Pada 25 Mei 2018 yang lalu, telah bermulanya penguatkuasaan undang-undang perlindungan data Eropah baru yang dikenali sebagai GDPR (General Data Protection Regulation) atau Peraturan Perlindungan Data Umum yang dikeluarkan oleh Parlimen Eropah dan Majlis Kesatuan Eropah. Maka kebanyakan penyedia perkhidmatan digital seperti Dropbox, Google, Apple, Microsoft dan sebagai mula mengemas kini dasar privasi untuk disesuaikan dengan GDPR. Persoalan yang timbul, apa sebenarnya GDPR ini?
Apakah itu GDPR?
Buat pengetahuan anda semua, GDPR (General Data Protection Regulation) (EU) 2016/679 atau Peraturan Perlindungan Data Umum merupakan undang-undang perlindungan berkaitan dengan data privasi buat warga eropah yang diwujudkan bagi mengantikan Arahan Perlindungan Data 1995 (1995 Data Protection Directive) Directive 95/46/EC, sebuah undang-undang perlindungan yang diwujudkan oleh Parlimen Eropah dan Kesatuan Eropah satu ketika dahulu disaat kemunculan awal internet pada tahun 1995.
Undang-undang ini diwujudkan bagi memberikan perlindungan data dan privasi kepada individu yang berada di negara Kesatuan Eropah (EU) dan Kawasan Ekonomi Eropah (EEA). Mula digubal pada 14 April 2016, GDPR memberi kuasa kepada warga EU untuk mengawal selia data peribadi mereka selain mempermudahkan pemantauan perniagaan antarabangsa dengan menyatukan peraturan dalam EU. Malahan GDPR juga digunakan untuk menangani isu berkaitan dengan eksport data peribadi milik warga EU di luar EU dan EEA.
Ini secara tidak langsung ia akan mengikat syarikat-syarikat daripada seluruh dunia yang menyimpan, mengolah atau memproses data penduduk daripada EU untuk tidak menyalah guna data warga EU sekaligus memberi perlindungan terhadap kerahsiaan data yang dimiliki syarikat terbabit walaupun mereka beroperasi di luar Eropah.
Malahan GDPR juga memberi kesempatan kepada syarikat-syarikat luar untuk lebih berdaya saing dan menggunakan pendekatan strategi privasi yang cermat kerana informasi peribadi pengguna adalah salah satu aset dan kunci perniagaan yang sangat berharga. Malahan GDPR juga dapat mendorong perusahaan untuk mengguna pendekatan baru didalam pengelolaan informasi (Controlling and managing unstructured data), meningkatkan privasi data peribadi pelanggan serta melindungi hak dan peraturan baru yang mempengaruhi syarikat-syarikat di luar Kesatuan Eropah (EU) termasuklah Malaysia.
Apabila membicarakan tentang GDPR, maka tidak lengkap kiranya perbincangan jika tidak dikaitkan dengan 2 entiti penting yang sering disebutkan didalam peraturan tersebut iaitu Controller dan juga Processor.
Apa pula maksud Controller dan Processor?
Didalam Perkara 4 ada menyebut peranan 2 entiti penting yang bertanggungjawab terhadap pengurusan data pengguna iaitu Controller dan Processor. Malahan didalam Perkara 1 Arct 4 juga ada mendefinisikan tentang apa sebenarnya entiti terbabit. Menurut GDPR, mereka ialah:
Controller – “means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data”
—
Processor – “means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller”
Penjelasan mengenai controller
Jika sesebuah entiti itu memiliki data pengguna serta bertanggungjawab untuk menentukan kenapa dan bagaimana sesebuah data itu diproses, maka mereka ialah controller. Sebagai contohnya Lazada yang menyediakan perkhidmatan online store menggunakan pangkalan data pengguna untuk menghantar email promosi kepada anda. Lazada mempunyai data dan mereka menggunakan data tersebut untuk sesuatu tujuan. Mereka adalah controller.
Penjelasan mengenai Processor
Jika sesebuah entiti itu memproses dan menggunakan data personal bagi pihak controller, maka mereka ini ialah processor. Sebagai contohnya Lazada ini menyedia online store dan mereka malas untuk melakukan marketing kepada anda, maka mereka mengupah syarikat A untuk melakukan tugasan pemasaran melalui email dengan mengakses pangkalan data Lazada. Ini bagi mendapatkan email anda daripada pangkalan data tersebut seterusnya meneruskan strategi pemasaran yang diamanahkan. Maka syarikat A itu tadi adalah Processor.
