Regulasi Umum Perlindungan Data

Regulasi (EU) 2016/679 GDPR
Regulasi Uni Eropa
Judul	Regulasi (EU) 2016/679 Parlemen Eropa dan Dewan tanggal 27 April 2016 tentang perlindungan orang alami berkaitan dengan pemrosesan data pribadi dan pada pergerakan bebas data tersebut, dan mencabut Direktif 95/46/EC (Regulasi Umum Perlindungan Data)
Dibuat oleh	Parlemen Eropa dan Dewan
Referensi jurnal	L119, 4/5/2016, p. 1–88
Persetujuan EEA	Ya
Sejarah
Tanggal dibuat	14 April 2016
Tanggal implementasi	25 Mei 2018
Naskah persiapan
Proposal Komisi	COM/2012/010 final - 2012/0010 (COD)
Legislasi lainnya
Menggantikan	Direktif Perlindungan Data UE 1995
	Legislasi terkini

Regulasi Perlindungan Data (Inggris: General Data Protection Regulation) adalah regulasi dalam hukum Uni Eropa (UE) yang mengatur perlindungan data pribadi di dalam maupun di luar UE. Regulasi perlindungan data terbaru yang diadopsi UE adalah Regulasi Umum Perlindungan Data (General Data Protection Regulation/GDPR) Regulasi (EU) 2016/679 tanggal 27 April 2016.^[1] Regulasi ini dilandasi oleh Piagam Hak Asasi Uni Eropa yang menetapkan bahwa warga UE memiliki hak untuk melindungi data pribadi mereka.^[2]^[3] GDPR menstandardisasi undang-undang perlindungan data di semua negara UE dan menerapkan aturan baru yang ketat untuk mengendalikan dan memproses informasi identitas pribadi. Regulasi ini juga memperluas perlindungan data pribadi dan hak perlindungan data dengan memberikan kendali kembali ke penduduk UE. GDPR mengatur perorangan, perusahaan atau organisasi yang memproses data pribadi individu di UE. GDPR menggantikan Direktif Perlindungan Data UE 1995, dan mulai berlaku pada hari Jumat tanggal 25 Mei 2018.^[4]^[1]

Latar belakang

Tantangan teknologi terhadap privasi

Perkembangan teknologi yang cepat serta globalisasi memberikan tantangan baru dalam upaya perlindungan data pribadi. Di mana skala pengumpulan dan berbagi (sharing) data pribadi meningkat secara signifikan. Teknologi juga memungkinkan perusahaan-perusahaan swasta maupun otoritas publik memanfaatkan data-data pribadi dalam skala yang belum pernah terjadi sebelumnya.^[5] Pemrosesan data pribadi terjadi di berbagai bidang kegiatan ekonomi dan sosial, dan kemajuan teknologi informasi membuat pemrosesan dan pertukaran data tersebut jauh lebih mudah.^[6]

Menuding teknologi atas permasalahan privasi bukanlah hal baru. Sejak tahun 1890, Warren dan Brandeis pernah melayangkan pendapat bahwa privasi sedang diserang oleh "penemuan-penemuan dan metode-metode bisnis baru". Mereka meyakini bahwa tekanan yang dialami masyarakat modern menuntut untuk adanya "hak privasi", guna melindungi apa yang mereka sebut "hak untuk dibiarkan sendiri" (right to be let alone).^[7] Mereka menganggap bahwa hak-hak ini harus dilindungi oleh hukum yang ada sebagai bagian dari masalah hak asasi manusia.^[8]

Teknologi berperan dalam berbagai masalah privasi, karena mempermudah dalam pengumpulan maupun pemrosesan informasi. Ketika orang-orang menjelajahi web, menggunakan ponsel dan melakukan transaksi online, mereka meninggalkan jejak di mana-mana. Teknologi sendiri tidaklah melanggar privasi, tetapi aktivitas dan tujuan si pengguna teknologi yang sebenarnya dapat menciptakan pelanggaran. Kelebihan atau cacat pada teknologi tidaklah melekat dalam teknologi itu sendiri, tetapi lebih tergantung pada bagaimana mereka digunakan dan sejauh mana penggunaannya diawasi dan dipertanggungjawabkan oleh pihak-pihak yang terlibat.^[7]

Memodernisasi sistem hukum perlindungan data pribadi di segala bidang demi memenuhi tantangan globalisasi, perkembangan teknologi, dan kepentingan otoritas publik dengan menerapkan prinsip-prinsip perlindungan data yang efektif, merupakan langkah konkret untuk memperkuat privasi di era digital saat ini.^[7]

Hukum perlindungan data di Eropa

Hukum perlindungan data mengacu pada skema hukum yang mengatur pengumpulan, kepemilikan, pemrosesan, pengungkapan, dan pemindahan informasi pribadi individu baik dalam jaringan (online) maupun di luar jaringan (offline). Di Eropa, skema hukum ini bertujuan melindungi hak asasi individu untuk kerahasiaan pribadi (privasi) secara umum, dan hak asasi untuk privasi data secara khusus. Hak-hak ini di Eropa dijamin dalam dua konvensi supranasional, Konvensi Eropa tentang Hak Asasi Manusia dan Piagam Hak Asasi UE.^[9] Perlindungan data di UE juga diakui dalam Perjanjian Lisboa (Perjanjian tentang Berfungsinya Uni Eropa) dan Konvensi Perlindungan Data.^[10] Selain itu, hak-hak ini juga diberlakukan oleh masing-masing negara Eropa, Dewan Eropa, dan UE. Setiap aktor swasta atau publik yang bertujuan mengumpulkan, menganalisis, atau memonetisasi informasi pribadi warga Eropa harus meluangkan waktu untuk memahami hak privasi data warga Eropa.^[9]

Konsep dasar perlindungan data pribadi pertama kali muncul sekitar tahun 1960. Selanjutnya tahun 1970, Jerman adalah negara pertama yang memberlakukan peraturan tentang perlindungan data yang kemudian diikuti oleh hukum nasional Swedia pada tahun 1973 dan Prancis pada tahun 1978.^[8]

