Apa itu Peraturan Perlindungan Data Umum (GDPR)?
Peraturan Perlindungan Data Umum (GDPR) adalah kerangka hukum yang menetapkan pedoman untuk pengumpulan dan pemrosesan informasi pribadi dari individu yang tinggal di Uni Eropa (UE). Karena Peraturan ini berlaku terlepas dari di mana situs web didasarkan, itu harus diperhatikan oleh semua situs yang menarik pengunjung Eropa, bahkan jika mereka tidak secara khusus memasarkan barang atau jasa kepada penduduk UE.
GDPR mengamanatkan bahwa pengunjung UE diberikan sejumlah pengungkapan data. Situs ini juga harus mengambil langkah-langkah untuk memfasilitasi hak-hak konsumen UE tersebut sebagai pemberitahuan tepat waktu jika data pribadi dilanggar. Diadopsi pada bulan April 2016, Peraturan ini mulai berlaku pada Mei 2018, setelah masa transisi dua tahun.
Persyaratan Layanan Pelanggan dari GDPR
Di bawah aturan, pengunjung harus diberitahu tentang data yang dikumpulkan situs dari mereka dan secara eksplisit menyetujui pengumpulan informasi itu, dengan mengklik tombol Setuju atau tindakan lain. (Persyaratan ini sebagian besar menjelaskan keberadaan pengungkapan di mana-mana bahwa situs mengumpulkan "cookie" - file kecil yang menyimpan informasi pribadi seperti pengaturan situs dan preferensi.)
Situs juga harus memberi tahu pengunjung secara tepat waktu jika ada data pribadi mereka yang disimpan oleh situs dilanggar. Persyaratan UE ini mungkin lebih ketat daripada yang disyaratkan dalam yurisdiksi tempat situs tersebut berada.
Juga diamanatkan adalah penilaian keamanan data situs, dan apakah petugas perlindungan data khusus (DPO) perlu dipekerjakan atau staf yang ada dapat menjalankan fungsi ini.
Informasi tentang cara menghubungi DPO dan staf terkait lainnya harus dapat diakses sehingga pengunjung dapat menggunakan hak data UE mereka, yang juga mencakup kemampuan untuk menghapus kehadiran mereka di situs, di antara langkah-langkah lainnya. (Secara alami, situs juga harus menambahkan staf dan sumber daya lainnya untuk dapat melakukan permintaan tersebut.)
Peraturan dan Mandat Lain dari Peraturan Perlindungan Data Umum (GDPR)
Sebagai perlindungan lebih lanjut bagi konsumen, GDPR juga meminta setiap informasi yang dapat diidentifikasi secara pribadi (PII) yang dikumpulkan oleh situs untuk dianonimkan (diterjemahkan secara anonim, seperti istilah yang tersirat) atau nama samaran (dengan identitas konsumen diganti dengan nama samaran). Pseudonimisasi data memungkinkan perusahaan untuk melakukan beberapa analisis data yang lebih luas, seperti menilai rasio utang rata-rata pelanggan di wilayah tertentu — perhitungan yang mungkin di luar tujuan asli data yang dikumpulkan untuk menilai kelayakan kredit untuk pinjaman.
GDPR memengaruhi data di luar yang dikumpulkan dari pelanggan. Paling menonjol, mungkin, peraturan tersebut berlaku untuk catatan karyawan sumber daya manusia.
Kontroversi Terkait Dengan GDPR
GDPR telah menuai kritik di beberapa tempat. Persyaratan untuk menunjuk DPO, atau hanya untuk menilai kebutuhan mereka, beberapa mengatakan, membebankan beban administrasi yang tidak semestinya pada beberapa perusahaan. Beberapa juga mengeluh bahwa pedoman tersebut terlalu kabur tentang cara terbaik untuk menangani data karyawan.
Selain itu, data tidak dapat ditransfer ke negara lain di luar UE, kecuali jika perusahaan penerima menjamin tingkat perlindungan yang sama seperti yang disyaratkan UE. Hal ini menimbulkan keluhan tentang gangguan mahal pada praktik bisnis.
Ada kekhawatiran lebih lanjut bahwa biaya yang terkait dengan GDPR akan meningkat dari waktu ke waktu, sebagian karena meningkatnya kebutuhan untuk mendidik pelanggan dan karyawan tentang ancaman dan solusi perlindungan data. Ada juga skeptisisme tentang bagaimana agen perlindungan data yang layak di Uni Eropa dan di luarnya dapat menyelaraskan penegakan dan interpretasi mereka terhadap peraturan, dan dengan demikian memastikan tingkat permainan yang sama ketika GDPR mulai berlaku sepenuhnya.
