Bagaimana Jika GDPR Diterapkan di Luar Wilayah? Penjelasan Metode Penanganannya
GDPR adalah aturan yang ditetapkan oleh EU mengenai perlindungan dan penanganan data pribadi. Jika Anda mengembangkan produk atau layanan di wilayah EU, ada kemungkinan GDPR akan berlaku. Namun, mungkin ada beberapa dari Anda yang tidak yakin apakah perusahaan Anda termasuk dalam lingkup penerapan GDPR, dan jika iya, apa yang harus dilakukan.
Artikel ini akan menjelaskan lingkup penerapan GDPR, tindakan yang harus dilakukan jika aturan tersebut berlaku, dan respons yang diharapkan. Kami juga menyediakan sesi Tanya Jawab mengenai penerapan GDPR, jadi silakan gunakan sebagai referensi.
Ruang Lingkup Penerapan GDPR
Kondisi di mana GDPR diterapkan diatur dalam Pasal 3 ‘Ruang Lingkup Geografis’ dari GDPR. Ruang lingkup penerapan GDPR dibagi menjadi dua situasi: ketika ada basis di dalam wilayah Uni Eropa (EU) dan ketika tidak ada.
Ketentuan yang diatur untuk situasi ketika ada basis di dalam wilayah EU adalah sebagai berikut:
“Penerapan ini berlaku untuk pengolahan data pribadi dalam konteks aktivitas basis di EU, baik pengolahan tersebut dilakukan di dalam wilayah EU atau tidak.”
Referensi: Komisi Perlindungan Data Pribadi | ‘Terjemahan Sementara Peraturan Perlindungan Data Umum (GDPR)[ja]‘
Dengan kata lain, jika ada basis pengelola atau pemroses di dalam wilayah EU, maka GDPR akan diterapkan.
| Pengelola | Orang yang menentukan tujuan dan cara pengolahan data pribadi |
| Pemroses | Orang yang melakukan pengolahan data pribadi atas nama pengelola |
Ruang lingkup penerapan untuk situasi ketika tidak ada basis di dalam wilayah EU meliputi dua hal berikut:
- Menyediakan barang atau jasa kepada individu di dalam wilayah EU
- Memantau perilaku individu yang berada di dalam wilayah EU
GDPR memberlakukan pembatasan ketat terhadap negara-negara di luar wilayah tersebut, dan untuk melakukan transfer data secara bebas, diperlukan ‘penilaian kesesuaian’. Penilaian kesesuaian adalah sertifikasi yang ditentukan melalui konsultasi dengan Komisi Eropa, yang diberikan kepada negara atau wilayah yang menjamin tingkat perlindungan data pribadi yang memadai.
Negara atau wilayah yang tidak memiliki penilaian kesesuaian harus melalui prosedur seperti SCC atau BCR untuk transfer data ke luar wilayah EU.
| SCC (Standard Contractual Clauses) | Ketentuan wajib yang harus dimasukkan dalam kontrak transfer informasi |
| BCR (Binding Corporate Rules) | Kebijakan untuk melindungi data pribadi yang diperoleh dari European Economic Area (EEA) dan aturan untuk berbagi dengan afiliasi di luar EEA |
Yang berubah dengan adanya penilaian kesesuaian adalah tidak perlu lagi melalui prosedur seperti SCC atau BCR.
Penilaian kesesuaian untuk Jepang diumumkan pada pertemuan puncak reguler Jepang-EU pada Juli 2018 (2018) sebagai bagian dari upaya untuk membuat kerangka kerja transfer data pribadi dapat dioperasikan. Kemudian, pada tanggal 23 Januari 2019 (2019), Jepang menerima penilaian kesesuaian, dan diumumkan bahwa “EU dan Jepang telah mengadopsi keputusan yang saling mengakui tingkat perlindungan data pribadi sebagai setara.”
Apa yang Harus Dilakukan oleh Perusahaan yang Terkena Dampak GDPR?
Ada dua hal utama yang harus dilakukan oleh perusahaan jika terkena dampak GDPR:
- Penunjukan perwakilan yang berlokasi di EU/UK
- Penyertaan dalam kebijakan privasi
Berikut ini adalah penjelasan detail mengenai masing-masing poin tersebut.
Penunjukan Perwakilan yang Berlokasi di EU/UK
Pasal 27 GDPR menetapkan kewajiban untuk menunjuk seorang perwakilan yang berlokasi di EU atau UK jika terdapat penerapan GDPR di luar wilayah tersebut.
Perwakilan yang dimaksud di sini adalah orang yang ditunjuk secara tertulis oleh pengendali atau pemroses, dan bertindak mewakili pengendali atau pemroses dalam memenuhi kewajiban mereka di bawah GDPR.
