Skip to content
Ditulis.ID – Kembali pada tahun 1999, guru marketing Seth Godin menulis bahwa “permission marketing adalah privilege (bukan hak) untuk menyampaikan pesan yang diantisipasi, pribadi dan relevan kepada orang-orang yang benar-benar ingin mendapatkannya”, dalam bukunya yang inovatif ‘Permission Marketing’.
Kata-kata ini terdengar benar saat itu seperti yang mereka lakukan hari ini dan merangkum dasar untuk perubahan dalam cara organisasi diharapkan untuk memproses data pribadi kita.
“Sudah 18 tahun sejak buku itu pertama kali diterbitkan. Dunia telah banyak berubah pada saat itu: tidak hanya teknologi, tetapi juga model bisnis, sikap orang terhadap data mereka, dan permintaan mereka agar informasi mereka dijaga dengan baik. Ini adalah akar dari GDPR: modernisasi undang-undang perlindungan data. Tetapi prinsip bahwa menumbuhkan kepercayaan konsumen adalah inti dari bisnis – dan memang untuk sebagian besar layanan yang ditawarkan oleh sektor publik – masih berlaku seperti sebelumnya,” kata Elizabeth Denham, Komisaris Informasi Inggris yang menulis dalam ‘Journal of Data Protection & Privacy’.
Diimplementasikan pada Mei 2018, Peraturan Perlindungan Data Umum – atau disingkat GDPR – berlaku di seluruh Uni Eropa dan secara mendasar mengubah cara orang bisa berbagi informasi tentang diri mereka sendiri dan preferensi mereka dengan organisasi yang memproses data pribadi mereka.
Untuk semua organisasi sektor swasta, publik dan sukarela, ini adalah pengubah permainan. Apa yang diminta untuk kita lakukan adalah me-reboot pemikiran kita tentang perlindungan data dan privasi untuk era digital.
Konsep data pribadi telah diubah dan sekarang mencakup hampir semua hal yang bisa mengidentifikasi kamu dan saya. Bukan hanya nama atau MAC address smartphone kamu, tetapi bahkan tim olahraga yang kamu dukung. Semua ini sekarang dilindungi data pribadi.
Orang-orang sekarang mempunyai lebih banyak kekuatan untuk berbelanja menggunakan data pribadi mereka. Kami bisa membandingkan harga secara online dengan membagikan tagihan kami untuk hal-hal seperti listrik dan menghemat uang dengan beralih pemasok.
Kami mempunyai lebih banyak kekuatan untuk mengakses catatan pribadi yang disimpan pada kami dan memastikan bahwa itu mutakhir. Dan jika ini bukan masalahnya, kami berhak mengubahnya. Ini termasuk menambahkan lebih banyak informasi sehingga catatan tidak akurat.
Pada akhirnya, kami mempunyai lebih banyak kekuatan dan lebih banyak pilihan yang kami miliki. Kekuatan utama kami adalah memberikan serta mengambil kembali persetujuan untuk pemrosesan data pribadi.
Landasan dari semua ini adalah Pemberitahuan Privasi Data yang berhak kami terima, terlepas dari dasar hukum pemrosesannya. Ini adalah hak mutlak yang kamu dan saya miliki di bawah GDPR, dan atas dasar itu itu sangat penting.
Semua perusahaan – besar dan kecil – harus meningkatkan permainan mereka jika mereka ingin berbisnis dengan kami. Itu berarti kami berhak atas Pemberitahuan Privasi Data yang menjelaskan dalam bahasa biasa apa yang akan mereka lakukan dengan data kami dan bagaimana mereka akan memastikan tidak ada bahaya atau kerusakan yang terjadi pada kami sebagai akibatnya.
Abaikan semua ini dan perusahaan bisa menghadapi sanksi dan denda yang signifikan yang bisa mencapai 4% dari omset tahunan global atau € 20 juta, mana yang lebih besar.
Lebih buruk lagi, kamu bisa ditampar dengan ‘Stop Order’ yang secara efektif akan menghentikan kamu dari menjalankan bisnis kamu, karena kamu tidak akan diizinkan untuk terus memproses data pelanggan, secara sementara atau permanen.
