Tidak hanya membantu dalam pengambilan keputusan secara real-time, cara kamu menangani dan memproses data pribadi pelanggan juga menentukan apakah bisnis kamu mampu bersaing atau tidak. Oleh sebab itu, perlindungan data harus menjadi prioritas bagi setiap bisnis.
Sayangnya, sangat sedikit negara yang memiliki aturan perlindungan data yang komprehensif, sehingga kebanyakan negara (termasuk Indonesia) mencontoh GDPR dan CCPA. Pertanyaannya, apakah kepatuhan terhadap kedua aturan ini dapat mempengaruhi bisnis kamu?
Apa itu GDPR?
Sebelum masuk ke pembahasan mengenai dampak peraturan perlindungan data (dalam hal ini GDPR dan CCPA) terhadap suatu bisnis, mari pahami dahulu pengertian dari dua aturan ini.
GDPR (General Data Protection Regulation) adalah undang-undang terkait perlindungan privasi data yang berlaku di benua Eropa. Regulasi ini telah diberlakukan sejak tahun 2018 dan menjadi peraturan pemeliharaan data yang paling luas saat ini.
GDPR tidak hanya berlaku untuk perusahaan di Eropa, melainkan juga untuk perusahaan di luar benua Eropa yang mengumpulkan atau mengolah data penduduk di Eropa. Itulah sebabnya regulasi ini memiliki dampak global.
Berdasarkan aturan GDPR, perusahaan wajib melaporkan potensi pelanggaran data dalam waktu 72 jam. Jika tidak, perusahaan terancam risiko denda yang besar hingga 20 juta dolar UE atau 4% dari omset perusahaan.
Apa itu CCPA?
CCPA adalah singkatan dari California Consumer Privacy Act. Sesuai namanya, ini adalah regulasi perlindungan privasi data yang berlaku di negara bagian California, AS. Regulasi ini ditandatangani menjadi undang-undang pada tanggal 28 Juni 2018, dan berlaku efektif mulai tanggal 1 Januari 2020.
Berdasarkan aturan CCPA, penduduk California berhak mengetahui jenis data pribadi apa yang dikumpulkan tentang mereka, apakah data tersebut dijual dan jika iya, kepada siapa.
Mereka mempunyai hak untuk menolak penjualan data pribadi mereka dan hak untuk meminta bisnis menghapus informasi pribadi mereka atau memiliki akses terhadap data tersebut, kapan pun diperlukan. Jika aturan ini dilanggar, perusahaan harus bersedia ganti rugi antara 100 – 750 USD dan denda hingga 7.500 USD.
Dampak GDPR dan CCPA pada Bisnis
Peraturan perlindungan data seperti GDPR dan CCPA tidak secara langsung berlaku di Indonesia. Meskipun begitu, dampak regulasi ini bisa dirasakan di seluruh dunia, termasuk Indonesia, terutama jika bisnis kamu berhubungan dengan data pengguna di luar negeri atau berencana untuk beroperasi di pasar global.
Berikut ini beberapa dampak yang dapat dilihat dalam cara bisnis di Indonesia mengelola dan melindungi data pengguna:
1. Pengumpulan dan Pemrosesan Data Pribadi
Peraturan pemeliharaan data membatasi cara bisnis mengumpulkan dan memproses data pribadi pengguna. Menurut regulasi GDPR dan CCPA, data pribadi harus diproses dengan cara yang adil, sah dan transparan.
GDPR mengharuskan perusahaan untuk mendapatkan izin yang jelas, spesifik, dan eksplisit dari individu sebelum mengumpulkan atau memproses data pribadi mereka. CCPA juga memberikan hak kepada konsumen untuk menolak penjualan data mereka.
Hal ini mendorong bisnis untuk menjadi lebih transparan dalam praktik pengumpulan dan pengolahan data, serta memberikan kontrol lebih besar kepada konsumen.
2. Bisnis Harus Ekstra Hati-Hati Saat Menangani Data Sensitif
Ada beberapa kategori data pribadi yang sangat sensitif yang mencakup informasi yang mengungkapkan rincian pribadi seseorang:
- Asal ras atau etnis
- Opini politik
- Keyakinan agama atau filosofis
- keanggotaan serikat pekerja
- Kesehatan fisik atau mental
- Orientasi seksual
- Data biometrik atau genetik
- Pelanggaran pidana atau hukuman
Jika menyangkut data pribadi kategori khusus, undang-undang perlindungan data mengharuskan bisnis memiliki dasar hukum tambahan untuk membenarkan penggunaan informasi sensitif ini.
Misalnya, di Indonesia telah mengesahkan dan menerapkan UU Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).
DPR mengesahkan UU tersebut, kemudian memberikan masa transisi selama dua tahun bagi organisasi (pengendali data atau pemroses data) untuk menyesuaikan metode penanganan dan pemrosesan data mereka sesuai dengan undang-undang baru.
