Undang-undang GDPR yang baru berlaku hari ini, 25 Mei 2018, dan mencakup perlindungan data dan privasi bagi warga negara Uni Eropa, tetapi juga berlaku untuk banyak negara lain dalam berbagai cara, dan karena semua raksasa teknologi adalah perusahaan multinasional yang sangat besar, itu mempengaruhi banyak hal yang Anda gunakan setiap hari.
Masalah GDPR Mencoba Mengatasi: Perusahaan Mengumpulkan dan Menyalahgunakan Informasi Pribadi Anda
Sejak fajar internet, perusahaan telah mengumpulkan sebanyak mungkin data pada siapa pun yang mereka bisa. Sangat mudah untuk mengumpulkan informasi itu, jadi tidak ada alasan bagi mereka untuk tidak menimbunnya.
Masalahnya adalah bahwa selama beberapa tahun terakhir, banyak perusahaan yang gagal melindungi - atau benar-benar menyalahgunakan - informasi pribadi Anda. Skandal Cambridge Analytica, di mana seorang peneliti menggunakan kuis Facebook untuk mengumpulkan sejumlah besar data pada jutaan pengguna Facebook dan kemudian menjualnya ke perusahaan konsultan, hanyalah contoh terbaru. Peretasan Equifax tahun lalu sangat buruk karena informasi yang bocor dapat digunakan untuk membuka kartu kredit. Dan itu hanya skandal besar. Banyak perusahaan telah menyalahgunakan data Anda dengan cara yang lebih kecil, seperti menjualnya ke perusahaan iklan pihak ketiga.
Uni Eropa telah mengambil pandangan suram dari situasi dan menggunakan GDPR untuk mencoba dan memperbaikinya. Di bawah undang-undang baru, perusahaan yang tidak cukup melindungi data konsumen atau menyalahgunakannya dengan cara apa pun menghadapi denda besar.
Apa itu Data Pribadi yang Dipertimbangkan?
GDPR melindungi “data pribadi,” yang di sini berarti “informasi apa pun yang berkaitan dengan orang pribadi yang teridentifikasi atau dapat diidentifikasi” -dan itu adalah definisi yang cukup luas. Pada kenyataannya, data pribadi umumnya akan mencakup hal-hal seperti:
- Data biografi seperti nama Anda, alamat, nomor telepon, nomor jaminan sosial, dan sebagainya.
- Data yang berkaitan dengan penampilan dan perilaku fisik Anda seperti warna rambut, ras, dan tinggi badan.
- Informasi tentang pendidikan dan riwayat pekerjaan Anda seperti gaji Anda, gelar sarjana, IPK, NPWP, dan sebagainya.
- Data medis atau genetik apa pun.
- Hal-hal seperti riwayat panggilan Anda, pesan pribadi, atau data geo-lokasi.
Ini jauh dari daftar lengkap. Kuncinya adalah bahwa data apa pun yang membuat Anda dapat diidentifikasi jumlahnya. Dalam keadaan tertentu, warna rambut Anda mungkin sudah cukup. Di lain, bahkan nama lengkap Anda - jika itu sesuatu yang umum seperti Robert Smith - mungkin tidak membuat Anda dapat diidentifikasi.
Apa yang Dilakukan GDPR?
GDPR memberi penduduk Uni Eropa yang mengumpulkan data pribadi mereka - disebut "subyek data" dalam hukum - delapan hak. Mereka:
- Hak untuk diinformasikan: Jika sebuah perusahaan mengumpulkan data, mereka perlu memberi tahu subyek data apa yang dikumpulkan, mengapa dikumpulkan, apa yang digunakan untuk itu, berapa lama itu akan disimpan, dan apakah itu akan dibagikan dengan pihak ketiga. Informasi ini tidak dapat dimakamkan jauh di dalam persyaratan layanan yang tidak dibaca oleh siapa pun; itu harus ringkas dan dalam bahasa sederhana.
- Hak untuk mengakses: Jika mereka memintanya, setiap organisasi yang memiliki data pribadi mengenai subjek data harus memberikannya kepada mereka dalam waktu satu bulan.
- Hak untuk memperbaiki: Jika subjek data mengetahui bahwa perusahaan memiliki data pada mereka yang salah, mereka dapat meminta pembaruannya. Perusahaan memiliki satu bulan untuk mematuhi.