Hukum perlindungan data UE

Lebih dari 20 tahun yang lalu, Masyarakat Eropa (sekarang UE) merasa perlu untuk menyelaraskan standar perlindungan data di negara anggota untuk memfasilitasi transfer data lintas-batas internal UE. Pada saat itu, undang-undang perlindungan data nasional memberikan tingkat perlindungan yang sangat berbeda dan tidak dapat memberikan kepastian hukum, baik untuk individu maupun untuk pengendali dan pemroses data. Oleh karena itu pada 1995 Masyarakat Eropa mengadopsi Direktif Perlindungan Data yang kemudian digantikan oleh Regulasi GDPR pada 2016.^[11]

Direktif 95/46/EC

Sebelum adanya Regulasi GDPR, pada tahun 1995 UE sudah menerapkan instrumen hukum perlindungan data yaitu Direktif 95/46/EC atau Direktif Perlindungan Data (DPD95).^[12] Direktif ini diterbitkan untuk memastikan keseragaman perlindungan hak dan kebebasan individu yang berkaitan dengan pemrosesan data pribadi di semua negara anggota.^[13] Direktif ini dianggap sebagai perangkat hukum perlindungan data yang paling ketat dan ekstensif di dunia, di dalamnya ditetapkan prinsip-prinsip dasar yang kuat dengan tujuan melindungi hak asasi dan kebebasan individu, termasuk privasi dan data pribadi mereka.^[14]

Direktif Perlindungan Data diterapkan tidak hanya di semua negara anggota UE, melainkan juga di negara-negara non-UE dari Wilayah Ekonomi Eropa (EEA) yaitu Islandia, Liechtenstein dan Norwegia. Pengecualian dalam penerapan Direktif ini adalah apa yang disebut pengecualian rumah tangga, yaitu pemrosesan data pribadi oleh individu semata-mata untuk keperluan pribadi atau rumah tangga. Pemrosesan tersebut umumnya dilihat sebagai bagian dari kebebasan dari privasi individu.^[15]

Sesuai dengan undang-undang primer UE yang berlaku pada saat adopsi Direktif Perlindungan Data, ruang lingkup direktif ini terbatas pada masalah pasar internal saja. Untuk masalah kerjasama kepolisian dan peradilan pidana, perlindungan data diambil dari instrumen hukum yang berbeda. Karena Direktif ini hanya tertuju pada negara anggota UE, instrumen hukum tambahan diperlukan untuk mengatur ketentuan perlindungan data yang lebih rinci, misalnya:^[15]

Regulasi (EC) No. 45/2001 diterapkan untuk mengatur pemrosesan data pribadi oleh lembaga-lembaga dan badan UE.^[16]
Direktif 2002/58/EC tentang pemrosesan data pribadi dan perlindungan privasi di sektor komunikasi elektronik (Direktif mengenai privasi dan komunikasi elektronik)
Direktif 2006/24/EC tentang penyimpanan data yang dihasilkan atau diproses sehubungan dengan penyediaan layanan komunikasi elektronik yang tersedia untuk umum atau dari jaringan komunikasi publik

Kekurangan Direktif Perlindungan Data ini adalah tidak mempertimbangkan aspek-aspek seperti globalisasi (perlindungan data lintas yurisdiksi), perkembangan teknologi, seperti konvergensi teknologi, jejaring sosial, dan komputasi awan secara memadai.^[14] Direktif ini diberlakukan sebelum menjamurnya media sosial, komputasi awan, penyimpanan data massal, penggalian data, profil elektronik, Web 2.0, serta ancaman-ancaman terhadap keamanan seputar data pribadi.^[17] Di sisi lain karena direktif ini harus diubah terlebih dahulu menjadi undang-undang nasional sebelum diterapkan, menghasilkan implementasi yang berbeda-beda di masing-masing negara anggota UE.^[18]

Piagam Hak Asasi UE

Dengan mengakui bahwa kebijakannya dapat berdampak pada hak asasi manusia serta untuk membuat warga merasa 'lebih dekat' kepada UE, UE pada tahun 2000 memproklamasikan Piagam Hak Asasi UE. Piagam ini menggabungkan hak-hak sipil, politik, ekonomi dan sosial warga negara Eropa, dengan memadukan tradisi konstitusional dan kewajiban internasional yang sama bagi negara-negara anggota. Hak-hak yang dijelaskan dalam Piagam dibagi menjadi enam bagian: martabat, kebebasan, kesetaraan, solidaritas, hak warga negara dan keadilan. Meskipun awalnya hanya dokumen politik, Piagam tersebut secara hukum mengikat sebagai hukum utama UE dengan berlakunya Perjanjian Lisboa pada 1 Desember 2009. Hukum primer UE juga menetapkan kewenangan UE untuk membuat undang-undang tentang perlindungan data.^[19]

Piagam ini tidak hanya menjamin atas kehidupan pribadi dan keluarga, tetapi juga menetapkan hak atas perlindungan data, secara eksplisit meningkatkan perlindungan terhadap hak asasi dalam hukum UE. Lembaga-lembaga UE beserta negara-negara anggota harus mengamati dan menjamin hak-hak ini. Dirumuskan beberapa tahun setelah Direktif Perlindungan Data, Pasal 8 Piagam ini dipahami sebagai perwujudan hukum perlindungan data UE yang sudah ada sebelumnya. Piagam ini tidak hanya secara eksplisit menyebutkan hak atas perlindungan data, tetapi juga mengacu pada prinsip-prinsip perlindungan data utama dalam Pasal 8 (2). Pasal 8 (3) Piagam menetapkan bahwa otoritas independen yang akan mengontrol pelaksanaan prinsip-prinsip ini.^[20]

"Setiap orang berhak atas perlindungan data pribadi yang berkenaan dengan mereka."
— Piagam Hak Asasi Uni Eropa, Pasal 8(1)^[20]

