Inti Artikel
- GDPR bukan sekadar mengatur pengelolaan data pribadi pengguna, namun juga respon yang harus dilakukan saat terjadi insiden
- GDPR berlaku untuk semua perusahaan yang melayani konsumen Eropa, meskipun perusahaan tersebut tidak punya kantor di Eropa
- Pihak yang bertanggung jawab terhadap GDPR atau jajaran tertinggi seperti direksi, sehingga mereka harus memastikan kepatuhan akan aturan ini.
Penulis: Thomas Fischer, Aktivis Independen di bidang Perlindungan Data
Global Data Protection Regulation atau GDPR adalah serangkaian aturan legislatif yang mengatur cara mengumpulkan, memroses, dan mengelola data pribadi. Salah satu aspek utama dalam GDPR adalah penambahan subject access right atau hak akses terhadap data subyek. Aturan yang mulai diterapkan oleh Parlemen Eropa pada akhir Mei lalu ini berlaku untuk entitas global, di Eropa maupun di luar Eropa.
Setiap perusahaan yang berbisnis di Eropa harus tunduk pada GDPR. Termasuk perusahaan yang berbasis di negara lain, meski mereka tidak punya kantor di Eropa. Jika sebuah perusahaan memberi layanan kepada, atau mereka mengumpulkan data pribadi warga negara Eropa, perusahaan tersebut harus patuh pada aturan GDPR.
Aturan ini ramai diperbincangkan terutama tentang kenaikan denda yang cukup signifikan. Denda tersebut sebesar minimal 10 juta Euro atau dua persen dari global gross revenue. Bahkan jika sampai terjadi pencurian data yang fatal, atau data yang hilang itu berupa data pribadi yang sensitif atau jumlahnya sangat besar, dendanya bisa mencapai dua puluh juta Euro atau empat persen dari global gross revenue.
Bukan Hanya Denda
GDPR bukan masalah kepatuhan atau compliance belaka, melainkan pelaksanaan akuntablitas, pengelolaan risiko minimal, dan pergeseran budaya. Ada satu aspek kecil namun sangat penting ketika perusahaan harus merespon sebuah insiden terkait data. Aspek itu adalah perusahaan wajib mengumumkan terjadinya pembobolan (breach) data pribadi tersebut dalam waktu 72 jam setelah insiden itu terdeteksi.
Perusahaan harus menyatakan adanya pembobolan data pribadi ketika sebuah insiden berdampak pada keamanan subyek data. Ketika yang diambil adalah username dan password, mungkin tidak ada alasan untuk membuat pernyataan. Namun bila data yang tercuri adalah alamat rumah, hal ini menimbulkan risiko terhadap pengguna, sehingga perusahaan harus membuat pernyataan.
Aturan tersebut mengacu definisi dalam GDPR yang mengatur bahwa data pribadi adalah semua hal yang memungkinkan pihak lain mengidentifikasi ulang subyek data atau seseorang secara langsung maupun tidak langsung. Permasalahannya terletak pada frasa “tidak langsung”, yang membuat GDPR menjadi rumit.
Definisi klasik dari informasi pribadi selama ini lebih mengacu pada nama, alamat, dan sebagainya. Namun ketika sebuah perusahaan Anda memiliki kemampuan mengidentifikasi ulang seseorang, bisa jadi perusahaan Anda sebenarnya memegang data pribadi.
Contohnya saat perusahaan Anda mengelola kamera CCTV dan mengambil ciri dari warna rambut, tinggi tubuh, warna kulit, dan sejenisnya. Karena semua data tersebut dapat mengidentifikasi ulang sebuah subyek, data yang diambil CCTV ini dapat diklasifikasikan sebagai data pribadi.
Dua Hal Wajib Bagi Tim Perespon Insiden
Dengan tuntutan yang tinggi tersebut, perusahaan Anda harus membuat peta data yang memuat cara perusahaan mengelola data pribadi. Jika response team memiliki akses terhadap peta tersebut, mereka dapat melihat insiden yang berpotensi menimbulkan isu atau di mana data-data pribadi dapat disimpan. Setelah itu, Anda harus melakukan monitor dengan lebih intensif.
Satu aspek utama dalam GDPR adalah akuntabilitas. Karena itu, perusahaan harus bertanggung jawab terhadap aspek tindakan apapun yang membuktikan perusahaan memastikan data pribadi terlindung. Sebagai bagian dari itu, lihat bagaimana perusahaan Anda dapat merespon insiden pembobolan data pribadi.
Jika menjadi target suatu serangan, perusahaan harus tahu dan kemudian memastikan, tidak ada satupun (data) yang diubah atau dihancurkan. Itulah akuntabilitas yang memperlihatkan keseriusan Anda dalam menanggapi insiden dan melindungi data.
Ada satu misintepretasi pada maksud “privasi”. Banyak yang menyangka aturan privasi membuat perusahaan tidak boleh menggunakan data, atau perusahaan tidak boleh memroses data pribadi tersebut.
GDPR bukan membahas hal itu. GDPR mengatur regulasi agar Anda, sebagai sebuah organisasi, memahami tanggung jawab dalam hal pengumpulan data dan memahami bahwa Anda menggunakan dan memroses data secara aman. Ketika Anda berpikir tentang data breach, konotasinya adalah ‘Kita kehilangan data atau data telah dipindahkan’.
Menurut definisi GDPR, ‘breach’ bukan hanya pencurian data (exfiltration). Aspek breach meliputi perusakan jahat (malicious destruction), perubahan tidak sah, dan apapun yang berlawanan dengan alasan pemrosesan. Untuk perusakan (destruction), misalnya ketika Anda diserang Ransomware, Anda harus membuat pernyataan apabila Ransomware tersebut berpotensi mengambil data yang sensitif.
Sedangkan pada kasus perubahan jahat (malicious changes), kasusnya dapat berupa seseorang di luar aktivitas pemrosesan normal mengubah data. Tindakan ini pun bisa disebut ‘breach’. Ada pula yang disebut malicious deletion yaitu ketika Anda menghapus data dalam berbagai formatnya.
Tanggung Jawab Korporasi dan GDPR
Dengan GDPR, tanggung jawab berada di tingkat tertinggi perusahaan seperti jajaran direksi. Namun tanggung jawab secara hukumya (liability) tergantung jenis-jenis pelanggaran, misalnya pasal mana yang tidak Anda patuhi, dan juga tergantung pada jenis data yang telah dilanggar.
Pada pokoknya, ada dua golongan denda.
Misalnya, jika Anda mengelola data yang dianggap sensitif, yang memuat hal seperti afiliasi politik, afiliasi serikat dagang, catatan tindakan kriminal, ras, dan hal-hal lain, Anda secara otomatis berada pada golongan denda yang lebih tinggi.
Jika Anda telah melakukan semua hal, tetapi ada yang terlewatkan, tidak mengikuti pasal-pasal tertentu, atau Anda melakukan kesalahan, Anda berada pada level pelanggaran 2%. Dan masih ada banyak lagi tingkatannya dan jauh lebih kompleks.
Mengenai tanggung jawab, GDPR mendefinisikan bahwa organisasi dan jajaran (pimpinan) yang bertanggung jawab, tetapi ada pula yang disebut Data Protection Officer atau DPO. Tanggung jawab DPO adalah mengelola dan mengkoordinasikan semua aktivitas perlindungan data.
DPO juga sebagai single point of contact dalam hal notifikasi breach, dalam hal merespon permintaan DPA, dan dalam hal merespon komplain dari subyek data. Tanggung jawab DPO didefinisikan pada tingkat tertinggi dalam GDPR.