BisnisInternasional

Pengaruh GDPR Sebagai Perlindungan Data Pribadi & Keberlakuannya bagi Startup

Banyaknya pengguna Internet di Indonesia membuat tren belanja online terus berkembang. Menurut penelitian yang dilakukan iPrice, rata-rata jumlah pengeluaran konsumen Indonesia saat berbelanja online dari keseluruhan segmen kategori belanja bisa mencapai angka US$36 atau sekitar Rp481.000. Ada beberapa media yang digunakan konsumen Indonesia untuk berbelanja, mulai dari ecommerce, Instagram, Facebook, dan sebagainya.  Hal ini tentu sangat baik bagi perkembangan bisnis dan perekonomian Indonesia. Namun bagaimana masalah perlindungan data pribadi konsumen Anda? Seperti yang sama-sama kita ketahui, ketika melakukan kegiatan jual beli online, konsumen akan diminta untuk mendaftar dan memasukkan informasi yang bersifat pribadi mulai dari email, alamat, nomor rekening, dan data lainnya.

Bukan hanya itu, saat ini juga telah banyak ditemukan kasus penipuan ataupun penyalahgunaan data pengguna. Menurut Liputan6.com, pasca terungkapnya skandal penyalahgunaan data pengguna, kesadaran tentang perlindungan data kini semakin meningkat. Salah satu yang dipandang memiliki regulasi paling ‘ganas’ adalah Uni Eropa, di mana negara tersebut berhasil membuat peraturan perlindungan data yang komprehensif dan berorientasi pada privasi pengguna.

Perlindungan ini dikenal dengan istilah General Data Protection Regulation (GDPR) yang mulai diberlakukan sejak 25 Mei 2018 dan disahkan oleh otoritas pemerintahan di Uni Eropa. Namun, tahukah Anda apa itu GDPR? Apakah GDPR dapat memengaruhi bisnis di Indonesia? Di bawah ini Libera akan menjelaskan secara rinci mengenai serba-serbi GDPR yang harus Anda ketahui.

 

Apa itu GDPR?

Secara umum, GDPR merupakan peraturan mengenai perlindungan data pribadi yang berlaku bagi seluruh individu, perusahaan, atau organisasi di dunia yang menyimpan, mengolah, atau memproses data pribadi penduduk Uni Eropa. Tujuan dari berlakunya GDPR adalah agar data pribadi yang diperoleh pengusaha tidak disalahgunakan pihak-pihak yang tidak bertanggung jawab. Data-data pribadi yang dikontrol berdasarkan GDPR antara lain:

  • informasi dasar seperti nama, nomor identitas, dan alamat;
  • Data web seperti lokasi, alamat IP, cookie, dan RFID (radio frequency identification);
  • Data kesehatan dan genetik;
  • Data biometrik;
  • Data etnis dan ras;
  • Opini politik; dan
  • Orientasi seksual.

 

Apakah GDPR Berlaku di Indonesia?

GDRP tidak hanya berlaku di Uni Eropa, melainkan untuk seluruh bisnis di dunia yang menyimpan dan mengolah data pribadi, termasuk bisnis di Indonesia. Hal ini dapat dilihat dari perusahaan-perusahaan teknologi, seperti Google dan Facebook yang mengirimkan e-mail mengenai pembaruan kebijakan privasi seperti menjelaskan data apa saja yang diambil oleh perusahaan dan tujuan dari penggunaan data tersebut. Subjek dari GDPR merupakan penduduk Uni Eropa, sehingga GDPR tidak berlaku bagi Anda yang bisnisnya meliputi pengolahan dan penyimpanan data penduduk non-Uni Eropa. Namun, jika aplikasi atau website Anda diakses oleh penduduk non-Uni Eropa dan Anda memiliki serta memproses data pribadi mereka, maka Anda wajib tunduk pada aturan GDPR sebagaimana disebutkan pada Pasal 3 GDPR.