Regulasi (EU) 2016/679 GDPR

Hukum perlindungan data UE telah lama dianggap sebagai standar emas di seluruh dunia. Namun perkembangan teknologi dan globalisasi yang cukup pesat mengharuskan UE untuk meninjau kembali dan memodernisasi peraturan-peraturan tersebut,^[2] juga diperlukannya pedoman-pedoman dan amendemen baru untuk perlindungan data dan privasi.^[14] Pada 25 Januari 2012, Komisi Eropa mengusulkan paket reformasi perlindungan data.^[2]^[21] Usulan ini mencakup dua elemen utama: rancangan regulasi yang secara umum berurusan dengan perlindungan data (GDPR), dan sebuah rancangan direktif yang berkaitan dengan pemrosesan data pribadi dalam sistem peradilan pidana.^[14] Setelah lebih dari empat tahun diskusi, GDPR baru diadopsi pada 8 April 2016, menggantikan Direktif Perlindungan Data 1995, selain itu juga diadopsi Direktif Perlindungan Data yang baru. Adapun paket perlindungan data UE yang terbaru yaitu:^[2]

Regulasi (EU) 2016/679 GDPR: regulasi ini sebagai langkah UE untuk memperkuat hak asasi warga di era digital dan mempermudah bisnis dengan menyederhanakan aturan bagi perusahaan-perusahaan di pasar tunggal digital (digital single market). GDPR merupakan satu perundangan komprehensif untuk seluruh wilayah UE yang dapat menghilangkan fragmentasi dan beban administrasi yang mahal. GDPR berlaku untuk siapa pun yang memproses atau yang mengendalikan pemrosesan data pribadi. Mengingat pentingnya ekonomi data, perusahaan-perusahaan akan terpengaruh oleh GDPR. Regulasi ini mulai berlaku pada 24 Mei 2016 dan diterapkan mulai 25 Mei 2018.
Direktif (EU) 2016/680: direktif ini melindungi hak asasi warga negara untuk perlindungan data setiap kali data pribadinya digunakan oleh otoritas penegak hukum pidana. Untuk memastikan bahwa data pribadi korban, saksi, maupun tersangka kejahatan dilindungi sepatutnya dan mempermudah kerjasama lintas batas dalam memerangi kejahatan dan terorisme. Direktif ini melindungi individu ketika data pribadi mereka diproses oleh pihak berwenang untuk tujuan pencegahan, penyelidikan, deteksi atau penuntutan pelanggaran pidana atau untuk eksekusi hukuman pidana.^[22] Direktif ini mulai berlaku pada tanggal 5 Mei 2016 dan negara-negara UE harus mentransformasikannya ke dalam hukum nasional mereka pada 6 Mei 2018.
Peraturan lain mengenai perlindungan data pribadi, serta pihak-pihak berwenang yang bertugas menegakkan hukum tersebut.

Sebagai regulasi, GDPR berbeda dengan direktif, GDPR secara langsung berlaku di negara-negara anggota UE tanpa perlu penyusunan direktif atau peraturan pelaksanaan oleh negara anggota.^[23] Dengan menyamakan aturan untuk perlindungan data, GDPR akan mengarah pada kepastian hukum yang lebih besar dan menghilangkan rintangan potensial terhadap aliran bebas data pribadi.^[24] ^[25] Beberapa perubahan utama yang digariskan oleh GDPR antara lain:^[26]

Peningkatan ruang lingkup teritorial
Syarat penyimpanan data yang ditingkatkan
Peningkatan penalti
Penunjukan Petugas Perlindungan Data (Data Protection Officer/DPO)
Kewajiban yang lebih luas untuk Pengontrol Data (organisasi yang mengumpulkan dan mengelola data warga UE)
Kewajiban yang lebih luas untuk Pengolah Data (setiap perusahaan yang memproses data pribadi atas nama Pengontrol Data)
Pelaporan pembobolan data yang lebih tepat waktu
Hak atas portabilitas data
Hak untuk dihapus (hak untuk dilupakan atau right to be forgotten)
Izin subyek data yang diperkuat

Dari perspektif teritorial, GDPR tidak membedakan antara pengendali (controller) dan prosesor (processor) dengan menetapkan lingkup teritorial yang sama untuk keduanya. Utamanya GDPR berlaku dalam dua situasi berikut:^[27]

perusahaan atau entitas yang memproses data pribadi sebagai bagian dari kegiatan salah satu cabangnya yang didirikan di UE, terlepas dari mana data diproses, atau
perusahaan yang didirikan di luar UE yang menawarkan barang/jasa (berbayar atau gratis) atau yang memantau perilaku individu di UE.

Ruang lingkup GDPR

Organisasi-organisasi yang ada di UE dan memproses data pribadi milik individu yang berbasis di UE diwajibkan mematuhi GDPR paling lambat pada 25 Mei 2018. GDPR memperbarui dan mengharmonisasi kerangka kerja dalam memproses data pribadi di UE, memberikan kewajiban-kewajiban baru bagi organisasi dan hak-hak baru bagi para individu.^[28]^[29] GDPR dipandang sebagai solusi atas perlindungan data publik di internet sehingga mendorong pengendali data (seperti media sosial) untuk lebih waspada dalam melindungi data milik subjek data (pengguna). Di dalam GDPR terkandung beberapa poin berikut:^[30]

