Meskipun pada awalnya cenderung menolak atau keberatan, perusahaan seperti Google, Amazon, Facebook, Apple dan Microsoft pada akhirnya juga tidak memiliki opsi lain selain melaksanakan GDPR
Jakarta (ANTARA/Jacx) - GDPR diproyeksikan sebagai model regulasi perlindungan data pribadi pengguna internet di tengah-tengah tren semakin besarnya kendali perusahaan penyedia layanan digital, media sosial, mesin pencari, e-commerce dan lain-lain, terhadap data tersebut untuk kebutuhan iklan digital tertarget, pengembangan produk kecerdasan-buatan dan proses machine learning

Sejak Mei 2018, setiap orang, lembaga, perusahaan, organisasi yang melakukan proses pengumpulan, analisis dan komodifikasi, sebagian atau seluruhnya, atas data-perilaku-pengguna-internet penduduk atau warga Uni Eropa  terikat untuk menaati batasan-batasan dalam GDPR.
    
GDPR memiliki kedudukan strategis dalam upaya pengarusutamaan (mainstreaming) hukum perlindungan data pribadi secara global. Tak lama setelah GDPR diundangkan, banyak organisasi atau perusahaan mulai memperbaiki sistem pengolahan data yang mereka miliki. Tidak sedikit dari mereka yang membayar jasa Data Protection Officers untuk memastikan ketaatan dan kesesuaian proses penyimpanan dan pelayanan data yang mereka kelola terhadap standar-standar GDPR. 

Untuk urusan ini, GDPR telah mempublikasikan dokumen resmi tentang panduan pelaksanaan GDPR untuk sektor bisnis. Hal ini dimaksudkan sebagai solusi atas masalah bahwa berbeda entitas (bisnis, sosial, pemerintahan) berbeda standar pengolahan data, tujuan dan masalah yang muncul serta proses audit yang dibutuhkan. Berbeda negara dapat berbeda pula regulasi yang mengatur standard dan  model pengolahan data, berikut proses audit, pengawasan dan bentuk penegakan hukumnya. 

Meskipun pada awalnya cenderung menolak atau keberatan, perusahaan seperti Google, Amazon, Facebook, Apple dan Microsoft pada akhirnya juga tidak memiliki opsi lain selain melaksanakan GDPR. Bahkan muncul indikasi mereka justru hendak mengadopsi GDRP Uni Eropa sebagai standar perlindungan data-perilaku-pengguna-internet secara lebih luas. 

Artikel Terkait: Pengadilan AS tolak proposal damai kasus peretasan Yahoo

Pertama, Uni Eropa bagaimana pun adalah pasar utama mereka. Menolak GDPR dalam hal ini akan mengoreksi pendapatan atau potensi pendapatan yang signifikan dari perusahaan-perusahaan tersebut. 

Kedua, akan sangat merepotkan jika perusahaan-perusahaan berskala global itu mesti menghadapi standar perlindungan data pribadi yang berbeda-beda di berbagai negara. Lebih efektif dan efisien jika ada standar global tertentu dalam perlindungan data pribadi, betapa pun standar tersebut memberikan tanggung jawab lebih besar pada perusahaan-perusahaan penyedia layanan digital.


Siapa dan Apa Yang Tunduk Pada GDPR? 

Menurut paparan Allen & Overy dalam Preparing for the General Data Protection Regulation pada Januari 2018, GDPR memiliki jangkauan yang lebih luas dibandingkan undang-undang perlindungan privasi atau perlindungan data yang ada sebelumnya, katakanlah Undang-Undang Perlindungan Data Uni Eropa Tahun 1995. 

GDPR berlaku untuk organisasi atau perusahaan (baik sebagai Pengendali Data atau Pengolah Data) yang mengelola data pribadi (personal data) dan dibentuk di Uni Eropa (Pasal 3 dan 4). 

Artikel Terkait : AI dan big data akan jadi masa depan e-commerce Indonesia

Dalam beberapa keadaan, GDPR juga berlaku pada organisasi yang mengelola data pribadi dan dibentuk secara eksklusif di luar Uni Eropa. Ada tiga alasan utama penerapan GDPR yang dapat ditemukan dengan tiga uji berikut :

A. Uji  Kedudukan Teritorial 
Jika sebuah perusahaan atau organisasi memiliki kedudukan di luar Uni Eropa dan mengelola data pribadi dalam konteks kegiatan atau operasional perusahaan atau organisasi organisasi tersebut, maka mereka harus  tunduk pada GDPR. 

