GDPR itu Apa? Penjelasan Perbandingan dengan Undang-Undang Perlindungan Data Pribadi dan Poin-poin yang Harus Disadari oleh Perusahaan Jepang
Dalam melakukan ekspansi bisnis ke wilayah Uni Eropa, perlu untuk memiliki pemahaman menyeluruh tentang GDPR (General Data Protection Regulation – Peraturan Perlindungan Data Umum). Bahkan perusahaan Jepang yang tidak memiliki basis di wilayah Uni Eropa mungkin akan terkena dampak dari penerapan GDPR. Dapatkan pengetahuan dasar tentang GDPR dan Undang-Undang Perlindungan Data Pribadi Jepang, dan lakukan manajemen data yang tepat.
Artikel ini akan menjelaskan tentang GDPR, termasuk perbandingannya dengan Undang-Undang Perlindungan Data Pribadi Jepang dan poin-poin penting yang harus diperhatikan oleh perusahaan Jepang. Bagi Anda yang bertanggung jawab di bidang hukum dan sedang mempertimbangkan apakah perlu mengubah aturan perlindungan data atau ingin mengetahui hukum apa yang harus diantisipasi dalam ekspansi bisnis ke Uni Eropa, silakan gunakan artikel ini sebagai referensi.
Apa Itu GDPR (General Data Protection Regulation)?
“GDPR (General Data Protection Regulation)” atau yang dikenal di Jepang sebagai “Peraturan Perlindungan Data Umum”, adalah aturan yang ditetapkan oleh Uni Eropa (EU) mengenai penanganan data pribadi (perlindungan informasi pribadi).
GDPR menetapkan standar ketat untuk penanganan data pribadi di wilayah EU dan bertujuan untuk memperkuat perlindungan privasi individu.
Dari perspektif perlindungan informasi pribadi, GDPR menyediakan standar tentang bagaimana perusahaan dan organisasi seharusnya menangani data dan bagaimana individu dapat melindungi informasi mereka sendiri.
Referensi: Komisi Perlindungan Informasi Pribadi | “Terjemahan Sementara GDPR dalam Bahasa Jepang[ja]“
Prinsip dasar GDPR adalah sebagai berikut:
- Legalitas, Keadilan, dan Transparansi
- Batasan Tujuan
- Minimisasi Data
- Ketepatan
- Batasan Penyimpanan Rekaman
- Integritas dan Kerahasiaan
Kami akan menjelaskan masing-masing prinsip dasar di bawah ini.
Kepatuhan, Keadilan, dan Transparansi
Prinsip dasar GDPR yang paling utama adalah kepatuhan, keadilan, dan transparansi.
Ketika pelaku usaha mengumpulkan dan memproses data pribadi, mereka harus berlandaskan pada justifikasi hukum yang sah dan perlu menjelaskan kepada pihak yang bersangkutan secara jelas tentang bagaimana proses tersebut dilakukan.
Selain itu, penting bagi pelaku usaha untuk menyediakan informasi tentang privasi secara eksplisit dan memastikan transparansi sehingga pihak yang bersangkutan dapat memahami dan mengontrol bagaimana data mereka dikelola.
Pembatasan Tujuan Penggunaan
Pembatasan tujuan penggunaan berarti pengumpulan dan pemrosesan data harus dilakukan hanya untuk tujuan yang spesifik dan jelas.
Pengusaha yang memperoleh data pribadi harus menunjukkan tujuan tersebut secara akurat dan spesifik kepada pihak yang bersangkutan dan mendapatkan persetujuan yang jelas. Selanjutnya, pengusaha diwajibkan untuk membatasi penggunaan data yang dikumpulkan hanya untuk tujuan yang telah disetujui oleh subjek data dan mengelolanya dengan ketat.
Minimisasi Data Pribadi
Pengumpulan data pribadi harus dibatasi (diminimalkan) hanya pada cakupan yang diperlukan untuk mencapai tujuan yang ditetapkan. Kumpulkan data pribadi hanya dalam lingkup yang sesuai dengan tujuan yang diminta dan hindari pengumpulan informasi pribadi yang tidak perlu.
Dengan demikian, jumlah data pribadi yang disimpan dapat diminimalkan, dan privasi individu dapat dilindungi.
Ketepatan
Sebagai salah satu prinsip dasar dari General Data Protection Regulation (GDPR) Jepang, data pribadi harus akurat. Data pribadi yang tidak akurat harus diperbaiki, dan langkah-langkah harus diambil untuk memastikan informasi yang diperbarui dan akurat dipertahankan.
Hal ini akan melindungi hak dan kepentingan individu serta memastikan bahwa pengolahan data pribadi dilakukan berdasarkan informasi yang tepat.