Syarat dan Ketentuan Harus Sederhana, Consent (izin) dan Terms of Agreements (syarat-syarat ketentuan) sering kali diabaikan oleh para pengguna karena tulisan-tulisan tersebut sering kali terlalu panjang dan kecil sehingga sulit untuk dibaca. Pada pasal 7 GDPR, dijelaskan bahwa tulisan mengenai hal tersebut harus ditulis dengan bahasa yang jelas dan lugas. Bila tidak, maka syarat dan ketentuan tidak akan berlaku. Subyek data (pemilik data) juga memiliki hak untuk membatalkan persetujuan yang mereka berikan pada Consents atau Terms of Agreements. Apabila pengguna masih di bawah umur, maka diwakili orang tua atau wali yang memiliki kekuatan hukum untuk menyetujui Consents dan Terms of Agreements tersebut.
Lindungi Kehidupan Pribadi Pengguna, Ada larangan untuk membongkar segala informasi yang mengungkap identitas ras, etnis, agama, keyakinan, data biometrik, data kesehatan, dan kehidupan seksual pengguna, seperti yang dijelaskan pada pasal 9 GDPR. Pemilik data harus terlebih dulu setuju apabila data-data tersebut diproses, tapi pasal ini tidak berlaku bila ada keperluan yang sifatnya darurat seperti penegakan hukum. Itu pun dengan memperhatikan hak-hak asasi pemilik data dapat terjaga.
Komunikasi Harus Transparan, Pengendali data (misalnya, media sosial) harus menyajikan informasi yang jelas, mudah dimengerti, dan mudah diakses bila dimintai penjelasan oleh pemilik data. Apabila pengendali data tidak memberikan respons yang diminta, maka mereka diwajibkan untuk segera memberikan penjelasan selambat-lambatnya satu bulan.
Hak Menghapus Seluruh Data, Ada istilah Right to be Forgotten atau Hak untuk Dilupakan. Pada pasal 17 GDPR, pemilik data memiliki hak agar data miliknya dihapus secara keseluruhan tanpa ditunda oleh pengendali data. Sebagai contoh, bila pemilik data menyetorkan datanya di sebuah situs, maka situs itu wajib menghapus semua data pengguna bila diminta. Dengan begitu, sebuah situs tidak dapat menyimpan data pengguna yang sudah tidak menggunakan layanan situs tersebut. Ada pengecualian dalam hal ini, contohnya bila penghapusan data bertabrakan dengan perkara hukum, maka data tidak bisa dihapus.
Hak Mengakses Data, Pemilik data memiliki hak untuk mendapat konfirmasi perihal pengelolaan data milik mereka. Contohnya tujuan dari pengelolaan data mereka, lalu tentang kategori data milik mereka yang dikelola, atau siapa yang mengelola data pribadi milik mereka. Sama halnya bila data pengguna ditransfer ke pihak ketiga atau organisasi internasional, maka pemilik data berhak mendapat informasi. Skandal Cambridge Analytica merupakan contoh saat data pengguna dipakai oleh pihak ketiga tanpa diketahui. Dalam kasus ini Facebook adalah si pengendali data. Kewajiban lain dari pengendali data juga harus memastikan bahwa data pengguna terlindungi bila dipindah ke pihak ketiga, baik pihak ketiga dalam bentuk negara lain atau organisasi internasional. Pemilik data juga memiliki hak protes bila data pribadi mereka dipakai untuk hal-hal pemasaran, misalnya untuk dijadikan target iklan.
Harus Ada Petugas Pengawas Data, Tiap negara UE harus menyediakan setidaknya satu badan publik untuk memastikan implementasi regulasi ini, serta memberikan bantuan kepada pemilik data. Dalam pembentukannya, badan tersebut bisa dibentuk oleh pihak pemerintah secara transparan, baik oleh legislatif maupun eksekutif. Seperti yang disebut pada pasal 53 GDPR, seseorang yang diangkat menjadi anggota pengawasan perlindungan data wajib memiliki kualifikasi, pengalaman, dan kemampuan yang sesuai di bidang perlindungan data, sehingga tidak boleh asal memberi jabatan kepada orang yang tidak punya pemahaman mumpuni terkait bidang digital.
Penalti, Ada dua penalti utama yang diberikan bagi yang melanggar regulasi ini, dan tergantung pasal mana yang dilanggar. Penalti yang pertama adalah denda 10 juta euro atau sejumlah 2 persen keuntungan perusahaan, dan yang dijatuhkan adalah jumlah yang paling besar. Penalti yang kedua adalah sebesar 20 juta euro atau denda sejumlah 4 persen keuntungan perusahaan, dan yang dijatuhkan juga jumlah yang paling besar.

Prinsip perlindungan data GDPR

Pasal 5 pada Bab II GDPR menetapkan prinsip-prinsip yang berkaitan dengan pemrosesan data pribadi:^[1]^[31]

Keabsahan, keadilan dan transparansi: data pribadi harus diproses secara sah, adil, dan transparan dalam kaitannya dengan subjek data individu.
Pembatasan tujuan: data pribadi harus dikumpulkan untuk tujuan yang jelas, eksplisit, dan sah serta tidak diproses lebih lanjut dengan cara yang tidak sesuai dengan tujuan tersebut; pengolahan lebih lanjut untuk tujuan pengarsipan untuk kepentingan publik, untuk tujuan penelitian ilmiah atau historis, atau untuk tujuan statistik harus sesuai dengan Pasal 89 (1), jika dianggap tidak sesuai dengan tujuan awal.
Minimisasi data: data pribadi harus memadai, relevan, dan terbatas pada apa yang diperlukan dalam kaitannya dengan tujuannya diproses.
Akurasi: data pribadi harus akurat, jika perlu terus diperbarui, setiap langkah harus diambil untuk memastikan data pribadi yang tidak akurat, dihapus atau diperbaiki tanpa penundaan.
Pembatasan penyimpanan: data pribadi harus disimpan dalam bentuk yang memungkinkan identifikasi subyek data individu tidak lebih lama dari yang diperlukan, data pribadi dapat disimpan untuk periode yang lebih lama jika diproses semata-mata untuk keperluan pengarsipan untuk kepentingan publik, untuk tujuan penelitian ilmiah atau sejarah, atau untuk tujuan statistik sesuai dengan Pasal 89 (1) tunduk pada penerapan yang sesuai dengan langkah-langkah teknis dan organisasional yang disyaratkan oleh GDPR untuk melindungi hak dan kebebasan dari subyek data.
Integritas dan kerahasiaan: data pribadi harus diproses secara aman, termasuk perlindungan terhadap pemrosesan yang tidak sah atau melanggar hukum serta perlindungan terhadap kehilangan, penghancuran, atau kerusakan yang tidak disengaja.