Daftar Isi
Mengapa GDPR Diciptakan Untuk Menggantikan Hukum Sebelumnya
GDPR berlaku untuk semua organisasi di sektor swasta, publik, dan sukarela yang memproses data pribadi dan data pribadi khusus, terlepas dari apakah pemrosesan tersebut dilakukan di UE atau di negara lain mana pun, di mana pun itu.
Dibutuhkan apa yang dikenal sebagai ‘pendekatan berbasis risiko’ untuk memproses data pribadi kami, tidak pernah lupa bahwa kami mempunyainya dan mereka mengontrol serta memprosesnya. Dan ini berlaku apakah itu untuk bisnis atau untuk kesenangan. Kami berhak untuk tidak menderita kerugian atau kerusakan apa pun dari pemrosesan data pribadi ini.
Dari perspektif operasional, sebagai seorang profesional, kamu harus memastikan bahwa kamu mengetahui cara mengurangi risiko yang sangat tinggi dalam memproses hal ini dan menguranginya menjadi risiko residual yang bisa diterima untuk apa yang kamu lakukan di industri atau sektor kamu.
kamu diharapkan untuk melakukan pengamanan teknis dan organisasional yang sesuai yang mengurangi pemrosesan data pribadi yang sangat berisiko tinggi dan menguranginya menjadi residu yang tidak menyebabkan kerugian atau kerusakan pada pelanggan, klein, pendukung, dan karyawan.
Penuhi standar tolok ukur baru ini dan kamu akan menjadi kelas dunia dalam cara mengamankan aset paling berharga untuk bisnis atau organisasi kamu – data pelanggan, klein, pendukung, dan karyawan kamu.
Lakukan ini dengan benar dan ada keuntungan signifikan yang mencakup penguatan kepercayaan dan keyakinan, serta menciptakan titik diferensiasi yang kuat untuk brand, produk, dan layanan kamu.
Anggap ini penting karena reputasi kamu dan menciptakan keunggulan kompetitif, daripada melihatnya melalui kacamata regulasi yang sempit.
GDPR dirancang untuk membangun kembali kepercayaan dan keyakinan individu yang telah hancur dan dalam banyak kasus rusak karena penyalahgunaan data pribadi mereka, atau organisasi yang tidak menjaganya dengan benar yang bisa mengakibatkan kerugian atau kerusakan.
Salah satu tujuan GDPR adalah untuk menyelaraskan undang-undang perlindungan data dengan menciptakan pendekatan yang konsisten yang berdampak pada kehidupan lebih dari 500 juta orang di UE.
Tanggung jawab untuk mematuhi GDPR kini dibagi antara perusahaan tempat kita berbisnis (Data Controller) dan organisasi yang bisa mengalihdayakan pemrosesan data pribadi tersebut ke (Data Processor).
Ini menjadi hubungan komersial strategis yang penting, karena di bawah GDPR keduanya bertanggung jawab secara bersama-sama ketika terjadi kesalahan. Jadi keduanya mempertaruhkan gala mereka!
Dan dalam beberapa kasus, kamu bisa bertindak sebagai Data Controller dan Data Processor. Jadi, memahami kapasitas pemrosesan data pribadi sangat penting.
Simpan Catatan Secara Teliti
Mencatat apa yang telah kamu lakukan untuk mengurangi risiko yang sangat tinggi dalam aktivitas pemrosesan kamu adalah penting karena dua alasan. Pertama, ini tentang transparansi. Dan kedua, ini tentang akuntabilitas.
Ini adalah dua sungai yang mengalir melalui GDPR dan juga harus mengalir melalui setiap organisasi yang harus mematuhinya.
Jika kamu mengalami kemalangan karena harus berurusan dengan pelanggaran data pribadi, menerapkan prinsip transparansi dan akuntabilitas akan membantu kamu dengan baik. Akan jauh lebih mudah untuk memahami apa yang terjadi, untuk mengambil tindakan afirmatif lebih cepat dan melindungi pelanggan kamu dari risiko bahaya atau kerusakan lebih lanjut pada data pribadi mereka.
