Memahami Poin-Poin Penting dalam Membuat Kebijakan Privasi yang Sesuai dengan GDPR (General Data Protection Regulation)
Ketika menangani informasi pribadi pengguna di wilayah Uni Eropa, Anda harus mematuhi GDPR (General Data Protection Regulation) dan harus membuat kebijakan privasi yang sesuai dengan GDPR. Namun, banyak yang mungkin tidak memahami GDPR secara detail dan tidak yakin apakah situs mereka perlu menyesuaikan atau bagaimana cara menyesuaikannya.
Oleh karena itu, dalam artikel ini, kami akan menjelaskan gambaran umum GDPR dan poin-poin penting dalam membuat kebijakan privasi yang sesuai dengan GDPR. Kami juga akan memperkenalkan situasi penyesuaian di Jepang dan contoh dari perusahaan-perusahaan terkenal sebagai referensi Anda.
Mengenai GDPR dan Kebijakan Privasi
Apa itu kebijakan privasi yang sesuai dengan GDPR? Di sini, kami akan menjelaskan gambaran umum GDPR dan kewajiban kebijakan privasi yang ditetapkan oleh GDPR.
GDPR dan Kebijakan Privasi
GDPR adalah regulasi yang ditetapkan oleh Uni Eropa (EU) yang mengatur secara rinci perlindungan dan pengelolaan data pribadi. GDPR berlaku di Area Ekonomi Eropa (EEA: negara anggota EU, Islandia, Liechtenstein, dan Norwegia, kecuali Swiss). Perusahaan Jepang juga dapat menjadi subjek penerapan GDPR dalam kasus-kasus berikut:
- Menyediakan barang atau jasa kepada subjek data di wilayah EU
- Memantau perilaku subjek data di wilayah EU
Subjek data adalah individu yang telah diidentifikasi atau dapat diidentifikasi, yang merujuk pada orang yang terkait dengan data pribadi tersebut.
Perusahaan yang masuk dalam kriteria di atas harus meninjau dan merevisi kebijakan privasi (privacy notice) mereka. Jika terjadi pelanggaran terhadap GDPR, perusahaan dapat dikenakan denda hingga 20 juta euro atau 4% dari total penjualan global.
Referensi: Japan External Trade Organization | ‘General Data Protection Regulation (GDPR)'[ja]
Untuk bertransaksi dengan negara-negara di kawasan EU dengan aman, memeriksa kebijakan privasi adalah hal yang esensial.
‘Informasi yang Harus Diberikan’ Saat Pengambilan Data Pribadi Menurut GDPR
Menurut GDPR, ketika mengambil data pribadi, pengelola harus memberikan informasi tertentu kepada subjek data, dan Pasal 12 Ayat 1 GDPR mencantumkan metode penyampaian informasi tersebut.
Isinya adalah sebagai berikut:
- Harus ringkas, transparan, mudah dipahami, dan mudah diakses
- Menggunakan bahasa yang jelas dan sederhana
- Mengambil langkah yang tepat dalam memberikan informasi kepada anak-anak
- Disediakan secara tertulis, atau secara elektronik jika sesuai, atau dengan cara lain
- Jika diminta oleh subjek data, informasi dapat diberikan secara lisan
Selain itu, Pasal 12 Ayat 5 GDPR menyatakan bahwa penyediaan informasi harus gratis. Pastikan kebijakan privasi perusahaan Anda memenuhi kriteria di atas dan lakukan revisi jika diperlukan.
Poin-Poin Penting Saat Merevisi Kebijakan Privasi untuk Kepatuhan GDPR
Dalam GDPR, terdapat beberapa poin yang harus dijelaskan oleh pengelola data kepada subjek data ketika memperoleh data pribadi langsung dari subjek data itu sendiri (Pasal 13 GDPR) atau dari pihak lain selain subjek data (Pasal 14 GDPR).