Di dalam GDPR sendiri terdapat banyak hak-hak perseorangan yang termasuk lingkup perlindungan data pribadi yang tidak boleh dilanggar, seperti hak untuk meminta penghapusan data pribadi (right to be forgotten) dan hak untuk menerima informasi bahwa data pribadi seseorang telah dipindahtangankan ke pihak lain (right to data portability). Selain itu, di dalam GDPR juga terdapat ketentuan bahwa data pribadi tidak boleh dimanfaatkan apabila pemilik data belum memberikan izin. Hal ini tentu sangat baik, terutama bagi Anda yang melakukan kegiatan bisnis secara online dan menuntut pelanggan Anda untuk memasukkan data atau informasi penting ke dalam sistem. Terlebih dengan adanya kasus penyalahgunaan data pribadi di Facebook, masyarakat menjadi semakin berhati-hati dalam memberikan data pribadinya.

Namun, hingga saat ini perusahaan-perusahaan di Indonesia banyak yang belum mengetahui bahwa GDPR juga berlaku bagi perusahaan non-Uni Eropa. Padahal, yang seharusnya dilakukan perusahaan-perusahaan di Indonesia adalah mempersiapkan datangnya GDPR apabila tak ingin terkena sanksi administratif yang nilainya cukup besar.

 

Dampak keberlakuan GDPR

Pengaruh keberlakuan GDPR di Indonesia dapat dirasakan khususnya pada bisnis yang berada di sektor digital, seperti startup. Sebagai dampak dari keberlakuan GDPR, para pengusaha dapat mengambil langkah untuk memperbaiki prosedur data pribadi dengan cara mengubah syarat dan ketentuan serta kebijakan privasi untuk disesuaikan dengan GDPR dan peraturan perundang-undangan yang berlaku di Indonesia. Perubahan ini jelas lebih baik jika dibandingkan sanksi yang harus ditanggung oleh pengusaha jika melanggar GDPR. Di mana, peraturan ini mengenakan sanksi denda sebesar 20 juta Euro (sekitar Rp344 miliar) atau 4% dari pendapatan global apabila terjadi kebocoran data yang dinilai, dipilih yang mana yang lebih besar. Untuk kasus kebocoran data yang lebih kecil akan dikenakan denda sebanyak 10 juta Euro atau dua persen dari pendapatan global perusahaan. Selain itu, jika diketahui adanya pelanggaran, maka regulator di Uni Eropa berhak untuk melarang perusahaan untuk memproses data pribadi pelanggan ataupun karyawannya.

Dilansir dari martechtoday.com, Salah satu kasus pengenaan denda yang populer baru-baru ini adalah denda terhadap Google dengan jumlah $56,8 juta karena adanya pelanggaran terhadap GDPR, seperti tidak adanya perolehan persetujuan yang cukup dari konsumen untuk kebutuhan ad targeting. Namun, pengenaan denda ini justru dilihat oleh para pengusaha di bidang periklanan di Amerika Serikat sebagai pendorong bagi mereka untuk terus memperbaiki dan meningkatkan kualitas perolehan dan pengolahan data.

Tidak hanya itu, GDPR juga mewajibkan adanya mandatory notification of breach. Artinya, setiap pengusaha yang menjadi subjek GDPR wajib memberitahukan kepada pihak yang berwenang dalam jangka waktu 72 jam jika terjadi pelanggaran terhadap data pribadi dan memberitahukan data pribadi mana yang telah dilanggar.

 

Perlindungan Data Pribadi berdasarkan Peraturan Perundang-Undangan di Indonesia

Sebelum GDPR berlaku efektif secara global, Indonesia telah memiliki aturan mengenai perlindungan data pribadi yang diatur dalam Undang-Undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana telah diubah dengan Undang-Undang No. 19 Tahun 2016 (UU ITE) dan Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo 20/2016). Dalam Permenkominfo 20/2016, perlindungan data pribadi dalam sistem elektronik dilakukan pada proses:

  • Perolehan dan pengumpulan;
  • Pengolahan dan penganalisisan;
  • Penyimpanan;
  • Penampilan, pengumuman, pengiriman, penyebarluasan, dan/ atau pembukan akses; dan
  • Pemusnahan (penghapusan data pribadi).