Batasan Penyimpanan Rekaman
Salah satu prinsip dasar dari General Data Protection Regulation (GDPR) Jepang adalah konsep batasan penyimpanan rekaman. Data pribadi yang sudah tidak diperlukan karena tujuan pengumpulannya telah tercapai harus segera dihapus.
Dengan tidak menyimpan data pribadi yang sudah tidak diperlukan, kita dapat mencapai pengelolaan data pribadi yang tepat dan perlindungan privasi.
Integritas dan Kerahasiaan
Data pribadi harus lengkap dan kerahasiaannya terjaga. Data pribadi harus dilindungi dari perubahan yang tidak sah dan kehilangan, serta harus ada tindakan pencegahan yang tepat untuk melindungi dari akses tidak sah.
Hal ini akan meningkatkan kepercayaan terhadap keandalan data pribadi.
Bukan Hanya Perusahaan di Wilayah EU? Lingkup Penerapan GDPR
GDPR tidak hanya berlaku bagi perusahaan yang berada di dalam wilayah EU. Perusahaan Jepang juga bisa menjadi subjek penerapan GDPR. Berikut ini adalah penjelasan mengenai empat kategori perusahaan yang menjadi subjek penerapan GDPR.
Subjek Perusahaan yang Terkena Penerapan GDPR | Ringkasan |
Perusahaan dengan basis di wilayah EU | “Pengendali” | Organisasi yang menentukan tujuan dan cara pengolahan data serta memiliki hak atas data tersebut disebut sebagai pengendali. Misalnya, perusahaan yang memiliki kantor pusat atau cabang di dalam EU termasuk dalam kategori ini. Pengendali memiliki tanggung jawab untuk memastikan pengolahan data yang sah dan transparan. |
Perusahaan yang menerima delegasi pengolahan data pribadi dari perusahaan EU | “Pemroses” | Ketika perusahaan di wilayah EU mendelegasikan pengolahan data kepada perusahaan lain, perusahaan yang menerima delegasi tersebut menjadi ‘pemroses’ dan termasuk dalam lingkup penerapan GDPR. Pemroses juga memiliki tanggung jawab untuk memastikan keamanan dan pengolahan data yang sah. |
Perusahaan yang menyediakan barang atau jasa kepada individu di wilayah EU | Perusahaan yang menyediakan toko online atau layanan web termasuk dalam kategori ini. Pengolahan data yang terkait dengan barang atau jasa yang disediakan harus sesuai dengan standar GDPR. |
Perusahaan yang melakukan pemantauan terhadap individu di wilayah EU | Pemantauan mengacu pada pelacakan perilaku atau kondisi individu tertentu secara berkelanjutan. Misalnya, perusahaan yang menggunakan kamera pengawas atau pelacakan perilaku online termasuk dalam kategori ini, dan pengolahan data yang sah diperlukan. |
Perusahaan yang terkena penerapan GDPR diwajibkan untuk memastikan pengolahan data yang sah dan transparan, keamanan data, serta kepatuhan terhadap standar GDPR.
Artikel terkait: Bagaimana jika GDPR diterapkan di luar wilayah? Kami menjelaskan cara penanganannya[ja]
Penanganan Data Pribadi dalam GDPR
GDPR menyediakan kerangka kerja untuk perlindungan privasi dan sirkulasi data dalam penanganan data pribadi.
Tujuan dan prinsip dari regulasi ini adalah untuk memastikan perlindungan hak-hak dasar dan kebebasan, terutama menghormati privasi pribadi dan memfasilitasi sirkulasi bebas data pribadi (Pasal 4 GDPR). |
GDPR melindungi kontrol dan penghormatan terhadap data pribadi sambil mempromosikan sirkulasi data dan memastikan keandalan melalui manajemen yang tepat.
Untuk itu, transparansi dalam pemrosesan data dan kesadaran tanggung jawab perusahaan sangat penting, dan perusahaan diharuskan untuk menangani data sesuai dengan regulasi.
GDPR juga memiliki ketentuan-ketentuan lain seperti berikut.
Perusahaan yang tunduk pada GDPR, pada prinsipnya memerlukan persetujuan dari subjek data ketika menangani ‘data pribadi’ (Pasal 6(1)(a) GDPR). |
Pengelola harus dapat membuktikan bahwa subjek data telah memberikan persetujuan terhadap penanganan data pribadinya (Pasal 7(1) GDPR). |
Selain itu, subjek data dapat menarik kembali persetujuan mereka terhadap penanganan data pribadi kapan saja (Pasal 7(3) GDPR). |
Adapun, terdapat kasus di mana penanganan ‘data pribadi’ dapat diperbolehkan meskipun tanpa persetujuan subjek data. Contoh konkretnya adalah sebagai berikut.