- Hak untuk menghapus: Subjek data dapat meminta agar perusahaan menghapus data apa pun yang disimpan di dalamnya dalam keadaan tertentu. Misalnya, jika data tidak lagi diperlukan atau mereka menarik persetujuannya agar data itu digunakan.
- Hak untuk membatasi pemrosesan: Jika suatu organisasi tidak dapat menghapus data mata pelajaran data - misalnya, karena mereka memerlukannya untuk kasus hukum - maka mereka dapat meminta agar perusahaan membatasi penggunaannya.
- Hak untuk portabilitas data: Subjek data memiliki hak untuk mengambil data pribadi mereka dari satu layanan dan menggunakannya dengan layanan lain.
- Hak untuk mengajukan keberatan: Jika data dikumpulkan tanpa persetujuan tetapi untuk kepentingan bisnis yang sah, untuk kepentingan publik, atau oleh otoritas resmi, subjek data dapat mengajukan keberatan. Organisasi kemudian harus berhenti memproses data sampai mereka dapat membuktikan bahwa mereka memiliki alasan yang sah untuk melakukannya.
- Hak yang terkait dengan pengambilan keputusan otomatis termasuk profil: GDPR menempatkan pengamanan sehingga individu dapat menolak atau mendapatkan penjelasan tentang keputusan otomatis yang memengaruhi mereka dan data mereka.
Bagian besar lainnya dari peraturan adalah bahwa perusahaan harus memiliki alasan yang sah untuk mengumpulkan atau memproses data apa pun. Salah satu alasan yang sah adalah bahwa mereka memperoleh izin untuk menggunakannya untuk tujuan tertentu, tetapi ada juga yang lain seperti mereka membutuhkannya untuk mematuhi kewajiban hukum atau bahwa mengumpulkannya adalah demi kepentingan publik.
Seperti yang Anda lihat, hak yang diberikan kepada penduduk Uni Eropa di bawah undang-undang cukup luas dan memaksa perusahaan yang mengumpulkan data dari mereka untuk benar-benar memikirkan tentang apa yang mereka kumpulkan dan mengapa.Hari-hari tua hanya mengumpulkan semua yang mereka bisa dan berharap mereka menemukan kegunaan untuk itu kemudian hilang- paling tidak di Eropa. Inilah sebabnya mengapa cukup banyak setiap layanan yang pernah Anda berikan alamat email Anda untuk menghubungi Anda.
Ada banyak perusahaan yang diributkan adalah bahwa sanksi karena tidak sesuai dengan GDPR cukup keras. Sebuah organisasi dapat didenda hingga €20 juta atau 4% dari omset tahunan mereka di seluruh dunia (mana yang lebih besar) di bawah undang-undang. Untuk orang-orang seperti Amazon atau Google, ini berarti miliaran dolar dalam potensi denda jika mereka salah menangani data penduduk Uni Eropa.
Apa Arti GDPR bagi Orang Amerika?
Sepanjang artikel ini, kami telah berfokus pada apa yang diberikan GDPR kepada penduduk Uni Eropa karena alasan sederhana bahwa itu adalah undang-undang Uni Eropa. Ini sebenarnya tidak berlaku untuk warga negara Amerika, kecuali mereka juga penduduk di Uni Eropa. Alasan Anda mendapatkan semua email adalah bahwa sebagian besar perusahaan tidak memiliki cara untuk memberitahu siapa penduduk Uni Eropa dan siapa yang tidak.
Ini, bagaimanapun, tidak berarti bahwa GDPR tidak akan mempengaruhi Anda. Ini menyebabkan banyak perusahaan untuk mengevaluasi kembali bagaimana mereka menangani data konsumen dan beberapa dari mereka sudah mulai berbicara tentang menggulirkan hak GDPR keluar ke penduduk non-Uni Eropa. Dan itu juga lebih sederhana bagi perusahaan untuk menegakkan satu set aturan untuk semua pelanggan dalam banyak kasus.
Sebagai contoh, Apple telah meluncurkan portal privasi baru di mana orang dapat mengunduh semua data pribadi mereka atau menghapus akun mereka, dengan kata lain memberikan orang-orang dengan hak akses dan penghapusan. Untuk saat ini, hanya akun berbasis UE yang dapat menggunakannya, tetapi Apple berencana untuk meluncurkannya ke seluruh dunia selama beberapa bulan ke depan. Demikian pula, Facebook bergumam tentang memberikan perlindungan GDPR yang sama kepada beberapa pengguna di luar UE.