Tidak semua perusahaan yang beroperasi di dalam EU harus menunjuk perwakilan. Perusahaan yang tidak diwajibkan untuk menunjuk perwakilan adalah dalam kasus berikut (Pasal 27 GDPR):
- Operasi yang terkena dampak GDPR tidak bersifat sementara dan tidak melibatkan pengolahan data kategori khusus atau data pribadi yang berkaitan dengan putusan pidana dan tindak pidana dalam jumlah besar, serta mempertimbangkan sifat, konteks, cakupan, dan tujuan pengolahan tersebut, yang kemungkinan risiko terhadap hak atau kebebasan individu adalah rendah
- Bukan merupakan badan publik atau organisasi publik
Referensi: Komisi Perlindungan Data Pribadi | ‘Terjemahan Sementara Peraturan Perlindungan Data Umum (GDPR) dalam Bahasa Jepang[ja]‘
Penyertaan dalam Kebijakan Privasi
Perusahaan yang terkena dampak GDPR harus menyatakan penunjukan perwakilan mereka dalam kebijakan privasi.
Ketentuan Sanksi Jika Tidak Menunjuk Perwakilan
Perlu diwaspadai bahwa jika Anda berada dalam lingkup penerapan GDPR namun tidak menunjuk perwakilan, Anda akan dikenakan sanksi. Besaran sanksi yang ditetapkan adalah maksimal 1.000 euro atau 2% dari total penjualan global, mana yang lebih besar (Pasal 84 ayat (4) GDPR).
Tugas yang Diperlukan dari Agen
Jika Anda berada dalam lingkup aplikasi GDPR, Anda harus menunjuk seorang agen sebagai prinsip. Lalu, apa saja tugas yang diperlukan dari agen tersebut? Berikut ini, kami akan menjelaskan secara rinci tentang tugas-tugas agen.
Pencatatan Proses Pasal 30
Pengelola atau pemroses yang menempatkan agen di negara-negara Uni Eropa harus berbagi catatan proses mereka dengan agen tersebut. Selain itu, agen juga diharuskan untuk menyimpan catatan tersebut, sama seperti pengelola atau pemroses (GDPR Pasal 30).
Isi yang harus dicatat meliputi hal-hal berikut:
- Nama dan kontak pengelola, DPO (Data Protection Officer)
- Tujuan pengolahan data
- Atribut subjek data dan jenis data yang diolah
- Periode penyimpanan
- Waktu penghapusan
Subjek data adalah individu yang telah diidentifikasi atau dapat diidentifikasi, yaitu orang yang terkait dengan data pribadi tersebut.
Jika ada permintaan dari otoritas pengawas, catatan proses ini harus dapat digunakan.
Menanggapi Pertanyaan dari Subjek Data atau Otoritas Pengawas
Jika ada pertanyaan dari subjek data atau otoritas pengawas, agen harus bertindak menggantikan pengelola atau pemroses untuk menanggapi subjek data atau otoritas pengawas tersebut (GDPR Pasal 27 Ayat 3). Sebagai contoh, jika ada permintaan dari subjek data, pengelola harus menyediakan informasi dalam waktu satu bulan (GDPR Pasal 12 Ayat 3). Selain itu, agen juga harus merespons permintaan dari otoritas pengawas dan bekerja sama dengan mereka (GDPR Pasal 31).
Tanya Jawab Mengenai Penerapan GDPR
Berikut ini adalah jawaban atas beberapa pertanyaan yang sering diajukan mengenai penerapan General Data Protection Regulation (GDPR) Jepang.
Apakah Perlu Mematuhi GDPR Meskipun Tidak Berencana Ekspansi ke Luar Negeri?
Secara umum, jika Anda tidak berencana untuk ekspansi ke luar negeri, tidak ada kebutuhan untuk mematuhi GDPR (General Data Protection Regulation). Namun, perlu diwaspadai jika Anda tidak melakukan ekspansi ke luar negeri tetapi ada kemungkinan untuk memperoleh data dari individu yang berada di wilayah Uni Eropa (EU).
Beberapa contoh situasi yang mungkin terjadi adalah sebagai berikut:
- Mengoperasikan situs e-commerce dan menerima pertanyaan atau pesanan dari individu di wilayah EU
- Mendapatkan pengenal online individu di wilayah EU (seperti alamat IP atau Cookie) melalui kunjungan ke situs
- Mendapatkan alamat email dari balasan terhadap pertanyaan yang diajukan oleh individu di wilayah EU
Meskipun Anda secara tidak sengaja memperoleh data pribadi dari individu di wilayah EU, Anda tidak termasuk dalam cakupan geografis sehingga tidak ada masalah jika Anda tidak mematuhi GDPR.
Ingatlah bahwa Anda hanya perlu mematuhi GDPR jika Anda memiliki basis di wilayah EU, atau meskipun tidak memiliki basis di wilayah EU, Anda memenuhi dua kondisi berikut:
- Menyediakan barang atau jasa kepada individu di wilayah EU
- Memantau perilaku individu yang berada di wilayah EU
Apa yang Perlu Dilakukan Saat Meluncurkan Situs E-Commerce Lintas Batas yang Menargetkan Wilayah Uni Eropa?
