GDPR, UU Perlindungan Data Uni Eropa

Ajukan pertanyaan
Pada Mei 2018, Uni Eropa, atau UE, telah menyatakan bahwa semua perusahaan di Uni Eropa yang menggunakan data warga Uni Eropa, harus mengikuti Regulasi Umum Perlindungan Data. Undang-undang ini diberlakukan untuk melindungi data pengguna dan membatasi penggunaan data tersebut oleh perusahaan-perusahaan, dengan cara yang tidak disadari dan tidak disetujui oleh konsumen. Undang-undang ini bertujuan untuk menaruh kembali kontrol data ke tangan konsumen, di mana sebelumnya data tersebut berada di bawah kendali perusahaan yang telah mengumpulkan data tersebut.

N.B. Undang-undang ini mempengaruhi negara-negara di Uni Eropa dan di Wilayah Ekonomi Eropa atau EEA (karena perusahaan-perusahaan di EEA belum tentu anggota Uni Eropa).



Apa itu GDPR

General Data Protection Regulation (GDPR) atau Regulasi Umum Perlindungan Data adalah regulasi terbaru yang diadopsi UE terkait perlindungan data pribadi.

Rangkuman Peraturan GDPR

GPDR menggantikan Pedoman Perlindungan Data UE 95/46/EC atau Data Protection Directive 95/46/EC dan membahas penggunaan informasi identitas pribadi (Personally Identifiable Information atau PII) konsumen di Uni Eropa. Sejak pembuatan Data Protection Directive di Uni Eropa, kompleksitas teknologi juga telah berevolusi. Data yang digunakan oleh smartphone dan media sosial tidak tercakup dalam direktif Pedoman Perlindungan Data 1995.

Persyaratan GDPR

GDPR menetapkan tanggung jawab dan akuntabilitas perusahaan-perusahaan terhadap data pribadi pengguna, dan menentukan apa yang dapat dan tidak dapat dilakukan perusahaan-perusahaan tersebut dengan data pribadi pengguna. Setiap pelanggaran harus dilaporkan dalam waktu 72 jam. Direktif Uni Eropa ini juga menetapkan standar enkripsi, permintaan persetujuan konsumen, menetapkan berapa lama data dapat disimpan perusahaan, dan meminta perusahaan-perusahaan untuk melindungi data tersebut, melalui desain dan pengaturannya. Di bawah GDPR, beberapa perusahaan dan organisasi tertentu harus memilih Petugas Perlindungan Data atau Data Protection Officer. Petugas tersebut dianggap bertanggung jawab untuk manajemen data pengguna dan berfungsi sebagai kontak utama dengan otoritas perlindungan data Uni Eropa. Direktif baru ini memiliki dampak besar terkait bagaimana cara perusahaan berkomunikasi terhadap konsumen dan merubah cara perusahaan-perusahaan dalam mengelola data yang mereka pegang.

Untuk konsumen UE, GDPR memberikan kontrol atas data pribadi mereka. Data yang dilindungi tersebut meliputi: nama, alamat IP (lokasi), gambar/foto, alamat email, alamat rumah, aktivitas media sosial, informasi perbankan, dan detail medis. Peraturan tersebut memberikan hak kepada konsumen untuk meminta salinan data mereka, hak untuk memilih keluar dari sistem data, dan hak untuk meminta agar data pribadi mereka dihapus (meskipun bukan hak universal).

Kewajiban Mematuhi GDPR

Kepatuhan terhadap GDPR diberlakukan oleh Uni Eropa melalui Data Protection Directive atau Direktif Perlindungan Data. Direktif ini menyediakan infrastruktur hukum yang memastikan hak-hak konsumen atas data pribadi mereka dan memastikan dihukumnya setiap pelanggaran yang dilakukan.

Regulasi atau Peraturan GDPR

Peraturan ini berlaku untuk setiap organisasi dan perusahaan yang mengelola data pribadi warga Uni Eropa, termasuk perusahaan Amerika Serikat dan perusahaan asing lainnya yang berada di Kawasan Ekonomi Eropa, yang memiliki akses ke data konsumen di Uni Eropa.