Siapa yang terikat dengan GDPR?
Mereka yang terikat dengan GDPR ini ialah mereka yang bertanggungjawab didalam menguruskan data pengguna yang tinggal di eropah. Ini termasuklah syarikat yang menyediakan perkhidmatan E-Commence, syarikat yang menguruskan penerbangan, syarikat perhotelan, syarikat kenderaan, crypto Exchange, syarikat perkhidmatan cloud storage, dan banyak lagi…
Mereka akan terus terikat dengan GDPR jika:
- Berpangkalan di EU, walaupun data yang diproses diluar EU.
- Berpangkalan di luar EU, tetapi memproses data peribadi warga EU.
- Menggunakan Bahasa yang kebiasaannya digunakan di negara EU dengan harapan mereka yang tinggal di wilayah EU menerima tawaran yang diberikan.
- Mereka menyebutkan pelanggan yang berada di EU.
- Secara jelas syarikat menjadikan masyarakat di EU sebagai tumpuan.
Ini adalah ciri-ciri kawalan perniagaan yang akan dikenakan GDPR. Daripada ciri yang dinyatakan jelas menunjukkan sebarang pemproseskan data yang melibatkan warga EU boleh dikenakan tindakan jika melakukan kesalahan walaupun berpangkalan di Malaysia.
Apakah jenis data yang terlibat?
Menurut Suruhanjaya Eropah (European Commission),
Data peribadi adalah apa-apa maklumat yang berkaitan dengan individu, sama ada ia berkaitan dengan kehidupan peribadinya, profesional atau awam. Ia boleh dari nama, alamat rumah, foto, alamat e-mel, butiran bank, siaran di tapak web rangkaian sosial , maklumat perubatan, atau alamat IP komputer.
Perkara 1 Art 4 turut menjelaskan bagaimana fizikal, fisiologi, identiti genetik, mental, ekonomi, budaya atau sosial juga turut didifenisikan sebagai maklumat peribadi seseorang.
Bagi tujuan penggunaan data peribadi, organisasi mahupun syarikat perlu memastikan mereka mendapat persetujuan daripada individu yang terlibat jika ingin menggunakan data yang sedia ada untuk tujuan pemasaran, penjualan, dan lain-lain. Selain daripada itu, pengusaha juga perlu memastikan pelanggan mereka boleh untuk mengakses, membuat perubahan, dan menghapus data yang telah diberikan.
Antara Hak sebagai pengguna
Terdapat beberapaperkara yang disebut sebagai pembelaan hak pengguna terhadap data peribadi mereka. Antaranya ialah:
Pengguna mempunyai hak untuk mengambil data sedia ada untuk kegunaan penyedia perkhidmatan yang lain.
- Menurut Perkara 3 Art 20 (Right to data portability), anda mempunyai hak untuk memindahkan data yang sedia ada yang dimiliki oleh controller sedia ada kepada controller yang lain (seperti pesaing) tanpa kehilangan sejarah data (data history) yang dimiliki. Sebagai contoh memberikan data peribadi anda di syarikat Hotlink untuk memudahkan pendaftaran anda di Celcom.
GDPR mahukan polisi privasi data ditulis dengan menggunakan bahasa mudah agar ia lebih senang difahami dan dipersetujui.
(Polisi mana la pernah ringkas)
- Menurut Perkara 3 Art 12 (Transparent information, communication and modalities for the exercise of the rights of the data subject), setiap maklumat yang disediakan perlu dalam bentuk ringkas, telus, mudah difahami dan mudah diakses, menggunakan bahasa yang jelas, khasnya penyediaan maklumat yang ditujukan khusus untuk kanak-kanak
- Disebabkan GDPR, polisi mengenai privasi kini lebih ringkas dan mudah untuk dibaca. Berikut merupakan salah satu contoh bagaimana polisi privasi data ditulis dengan ringkas oleh Facebook, Apple, Twitter dan LinkedIn ketika di dalam fasa pelaksanaan GDPR.
Pengguna punyai hak untuk dilupakan.
- Didalam Perkara 3 Art 17 ( Right to erasure (‘right to be forgotten’)) ada menyatakan tentang bagaimana “data subjek” iaitu pengguna mempunyai hak untuk meminta controller untuk memadamkan data personal mereka tanpa sebarang penangguhan.
Kenapa GDPR mendapat perhatian dunia?