Pengendali (controller) harus bertanggung jawab, dan mampu menunjukkan kepatuhan terhadap prinsip-prinsip ini ("akuntabilitas"). Artinya catatan dan bukti kepatuhan harus ada.^[31]

Otoritas Perlindungan Data

Otoritas Perlindungan Data (Data Protection Authority) adalah badan nasional negara anggota UE yang bertugas memberikan nasihat tentang regulasi perlindungan data. Selain itu, petugas perlindungan data dari pihak organisasi juga harus bekerja sama dan memberikan rincian kontak mereka kepada otoritas pengawas perlindungan data. GDPR menetapkan bahwa setiap otoritas perlindungan data memiliki tugas-tugas berikut:^[32]

Memantau dan melaksanakan penerapan GDPR
Meningkatkan kesadaran dan pemahaman publik mengenai risiko, aturan, perlindungan, dan hak-hak terkait dengan pemrosesan. Kegiatan yang ditujukan khusus untuk anak-anak mendapat perhatian khusus.
Memberi saran sesuai dengan undang-undang negara anggota, parlemen nasional, pemerintah, dan lembaga atau badan lain tentang tindakan legislatif dan administratif yang berkaitan dengan perlindungan hak-hak individu terkait dengan pemrosesan.
Meningkatkan kesadaran pengendali dan pemroses akan kewajiban mereka di bawah GDPR
Memberikan informasi kepada setiap subyek data terkait pelaksanaan hak-hak mereka di bawah GDPR dan bekerja sama dengan otoritas supervisi perlindungan data di negara-negara anggota lainnya.
Menangani pengaduan yang diajukan oleh subjek data individu atau oleh badan, organisasi, atau asosiasi sesuai dengan Pasal 80, menyelidiki pokok permasalahan pengaduan, dan menginformasikan pada pengadu tentang kemajuan dan hasil penyelidikan dalam waktu yang wajar, khususnya jika penyelidikan lebih lanjut atau koordinasi dengan otoritas pengawas perlindungan data lain diperlukan.

Pada 25 Mei 2018, Article 29 Working Party tidak ada lagi dan digantikan oleh Badan Perlindungan Data Eropa (European Data Protection Board) yang mengelompokkan semua 28 otoritas perlindungan data, memiliki wewenang untuk memberikan panduan dan interpretasi dan mengambil keputusan yang mengikat jika beberapa negara UE menghadapi kasus yang sama.^[33]

Perwakilan

Organisasi-organisasi di luar UE yang menargetkan atau berurusan dengan data pribadi di UE harus memiliki perwakilan yang ditunjuk untuk menangani masalah tersebut.^[34] Pengendali atau prosesor yang tidak didirikan di UE yang memproses data pribadi dari setiap subyek data yang berada di UE, dan kegiatan pemrosesannya terkait dengan penawaran barang atau jasa, harus menunjuk perwakilan yang bertindak atas nama pengendali atau prosesor tersebut dan dapat dipanggil oleh otoritas pengawas perlindungan data.^[35]

Pengecualian

GDPR juga merujuk pada isu-isu yang dikecualikan: GDPR tidak membahas keamanan nasional, GDPR tidak berlaku untuk pemrosesan data oleh orang perseorangan dalam kegiatan yang murni pribadi atau rumah tangga (tidak berhubungan dengan aktivitas profesional atau komersial), GDPR tidak mengurangi penerapan Direktif Perdagangan elektronik (eCommerce Directive). GDPR juga tidak mengatur data tentang perusahaan atau entitas hukum lainnya. Salah satu pengecualian yang paling penting adalah GDPR hanya berlaku untuk data pribadi individu yang masih hidup, sehingga tidak termasuk data individu yang sudah tiada.^[36]

GDPR tidak berlaku untuk pemrosesan data pribadi:^[36]

Dalam kegiatan yang berada di luar ruang lingkup undang-undang UE.
Oleh negara-negara anggota ketika melakukan kegiatan yang termasuk dalam ruang lingkup Bab 2 Title V dalam Perjanjian Uni Eropa.
Oleh individu dengan tujuan murni kegiatan pribadi atau rumah tangga.
Oleh otoritas yang berkompeten untuk tujuan pencegahan, penyelidikan, deteksi, atau penuntutan pelanggaran pidana atau pelaksanaan hukuman pidana, termasuk perlindungan dan mencegah ancaman keamanan publik.

Untuk pemrosesan data pribadi oleh lembaga-lembaga UE, regulasi yang berbeda telah diberlakukan. Regulasi (EC) No 45/2001 dan instrumen hukum UE lainnya yang berlaku untuk pemrosesan data pribadi disesuaikan dengan prinsip dan aturan GDPR.^[36]

ePrivacy

Legislasi ePrivacy perlu disesuaikan agar sejalan dengan GDPR. Rancangan resmi pertama dari Regulasi ePrivacy (ePR) dipresentasikan oleh Komisi pada 10 Januari 2017 yang diusulkan untuk menggantikan Direktif ePrivacy lama (Direktif 2008/58/EC) untuk memastikan privasi yang lebih kuat dalam komunikasi elektronik, sekaligus membuka peluang bisnis baru,^[37] sehingga memperkuat kepercayaan dan keamanan di Pasar Tunggal Digital (Digital Single Market). Penegakan aturan kerahasiaan dalam Regulasi ini akan menjadi tanggung jawab otoritas perlindungan data.^[38]^[39] Sementara GDPR adalah peraturan umum untuk data pribadi yang disimpan atau digunakan oleh perusahaan, ePrivacy merupakan lex specialis untuk GDPR dalam bidang komunikasi. Artinya ketika masalah privasi data muncul sehubungan dengan komunikasi, para regulator akan menggunakan ePrivacy.^[40]