Jenis perilaku bertanggung jawab ini akan diakui oleh Otoritas Pengawas dalam melihat tingkat kesalahan atas pelanggaran data pribadi.
Di mana pelajaran belum dipelajari dari pelanggaran data sebelumnya atau ‘nyaris celaka’ maka organisasi tidak bisa mengharapkan belas kasihan.
Dan ini bukan hanya tentang denda, tetapi juga kerusakan karena tidak melakukan apa-apa atau tidak cukup bisa menyebabkan reputasi organisasi di mata pelanggan dan pemangku kepentingannya, yang menyebabkan hilangnya kepercayaan dan keyakinan secara keseluruhan.
Perlindungan Data GDPR Sudah Mencapai Seluruh Dunia
Meskipun GDPR adalah Peraturan UE, dampaknya akan terasa di seluruh dunia. Ini mempunyai jangkauan teritorial yang jauh lebih luas daripada Directive 95/46/EC dan Data Protection Act 1998 sebelumnya.
Ini berlaku untuk Data Controller atau Data Processor yang memproses data pribadi dalam konteks aktivitas suatu perusahaan di UE. Dan ini terlepas dari apakah pemrosesan itu terjadi di dalam Negara Anggota UE atau di tempat lain. Oleh karena itu, pusat panggilan atau penyedia layanan cloud di India yang memproses data pribadi individu di UE akan tunduk pada GDPR.
Pemrosesan Data Pribadi
Pemrosesan data pribadi melibatkan beberapa pihak, tetapi untuk menyederhanakannya, mari kita pikirkan dalam rantai nilai dalam bentuk segitiga.
Perlu ada individu yang masih hidup yang terkait dengan data pribadi. Misalnya, ini bisa menjadi pelanggan atau karyawan. Mereka disebut Subjek Data.
Lalu ada orang, perusahaan atau organisasi yang ingin memproses data pribadi individu tersebut. Pihak ini membuat keputusan mengenai tujuan dan sarana pemrosesan data pribadi. Dan itu disebut Data Controller. Misalnya, ini bisa menjadi pengecer online atau bank.
Banyak perusahaan dan organisasi besar menggunakan pihak ketiga eksternal untuk memproses data pribadi, seperti pusat panggilan atau penyedia layanan cloud. Badan hukum terpisah ini disebut Data Processor. Pihak ini hanya boleh bertindak berdasarkan instruksi tertulis yang tegas dari Data Controller. Cukup sering Data Processor ini bisa bekerja dengan Pemroses sub-Data lain dan ini akan memperluas rantai nilai.
Data Controller bertanggung jawab untuk memastikan ada langkah-langkah teknis dan organisasi di setiap tautan dalam rantai nilai untuk mematuhi tugas dan tanggung jawabnya berdasarkan GDPR.
Yang kritis adalah melaporkan pelanggaran data pribadi ke Otoritas Pengawas dalam waktu 72 jam setelah mengetahui hal ini terjadi. Ini sangat penting, karena perlindungan data dan privasi hanya sekuat tautan terlemah, sehingga Data Controller harus yakin bahwa ia mempunyai segalanya untuk mematuhi GDPR.
Juga sangat umum bagi perusahaan atau organisasi yang sama untuk menjadi Data Controller dan Data Processor.
Jadi, penting untuk mengidentifikasi kapasitas pemrosesan data pribadi untuk memenuhi tugas dan tanggung jawab di bawah GDPR.
Sebagai aturan praktis, ada lebih banyak tugas dan tanggung jawab yang ditempatkan di pundak Pengendali Data daripada Data Processor. Tetapi ada juga kewajiban bersama dan beberapa untuk pelanggaran data pribadi di bawah GDPR.
Perjanjian harus ditinjau sesegera mungkin, karena Data Processor harus menjamin bahwa ia mematuhi GDPR. Dan Data Controller hanya bisa menggunakan Data Processor yang memberikan jaminan seperti itu, jika tidak, itu juga merupakan pelanggaran terhadap GDPR.