Beberapa poin yang harus dijelaskan oleh pengelola data meliputi:
- Identitas dan detail kontak pengelola data
- Jika ada perwakilan, identitas dan detail kontak perwakilan tersebut
- Hak subjek data untuk mengakses, memperbaiki, menghapus, membatasi, portabilitas data, dan hak untuk mengajukan keberatan
- Tujuan pengolahan data pribadi dan dasar hukumnya
- Periode penyimpanan data pribadi atau kriteria yang digunakan untuk menentukan periode tersebut
- Jenis data pribadi yang relevan
Ada beberapa poin yang harus dijelaskan yang mungkin tidak ada dalam kebijakan privasi Jepang, sehingga perlu diperhatikan secara khusus saat melakukan revisi. Untuk kebijakan privasi yang mempertimbangkan Undang-Undang Perlindungan Informasi Pribadi Jepang, silakan merujuk ke artikel ini.
Artikel terkait: Apa Saja Poin-Poin Penting Saat Membuat Kebijakan Privasi dengan Memperhatikan Undang-Undang Perlindungan Informasi Pribadi Jepang?[ja]
Di sini, kami akan menjelaskan poin-poin penting dalam revisi, terutama yang belum ada dalam kebijakan privasi yang mempertimbangkan Undang-Undang Perlindungan Informasi Pribadi Jepang.
Dasar Hukum Keabsahan Pengolahan Data
Dalam GDPR, diwajibkan untuk mengekspresikan ‘dasar hukum keabsahan pengolahan data’, yang tidak ada dalam undang-undang perlindungan data pribadi sebelumnya. Ada enam alasan yang membuat pengolahan data pribadi menjadi sah, yaitu (Pasal 6 GDPR):
- Persetujuan subjek data
- Pelaksanaan kontrak
- Kewajiban hukum
- Kepentingan vital terkait dengan kehidupan
- Kepentingan umum
- Kepentingan yang sah
Jika salah satu dari enam alasan di atas berlaku, maka pengolahan data dianggap sah. Oleh karena itu, penting untuk menyatakan hal ini dalam kebijakan privasi Anda. Untuk individu yang memberikan informasi untuk pertama kalinya, Anda dapat meminta persetujuan melalui kebijakan privasi yang baru.
Namun, perlu diingat bahwa ada kebutuhan untuk menangani pengguna yang telah memberikan persetujuan mereka sebelum revisi kebijakan privasi. Bagi orang-orang yang telah memberikan persetujuan sebelum revisi, mungkin perlu untuk meminta persetujuan mereka sekali lagi.
Dalam kasus ini, Anda dapat mencantumkan salah satu dari enam dasar hukum yang sah dalam kebijakan privasi dan meminta persetujuan untuk revisi tersebut.
Kategori Informasi yang Diperoleh dan Tujuan Penggunaannya
Dalam kebijakan privasi yang konvensional, kecenderungan umum adalah mencantumkan informasi yang diperoleh, tujuan penggunaan, serta syarat dan ketentuan dalam satu halaman, dan meminta persetujuan secara keseluruhan. Namun, di bawah Regulasi Perlindungan Data Umum (General Data Protection Regulation – GDPR), diperlukan untuk memperjelas apa yang disetujui oleh pengguna dan objek persetujuan tersebut.
Menuliskan tujuan penggunaan untuk setiap informasi yang diperoleh dan menggunakan format tampilan yang memungkinkan untuk mendapatkan persetujuan secara terpisah untuk masing-masing bisa menjadi pendekatan yang baik.
Pengklarifikasian Tujuan Penggunaan
Dalam Japanese General Data Protection Regulation (GDPR), diwajibkan untuk menunjukkan secara jelas tujuan penggunaan informasi yang diperoleh. Sebagai contoh, jika tujuan penggunaannya adalah ‘untuk peningkatan layanan’, hal tersebut dapat dianggap terlalu ambigu dan berpotensi dianggap tidak tepat.
Selain itu, pengolahan data tambahan yang tidak sesuai dengan tujuan yang telah ditetapkan tidak diperbolehkan, sehingga penting untuk memperhatikan hal ini saat merevisi kebijakan privasi Anda.
Hak Penghapusan & Hak Portabilitas Data
Banyak perusahaan yang telah mencantumkan hak akses dan hak koreksi dalam kebijakan privasi mereka sebelumnya. Namun, di bawah GDPR (General Data Protection Regulation), perusahaan juga diwajibkan untuk mencantumkan ‘Hak Penghapusan & Hak Portabilitas Data’.
Hak Penghapusan adalah hak pengguna untuk meminta pengelola untuk menghapus data pribadi mereka. Sementara itu, Hak Portabilitas Data adalah hak untuk memindahkan data pribadi ke layanan lain.