- Ketika diperlukan untuk pelaksanaan kontrak di mana subjek data merupakan salah satu pihak dalam kontrak tersebut
- Ketika diperlukan untuk mengambil langkah atas permintaan subjek data sebelum penandatanganan kontrak
- Ketika diperlukan untuk mematuhi kewajiban hukum yang dihadapi oleh pengelola
- Ketika diperlukan untuk melindungi kepentingan vital subjek data atau orang lain
- Ketika diperlukan untuk kepentingan umum atau untuk menjalankan tugas yang diemban oleh otoritas publik
- Ketika diperlukan untuk tujuan kepentingan yang sah dari pengelola atau pihak ketiga (perlu adanya penimbangan terhadap hak, kepentingan, dan kebebasan subjek data)
Hak Utama Terkait Data Pribadi dalam GDPR
Dalam General Data Protection Regulation (GDPR) Jepang, subjek data pribadi memiliki hak-hak utama sebagai berikut:
- Hak untuk mengakses data pribadi
- Hak untuk meminta koreksi atau penghapusan data pribadi
- Hak untuk meminta pembatasan penggunaan data pribadi
- Hak untuk mengajukan keberatan terhadap pengolahan data pribadi
Subjek data pribadi memiliki hak untuk memahami bagaimana penyedia menggunakan informasi mereka. Jika merasa informasi tersebut tidak akurat atau digunakan secara tidak tepat, subjek dapat meminta koreksi atau penghapusan, serta memiliki opsi untuk menghentikan penggunaan sementara atau mengajukan keberatan.
Tanggung Jawab Utama Terkait Data Pribadi dalam GDPR
Sementara subjek data pribadi diberikan hak-hak tersebut, perusahaan yang mengumpulkan dan memproses data pribadi memiliki tanggung jawab utama sebagai berikut:
- Membangun sistem dan struktur personil yang sesuai dengan GDPR untuk penanganan data pribadi
- Bertanggung jawab untuk mencatat semua kegiatan pengolahan data pribadi
- Bertanggung jawab untuk merespons pelanggaran data pribadi
Untuk memastikan bahwa data pribadi dilindungi dengan benar, tanggung jawab yang diemban oleh perusahaan ini sangat penting.
Lebih lanjut, penting untuk mencatat semua aktivitas pengolahan data pribadi agar dapat direview dengan tepat jika diperlukan.
Apabila terjadi pelanggaran data pribadi, perusahaan memiliki tanggung jawab untuk mengambil langkah yang tepat dan memberitahukan pihak terkait.
Dalam Kasus Pelanggaran GDPR
Jika pengelola atau pemroses melanggar GDPR dan menyebabkan kerugian kepada subjek data, mereka mungkin diminta untuk membayar ganti rugi (Pasal 82 ayat (1) GDPR).
Lebih lanjut, pelanggaran terhadap GDPR dapat mengakibatkan konsekuensi yang serius. Sebagai contoh, atas tindakan pelanggaran, denda sanksi mungkin dikenakan oleh Uni Eropa berdasarkan Pasal 83 GDPR (Pasal 83 GDPR).
Perbedaan Antara GDPR dan Undang-Undang Perlindungan Data Pribadi
Perbedaan antara GDPR dan Undang-Undang Perlindungan Data Pribadi terutama terletak pada aspek-aspek berikut ini:
- Objek Perlindungan
- Respon terhadap Pelanggaran Data Pribadi
- Pengaturan tentang Penunjukan Perwakilan
- Sanksi atas Pelanggaran
Berikut ini akan kami jelaskan secara lebih rinci.
Objek Perlindungan
GDPR dan Undang-Undang Perlindungan Data Pribadi memiliki perbedaan dalam objek data yang dilindungi. GDPR melindungi data pribadi yang diproses di dalam wilayah Uni Eropa secara luas. Tidak hanya perusahaan yang berbasis di Uni Eropa, tetapi juga perusahaan yang menyediakan barang atau jasa kepada individu di dalam Uni Eropa termasuk dalam lingkup perlindungan ini.
Sementara itu, objek perlindungan Undang-Undang Perlindungan Data Pribadi berbeda-beda tergantung pada negara atau wilayahnya.
Misalnya, Undang-Undang Perlindungan Data Pribadi Jepang melindungi informasi pribadi yang diproses di dalam negeri dan secara umum perlindungannya terbatas pada wilayah domestik.
Respon terhadap Pelanggaran Data Pribadi
GDPR dan Undang-Undang Perlindungan Data Pribadi memiliki perbedaan dalam respon terhadap pelanggaran data pribadi.
Dalam GDPR, jika terjadi pelanggaran data, perusahaan wajib melaporkan kepada otoritas pengawas dalam waktu 72 jam. Selain itu, ada tanggung jawab untuk memberitahukan subjek data pribadi secara cepat dan eksplisit.
