ISTILAH General Data Protection Regulation (GDPR) menjadi begitu populer belakangan ini di Eropa. Peraturan tentang perlindungan data dan privasi individu yang tinggal di wilayah Uni Eropa (UE) serta European Economic Area ini dibuat agar individu memiliki kontrol lebih atas data pribadi. Data tersebut mencakup nama, alamat, lokasi, identitas online, informasi kesehatan, penghasilan, dan profil budaya.
Setelah masa transisi selama dua tahun, GDPR mulai berlaku di UE pada 25 Mei 2018. Peraturan ini menggantikan General Data Protection Directive, yang terbit pada 1995. Berbeda dengan peraturan sebelumnya, GDPR mewajibkan perusahaan, termasuk bisnis online, mendapat persetujuan yang jelas dari pemilik data pribadi. Pemilik data berhak mencabut izin ini kapan saja. Karena merupakan peraturan (regulation), bukan arahan (directive), GDPR tidak membutuhkan ratifikasi dalam bentuk undang-undang nasional setiap negara anggota. Walhasil, peraturan ini secara langsung mengikat dan berlaku di wilayah UE.
Yang menarik, GDPR tidak menggunakan istilah "citizen" atau warga negara, tapi "natural person" dan "whatever their nationality". Dengan kata lain, peraturan yang terdiri atas 99 pasal ini tidak eksklusif bagi warga negara anggota UE, melainkan melindungi setiap orang yang secara fisik berada atau tinggal di wilayah UE. Denda terhadap perusahaan yang melanggar GDPR maksimal 10 juta euro bagi yang terbukti lalai meminta persetujuan privasi data pribadi dari para pengguna layanan dan maksimal 20 juta euro bagi yang terbukti memproses serta mentransfer data pribadi ke negara atau organisasi internasional di luar wilayah UE tanpa persetujuan.
Peraturan Eropa, Isu Dunia
Meski dikeluarkan dari markas UE di Kota Brussels, Belgia, GDPR memiliki jangkauan geografis yang lebih luas ketimbang wilayah UE sendiri. Menjelang pemberlakuan GDPR pada 25 Mei lalu, e-mail di seluruh dunia-bukan hanya di UE-dibanjiri permintaan persetujuan fitur privasi dari perusahaan dan situs web guna memenuhi persyaratan GDPR. Meski perusahaan online memiliki masa transisi dua tahun, pengiriman e-mail permintaan consent menjelang 25 Mei 2018 ini menuai kritik karena surat elektronik itu datang hampir bersamaan, juga memunculkan phishing atau penipuan dari e-mail palsu perusahaan.
Pada tanggal efektif GDPR, beberapa situs web internasional, seperti National Public Radio dan USA Today, mengalihkan layanan ke versi terbatas. Bahkan Los Angeles Times, Chicago Tribune, dan Instapaper memblokir pengguna dari UE secara keseluruhan untuk menghindari konsekuensi GDPR sebelum mendapat persetujuan dari pelanggan pemilik data. Sejumlah perusahaan online asal Amerika Serikat, seperti Unroll.me, Verve, Drawbridge, dan perusahaan game online, menyatakan akan menyetop layanan bagi penduduk UE atau menghentikan bisnisnya di UE karena peraturan baru tentang privasi ini. Volume penjualan iklan online di Eropa pun anjlok 25-40 persen pada 25 Mei 2018.
Hanya beberapa jam setelah tengah malam 25 Mei 2018, Facebook (termasuk anak perusahaannya, WhatsApp dan Instagram) dan Google (khususnya Android) dituntut membayar US$ 8 miliar oleh lembaga swadaya Eropa karena dua perusahaan raksasa digital tersebut dianggap menggunakan "persetujuan paksa" (forced consent) dari para penggunanya dan tidak memberi pengguna "pilihan bebas" (free choice) untuk mendapatkan hak menggunakan data mereka serta mematuhi GDPR.
Sebelumnya, CEO Facebook Mark Zuckerberg menjalani serangkaian "sidang" menyangkut perlindungan data dan privasi individu serta monopoli Facebook-WhatsApp-Instagram, yaitu di Senat Amerika Serikat (10 April 2018) dan Parlemen Uni Eropa (22 Mei 2018). Parlemen Rusia juga mengundang Zuckerberg untuk agenda serupa.
Dampak bagi Indonesia?
