
"GDPR vs. ePrivacy: The 3 differences you need to know"
.
TechRepublic
(dalam bahasa Inggris).
California
: CBS Interactive Inc
. Diakses tanggal
16 Juni
2018
.
- Kaplan, Michael (2018).
"Facebook and Google are already facing lawsuits under new data rules"
.
CNN.com
(dalam bahasa Inggris).
Atlanta
: Turner Broadcasting Network Inc
. Diakses tanggal
25 Mei
2018
.
- Kurnia, Tommy (2018). Iskandar, ed.
"Perlindungan Data Uni Eropa Terganas di Dunia, Berikut 7 Faktanya"
.
Liputan6.com
.
Jakarta
: PT Liputan Enam Dot Com
. Diakses tanggal
22 Mei
2018
.
- Lahiri, Kris (2018).
"What Is General Data Protection Regulation?"
.
Forbes
(dalam bahasa Inggris). Jersey City: Forbes Media
. Diakses tanggal
21 Mei
2018
.
- Lambert, Paul (2017).
Understanding the new European data protection rules
(dalam bahasa Inggris). Boca Raton: CRC Press.
ISBN
978-1-138-06983-1
.
- Lecher, Colin (2018).
"Major US news websites are going down in Europe as GDPR goes into effect"
.
The Verge
(dalam bahasa Inggris).
New York
: Vox Media Inc
. Diakses tanggal
25 Mei
2018
.
- Librianty, Andina (2018). R., Jeko I., ed.
"Microsoft Bakal Terapkan Hak Privasi Perlindungan Data Eropa di Dunia"
.
Liputan6.com
.
Jakarta
: PT Liputan Enam Dot Com
. Diakses tanggal
26 Mei
2018
.
- McCarty-Snead, Steven S. & Hilby, Anne Titus (2013).
"Research Guide to European Data Protection Law"
.
Legal Research Series
(dalam bahasa Inggris).
New York
: Elsevier Inc.
1
.
- Robert, Jeff John (2018).
"The GDPR Is in Effect: Should U.S. Companies Be Afraid?"
.
Fortune
.
New York
: Time Inc
. Diakses tanggal
15 Juni
2018
.
- Russell, Chad & Fuller, Shane (2017).
GDPR For Dummies®, MetaCompliance Special Edition
(PDF)
(dalam bahasa Inggris).
UK
: John Wiley & Sons, Ltd.
ISBN
978-1-119-41926-6
. Diarsipkan dari
versi asli
(PDF)
tanggal 2018-06-17
. Diakses tanggal
2018-06-17
.
- Voigt, Paul & Bussche, Axel von dem (2017).
The EU General Data Protection Regulation (GDPR): A Practical Guide
(dalam bahasa Inggris).
Switzerland
: Springer International Publishing AG.
doi
:
10.1007/978-3-319-57959-7
.
ISBN
978-3-319-57959-7
.