Tidak peduli di mana pengolahan data dilakukan di Uni Eropa atau di luar Uni Eropa, apakah pengolahan dilakukan sendiri atau oleh pihak ketiga seperti subkontraktor atau apakah data pribadi yang diolah berkaitan dengan Subyek Data yang merupakan warga Uni Eropa atau yang "hanya" tinggal di Uni Eropa.

Uji ini berfokus pada konsep establishment di Uni Eropa serta pengolahan yang dilakukan "dalam konteks kegiatan atau operasionalisasi" suatu organisasi atau perusahaan.  

Konsep establishment di sini diartikan secara luas oleh pengadilan dan merujuk pada entitas hukum yang menjalankan kegiatan yang nyata dan efektif secara langsung atau tidak langsung melalui pengaturan yang stabil, tanpa mempedulikan bentuk badan hukumnya. Dengan demikian, organisasi atau perusahaan yang memiliki perwakilan lokal, situs web atau alamat lokal di Uni Eropa mesti tunduk pada rezim GDPR.

Artikel Terkait : Facebook bantah kumpulkan data lewat 10 Years Challenge

B. Uji Penawaran Barang dan Jasa
Apabila perangkat pengendali atau pengolah data tidak ditempatkan di Uni Eropa, GDPR juga akan berlaku jika sebuah organisasi atau perusahaan mengendalikan dan mengolah data terkait individu-individu yang berada di Uni Eropa, warga negara atau nonwarga negara dan pengolahan ini terkait dengan salah satu dari dua hal berikut:

Yang pertama menawarkan barang atau jasa terhadap Subyek Data yang berada di Uni Eropa dan yang kedua memantau perilaku Subyek warga negara atau penduduk Uni Eropa.

Lokasi Subyek Data menjadi pertimbangan utama dalam GDPR, bukan status kewarganegaraan Subyek. Perlindungan data pribadi dalam GDPR tidak mengikat untuk pengolahan data warga negara Uni Eropa yang sedang bepergian ke luar Uni Eropa.

"Menawarkan barang dan jasa" di sini berlaku untuk pihak Pengendali Data atau Pengolah data yang terbukti menawarkan layanan barang atau jasa kepada Subyek Data di satu atau lebih dari negara anggota Uni Eropa. 

Dengan demikian, perusahaan e-commerce yang hanya menyediakan situs web yang dapat diakses dari dalam Uni Eropa saja belum terikat untuk mematuhi GDPR. 

Namun perlu diperhatikan, penggunaan bahasa atau mata uang lokal yang lazim digunakan di teritori Uni Eropa, atau menyinggung konsumen yang bertempat tinggal di Uni Eropa, dapat memberi kesan bahwa barang atau jasa telah "ditawarkan" ke orang-orang di Uni Eropa oleh situs e-commerce tertentu. Dengan demikian, menghasilkan alasan untuk memberlakukan ketentuan dalam GDPR. 

C. Uji Pemantauan Perilaku Digital
"Pemantauan Perilaku" di sini mencakup uji untuk mengetahui apakah organisasi atau perusahaan penyedia layanan digital melakukan proses pemantauan atas perilaku dan sikap orang-orang melalui teknik pelacakan digital serta teknik profiling tertentu  guna menghasilkan prediksi preferensi atau perilaku pribadi dari Subyek sebagai pengguna layanan internet.
 
Organisasi atau perusahaan  yang tidak memiliki kedudukan di Uni Eropa, tetapi terjaring oleh uji-uji di atas diwajibkan menunjuk seorang perwakilan di salah satu negara anggota Uni Eropa terkait. 

Mereka juga mesti menjelaskan langkah-langkah yang akan mereka lakukan untuk memenuhi standar GDPR terkait dengan kegiatan operasional mereka yang menghasilkan dampak sebagaimana terbukti dalam uji yang telah dilakukan.

GDPR menekankan posisi dan perbedaan antara Pengendali Data dan Pengolah Data. Tidak seperti Undang-Undang Perlindungan Data Uni Eropa (EU Data Protection Directive), GDPR berlaku baik untuk pihak pengendali data maupun pengolah data. 