Dengan jumlah pengguna Internet di Indonesia yang terus meningkat (sekitar 130 juta jiwa pada 2017), e-commerce yang terus meroket, dan target pemerintah Indonesia menjadi kekuatan ekonomi digital terbesar di Asia Tenggara (dengan target US$ 130 juta pada 2020), perlindungan privasi data perlu menjadi perhatian. Isu milenial privasi data di Indonesia bisa menjadi tsunami yang dahsyat jika tidak diantisipasi sedini mungkin. Kecepatan perkembangan e-commerce yang diikuti kebocoran data pribadi di Indonesia menuntut penyesuaian gesit dalam peraturan perundang-undangan kita, komitmen penegakan hukum, dan action plan yang jelas.
Belajar dari pengalaman Uni Eropa, Indonesia perlu melihat kembali implementasi berbagai peraturan yang ada, seperti Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik serta Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, yang telah mengatur sebagian penggunaan data pribadi, serta peraturan lain yang sudah banyak menyinggung soal pentingnya perlindungan data konsumen.
Apakah peraturan itu sudah cukup? Mungkin belum. Ada pendapat yang mengatakan bahwa kita masih memerlukan payung hukum yang lebih kuat dalam bentuk undang-undang yang secara khusus mengatur perlindungan data konsumen, meski kita paham bahwa kunci suksesnya tidak ditentukan oleh aspek hukum semata. Pengalaman di Uni Eropa mengajarkan bahwa diperlukan edukasi dan peningkatan kesadaran (awareness) semua pihak terhadap kecenderungan global ini, juga masa penyesuaian yang memadai. UE menetapkan waktu dua tahun sebagai masa transisi.
Peningkatan kesadaran dan edukasi publik sangat diperlukan untuk menghindari kerugian bukan hanya konsumen, tapi juga pelaku bisnis. Program edukasi yang terintegrasi pada masa transisi akan menjamin implementasi yang dapat meningkatkan kredibilitas dan kepercayaan dari masyarakat. Desain edukasi harus disusun dengan melibatkan berbagai pihak terkait, seperti pemerintah, Bank Indonesia, Otoritas Jasa Keuangan, lembaga perlindungan dan pemberdayaan konsumen, dunia usaha dan pelaku bisnis, dunia akademik, serta kalangan media.
Rancangan undang-undang mengenai perlindungan data konsumen, yang kabarnya sudah disiapkan, perlu diakselerasi pembahasannya. Hal ini penting karena kita memerlukan landasan hukum yang lebih kuat untuk menjamin lancarnya "cross-border e-commerce" dengan berbagai negara lain. Uni Eropa, misalnya, sulit membuka diri kepada negara-negara yang belum memiliki peraturan setara. Jika hal tersebut terjadi, dampaknya negatif terhadap bisnis e-commerce, yang kita harapkan bisa menjadi salah satu sektor penggerak ekonomi penting masa depan. Hal serupa akan berdampak negatif pada bisnis yang padat data konsumen, seperti lembaga keuangan dan layanan umum masyarakat. Kehadiran undang-undang tersebut juga dapat mencegah berulangnya penyalahgunaan data pribadi jutaan orang, seperti yang dialami pengguna Facebook dan ramai dibicarakan beberapa waktu lalu.
Bagi dunia bisnis di Indonesia, tren global ini tidak lama lagi akan mewarnai pengambilan keputusan. Mudah-mudahan hal itu tidak hanya dilihat sebagai beban berat, tapi juga dianggap sebagai suatu peluang. Keberhasilan dunia bisnis mengantisipasi tren ini akan membantu membangun kredibilitas dan loyalitas konsumen. Ada kebiasaan baru yang harus dibangun dalam perusahaan, yakni mengakrabkan diri dengan tren global perlindungan privasi data konsumen.
Bagi dunia usaha, terdapat beberapa langkah yang perlu diterapkan. Pertama, mulai mengidentifikasi apa saja data pribadi konsumen yang dimiliki atau diproses oleh perusahaan. Perlu dicek bagaimana selama ini data tersebut diperoleh dan diproses. Kedua, untuk apa data tersebut diperoleh dan diproses. Ketiga, perlu diteliti keabsahan proses perolehan data tersebut. Keempat, apakah ada pedoman tata kelola atau manajemen risiko atas kemungkinan "mishandling" terhadap data yang dimaksudkan.
Memang, tidak ada yang istimewa dari keempat langkah itu. Namun menjadikan hal tersebut "built-in" dalam respons perusahaan merupakan tantangan yang tidak kecil. Diperlukan perubahan "mindset" untuk melihat itu semua sebagai bagian dari investasi membangun loyalitas dan mendorong pertumbuhan bisnis ke depan. Kemampuan kita mengelola data dengan cara yang baik akan menambah nilai perusahaan, seperti halnya banyak pihak mengatakan: data is today`s oil, do it properly.
Sumber : https://majalah.tempo.co/read/155767/perlindungan-data-di-era-digital?read=true