Apakah GDPR berlaku bagi saya jika situs saya berada di luar UE?

Jika Anda memproses data pribadi orang-orang di UE — meskipun perusahaan Anda berada di AS, Brasil, atau di mana pun — GDPR berlaku. Contoh: situs e-niaga Australia yang melakukan pengiriman ke Prancis, perusahaan SaaS AS dengan pelanggan UE, blog pribadi yang pembacanya UE mendaftar untuk menerima buletin. Prinsip teritorial adalah lokasi subjek data, bukan lokasi pengontrol.

Apa perbedaan antara pengontrol data dan pemroses data?

Pengontrol memutuskan mengapa dan bagaimana data diproses (Facebook, bank Anda). Prosesor memproses data atas nama pengontrol (vendor pengirim email bank). GDPR menetapkan kewajiban yang berbeda pada masing-masingnya. Sebagian besar perusahaan bertindak sebagai pengontrol bagi pelanggannya dan pengolah layanan yang mereka berikan kepada bisnis lain.

Apakah spanduk cookie diwajibkan oleh GDPR?

Spanduk cookie sebagian besar diwajibkan oleh Pedoman ePrivasi (undang-undang Uni Eropa yang lebih lama dan terpisah), yang mewajibkan izin untuk cookie yang tidak penting. GDPR menetapkan standar mengenai persetujuan yang valid — berdasarkan informasi, spesifik, diberikan secara cuma-cuma, dan mudah dibatalkan. Bersama-sama mereka menghasilkan realitas spanduk kue. Peraturan ePrivasi yang akan menggantikan arahan tersebut telah berada dalam ketidakpastian legislatif selama bertahun-tahun.

Bisakah VPN membantu saya dengan hak GDPR?

VPN tidak memberi Anda hak GDPR — hak tersebut didasarkan pada tempat tinggal, bukan pada apa yang dilihat oleh tujuan sebagai IP Anda. Penduduk UE mempunyai hak GDPR di mana pun mereka terhubung; pengguna non-UE tidak mendapatkan hak GDPR dengan terhubung melalui VPN UE. Hukum mengikuti orangnya, bukan paketnya.

Apa yang terjadi jika perusahaan saya menerima keluhan GDPR?

DPA setempat menyelidikinya. Jika mereka menemukan pelanggaran, sanksi dapat berupa peringatan, larangan pemrosesan, remediasi wajib, dan denda. Kebanyakan kasus diselesaikan melalui dialog dan remediasi dibandingkan denda. Hukuman besar senilai miliaran euro ini melibatkan pelanggaran berulang yang dilakukan oleh pemroses yang sangat besar setelah berbagai pertukaran peraturan.

Penjelasan GDPR: Peraturan Privasi Eropa dan Mengapa Ini Mengubah Bentuk Internet

GDPR – Peraturan Perlindungan Data Umum – telah berlaku di seluruh Uni Eropa sejak tahun 2018, dan dampaknya terlihat di setiap situs web yang Anda kunjungi: spanduk cookie, opsi penghapusan akun, alat ekspor data, hak untuk dilupakan. Undang-undang tersebut tidak sempurna, dan penegakan hukumnya tidak merata, namun peraturan ini tetap menjadi peraturan privasi yang paling penting di dunia.

Badan artikel selengkapnya disediakan dalam bahasa Inggris di bawah ini.

Peraturan Perlindungan Data Umum (GDPR) mulai berlaku pada tanggal 25 Mei 2018, menggantikan Petunjuk Perlindungan Data UE yang lama tahun 1995 dengan satu peraturan yang berlaku langsung di setiap negara anggota. Aturan ini mengatur cara organisasi memproses data pribadi orang-orang di UE dan EEA. Jangkauan teritorialnya luas: setiap perusahaan yang memproses data penduduk UE termasuk dalam GDPR, di mana pun perusahaan tersebut bermarkas.

Apa yang dianggap sebagai data pribadi

XGDPR mendefinisikan "data pribadi" lebih luas dibandingkan sebagian besar undang-undang nasional: informasi apa pun yang terkait dengan orang perseorangan yang teridentifikasi atau dapat diidentifikasi. Nama, email, IP, cookie, ID perangkat, data lokasi, foto, pola perilaku. Bahkan ID nama samaran dihitung jika nama samaran tersebut dapat dihubungkan kembali ke seseorang melalui data lain yang tersedia. Batasannya adalah apakah seseorang dapat mengidentifikasi orang tersebut, bukan apakah seseorang telah mencobanya.