Artinya, data pribadi wajib dilindungi dalam setiap proses di sistem elektronik, mulai dari perolehan data hingga pemusnahan data pribadi tersebut. Hal yang mendasari diterbitkannya aturan mengenai perlindungan data pribadi ini adalah sebagai bentuk penghormatan data pribadi yang merupakan privasi seseorang. Di mana, seseorang memiliki kebebasan untuk menentukan dan memberikan persetujuan perihal bagaimana data pribadi miliknya dapat digunakan maupun disebarluaskan oleh perusahaan.

Layaknya GDPR yang memberikan hak bagi pemilik data pribadi untuk menghapus datanya (right to be forgotten), Pasal 26 ayat 3 UU ITE juga mengatur tentang hak bagi pemilik data pribadi untuk dihapus datanya dimana disebutkan bahwa setiap penyelenggara sistem elektronik wajib menghapus informasi elektronik dan/atau dokumen elektronik yang tidak relevan yang berada di bawah kendalinya atas permintaan orang yang bersangkutan berdasarkan penetapan pengadilan. Dengan adanya aturan mengenai perlindungan data pribadi, hal ini akan meningkatkan rasa kepercayaan konsumen dalam memberikan data pribadinya ketika melakukan transaksi online.

 

Berdasarkan penjelasan di atas, bisa kita pahami bahwa ketika kegiatan bisnis Anda melibatkan pengumpulan data pribadi penduduk Uni Eropa, maka Anda harus tunduk pada GDPR ini. Anda juga harus memastikan bahwa proses pengumpulan data telah sesuai dengan ketentuan dalam GDPR untuk menghindari sanksi yang diberlakukan. Jika memang bisnis Anda tidak mengoleksi data pribadi penduduk Uni Eropa atau dalam kata lain hanya untuk penduduk Indonesia secara umum, Anda tidak perlu mengikuti ketentuan GDPR melainkan hanya perlu tunduk pada UU ITE, Permenkominfo 20/2016, serta peraturan perundang-undangan yang berlaku tentang perlindungan data pribadi. Jika Anda belum memiliki aturan mengenai perlindungan data pribadi pada aplikasi atau website Anda, salah satu langkah yang dapat Anda lakukan dalam hal ini adalah dengan membuat privacy policy. Privacy policy ini bertujuan sebagai landasan bagi perusahaan mengenai bagaimana kebijakan perusahaan dalam memperoleh, memproses, menggunakan, menyebarluaskan, dan memusnahkan data pribadi sebagai bentuk pertanggung jawaban dan perlindungan terhadap data pribadi konsumen.

 

Baca Juga: Kontrak yang Harus Dimiliki untuk Melindungi Bisnis Anda

 

Jika Anda mengalami kesulitan dalam membuat privacy policy maupun kebijakan untuk website Anda, Libera akan membantu menjawab seluruh kesulitan bisnis Anda, terutama dalam masalah GDPR maupun kebijakan privasi. Dengan Libera, Anda dapat melakukan konsultasi GRATIS kapan dan di mana saja. Sehingga seluruh permasalahan dan pertanyaan Anda dapat terjawab dengan mudah dan cepat. Selain itu Libera juga dapat membantu Anda membuat perjanjian bisnis, mulai dari perjanjian kerja sama bisnis hingga perjanjian dalam ketentuan penggunaan website atau lebih sering dikenal Privacy Policy Agreement. Jadi tunggu apalagi? Percayakan seluruh masalah hukum bisnis Anda sekarang juga di Libera.id dan dapatkan kemudahan dalam mengurus legalitas perusahaan.

buat perjanjian di libera.id

Related Posts

Pentingnya Bukti Transaksi dan Kontrak Elektronik pada Bisnis e-commerce

Seperti yang sudah sama-sama kita ketahui, dalam menjalankan bisnis online, pembeli dan penjual tidak melakukan transaksi secara langsung, melainkan hanya melakukan transaksi online lewat media sosial maupun ecommerce. Sama halnya dengan transaksi jual beli pada umumnya, transaksi online juga membutuhkan bukti ataupun perjanjian jual beli. Bedanya, perjanjian ini tidak dilakukan secara fisik maupun bertatap muka secara langsung. Read more