Peraturan Perlindungan Data Umum (GDPR) adalah undang-undang Uni Eropa baru yang berlaku hari ini, dan itulah alasan Anda menerima email dan pemberitahuan nonstop tentang pembaruan kebijakan privasi. Jadi, bagaimana hal ini memengaruhi Anda? Inilah yang perlu Anda ketahui.
Undang-undang GDPR baru mulai berlaku hari ini, 25 Mei 2018, dan mencakup perlindungan data dan privasi bagi warga negara UE, tetapi juga berlaku untuk banyak negara lain dengan berbagai cara, dan karena semua raksasa teknologi adalah perusahaan multinasional yang besar. , ini memengaruhi banyak hal yang Anda gunakan setiap hari.
Masalah yang Mencoba Dipecahkan GDPR: Perusahaan Mengumpulkan dan Menyalahgunakan Info Pribadi Anda
Sejak awal internet, perusahaan telah mengumpulkan data sebanyak mungkin tentang siapa pun yang mereka bisa. Sangat mudah untuk mengumpulkan informasi itu, jadi tidak ada alasan bagi mereka untuk tidak menyimpannya.
Masalahnya adalah selama beberapa tahun terakhir, banyak perusahaan yang tertangkap basah gagal melindungi — atau langsung menyalahgunakan — informasi pribadi Anda. Skandal Cambridge Analytica , di mana seorang peneliti menggunakan kuis Facebook untuk mengumpulkan data dalam jumlah besar tentang jutaan pengguna Facebook dan kemudian menjualnya ke perusahaan konsultan, hanyalah contoh terbaru. Peretasan Equifax tahun lalu sangat buruk karena informasi yang bocor dapat digunakan untuk membuka kartu kredit . Dan itu hanya skandal besar. Banyak perusahaan telah menyalahgunakan data Anda dengan cara yang lebih kecil, seperti menjualnya ke perusahaan periklanan pihak ketiga.
Uni Eropa telah mengambil pandangan yang redup dari situasi ini dan menggunakan GDPR untuk mencoba dan memperbaikinya. Di bawah undang-undang baru, perusahaan yang tidak melindungi data konsumen secara memadai atau menyalahgunakannya dengan cara apa pun akan dikenakan denda yang besar.
Apa itu Data Pribadi yang Dianggap?
GDPR melindungi "data pribadi", yang di sini berarti "informasi apa pun yang berkaitan dengan orang yang teridentifikasi atau dapat diidentifikasi" —dan itu definisi yang cukup luas. Pada kenyataannya, data pribadi biasanya mencakup hal-hal seperti:
- Data biografi seperti nama, alamat, nomor telepon, nomor jaminan sosial, dan sebagainya.
- Data yang berkaitan dengan penampilan dan perilaku fisik Anda seperti warna rambut, ras, dan tinggi badan.
- Informasi tentang pendidikan dan riwayat pekerjaan Anda seperti gaji, gelar sarjana, IPK, NPWP, dan sebagainya.
- Data medis atau genetik apa pun.
- Hal-hal seperti riwayat panggilan Anda, pesan pribadi, atau data lokasi geografis.
Ini jauh dari daftar lengkap. Kuncinya adalah bahwa setiap data yang membuat Anda dapat diidentifikasi berarti. Dalam keadaan tertentu, warna rambut Anda mungkin sudah cukup. Di negara lain, bahkan nama lengkap Anda — jika itu sesuatu yang umum seperti Robert Smith — mungkin tidak membuat Anda dapat dikenali.
Apa yang Dilakukan GDPR?
GDPR memberi penduduk Uni Eropa yang data pribadinya dikumpulkan — disebut "subjek data" dalam undang-undang — delapan hak. Mereka:
- Hak untuk diinformasikan: Jika perusahaan mengumpulkan data, mereka perlu memberi tahu subjek data apa yang dikumpulkan, mengapa dikumpulkan, untuk apa digunakan, berapa lama akan disimpan, dan apakah akan dibagikan dengan pihak ketiga. Informasi ini tidak dapat dikubur jauh di dalam persyaratan layanan yang tidak dibaca siapa pun; itu harus ringkas dan dalam bahasa yang sederhana.
- Hak untuk mengakses: Jika mereka memintanya, organisasi mana pun yang memiliki data pribadi mengenai subjek data harus memberikannya kepada mereka dalam waktu satu bulan.