Enam dasar yang sah

Pemrosesan data pribadi memerlukan dasar yang sah — salah satu dari:

Persetujuan — subjek data telah memberikan pernyataan yang eksplisit, terinformasi, dan dapat dibatalkan dengan bebas izin
Kontrak — pemrosesan diperlukan untuk melakukan kontrak dengan subjek data (mengirimkan pesanan, memenuhi langganan)
Kewajiban hukum — diwajibkan oleh hukum (catatan pajak, anti pencucian uang)
Vital kepentingan — diperlukan untuk melindungi kehidupan seseorang
Tugas publik — untuk tujuan kepentingan umum yang dilakukan oleh otoritas resmi
Lkepentingan yang sah — kepentingan pengontrol atau pihak ketiga, seimbang dengan hak subjek data dan kebebasan

Pilihan dasar ditentukan oleh pengontrol data dan diungkapkan dalam kebijakan privasi. "Persetujuan" menjadi kata utama karena spanduk cookie, namun itu hanya salah satu dari enam dasar — dan regulator Uni Eropa sudah jelas bahwa izin tidak tepat sebagai solusi untuk pemrosesan yang seharusnya berada di bawah kontrak atau kepentingan yang sah.

Delapan hak subjek data

GDPR memberikan hak subjek data yang harus dihormati oleh organisasi berdasarkan permintaan, biasanya dalam waktu 30 hari:

Hak akses — mendapatkan salinan semua data pribadi Anda dan informasi tentang cara pemrosesannya
Hak untuk memperbaiki — memperbaiki data yang tidak akurat
Hak untuk menghapus (hak untuk dilupakan) — meminta penghapusan dalam kondisi tertentu
Hak atas pembatasan pemrosesan — menghentikan sementara pemrosesan saat perselisihan diselesaikan
Hak atas portabilitas data — menerima data Anda dalam format yang dapat dibaca mesin dan mengirimkannya ke format lain controller
Hak untuk menolak — khususnya untuk pemasaran langsung
Hak yang terkait dengan pengambilan keputusan otomatis — menantang keputusan yang dibuat sepenuhnya dengan cara otomatis
Hak untuk mendapat informasi — privasi yang jelas dan dapat diakses pemberitahuan

Hukuman yang memiliki gigi

Fitur GDPR yang menarik perhatian utama: denda hingga €20 juta atau 4% dari pendapatan tahunan global, mana saja yang lebih tinggi. DPC Irlandia mendenda Meta €1,2 miliar pada tahun 2023 karena transfer data AS yang tidak sah, dan agensi yang sama telah mendenda mereka €405 juta karena pemrosesan data anak di bawah umur oleh Instagram. Amazon didenda €746 juta oleh Luksemburg. Hukumannya cukup besar sehingga sebagian besar perusahaan multinasional menganggap serius kepatuhan.

Meskipun demikian, penegakan hukum sangat bervariasi. DPC Irlandia menangani kasus-kasus yang melibatkan sebagian besar raksasa teknologi AS karena mereka berkantor pusat di Dublin, dan DPC tersebut dikritik karena prosesnya yang lambat. DPA lain (Jerman, Prancis, Italia) cenderung bertindak lebih cepat pada kasus-kasus yang lebih kecil.

Aturan transfer data

Salah satu ketentuan GDPR yang paling penting: data hanya dapat meninggalkan UE ke negara-negara dengan perlindungan yang "memadai" atau berada di bawah perlindungan tertentu. Keputusan Schrems I (2015) dan Schrems II (2020) dari Pengadilan Eropa membatalkan kerangka transfer data AS-UE secara berturut-turut karena undang-undang pengawasan AS tidak memberikan perlindungan yang setara dengan GDPR. Kerangka Privasi Data (2023) saat ini sudah berlaku namun sudah ditantang.

Konsekuensi praktisnya: banyak perusahaan mempertahankan residensi data khusus UE untuk pengguna UE, dan penyedia cloud AS menawarkan penyimpanan wilayah UE yang secara kontrak tidak ditransfer keluar.