Hari pertama pemberlakuan GDPR

Saat hari pertama pemberlakuan GDPR pada Jumat tanggal 25 Mei 2018, beberapa perusahaan teknologi besar sudah melanggar aturan baru tersebut. Facebook serta anak perusahaannya Whatsapp dan Instagram, juga Google akan menghadapi tuntutan hukum karena gagal mematuhi GDPR. Perusahaan-perusahaan tersebut dapat dikenai denda miliaran dolar jika regulator Eropa sepakat bahwa mereka memang gagal mematuhinya (denda 4% dari penghasilan tahunan setiap kali perusahaan-perusahaan tersebut melanggar). Laporan terhadap Facebook diajukan oleh regulator data Austria, Google oleh regulator Prancis, WhatsApp oleh regulator Jerman dan Instagram oleh regulator Belgia segera setelah regulasi tersebut mulai berlaku saat tengah malam.^[41]

Beberapa organisasi juga belum dapat memenuhi tenggat waktu untuk mematuhi perubahan tersebut. Sejumlah situs web mengalami down termasuk para penyedia berita utama di UE, mereka memposting informasi kepada pembaca mengenai peraturan baru tersebut. Tronc, perusahaan penerbitan pemilik Los Angeles Times, Chicago Tribune, New York Daily News, dan surat kabar lainnya, telah mematikan seluruh daftar situs webnya bagi pengguna Eropa. Sebagian besar situs berita utama lainnya tidak terpengaruh oleh perubahan kebijakan tersebut, meskipun USA Today dan NPR memberi pengumuman untuk pengguna Eropa. Dalam kasus NPR, pengguna harus setuju dengan pelacakan atau mengunjungi versi teks biasa dari situs web mereka.^[42]

Shutdown masal ini membuktikan masih banyak yang tidak siap untuk perubahan dalam hal hukum privasi. Saat tenggat waktu mendekati, kotak masuk email para pengguna internet dipenuhi dengan kebijakan privasi yang diperbarui, menunjukkan betapa waswasnya perusahaan-perusaahaan ini akan denda yang dikenakan.^[42] Adopsi masal standar privasi GDPR oleh perusahaan internasional dirujuk sebagai contoh "efek Brussels" (Brussels effect), sebuah fenomena di mana undang-undang dan regulasi Eropa digunakan sebagai dasar global karena gravitas mereka.^[43]

Perusahaan raksasa Microsoft menegaskan komitmennya terhadap GDPR, mereka akan menerapkannya tidak hanya untuk konsumennya di Eropa saja, tetapi juga diberlakukan untuk pelanggannya di seluruh dunia. Mereka memiliki lebih dari 1.600 engineer untuk mengerjakan berbagai proyek terkait GDPR.^[44]

Catatan kaki

^ ^a ^b ^c European Union (2016a).
^ ^a ^b ^c ^d European Commission.
^
Voigt & Bussche (2017), hlm. 11, Personal Data: Data berarti informasi yang tersimpan (secara elektronik), tanda-tanda atau indikasi-indikasi. Namun, data harus 'pribadi' (personal) agar dapat masuk dalam ruang lingkup penerapan Regulasi GDPR. Data dianggap pribadi jika informasi tersebut berkaitan dengan individu yang teridentifikasi atau dapat diidentifikasi (Pasal 4 No. 1 GDPR). Data bersifat pribadi jika identifikasi seseorang dapat dilakukan berdasarkan data yang tersedia, artinya bila seseorang dapat dideteksi, secara langsung atau tidak langsung dengan mengacu pada suatu pengidentifikasi (identifier), merujuk ke satu atau lebih karakteristik yang merupakan ekspresi dari identitas fisik, fisiologis, psikologis, genetik, ekonomi, budaya atau sosial, misalnya:
- nama seseorang
- nomor identifikasi, seperti nomor asuransi sosial, nomor personil atau nomor KTP
- data lokasi
- pengidentifikasi online (seperti alamat IP atau cookie)
^ Lahiri (2018).
^ Lambert (2017), hlm. 43.
^ Voigt & Bussche (2017), hlm. 1.
^ ^a ^b ^c Dorraji & Barcys (2014), hlm. 309.
^ ^a ^b Dewi (2016), hlm. 26.
^ ^a ^b McCarty-Snead & Hilby (2013), hlm. 3.
^ Lambert (2017), hlm. 101.
^ Voigt & Bussche (2017), hlm. 1-2.
^ European Communities (1995).
^ European Union (2014), hlm. 17.
^ ^a ^b ^c ^d Dorraji & Barcys (2014), hlm. 310.
^ ^a ^b European Union (2014), hlm. 19.
^ European Communities (2001).
^ Lambert (2017), hlm. 96.
^ Voigt & Bussche (2017), hlm. 2, The Data Protection Directive: Perbedaan hukum terjadi sebagai akibat dari pelaksanaan kebijakan yang diadopsi oleh masing-masing negara anggota. Kegiatan pemrosesan data yang diizinkan di satu negara bisa jadi melanggar hukum di negara lain.
^ European Union (2014), hlm. 20.
^ ^a ^b European Union (2012).
^ European Union (2014), hlm. 21.
^ European Union 2016b.
^ Lambert (2017), hlm. 98.
^ Voigt & Bussche (2017), hlm. 2.
^ Voigt & Bussche (2017), hlm. 9: GDPR berlaku untuk pemrosesan data pribadi apa pun dan berpengaruh secara langsung pada perusahaan saat pemrosesan data tersebut berlangsung.
^ Russell & Fuller (2017), hlm. 6.
^ Voigt & Bussche (2017), hlm. 22.
^ Dropbox (2018).
^ Lambert (2017), hlm. 79: Semua organisasi yang mengumpulkan dan memproses data pribadi, perlu mengetahui dan mematuhi aturan perlindungan data.
^ Kurnia (2018).
^ ^a ^b Lambert (2017), hlm. 86.
^ Lambert (2017), hlm. 441.
^ European Commission (2018a).
^ Lambert (2017), hlm. 167.
^ Lambert (2017), hlm. 165: Perwakilan harus ditunjuk secara tertulis oleh pengendali atau prosesor untuk bertindak atas nama mereka terkait dengan kewajibannya dalam GDPR.
^ ^a ^b ^c Lambert (2017), hlm. 109.
^ Eickmeier (2018).
^ European Commission (2018b).
^ European Commission (2017).
^ Forrest (2018).
^ Kaplan (2018).
^ ^a ^b Lecher (2018).
^ Robert (2018).
^ Librianty (2018): Microsoft yakin semua konsumen memiliki hak perlindungan privasi yang sama, sehingga perusahaan akan mengaplikasikan segala pembaruan terkait hal tersebut [GDPR] untuk semua konsumennya di dunia.