Sebelum UU ini diberlakukan, Indonesia memiliki kerangka perlindungan data dan privasi yang terpisah-pisah dalam bentuk Peraturan Informasi dan Transaksi Elektronik, Peraturan Menkominfo, dan Peraturan tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
Apalagi, Pasal 28G UUD 1945 ayat (1) juga menekankan privasi individu. PDPL bertujuan untuk mengkodifikasi dan menyelaraskan hal-hal tersebut ke dalam satu pendekatan tunggal yang mencakup semua hal dalam perlindungan privasi data.
3. Tidak Mengabaikan Hak-Hak dari Subjek Data
Berdasarkan regulasi GDPR, bisnis harus bersedia memberitahu pelanggan tentang hak-hak mereka pada saat pengumpulan data. Subjek data mempunyai hak sebagai berikut:
- Hak untuk meminta akses ke data pribadi mereka.
- Berhak meminta pembatasan pengolahan data pribadi mereka dalam beberapa situasi.
- Subjek data berhak menerima data pribadi mereka dalam format yang dapat dibaca dalam bentuk elektronik.
- Berhak untuk menolak pengolahan data pribadi mereka dalam situasi tertentu, termasuk saat data tersebut digunakan untuk tujuan pemasaran langsung.
- Subjek data memiliki hak untuk mengoreksi data pribadi mereka yang tidak akurat atau tidak lengkap.
- Hak meminta pembatasan pengolahan data pribadi mereka dalam beberapa situasi, misalnya saat data tersebut diperiksa keakuratannya atau ada perselisihan mengenai hukum pengolahan data.
- Mempunyai hak untuk mencabut atau menarik persetujuan terhadap pemrosesan data pribadi mereka kapan saja
- Subjek data memiliki hak untuk tidak tunduk pada keputusan yang hanya didasarkan pada pemrosesan otomatis.
- Berhak menuntut pengontrol atau pemroses data dan menerima kompensasi yang adil jika ketentuan undang-undang ini dilanggar dalam pemrosesan data pribadinya.
4. Memiliki Prosedur Tindakan Keamanan
Perusahaan sebagai pengontrol dan pemroses data diharuskan untuk menentukan tingkat keamanan data pribadi dan memastikan mekanisme keamanan dan perlindungan yang memadai dengan:
- Mengawasi persiapan dan pelaksanaan langkah-langkah operasional dan teknis untuk melindungi data pribadi dari gangguan terhadap aktivitas pemrosesan data.
- Menentukan tingkat keamanan data pribadi dengan mempertimbangkan sifat dan risiko data yang harus dilindungi selama kegiatan pengolahan data.
5. Bisnis Harus Memenuhi Persyaratan Persetujuan
Memperoleh persetujuan yang eksplisit dan sah dari subjek data untuk tujuan tertentu merupakan salah satu wujud kepatuhan terhadap peraturan perlindungan data. Persetujuan terhadap pemrosesan data pribadi harus dalam format tertulis atau rekaman, diperoleh baik secara elektronik maupun non-elektronik.
Jika pemrosesan didasarkan pada persetujuan, pengontrol data wajib memberikan informasi kepada subjek data mengenai:
- Legalitas pemrosesan data pribadi
- Tujuan pemrosesan data pribadi
- Jenis dan relevansi data yang akan diolah serta rincian informasi yang dikumpulkan
- Jangka waktu penyimpanan
- Jangka waktu pemrosesan data pribadi
- Hak subjek data
Dalam hal pemrosesan data pribadi anak, diperlukan persetujuan orang tua atau wali sah anak tersebut. Begitu pula dengan pengolahan data pribadi penyandang disabilitas, di mana persetujuan mereka harus diperoleh melalui komunikasi dengan metode tertentu.
Subjek data mempunyai hak untuk menarik persetujuan atas pemrosesan data pribadinya kapan saja. Jika subjek data menarik persetujuannya, pengontrol data harus berhenti memproses data pribadinya dalam waktu 72 jam sejak permintaan tersebut diterima.
6. Merekrut Staf Perlindungan Data
Baik pengolah data maupun pengontrol data wajib menunjuk seorang staf yang mengawasi kegiatan organisasi berikut ini:
- Pengolahan data untuk kepentingan umum.
- Perlindungan data inti yang memerlukan pemantauan data pribadi secara teratur dan sistematis dalam skala besar.
- Kegiatan pengolahan data yang bersifat tertentu atau data pribadi yang berkaitan dengan kegiatan kriminal.
Staf yang dipilih harus direkrut berdasarkan profesionalisme, pengetahuan hukum, praktik perlindungan privasi data, dan tekun. Ia harus dapat mengidentifikasi risiko terhadap pemrosesan data pribadi berdasarkan sifat, ruang lingkup, tujuan, dan konteks pemrosesan.
Kesimpulan
Berdasarkan uraian di atas, tidak dapat disangkal betapa besarnya dampak peraturan perlindungan data terhadap cara bisnis berinteraksi dengan penggunanya.
Hal ini mengharuskan bisnis untuk menghadapi rangkaian tugas dan kewajiban kepatuhan yang rumit, mulai dari prosedur keamanan, penanganan data sensitif, dll. Jika gagal untuk mematuhinya dapat mengakibatkan denda ratusan juta dan hilangnya kepercayaan pelanggan.