Ketika Anda meluncurkan situs e-commerce lintas batas yang menargetkan wilayah Uni Eropa, ada kemungkinan Anda akan mengumpulkan informasi pribadi dari individu di dalam wilayah tersebut. Informasi yang mungkin dikumpulkan termasuk:
- Nama
- Alamat email
- Alamat tempat tinggal
- Informasi kartu kredit
- Informasi pembelian
- Informasi lokasi
- Alamat IP & Cookie ID
Jika Anda mengumpulkan informasi tersebut, Anda harus mematuhi aturan GDPR karena informasi ini termasuk dalam data pribadi yang diatur oleh GDPR.
Langkah pertama yang baik adalah meninjau dan memperbarui kebijakan privasi Anda agar sesuai dengan GDPR, serta merevisi dan mempublikasikan pemberitahuan privasi.
Artikel terkait: Penjelasan Poin-Poin Penting dalam Membuat Kebijakan Privasi yang Sesuai dengan GDPR![ja]
Setelah itu, ikuti langkah-langkah berikut:
- Membuat kebijakan cookie baru dan mendapatkan persetujuan penggunaan cookie dari pengunjung pertama kali situs e-commerce Anda
- Apabila mengumpulkan informasi pribadi, mendapatkan persetujuan untuk ‘penanganan data pribadi’
- Melakukan tindakan keamanan untuk melindungi data pribadi dan mencegah kebocoran informasi
- Menunjuk seorang perwakilan
Selain itu, sesuai kebutuhan, tinjau kembali aturan internal dan buat manual untuk mematuhi GDPR, serta tinjau kembali isi kontrak dengan pihak ketiga yang Anda outsource.
Apa Perbedaan Antara GDPR dan UK GDPR?
UK GDPR adalah regulasi perlindungan data umum yang berlaku di Inggris. UK GDPR diberlakukan sejak tanggal 1 Januari 2021 (2021) menyusul keputusan Inggris untuk keluar dari Uni Eropa. GDPR adalah regulasi Uni Eropa yang tidak berlaku di Inggris.
UK GDPR berlaku dalam kasus-kasus berikut:
- Ketika menyediakan barang atau jasa kepada individu yang berada di dalam negeri Inggris
- Ketika memantau perilaku individu yang berada di dalam negeri Inggris
Jika Anda mengembangkan bisnis di Inggris dan di dalam wilayah Uni Eropa, Anda perlu mematuhi baik GDPR maupun UK GDPR.
Kesimpulan: Jika Anda Mengalami Kesulitan dengan Lingkup Aplikasi GDPR, Konsultasikan dengan Ahli
Jika perusahaan Anda memiliki basis di wilayah Uni Eropa, atau bahkan jika tidak memiliki basis tetapi menyediakan barang atau jasa kepada individu di wilayah Uni Eropa atau memantau perilaku individu, maka perusahaan Anda termasuk dalam lingkup aplikasi GDPR (General Data Protection Regulation). Perusahaan yang terkena dampak GDPR harus menunjuk agen yang berbasis di UE dan harus mencantumkan hal tersebut dalam kebijakan privasi mereka.
Tidak menunjuk agen dapat mengakibatkan denda yang besar. Perusahaan yang beroperasi atau berencana untuk memasuki pasar Uni Eropa harus menunjuk agen untuk mematuhi GDPR.
Jika Anda tidak yakin apakah perusahaan Anda termasuk dalam lingkup aplikasi GDPR, kami menyarankan Anda untuk berkonsultasi dengan ahli yang berpengalaman dalam hukum internasional.
Informasi Mengenai Langkah-langkah yang Diambil oleh Kantor Kami
Kantor Hukum Monolith adalah sebuah firma hukum yang memiliki pengalaman luas dalam IT, khususnya internet dan hukum. Di era globalisasi bisnis yang terus berkembang, kebutuhan akan pemeriksaan hukum oleh para ahli semakin meningkat. Kantor kami menyediakan solusi terkait dengan hukum internasional.
Bidang layanan Kantor Hukum Monolith: Hukum Internasional & Bisnis Luar Negeri[ja]
Related Articles
【Diberlakukan pada Tahun Reiwa 6 (2024)】Apa Itu Revisi 'Japanese Care Insurance Law'? Penjelasan.
General Corporate
Apa Itu Kontrak Investasi yang Diperlukan Saat Berinvestasi pada Startup? Penjelasan tentang Kla.
General Corporate
Panduan Menggunakan Agen Pengajuan Subsidi dan Penjelasan Mengenai Item Kontrak yang Diperlukan
General Corporate
Apa itu 'Kontrak Lisensi Pelaksanaan Paten'? Penjelasan Poin yang Harus Diperhatikan
General Corporate
Apa itu Prosedur dan Poin Penting dalam Pembelian dan Penggabungan & Akuisisi Situs Web
General Corporate
Poin Penting dalam Pengalihan Saham? Penjelasan Konkrit tentang Klausul yang Harus Dimasukkan da.
General Corporate