Dalam Undang-Undang Perlindungan Data Pribadi, meskipun juga diperlukan untuk segera memberitahukan ketika terjadi pelanggaran data, batas waktu pelaporan dan isi pemberitahuan bervariasi tergantung pada negara atau wilayahnya.
Pengaturan tentang Penunjukan Perwakilan
GDPR dan Undang-Undang Perlindungan Data Pribadi memiliki perbedaan dalam aturan penunjukan perwakilan.
Dalam GDPR, untuk pemrosesan data pribadi anak-anak, diperlukan persetujuan dari orang tua atau wali hukum. Selain itu, perusahaan yang menyediakan layanan online dan menangani data pribadi anak di bawah usia 16 tahun harus mendapatkan persetujuan dari orang tua.
Undang-Undang Perlindungan Data Pribadi juga memerlukan persetujuan dari wali hukum untuk menangani informasi pribadi anak-anak, namun pengaturan usia dan metode pengambilan persetujuan bervariasi tergantung pada peraturan hukum.
Sanksi atas Pelanggaran
Sebagai perbedaan antara GDPR dan Undang-Undang Perlindungan Data Pribadi, terdapat juga perbedaan dalam sanksi yang diberikan jika terjadi pelanggaran.
Dalam GDPR, pelanggaran dapat mengakibatkan sanksi denda hingga maksimal 4% dari total omzet tahunan perusahaan atau 20 juta Euro.
Sanksi dalam Undang-Undang Perlindungan Data Pribadi bervariasi tergantung pada negara atau wilayah, namun umumnya meliputi denda atau tanggung jawab hukum. Jumlah denda dapat berubah tergantung pada isi dan tingkat keparahan pelanggaran.
Poin yang Harus Diperhatikan oleh Perusahaan Jepang dalam Menghadapi GDPR
Perusahaan yang memenuhi kriteria berikut ini perlu mengambil langkah-langkah untuk mematuhi GDPR:
- Perusahaan yang memiliki anak perusahaan, cabang, atau kantor penjualan di dalam wilayah Uni Eropa
- Perusahaan yang menyediakan barang atau jasa dari Jepang ke dalam wilayah Uni Eropa
- Perusahaan yang menerima penugasan untuk memproses data pribadi dari perusahaan di Uni Eropa
Sebagai contoh tindakan konkret yang dapat diambil oleh perusahaan, Pasal 32 dan Preambule (83) GDPR merekomendasikan enkripsi sebagai salah satu teknologi perlindungan data.
Oleh karena itu, diperlukan enkripsi data pribadi pada media penyimpanan seperti PC klien, HDD, USB drive, serta folder bersama.
Di samping itu, perlu juga untuk mengubah kebijakan privasi agar sesuai dengan GDPR. Artikel berikut ini menjelaskan secara detail tentang kebijakan privasi yang sesuai dengan GDPR.
Artikel terkait: Menguraikan Poin-poin Penting dalam Membuat Kebijakan Privasi yang Sesuai dengan GDPR[ja]
Kesimpulan: Konsultasikan Langkah GDPR dengan Ahli
GDPR adalah regulasi yang melindungi data pribadi yang diproses di dalam wilayah Uni Eropa secara luas, dan menuntut pemrosesan data yang sah dan transparan serta pengamanan keamanan data. Perbedaan antara GDPR dan Undang-Undang Perlindungan Data Pribadi Jepang mencakup aspek-aspek seperti objek perlindungan, respons terhadap pelanggaran data pribadi, penunjukan perwakilan, dan sanksi atas pelanggaran.
Perusahaan yang berbasis di dalam wilayah Uni Eropa, perusahaan yang menyediakan barang atau jasa kepada individu di Uni Eropa, serta perusahaan yang menerima penugasan pemrosesan data pribadi dari perusahaan di Uni Eropa, adalah subjek yang terkena dampak oleh GDPR. Pelanggaran terhadap GDPR dapat mengakibatkan tuntutan ganti rugi dan denda, sehingga penting untuk berhati-hati.
Disarankan untuk berkonsultasi dengan ahli untuk menentukan apakah perlu mengubah aturan perlindungan data perusahaan Anda agar sesuai dengan GDPR.
Informasi Mengenai Langkah-langkah yang Diambil oleh Kantor Kami
Kantor Hukum Monolith adalah sebuah firma hukum yang memiliki pengalaman kaya dalam IT, khususnya internet dan hukum. Dalam beberapa tahun terakhir, bisnis global terus berkembang, dan kebutuhan akan pemeriksaan hukum oleh para ahli semakin meningkat. Kantor kami menyediakan solusi untuk masalah hukum internasional.
Bidang layanan Kantor Hukum Monolith: Hukum Internasional & Bisnis Luar Negeri[ja]