Perlindungan data pribadi menjadi isu yang cukup dibahas belakangan ini, terutama setelah terkuaknya kasus di mana data-data pribadi di Facebook ternyata tak seaman yang diperkirakan, karena mungkin dialihkan ke pihak ketiga tanpa pemberitahuan terlebih dahulu. Belum lagi ditambah banyaknya perusahaan-perusahaan berbasis digital yang tentunya menyimpan banyak sekali data pribadi penggunanya.
Untuk mengantisipasi hal-hal yang tak diinginkan, maka Uni Eropa memperbaharui peraturan tentang data pribadi yang disebut sebagai General Data Protection Regulation atau lebih lazimnya disingkat menjadi GDPR. GDPR ini adalah peraturan yang dikeluarkan oleh European Parliament dan EU Council tanggal 27 April 2016 yang mengatur tentang perlindungan data. Meskipun GDPR ini adalah peraturan yang dikeluarkan oleh institusi Uni Eropa, tetapi dampak hukum dari peraturan ini berlaku pula untuk badan usaha yang terletak di luar Uni Eropa, termasuk pula Indonesia. Berikut beberapa poin yang harus dicermati dari GDPR ini.
GDPR sendiri diundangkan sejak tanggal 27 April 2016, tetapi menurut ketentuan Pasal 88 GDPR, GDPR baru berlaku efektif mulai dari 25 Mei 2018. Namun, banyak pihak yang merasa bahwa tanggal efektif ini terlalu dini karena hingga sekarang pun masih banyak perusahaan yang belum mengubah ketentuan penggunaan datanya untuk mematuhi GDPR. Salah satu penyebabnya adalah karena banyak yang belum mengetahui bahwa GDPR ternyata berlaku bukan hanya bagi perusahaan yang didirikan dan beroperasi di Uni Eropa tapi juga bagi perusahaan non Uni Eropa.
Ekstrateritorial
Pada Pasal 3 GDPR, dijelaskan bahwa GDPR juga berlaku bagi perusahaan yang memproses data pribadi warga negara yang termasuk dalam Uni Eropa. Dijelaskan pula bahwa GDPR terutama akan berlaku bagi perusahaan non Uni Eropa dalam dua kondisi. Yang pertama, bila proses data tersebut berkaitan dengan penawaran barang atau jasa atau yang kedua, ketika perilaku warga Uni Eropa tersebut dimonitor sepanjang perilaku yang dipantau terjadi di dalam wilayah Uni Eropa.
Dalam Resital 23, disebutkan bahwa sebuah perusahaan non Uni Eropa dapat disangkakan menyalahi aturan penawaran barang atau jasa pada Pasal 3 bila perusahaan tersebut melakukan upaya untuk menawarkan barang/jasa di satu atau lebih negara Uni Eropa, misalnya dengan cara menawarkan barang/jasa dalam bahasa dan mata uang negara yang menjadi target. Selanjutnya, menurut Resital 24 GDPR, sebuah perusahaan non Uni Eropa dapat disangkakan mengamati perilaku warga Uni Eropa apabila pemrosesan data tersebut ingin mengetahui preferensi pribadi seseorang atau tingkah laku dan kecenderungan mereka.
Dalam GDPR ini sendiri, ada banyak sekali hak-hak perseorangan yang ada dalam lingkup perlindungan data pribadi yang tak boleh dilanggar, misalnya tentang hak untuk meminta penghapusan data pribadi (right to be forgotten) (Pasal 17) dan hak untuk menerima informasi bahwa data pribadi seseorang telah dipindahtangankan ke pihak lain (right to data portability) (Pasal 20). Lalu apa saja sanksi yang dapat dikenakan bagi perusahaan non Uni Eropa apabila melanggar ketentuan-ketentuan GDPR?
Sanksi bagi pihak yang melanggar GDPR ditentukan dalam denda yang dimulai dari 10 juta Euro hingga 20 juta Euro, atau bahkan menggunakan dasar omzet perusahaan bersangkutan sejumlah 2%–4%. Karena GDPR hanyalah sebuah peraturan yang sifatnya Regulation, maka sanksi yang definitif akan ditentukan oleh masing-masing negara anggota Uni Eropa.