GDPR 2018 adalah peraturan yang lebih menyeluruh dan menyelaraskan berbagai peraturan di Uni Eropa dan Kawasan Ekonomi Eropa. GDPR juga menyederhanakan lanskap peraturan bagi perusahaan, sehingga mengurangi biaya total compliance. Menurut beberapa pendapat, hal ini membuat UE menjadi pasar yang lebih kompetitif. Sedangkan analisis lainnya memperkirakan bahwa undang-undang ini dapat terlalu membatasi perusahaan dan membuat Uni Eropa menjadi yang terbelakang dalam kancah ekonomi global.

Teks Resmi GDPR

Teks resmi GDPR dapat ditemukan di sini, dalam bahasa Inggris.

Batas Waktu Pelaksanaan

Peraturan ini semestinya berlaku mulai dari 25 Mei 2018, namun banyak perusahaan yang gagal memenuhi tenggat waktu tersebut. Dampak dari peraturan baru ini cukup besar pada model operasi beberapa perusahaan. Raksasa teknologi seperti Google, Facebook, dan Amazon menghadapi tantangan besar terkait reformasi terbaru ini.

Perlindungan Data di U.K.

Meskipun Inggris telah memutuskan untuk meninggalkan Uni Eropa selama referendum Brexit, Parlemen Inggris telah memberlakukan undang-undang yang setara yang disebut Data Protection Act 2018.

Perlindungan Data di Amerika Serikat

Sejak diberlakukan, perusahaan yang tidak siap untuk menyesuaikan operasinya terhadap kebijakan GDPR, seperti Instapaper (perusahaan milik Pinterest), telah memblokir sementara akses ke pengguna UE untuk menghindari hukuman. Perusahaan lain juga telah mempersiapkan diri mereka terkait regulasi baru ini dengan menempatkan kontrak persetujuan pengguna ketika pengguna mengakses situs mereka. Hal ini meninggalkan pengguna tanpa pilihan, sehingga harus menyetujui pengaturan penggunaan data pribadi mereka.

Hukuman Bagi yang Tidak Mematuhi Persyaratan

Peraturan baru ini mengenakan denda bagi perusahaan atau organisasi yang tidak mematuhi peraturan, setelah peringatan pelanggaran pertama. Tergantung pada sifat pelanggarannya, penalti dapat dikenakan hingga $10 juta USD atau 4% dari pendapatan global perusahaan, tergantung mana yang lebih tinggi nilainya.

GDPR dan Facebook

Facebook adalah perusahaan pertama yang langsung ditinjau kepatuhannya terhadap GDPR, karena beresiko dikenai denda substansial. Facebook dan platform media sosial lainnya, seperti Instagram, menggunakan persetujuan pengguna yang telah diaplikasikan sebelumnya. Namun, GDPR mengharuskan agar konsumen melakukan tindakan yang jelas terkait persetujuan penggunaan data pribadi mereka, sebelum membagikan data tersebut di media sosial.


Facebook menyatakan bahwa sejalan dengan undang-undang yang baru, pihaknya sangat transparan dengan pengguna terkait bagaimana data mereka digunakan dan memberi mereka kontrol penuh terhadap data pribadi mereka. Facebook juga menyatakan bahwa perwakilannya telah bertemu dengan regulator, pembuat kebijakan, ahli privasi, dan akademis, untuk memastikan kepatuhannya dengan GDPR dan undang-undang privasi yang serupa.

GDPR dan Google

Google memiliki sejarah pelanggaran di Uni Eropa dan sedang diselidiki untuk pelanggaran terhadap GDPR. Sama seperti Facebook, Google menggunakan kontrak persetujuan pengguna yang telah dipilih sebelumnya. Jika terbukti bersalah, potensi denda bisa mencapai €4 miliar (sekitar $5,2 miliar USD).


Namun, Google juga menyatakan bahwa pihaknya bekerja keras untuk mematuhi hukum. Pihak Google menyebutkan telah melakukan proses audit dan sertifikasi untuk situs pihak ketiga yang mengekstraksi data pengguna.. Google juga menyatakan telah mempraktekkan "transparansi pengguna" dan memberi tahu pengguna bagaimana data mereka digunakan untuk iklan; jika data pengguna telah dilanggar, Google menyatakan akan memberi tahu pengguna.

Image: © Tatyana Merkusheva - 123RF.com
Jean-François Pillou

Jean-François Pillou - Founder of CCM
Dikenal dengan nama Jeff, Jean-François Pillou adalah pendiri CommentCaMarche.net. Ia juga menjadi CEO CCM Benchmark dan Direktur Digital di Grup Figaro.

Pelajari lebih lanjut tentang tim CCM