Meskipun begitu, hanya sedikit ketentuan GDPR yang berlaku secara langsung kepada Pengolah Data. Sejumlah ketentuan secara tidak langsung berdampak pada posisi Pengolah data, yakni ketika pengendali data melalui mekanisme legal tertentu membagikan atau mendelegasikan tanggung jawab ke Pengolah data. 

GDPR juga menekankan pentingnya pengaturan soal Pengolahan Data (data processing).  Sesuai dengan legislasi yang berlaku sebelum GDPR, Pengolahan data didefinisikan dengan sangat luas mencakup tindakan mengumpulkan, mengatur, menyimpan, mengubah, mengambil, menggunakan, memberitahukan dan menghapus data pribadi, di samping kegiatan-kegiatan lainnya. 

Data Pribadi adalah semua informasi yang terkait dengan orang perorang yang dikenali atau dapat dikenali. Data ini dapat dikenali melalui rujukan pengenal seperti nama, nomor tanda pengenal, data lokasi atau pengenal daring, atau melalui faktor-faktor khas tentang diri pribadi seperti identitas fisik, data genetik, data biometrik, status ekonomi atau status sosial. 

GDPR juga memasukkan alamat IP serta informasi yang dapat diambil dari alamat IP sebagai data pribadi. GDPR sangat ketat dalam mendefinisikan dan mengatur perlindungan privasi ini, meskipun sanksi denda yang dapat diterapkan GDPR untuk pelanggarannya menurut beberapa pihak masih rendah dan dikhawatirkan belum menghasilkan efek jera.  

Apa dampak dari Lingkup Pengaturan GDPR di atas?  Menurut Lukasz Olejnik, peneliti tentang kemanan siber dan perlindungan privasi, organisasi atau perusahaan di luar Uni Eropa harus memastikan keberadaan mereka berdasarkan Tiga Uji di atas, terutama "Uji Penawaran Barang dan Jasa" dan "Uji Pemantauan Perilaku Digital". 

Jika tidak lolos dari uji tersebut, maka mesti segera mempertimbangkan beberapa solusi struktural. Misalnya dengan melarang pengunjung berdomisili di Uni Eropa untuk mengakses web atau layanan digital yang disediakan, menghindari penempatan cookie pada perangkat yang dioperasikan pengguna berdomisili di Uni Eropa. Hal ini untuk menghindari kewajiban memenuhi syarat-syarat GDPR terhadap entitas non-Uni Eropa atau menghindari perluasan pemberlakuan standar GDPR ke luar Uni Eropa. 

Organisasi atau perusahaan Pengolah data mesti meninjau bagaimana mereka akan terdampak pemberlakuan GDPR serta memahami kewajiban hukum baru sekaligus perubahan sifat hubungan mereka dengan pihak Pengendali Data sebagai konsekuensi dari pemberlakuan GDPR.

Syarat Pengolahan Data 

Pasal 6 GDPR menegaskan semua praktek pengolahan data pribadi mesti berdasarkan syarat yang sah. Meskipun bukan hal yang baru, di bawah GDPR  hal ini lebih ditekankan dan menjadi lebih penting bagi Pengolah data untuk memahami dan mencatat dasar-dasar pengolahan data. 

Untuk mengolah data data pribadi secara hukum, Pengendali Data (dalam hal ini pihak yang menentukan tujuan dan cara pengolahan data pribadi) atau Pengolah Data harus memiliki setidaknya satu dari syarat sah sebagai berikut:

1. Subyek Data telah memberikan persetujuan untuk pengolahan data dengan satu tujuan spesifik atau lebih (Pasal 7 dan 8)
2. Pengolahan Data dilakukan dalam konteks menjalankan kontrak di mana Subyek Data adalah salah satu pihak terkait atau dengan tujuan mengambil langkah-langkah pengolahan data sesuai permintaan Subyek Data sebelum memasuki sebuah kontrak.
3. Pengolahan Data diperlukan untuk memenuhi kewajiban hukum tertentu di mana pihak Pengendali Data mesti tunduk kepadanya.
4. Pengolahan Data diperlukan untuk melindungi kepentingan utama Subyek Data atau orang biasa lainnya.
5. Pengolahan Data diperlukan untuk menjalankan misi menjalankan kepentingan publik atau menjalankan otoritas resmi yang berada di tangan Pengendali Data.
6. Pengolahan Data diperlukan untuk mewujudkan kepentingan yang sah Subyek Data atau pihak ketiga, kecuali jika kepentingan ini mengesampingkan hak fundamental dan kebebasan Subyek yang dilindungi menurut prinsip perlindungan data pribadi, terutama sekali jika Subyek Data adalah anak-anak. 

