Singkatan dari “General Data Protection Regulation” GDPR, juga dikenal sebagai Regulasi (EU) 2016/679, adalah undang-undang Uni Eropa yang dirancang pada 27 April 2016 dan dilembagakan pada 25 Mei 2018. Ini menggantikan Arahan Perlindungan Data Uni Eropa, yang diadopsi pada tahun 1995. Tujuan utama dari GDPR adalah untuk melindungi data pribadi penduduk negara-negara dalam Uni Eropa (UE).
Dokumen GDPR setebal 88 halaman ini dimulai dengan menyatakan bahwa perlindungan orang terkait data pribadi mereka adalah hak asasi manusia yang mendasar. Aturan dan pedoman dalam Peraturan Perlindungan Data Umum dirancang untuk mendukung premis ini. Ini menyatakan bahwa semua pengontrol data (organisasi yang mengumpulkan dan menyimpan data pengguna) harus melindungi data, memberi pengguna akses ke data, dan membuat data mudah ditransfer.
GDPR memperbarui Petunjuk Perlindungan Data sebelumnya agar relevan dengan zaman dan teknologi modern. Sebagai contoh:
Peraturan 42 menyatakan bahwa pemroses data (seperti situs web) harus membuat identitas mereka jelas dan meminta persetujuan pengguna sebelum menyimpan data mereka.
Peraturan 49 melarang aktivitas berbahaya terkait data, seperti peretasan dan serangan penolakan layanan.
Peraturan 83 menyatakan bahwa pengontrol dan pemroses data harus mengurangi risiko keamanan dengan menggunakan enkripsi.
Pasal 33.1 mengharuskan organisasi untuk memberi tahu penggunanya dalam waktu 72 jam sejak pelanggaran data ditemukan.
Untuk Siapa GDPR Berlaku?
Pedoman GDPR harus diikuti oleh semua perusahaan dan organisasi publik dan swasta di dalam UE. Denda dan hukuman dapat dikenakan kepada entitas yang tidak sesuai dengan peraturan. Meskipun GDPR umumnya dikaitkan dengan industri TI, seperti situs web e-niaga dan layanan cloud, GDPR berlaku untuk semua organisasi UE yang menyimpan data pribadi. Contohnya termasuk layanan perawatan kesehatan, firma hukum, lembaga pendidikan, firma penelitian ilmiah, dan entitas pemerintah.
Meskipun GDPR dapat diterapkan di Uni Eropa, GDPR juga berlaku untuk perusahaan dan organisasi di luar UE yang melakukan bisnis dengan penduduk UE. Misalnya, jika perusahaan yang berbasis di AS menyimpan data untuk individu yang tinggal di Swedia, data tersebut harus mematuhi peraturan GDPR. Di sisi konsumen, GDPR melindungi warga negara UE dan orang-orang yang tinggal dan bekerja di UE. Aturan berlaku untuk individu yang terlibat dalam transaksi bisnis, tetapi tidak berlaku untuk aktivitas pribadi atau rumah tangga.