Referensi

Dewi, Sinta (2016). "Konsep Perlindungan Hukum atas Privasi dan Data Pribadi Dikaitkan dengan Penggunaan Cloud Computing di Indonesia". Yustisia. Surakarta: Universitas Sebelas Maret. 5 (1): 35–53. doi:10.20961/yustisia.v5i1.8712 . ISSN 2549-0907.
Dorraji, Seyed Ebrahim; Barcys, Mantas (2014). "Privacy in Digital Age: Dead or Alive?! Regarding the New EU Data Protection Regulations". Social Technologies (dalam bahasa Inggris). Lithuania: Mykolas Romeris University. 4 (3): 306–317. doi:10.13165/ST-14-4-2-05 . ISSN 2029-7564.
Dropbox (2018). "Pusat Panduan GDPR Dropbox". San Francisco: Dropbox. Diakses tanggal 22 Mei 2018.
Eickmeier, Frank (2018). "What does the ePrivacy Regulation mean for the online industry?" (dalam bahasa Inggris). Hamburg: ePrivacy GmbH. Diakses tanggal 14 Juni 2018.
European Commission. "Data protection in the EU" (dalam bahasa Inggris). Brussels: European Commission. Diakses tanggal 21 Mei 2018.
European Commission (2017). Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications). COM/2017/010 final. Brussels: General for Communications Networks, Content and Technology.
European Commission (2018a). A new era for data protection in the EU — What changes after May 2018 (PDF) (dalam bahasa Inggris). Brussels: European Commission. Diakses tanggal 14 Juni 2018.
European Commission (2018b). "Proposal for an ePrivacy Regulation" (dalam bahasa Inggris). Brussels: European Commission. Diakses tanggal 14 Juni 2018.
European Communities (1995). "Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data". Official Journal of the European Communities. L 281 (dalam bahasa Inggris). Brussels: Publication Office. 38: 0031–0050. ISSN 0378-6978.
European Communities (2001). "Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data". Official Journal of the European Communities. L 008 (dalam bahasa Inggris). Brussels: Publication Office. 44: 0001–0022. ISSN 0378-6978.
European Union (2012). "Charter of Fundamental Rights of the European Union". Official Journal of the European Union. C 326 (dalam bahasa Inggris). Brussels: Publication Office. 55: 391–407. ISSN 1977-091X.
European Union (2014). Handbook on European data protection law (dalam bahasa Inggris). Belgium: Publications Office of the European Union. doi:10.2811/69915 . ISBN 978-92-871-9934-8.
European Union (2016a). "Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance)". Official Journal of the European Union. L 119 (dalam bahasa Inggris). Brussels: Publication Office. 59: 1–88. ISSN 1977-0677.
European Union (2016b). How will the data protection reform help fight international crime?. Factsheet (dalam bahasa Inggris). Brussels: Publication Office. doi:10.2838/57129 . ISBN 978-92-79-60494-2.
Forrest, Conner (2018). "GDPR vs. ePrivacy: The 3 differences you need to know". TechRepublic (dalam bahasa Inggris). California: CBS Interactive Inc. Diakses tanggal 16 Juni 2018.
Kaplan, Michael (2018). "Facebook and Google are already facing lawsuits under new data rules". CNN.com (dalam bahasa Inggris). Atlanta: Turner Broadcasting Network Inc. Diakses tanggal 25 Mei 2018.
Kurnia, Tommy (2018). Iskandar, ed. "Perlindungan Data Uni Eropa Terganas di Dunia, Berikut 7 Faktanya". Liputan6.com. Jakarta: PT Liputan Enam Dot Com. Diakses tanggal 22 Mei 2018.
Lahiri, Kris (2018). "What Is General Data Protection Regulation?". Forbes (dalam bahasa Inggris). Jersey City: Forbes Media. Diakses tanggal 21 Mei 2018.
Lambert, Paul (2017). Understanding the new European data protection rules (dalam bahasa Inggris). Boca Raton: CRC Press. ISBN 978-1-138-06983-1.
Lecher, Colin (2018). "Major US news websites are going down in Europe as GDPR goes into effect". The Verge (dalam bahasa Inggris). New York: Vox Media Inc. Diakses tanggal 25 Mei 2018.
Librianty, Andina (2018). R., Jeko I., ed. "Microsoft Bakal Terapkan Hak Privasi Perlindungan Data Eropa di Dunia". Liputan6.com. Jakarta: PT Liputan Enam Dot Com. Diakses tanggal 26 Mei 2018.
McCarty-Snead, Steven S. & Hilby, Anne Titus (2013). "Research Guide to European Data Protection Law". Legal Research Series (dalam bahasa Inggris). New York: Elsevier Inc. 1.
Robert, Jeff John (2018). "The GDPR Is in Effect: Should U.S. Companies Be Afraid?". Fortune. New York: Time Inc. Diakses tanggal 15 Juni 2018.
Russell, Chad & Fuller, Shane (2017). GDPR For Dummies®, MetaCompliance Special Edition (PDF) (dalam bahasa Inggris). UK: John Wiley & Sons, Ltd. ISBN 978-1-119-41926-6. Diarsipkan dari versi asli (PDF) tanggal 2018-06-17. Diakses tanggal 2018-06-17.
Voigt, Paul & Bussche, Axel von dem (2017). The EU General Data Protection Regulation (GDPR): A Practical Guide (dalam bahasa Inggris). Switzerland: Springer International Publishing AG. doi:10.1007/978-3-319-57959-7. ISBN 978-3-319-57959-7.