Dampak bagi Perusahaan di Indonesia
Memang, GDPR ini sendiri baru berlaku pada tanggal 25 Mei 2018. Tetapi, ini bukan berarti bahwa perusahaan-perusahaan yang ada di Indonesia hanya tinggal diam dan menganggap GDPR sebagai angin lalu.
Perusahaan Indonesia yang masuk dalam kategori perusahaan sebagaimana diatur dalam Pasal 3 GDPR harus mematuhi ketentuan Pasal 27 GDPR yang menyatakan bahwa mereka harus menunjuk secara tertulis satu wakil di Uni Eropa. Dan wakil yang ditunjuk ini harus didirikan di sebuah negara Uni Eropa yang mana data pribadi yang diproses berhubungan dengan penawaran barang/jasa dan monitoring perilaku.
Hingga sekarang, perusahaan-perusahaan di Indonesia hanya mengetahui bahwa aturan main untuk urusan perlindungan data pribadi ada di Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (“Permenkominfo 20/2016”) dan tentunya UU ITE. Tetapi, sekarang perusahaan-perusahaan di Indonesia juga harus mulai siap-siap dengan datangnya GDPR apabila tak ingin terkena sanksi administratif yang nilainya tak main-main.
Langkah Selanjutnya
Tentu saja setelah tanggal 25 Mei 2018, semua perusahaan, baik yang didirikan di Uni Eropa maupun tidak (yang terkena dampak ekstrateritorial dari GDPR seperti dibahas di atas) harus menyesuaikan diri. Langkah pertama untuk dapat mengakomodir GDPR tentu saja dengan berkonsultasi dengan firma hukum yang memiliki pengetahuan soal GDPR atau setidaknya ahli dalam menangani problematika perlindungan data pribadi.
Hal ini penting agar perusahaan tak salah langkah. Jangan lupa pula bahwa tanpa GDPR pun banyak perusahaan di Indonesia yang sudah harus berkutat dengan Permenkominfo 20/2016, sehingga harus dipertimbangkan apakah ada peraturan dalam GDPR yang mungkin saja masih bertentangan dengan Permenkominfo.
Setelah berkonsultasi dan mengetahui pasal-pasal mana dari GDPR yang harus dipatuhi, langkah selanjutnya adalah untuk memetakan risiko-risiko yang ada dari kebijakan privasi data selama ini. Apabila benar selama ini perusahaan belum mematuhi isi dari pasal-pasal GDPR, maka perusahaan harus mulai memikirkan apakah perusahaan akan memperbaharui syarat dan ketentuan penggunaan, dan memikirkan bagaimana caranya agar semua pengguna mengetahui akan hal ini.
Tantangan atau Ancaman?
Pada akhirnya, GDPR seharusnya dapat dianggap sebagai tantangan dan bukan ancaman karena dengan mematuhi GDPR, sebuah perusahaan akan memiliki nilai tambah karena semakin dipercaya oleh para penggunanya, dan tentunya semakin menguntungkan perusahaan tersebut dalam jangka panjang.
Sebaliknya, perusahaan-perusahaan yang tak berusaha menjalankan aturan dalam GDPR akan berisiko terkena sanksi administratif yang jumlahnya sangat signifikan, dan bukan tidak mungkin akan pailit hanya karena terkena dampak sanksi administratif tersebut.
Mungkin, GDPR masih akan ditanggapi dengan dingin oleh banyak perusahaan di Indonesia karena belum menyadari dampak dari GDPR itu sendiri dan bagaimana implementasinya di lapangan. Tetapi, seiring dengan berjalannya waktu di mana perkembangan dunia digital semakin berkembang pula, kebutuhan privasi data akan terus diperketat dan bukan tidak mungkin pemerintah Indonesia juga malah mengakomodir isi pasal-pasal dalam GDPR ke dalam peraturan perundang-undangan nasional, misalnya dalam UU tentang Perlindungan Data Pribadi yang rencananya akan disahkan tak lama lagi.
*)Glenn Wijaya adalah Associate salah satu firma hukum di Jakarta.
Catatan Redaksi: Artikel Kolom ini adalah tulisan pribadi Penulis, isinya tidak mewakili pandangan Redaksi Hukumonline |