Dalam keadaan ada hubungan Joint Data Controller, maka harus ada kesepakatan antara kedua perusahaan sehubungan dengan kewajiban pelaporan kepada Otoritas Pengawas.
Ini Peluang, Bukan Ancaman!
Pikirkan tentang GDPR sebagai peluang untuk membangun hubungan yang lebih dalam dengan pelanggan, klein, pendukung, dan karyawan.
Untuk perusahaan dan organisasi di sektor apa pun, ini menyediakan peta rute untuk membangun kepercayaan dan keyakinan di dunia digital di mana ini mungkin telah terkikis atau hancur di masa lalu.
Dalam hal pemrosesan data pribadi, hal ini sekarang bisa dilakukan dengan cara yang sangat transparan dan akuntabel, yang membantu mencegah bahaya atau kerusakan pada data pribadi di masa mendatang.
Hilang sudah kepentingan pribadi yang sempit dan pengejaran keuntungan yang kejam dengan mengorbankan pengambilan risiko dengan data pribadi. Sebagai gantinya adalah mengutamakan hak, kebebasan, dan kepentingan pelanggan kamu. Ini tentang melakukan hal yang benar karena itu adalah hal yang benar untuk dilakukan.
Ini menciptakan dasar untuk kemakmuran dan kesuksesan di masa depan, baik organisasi itu besar atau kecil, publik atau swasta.
Tujuh Hak Dasar Subjek Data
Setelah Data Controller memulai pemrosesan data pribadi, ada tujuh hak dasar yang bisa dijalankan oleh Subjek Data. Prinsip menyeluruh yang terkandung dalam GDPR sehubungan dengan hak-hak dasar Subjek Data didasarkan pada hak untuk memeriksa keakuratan dan kelengkapan data pribadi mereka yang sedang diproses oleh Data Controller (Pasal 15, GDPR). Hak hukum ini mencakup mengoreksi data pribadi mereka dan menambahkannya agar pemrosesan tidak mempengaruhi hak, kebebasan, dan kepentingan mereka (Pasal 16, GDPR).
Ringkasan Poin-Poin Utama
GDPR adalah pendekatan berbasis risiko yang meningkatkan privasi dan perlindungan data. Ini berlaku untuk semua organisasi yang memproses data pribadi dari UE, terlepas dari apakah mereka berada di UE. Dalam jangka panjang, GDPR akan membantu organisasi membangun kredibilitas mereka serta kepercayaan yang lebih dalam dengan pelanggan, klein, pendukung, dan karyawan mereka.
Untuk individu, GDPR menciptakan standar global untuk perlindungan data dan privasi data pribadi. Ini meningkatkan kredibilitas semua organisasi yang menunjukkan kepatuhan dan meningkatkan kepercayaan mereka yang ingin membagikan data pribadi mereka dengan mereka.
Hak asasi manusia dilindungi di bawah GDPR, di samping perluasan persaingan dan pilihan konsumen yang lebih besar – tetapi tidak dengan mengorbankan data pribadi dalam risiko. Sekarang jauh lebih mudah untuk melacak data pribadi apa yang sedang diproses, oleh siapa, untuk berapa lama dan untuk tujuan apa.
Pelanggan, klein, pendukung, dan karyawan bisa merasakan lebih banyak kendali atas keberadaan digital mereka daripada titik lain dalam sejarah. Mereka juga bisa merasa jauh lebih sedikit terintimidasi untuk membagikan data pribadi mereka dan memberikan persetujuan untuk penggunaannya ke organisasi yang lebih luas, dengan keyakinan bahwa data tersebut tidak akan disalahgunakan.
Organisasi yang mencocokkan kata-kata mereka dengan tindakan di bawah GDPR akan menemukan bahwa mereka telah menciptakan dasar untuk tingkat kepercayaan dan keyakinan yang jauh lebih dalam.
Dan mereka akan mendapatkan reputasi yang layak mereka dapatkan.