Apa yang sebenarnya diubah oleh GDPR

Efek yang terlihat:

Cookie banner. Sekarang ada di mana-mana, sebagian besar menyakitkan, sering kali berpola gelap. Petunjuk ePrivasi yang mendasarinya (lebih tua dari GDPR) sudah mewajibkannya; Penegakan GDPR menjadikannya universal.
Kebijakan privasi. Lebih panjang, lebih spesifik, dengan periode penyimpanan dan dasar hukum diungkapkan.
Penghapusan akun. Setiap layanan besar kini menawarkan tombol hapus data saya layanan mandiri.
Data ekspor. Hak atas portabilitas data menghasilkan format ekspor standar (Google Takeout, unduhan Facebook).
Pengungkapan pelanggaran wajib. Dalam waktu 72 jam setelah menyadari adanya pelanggaran data pribadi.
DPO (Petugas Perlindungan Data)Persyaratan untuk organisasi yang memproses di scale.

Efek riak internasional

GDPR menjadi templat. CCPA California (2020), LGPD Brasil (2020), Undang-Undang DPDP India (2023), dan lusinan undang-undang nasional lainnya meminjam strukturnya. Perusahaan multinasional sering kali melakukan standarisasi praktik yang setara dengan GDPR secara global karena beroperasi berdasarkan peraturan yang terfragmentasi lebih mahal dibandingkan dengan peraturan yang paling ketat. Hasilnya: aturan privasi yang harus dipatuhi setiap orang di suatu tempat telah menjadi aturan privasi yang disediakan semua orang di mana pun.

Pertanyaan yang sering diajukan

Apakah GDPR berlaku bagi saya jika situs saya berada di luar UE?: Jika Anda memproses data pribadi orang-orang di UE — meskipun perusahaan Anda berada di AS, Brasil, atau di mana pun — GDPR berlaku. Contoh: situs e-niaga Australia yang melakukan pengiriman ke Prancis, perusahaan SaaS AS dengan pelanggan UE, blog pribadi yang pembacanya UE mendaftar untuk menerima buletin. Prinsip teritorial adalah lokasi subjek data, bukan lokasi pengontrol.
Apa perbedaan antara pengontrol data dan pemroses data?: Pengontrol memutuskan mengapa dan bagaimana data diproses (Facebook, bank Anda). Prosesor memproses data atas nama pengontrol (vendor pengirim email bank). GDPR menetapkan kewajiban yang berbeda pada masing-masingnya. Sebagian besar perusahaan bertindak sebagai pengontrol bagi pelanggannya dan pengolah layanan yang mereka berikan kepada bisnis lain.
Apakah spanduk cookie diwajibkan oleh GDPR?: Spanduk cookie sebagian besar diwajibkan oleh Pedoman ePrivasi (undang-undang Uni Eropa yang lebih lama dan terpisah), yang mewajibkan izin untuk cookie yang tidak penting. GDPR menetapkan standar mengenai persetujuan yang valid — berdasarkan informasi, spesifik, diberikan secara cuma-cuma, dan mudah dibatalkan. Bersama-sama mereka menghasilkan realitas spanduk kue. Peraturan ePrivasi yang akan menggantikan arahan tersebut telah berada dalam ketidakpastian legislatif selama bertahun-tahun.
Bisakah VPN membantu saya dengan hak GDPR?: VPN tidak memberi Anda hak GDPR — hak tersebut didasarkan pada tempat tinggal, bukan pada apa yang dilihat oleh tujuan sebagai IP Anda. Penduduk UE mempunyai hak GDPR di mana pun mereka terhubung; pengguna non-UE tidak mendapatkan hak GDPR dengan terhubung melalui VPN UE. Hukum mengikuti orangnya, bukan paketnya.
Apa yang terjadi jika perusahaan saya menerima keluhan GDPR?: DPA setempat menyelidikinya. Jika mereka menemukan pelanggaran, sanksi dapat berupa peringatan, larangan pemrosesan, remediasi wajib, dan denda. Kebanyakan kasus diselesaikan melalui dialog dan remediasi dibandingkan denda. Hukuman besar senilai miliaran euro ini melibatkan pelanggaran berulang yang dilakukan oleh pemroses yang sangat besar setelah berbagai pertukaran peraturan.