[FOOTNOTEEuropean_Union2016a-1] European Union (2016a).

[FOOTNOTEEuropean_Commission-2] European Commission.

[FOOTNOTEVoigtBussche201711''Personal_Data''-3] Voigt & Bussche (2017), hlm. 11, Personal Data: Data berarti informasi yang tersimpan (secara elektronik), tanda-tanda atau indikasi-indikasi. Namun, data harus 'pribadi' (personal) agar dapat masuk dalam ruang lingkup penerapan Regulasi GDPR. Data dianggap pribadi jika informasi tersebut berkaitan dengan individu yang teridentifikasi atau dapat diidentifikasi (Pasal 4 No. 1 GDPR). Data bersifat pribadi jika identifikasi seseorang dapat dilakukan berdasarkan data yang tersedia, artinya bila seseorang dapat dideteksi, secara langsung atau tidak langsung dengan mengacu pada suatu pengidentifikasi (identifier), merujuk ke satu atau lebih karakteristik yang merupakan ekspresi dari identitas fisik, fisiologis, psikologis, genetik, ekonomi, budaya atau sosial, misalnya:
nama seseorang

nomor identifikasi, seperti nomor asuransi sosial, nomor personil atau nomor KTP

data lokasi

pengidentifikasi online (seperti alamat IP atau cookie)

[4] seseorang

[5] r identifikasi, seperti nomor asuransi sosial, nomor personil atau nomor KTP

[6] ta lokasi

[7] tifikasi online (seperti alamat IP atau cookie)

[FOOTNOTELahiri2018-4] Lahiri (2018).

[FOOTNOTELambert201743-5] Lambert (2017), hlm. 43.

[FOOTNOTEVoigtBussche20171-6] Voigt & Bussche (2017), hlm. 1.

[FOOTNOTEDorrajiBarcys2014309-7] Dorraji & Barcys (2014), hlm. 309.

[FOOTNOTEDewi201626-8] Dewi (2016), hlm. 26.

[FOOTNOTEMcCarty-SneadHilby20133-9] McCarty-Snead & Hilby (2013), hlm. 3.

[FOOTNOTELambert2017101-10] Lambert (2017), hlm. 101.

[FOOTNOTEVoigtBussche20171-2-11] Voigt & Bussche (2017), hlm. 1-2.

[FOOTNOTEEuropean_Communities1995-12] European Communities (1995).

[FOOTNOTEEuropean_Union201417-13] European Union (2014), hlm. 17.

[FOOTNOTEDorrajiBarcys2014310-14] Dorraji & Barcys (2014), hlm. 310.

[FOOTNOTEEuropean_Union201419-15] European Union (2014), hlm. 19.

[FOOTNOTEEuropean_Communities2001-16] European Communities (2001).

[FOOTNOTELambert201796-17] Lambert (2017), hlm. 96.

[FOOTNOTEVoigtBussche20172''The_Data_Protection_Directive''-18] Voigt & Bussche (2017), hlm. 2, The Data Protection Directive: Perbedaan hukum terjadi sebagai akibat dari pelaksanaan kebijakan yang diadopsi oleh masing-masing negara anggota. Kegiatan pemrosesan data yang diizinkan di satu negara bisa jadi melanggar hukum di negara lain.

[FOOTNOTEEuropean_Union201420-19] European Union (2014), hlm. 20.

[FOOTNOTEEuropean_Union2012-20] European Union (2012).

[FOOTNOTEEuropean_Union201421-21] European Union (2014), hlm. 21.

[FOOTNOTEEuropean_Union2016b-22] European Union 2016b.

[FOOTNOTELambert201798-23] Lambert (2017), hlm. 98.

[FOOTNOTEVoigtBussche20172-24] Voigt & Bussche (2017), hlm. 2.

[FOOTNOTEVoigtBussche20179-25] Voigt & Bussche (2017), hlm. 9: GDPR berlaku untuk pemrosesan data pribadi apa pun dan berpengaruh secara langsung pada perusahaan saat pemrosesan data tersebut berlangsung.

[FOOTNOTERussellFuller20176-26] Russell & Fuller (2017), hlm. 6.

[FOOTNOTEVoigtBussche201722-27] Voigt & Bussche (2017), hlm. 22.

[FOOTNOTEDropbox2018-28] Dropbox (2018).

[FOOTNOTELambert201779-29] Lambert (2017), hlm. 79: Semua organisasi yang mengumpulkan dan memproses data pribadi, perlu mengetahui dan mematuhi aturan perlindungan data.

[FOOTNOTEKurnia2018-30] Kurnia (2018).

[FOOTNOTELambert201786-31] Lambert (2017), hlm. 86.

[FOOTNOTELambert2017441-32] Lambert (2017), hlm. 441.

[FOOTNOTEEuropean_Commission2018a-33] European Commission (2018a).

[FOOTNOTELambert2017167-34] Lambert (2017), hlm. 167.

[FOOTNOTELambert2017165-35] Lambert (2017), hlm. 165: Perwakilan harus ditunjuk secara tertulis oleh pengendali atau prosesor untuk bertindak atas nama mereka terkait dengan kewajibannya dalam GDPR.

[FOOTNOTELambert2017109-36] Lambert (2017), hlm. 109.

[FOOTNOTEEickmeier2018-37] Eickmeier (2018).

[FOOTNOTEEuropean_Commission2018b-38] European Commission (2018b).

[FOOTNOTEEuropean_Commission2017-39] European Commission (2017).

[FOOTNOTEForrest2018-40] Forrest (2018).

[FOOTNOTEKaplan2018-41] Kaplan (2018).

[FOOTNOTELecher2018-42] Lecher (2018).

[FOOTNOTERobert2018-43] Robert (2018).

[FOOTNOTELibrianty2018-44] Librianty (2018): Microsoft yakin semua konsumen memiliki hak perlindungan privasi yang sama, sehingga perusahaan akan mengaplikasikan segala pembaruan terkait hal tersebut [GDPR] untuk semua konsumennya di dunia.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]