Pihak Pengendali Data juga diwajibkan untuk menyediakan catatan resmi terkait dengan pemenuhan syarat-syarat di atas.  

Apa konsekuensi Syarat Pengolahan Data di atas? Syarat pengolahan data untuk pihak Pengendali Data atau Pengolah Data di atas menjadi dasar perumusan hak Subyek Data. 

Berdasarkan syarat di atas, GDPR dapat menentukan apakah seorang individu memiliki hak keberatan terhadap pengolahan data pribadi atau terhadap pemanfaatan atau pemindahtanganan data tersebut, atau apakah keputusan dapat diambil secara arbitrer oleh pihak Pengendali Data terkait Subyek Data yang datanya ditambang melalui proses pengolahan pemrofilan otomatis yang sejauh ini lazim terjadi tanpa diketahui Subyek Data.

Syarat pengolahan data juga berdampak pada Pengertian Persetujuan Subyek Data. Kesalahpahaman umum yang sering muncul adalah persetujuan individu pemilik data mesti diperoleh untuk mengolah data individu secara sah berdasarkan hukum. 

Padahal, persetujuan umumnya bukanlah prasyarat untuk pengolahan, atau bukan pula alasan pembenar untuk kegiatan-kegiatan semacamnya yang dalam keadaan lain dianggap tidak sah. Persetujuan dibutuhkan untuk keperluan lain yang areanya lebih pada pemanfaatan data. 

Misalnya, di bawah Undang-Undang E-Privasi Uni Eropa, pengiriman pesan penjualan elektronik yang tidak diminta (melalui surat elektronik, media sosial atau layanan pesan daring seperti WhatsApp) kepada seorang pengguna layanan internet memerlukan persetujuan khusus dari pengguna tersebut sebelumnya. 

Syarat Pengolahan data juga berkaitan dengan pengertian Kepentingan Yang Sah untuk pengolahan data. Kepentingan Yang Sah khususnya dalam konteks penggunaan data untuk  kepentingan bisnis, di mana sebuah perusahaan wajib menjalankan kontrak kerja sama tertentu atau memiliki hak menjalankan bisnis yang sah berdasarkan undang-undang tertentu. 

Perusahaan Pengendali Data perlu melakukan pengkajian apakah kepentingan mereka yang sah itu ternomorduakan oleh kepentingan, hak dan kebebasan individu yang di saat yang sama juga dilindungi oleh regulasi perlindungan data pribadi. 

Dengan demikian, aspek proporsionalitas dalam pengumpulan dan pengolahan data, ekspektasi individu pemilik data yang masuk akal dan hubungan mereka dengan pihak Pengendali Data mesti dipertimbangkan. Perusahaan atau organisasi Pengendali Data mesti menjalankan "penilaian seksama" terhadap pengolahan data yang mereka lakukan demi memastikan adanya keseimbangan yang semestinya antara Kepentingan Yang Sah dan Hak Subyek Data.

Perubahan yang signifikan dalam  GDPR adalah jika Pengendali Data menggunakan argumentasi kepentingan yang sah untuk melandasi praktek pengolahan data, hal ini mesti diungkapkan dan dijelaskan kepada Subyek Data, sebagai bagian dari informasi pengolahan yang adil dan transparan yang diberikan kepada individu dalam sebuah Pemberitahuan Tentang Privasi. 

Dalam melakukan ini, organisasi mesti melihat rentang kegiatan yang dilakukan dengan dasar kepentingan sah serta memastikan bahwa hal ini dimasukkan ke dalam “Pemberitahuan Tentang Privasi” tersebut.  

Apabila Pengendali Data ingin menggunakan data untuk tujuan lain, mereka mesti memastikan tujuan baru tersebut "sesuai" dengan tujuan awal pengolahan data, serta perlu melihat benar kaitan antara tujuan, kemungkinan konsekuensi dan keberadaan jaminan perlindungan privasi. 

(Bersambung)

*Agus Sudibyo, Head of New Media Research Center ATVI Jakarta.

Pewarta: Agus Sudibyo*
Editor: Arie Novarina
Copyright © ANTARA 2019