English

GDPR (General Data Protection Regulation)

General Data Protection Regulation – lebih umum disebut sebagai GDPR – berlaku untuk semua organisasi di seluruh dunia yang memroses data pribadi warga negara Uni Eropa, sehingga menjadi undang-undang perlindungan data global pertama. GDPR diperkenalkan berdasarkan fakta bahwa banyak bisnis dan layanan yang beroperasi lintas batas, sehingga konsistensi internasional terkait hukum dan hak perlindungan data menjadi penting baik untuk organisasi maupun individu. Ekonomi digital yang makin berkembang juga menjadikan GDPR penting agar terdapat perlindungan terkait data, dan individu pemilik data tersebut.

Jika organisasi Anda masuk dalam deskripsi di atas, organisasi Anda mempunyai kewajiban hukum untuk mematuhi GDPR. GDPR menempatkan penekanan yang lebih besar pada dokumentasi yang harus disimpan data controller (pengendali data) untuk menunjukkan akuntabilitas mereka. Kepatuhan atas semua area kunci mengharuskan organisasi Anda meninjau pendekatannya terkait tata kelola dan bagaimana organisasi mengelola perlindungan data sebagai isu perusahaan. Salah satu aspeknya adalah meninjau kontrak dan pengaturan lainnya yang Anda miliki ketika berbagi data dengan organisasi lain.

Gambaran ini menyoroti tema utama GDPR untuk membantu Anda memahami kerangka kerja hukum di Uni Eropa. GDPR adalah untuk mereka yang mempunyai tanggung jawab sehari-hari terkait perlindungan data.

Untuk siapa GDPR berlaku?

  • GDPR berlaku untuk ‘controller’ dan ‘processor’. Controller menentukan bagaimana dan mengapa data pribadi diproses, dan processor bertindak mewakili controller.
  • Jika Anda seorang processor, GDPR menempatkan kewajiban hukum spesifik pada Anda, contohnya, Anda diwajibkan menyimpan catatan data pribadi dan aktivitas pemrosesan. Anda akan memiliki kewajiban hukum yang jauh lebih tinggi jika Anda bertanggung jawab atas terjadinya penerobosan data. Kewajiban untuk processor ini merupakan persyaratan baru berdasarkan GDPR.
  • Tetapi jika Anda seorang controller, Anda tidak terbebas dari kewajiban Anda walau processor juga dilibatkan dalam pekerjaan – GDPR menempatkan kewajiban lain pada Anda untuk memastikan kontrak Anda dengan processor sudah mematuhi GDPR.
  • GDPR berlaku untuk pemrosesan yang dijalankan oleh organisasi yang beroperasi dalam wilayah Uni Eropa.
  • GDPR juga berlaku untuk organisasi di luar Uni Eropa yang menawarkan barang atau jasa kepada individu di Uni Eropa.
  • GDPR tidak berlaku untuk aktivitas tertentu termasuk pemrosesan yang dilindungi oleh Law Enforcement Directive (Arahan Penegakan Hukum), pemrosesan untuk tujuan keamanan nasional dan pemrosesan yang dijalankan oleh individu yang murni untuk aktivitas pribadi/rumah tangga.

GDPR berlaku untuk informasi apa saja?

Data Pribadi

GDPR berlaku untuk ‘data pribadi’. Tetapi, definisi GDPR lebih terperinci dan membuat jelas bahwa informasi seperti pengidentifikasi daring – misalnya alamat IP – merupakan data pribadi. Definisi yang semakin luas membuat sejumlah besar pengidentifikasi pribadi menjadi data pribadi, yang mencerminkan perubahan dalam teknologi dan cara organisasi mengumpulkan informasi tentang orang-orang.

Untuk sebagian besar organisasi yang menyimpan catatan SDM, daftar pelanggan, atau detail kontak, perubahan atas definisi tersebut harusnya membawa perbedaan praktis yang kecil. Anda dapat berasumsi bahwa jika Anda menyimpan informasi yang berada dalam cakupan Undang-Undang Perlindungan Data, berarti informasi tersebut akan masuk dalam cakupan GDPR.

GDPR berlaku baik untuk sistem pengarsipan data pribadi otomatis maupun manual dimana data pribadi dapat diakses berdasarkan kriteria tertentu.

Data pribadi yang sudah disamarkan – misalnya dijadikan kode kunci – dapat masuk dalam cakupan GDPR tergantung dari seberapa sulit memberi samaran untuk individu tertentu.

Data pribadi yang sensitif

GDPR mengacu pada data pribadi sensitif sebagai “kategori khusus data pribadi” (lihat Pasal 9).

Contohnya, kategori khusus secara spesifik menyertakan data genetik dan data biometrik yang diproses agar dapat mengidentifikasi seseorang secara unik.

Data pribadi yang berhubungan dengan hukuman kriminal dan kejahatan tidak disertakan, tapi perlindungan ekstra yang serupa berlaku untuk pemrosesannya (lihat Pasal 10).

Jargon Buster

A Glossary of terms used in this article:

IP address (alamat IP)

Alamat Protokol Internet: alamat unik yang digunakan untuk mengidentifikasi suatu komputer atau perangkat seluler di internet.