Pertama isu privasi merupakan isu yang sering dipandang ringan oleh netizen di luar sana. Namun apabila berlakunya skandal Facebook dan juga Cambridge Analytica berkenaan isu kebocoran 87 juta data pengguna facebook mula memberi kesedaran kepada masyarat tentang kepentingan memberi perlindungan kepada data peribadi yang diberikan kepada orang lain. Tanpa disangka himpunan data peribadi seperti nama, no telefon, email, ip address, cookies dan like di facebook ini mampu membantu Donald Trump memenangi pilihan raya walaupun data yang terlibat terdiri daripada mereka yang tinggal di Amerika Syarikat sahaja.
Keduanya pula kita patut bersyukur dengan GDPR ini yang dinyatakan didalam Perkara 1 Art 3(Territorial scope), sebarang pertubuhan yang berurusan dengan data daripada penduduk EU mesti melaksanakan GDPR. Maka ini sedikit sebanyak memberi impak kepada syarikat seperti Apple, Facebook, Spotify dan banyak lagi untuk mengemaskini peraturan dan polisi privasi supaya mematuhi GDPR. Ini menguntungkan warga non EU kerana sesetengah organisasi mengambil pendekatan menggunakan polisi privasi yang sama tidak kira anda daripada EU atau bukan.(Mungkin sebab malas nak banyak-banyak polisi, jadi kiranya sekali jalan)
Apa akan terjadi jika syarikat tidak mematuhi GDPR?
Perkara yang cukup baik berkenaan GDPR ini ialah bagaimana denda yang dikenakan kepada pesalah cukup berat dan membebankan. Jika pada masa lalu denda atau penalti yang dikenakan pada pengumpul dan pengurus data yang tidak bertanggungjawab cukup rendah. Malahan syarikat-syarikat besar yang dikenakan tindakan hanya perlu membayar denda dengan menggunakan sebelah mata. Kini tidak lagi.
Terdapat dua peringkat tahap denda yang dikena jika melanggar GDPR.
- Denda sehingga 2% daripada perolehan tahunan global atau € 10 juta (yang mana lebih tinggi). Ini meliputi pelanggaran yang berkaitan dengan pemberitahuan keselamatan dan data pelanggaran, pensijilan, dan bekerjasama dengan pihak berkuasa penyeliaan.
- Denda sehingga 4% daripada perolehan tahunan global atau € 20 juta (yang mana lebih tinggi). Ini meliputi pelanggaran yang berkaitan dengan prinsip asas untuk data pemprosesan. Seperti syarat untuk kebenaran, hak subjek data, dan memindahkan data peribadi ke negara ketiga.
Bayangkan jika Alphabet (syarikat Induk Google) yang mempunyai pendapat sebanyak $110 bilion pada tahun 2017 perlu membayar denda akibat melanggar GDPR, denda yang mereka perlu bayar mungkin mencecah $4.4 bilion. WOWWW, bapak mahal.
Baca juga : Pemuda ini meramalkan teknologi dan masa hadapan
Baca juga :Rupa media sosial jika digambarkan sebagai lelaki
Baca juga : 7 Perkara yang menghalang diri daripada mencapai matlamat hidup
Kesimpulannya, GDPR sedikit sebanyak boleh dijadikan panduan kepada syarikat atau organisasi tentang perkara yang mereka boleh buat dan tidak boleh buat. Dimasa yang sama ia menyediakan perlindungan data peribadi kepada warga Kesatuan Eropah dan memberikan kesedaran kepada masyarakat tentang risiko penyalahgunaan data.
Jika anda ingin membaca peraturan penuh GDPR, anda boleh layari laman web rasmi mereka untuk makluman lanjut.
Laman web rasmi GDPR: Klik sini
Diharapkan dengan penguatkuasaan undang-undang ini membuka mata ramai pihak untuk mengikuti jejak langkah yang sama. Sekian.
4 Comments
Baru faham mengenai GDPR setelah membaca penjelasan tuan.
Ingat apa yang update2 terbaru baru pada plugin wordpress tu.
Hahaha. Itu adalah maklumat tentang perlindungan privasi. Kalau di Malaysia, kita ada Akta Perlindungan Data Peribadi 2010 (Akta 709)
Baru faham, kiranya sekarang ni data kita lebih dilindungi dan lebih selamat.
Yap. Sekurangnya ada perlindungan data peribadi yang tidak kompromi dengan pihak yang tidak bertanggungjawab. Cuma itulah, ia melindungi warga EU sahaja.