- Hak untuk perbaikan: Jika subjek data menemukan bahwa perusahaan memiliki data yang salah, mereka dapat meminta untuk diperbarui. Perusahaan memiliki waktu satu bulan untuk mematuhi.
- Hak untuk menghapus: Subjek data dapat meminta agar perusahaan menghapus data apa pun yang disimpan di dalamnya dalam keadaan tertentu. Misalnya, jika data tidak lagi diperlukan atau mereka menarik persetujuan mereka untuk digunakan.
- Hak untuk membatasi pemrosesan: Jika suatu organisasi tidak dapat menghapus data subjek data — misalnya, karena mereka membutuhkannya untuk kasus hukum — maka mereka dapat meminta perusahaan untuk membatasi cara penggunaannya.
- Hak atas portabilitas data: Subjek data memiliki hak untuk mengambil data pribadinya dari satu layanan dan menggunakannya dengan layanan lain.
- Hak untuk menolak: Jika data dikumpulkan tanpa persetujuan tetapi untuk kepentingan bisnis yang sah, untuk kepentingan umum, atau oleh otoritas resmi, subjek data dapat menolak. Organisasi kemudian harus berhenti memproses data hingga mereka dapat membuktikan bahwa mereka memiliki alasan yang sah untuk melakukannya.
- Hak yang terkait dengan pengambilan keputusan otomatis termasuk pembuatan profil: GDPR menerapkan pengamanan sehingga individu dapat menolak atau mendapatkan penjelasan tentang keputusan otomatis yang memengaruhi mereka dan datanya.
Bagian besar lainnya dari peraturan ini adalah bahwa perusahaan harus memiliki alasan yang sah untuk mengumpulkan atau memproses data apa pun. Salah satu alasan yang sah adalah bahwa mereka telah memperoleh izin untuk menggunakannya untuk tujuan tertentu, tetapi ada alasan lain yang sepertinya mereka membutuhkannya untuk mematuhi kewajiban hukum atau bahwa mengumpulkannya untuk kepentingan umum.
Seperti yang Anda lihat, hak yang diberikan kepada penduduk UE di bawah hukum cukup luas dan memaksa perusahaan yang mengumpulkan data dari mereka untuk benar-benar memikirkan tentang apa yang mereka kumpulkan dan mengapa. Masa lalu hanya mengumpulkan semua yang mereka bisa dan berharap mereka menemukan kegunaannya nanti sudah berlalu — setidaknya di Eropa. Inilah sebabnya mengapa hampir setiap layanan yang pernah Anda berikan alamat email Anda menghubungi Anda.
Yang membuat banyak perusahaan berselisih adalah sanksi karena tidak mematuhi GDPR cukup keras. Sebuah organisasi dapat didenda hingga € 20 juta atau 4% dari pendapatan tahunan mereka di seluruh dunia (mana saja yang lebih besar) berdasarkan undang-undang. Untuk perusahaan seperti Amazon atau Google, ini berarti denda potensial miliaran dolar jika mereka salah menangani data penduduk UE.
Apa Arti GDPR bagi Orang Amerika?
Sepanjang artikel ini, kami telah berfokus pada hak apa yang diberikan GDPR kepada penduduk UE karena alasannya yang sederhana bahwa ini adalah hukum UE. Ini sebenarnya tidak berlaku untuk warga negara Amerika, kecuali mereka juga tinggal di UE. Alasan Anda menerima semua email adalah karena sebagian besar perusahaan tidak tahu siapa penduduk UE dan siapa yang bukan.
Namun, ini tidak berarti bahwa GDPR tidak akan memengaruhi Anda. Hal ini menyebabkan banyak perusahaan mengevaluasi ulang cara mereka menangani data konsumen dan beberapa dari mereka mulai berbicara tentang meluncurkan hak GDPR kepada penduduk non-UE. Dan juga lebih mudah bagi perusahaan untuk menerapkan satu rangkaian aturan untuk semua pelanggan dalam banyak kasus.
Misalnya Apple telah meluncurkan portal privasi baru di mana orang dapat mengunduh semua data pribadi mereka atau menghapus akun mereka, dengan kata lain memberi orang hak akses dan penghapusan. Untuk saat ini, hanya akun berbasis UE yang dapat menggunakannya tetapi Apple berencana untuk meluncurkannya di seluruh dunia selama beberapa bulan ke depan . Begitu pula halnya dengan Facebook bergumam tentang memberikan perlindungan GDPR yang sama kepada beberapa pengguna di luar UE .