Sebagai contoh, ini bisa mencakup pemindahan data pelanggan dan data historis dari perusahaan telekomunikasi A ke perusahaan telekomunikasi B. Untuk mematuhi GDPR, kebijakan privasi harus mencantumkan hak-hak ini secara eksplisit.
Penjelasan Mengenai Periode Penyimpanan Data
Dalam GDPR (General Data Protection Regulation), diperlukan penjelasan mengenai ‘periode penyimpanan informasi pribadi’, yang sebelumnya tidak tercantum dalam kebijakan privasi. Jika tidak dapat menentukan periode penyimpanan, GDPR mengizinkan untuk menjelaskan kriteria yang digunakan dalam menentukan periode penyimpanan tersebut.
Kondisi Respons Perusahaan Jepang terhadap GDPR
Kami akan memperkenalkan informasi survei dari hasil penghitungan survei ‘Tren Penggunaan IT Perusahaan 2021’ (versi detail) yang dilakukan oleh Japan Information Economy Society Promotion Association dan ITR Corporation yang dapat diakses di sini[ja].
Berdasarkan hasil survei, jumlah perusahaan yang telah menyesuaikan dengan GDPR masih sedikit, dan perusahaan yang sedang dalam proses penyesuaian (dalam pertimbangan) mencapai 26.1%, yang merupakan persentase tertinggi. Pada saat penghitungan tahun 2021, terdapat kecenderungan banyak perusahaan yang tidak melakukan transfer data pribadi dengan Uni Eropa.
Hasil survei mengenai pertukaran data pribadi dengan Uni Eropa adalah sebagai berikut.
Dari grafik di atas, 44.4% perusahaan menjawab ‘Saat ini tidak ada pertukaran dan tidak ada rencana untuk pertukaran di masa depan’, yang merupakan persentase terbesar. Sebanyak 12% perusahaan menyatakan bahwa ‘telah ada pertukaran sebelumnya, namun setelah penerapan GDPR, data diproses secara terpisah di Uni Eropa dan Jepang’.
Sebanyak 25.9% menjawab ‘Saat ini tidak ada pertukaran, namun ada rencana untuk pertukaran di masa depan’, dan 17.6% menyatakan ‘Saat ini sedang melakukan pertukaran’. Ini menunjukkan bahwa meskipun ada kemungkinan perusahaan yang akan melakukan pertukaran dengan Uni Eropa akan meningkat di masa depan, jumlahnya masih sedikit berdasarkan survei tahun 2021.
Sumber: JIPDEC/ITR ‘Tren Penggunaan IT Perusahaan 2021′[ja]
Respons Perusahaan Terkenal terhadap GDPR
Banyak perusahaan yang ingin memperbarui kebijakan privasi mereka agar sesuai dengan General Data Protection Regulation (GDPR) namun tidak tahu harus memulai dari mana. Dalam artikel ini, kami akan menjelaskan secara rinci bagaimana Google dan Facebook menanggapi GDPR sebagai contoh dari respons perusahaan terhadap regulasi tersebut.
Tanggapan Google terhadap GDPR
Google telah mengumumkan langkah-langkah berikut untuk mematuhi General Data Protection Regulation (GDPR):
- Meningkatkan transparansi kepada pengguna
- Memperbaiki kontrol yang dapat dilakukan oleh pengguna
- Meningkatkan portabilitas data
- Memperbaiki alat untuk persetujuan orang tua dan penggunaan internet yang tepat oleh anak-anak
- Menyediakan dukungan untuk pengguna bisnis dan mitra
- Menguatkan program kepatuhan privasi
Berikut ini adalah penjelasan detailnya.
Referensi: Google “Upaya Google dalam Menghadapi Peraturan Perlindungan Data Umum (GDPR) Uni Eropa[ja]“
Peningkatan Transparansi terhadap Pengguna
Google sedang memperbaiki dan memperbarui kebijakan privasinya untuk memudahkan pengguna dalam memahami informasi apa yang dikumpulkan dan alasan pengumpulannya serta mempermudah pencarian informasi tersebut. Beberapa peningkatan yang telah dilakukan adalah sebagai berikut:
- Menambahkan detail tentang pengelolaan, ekspor, dan penghapusan informasi
- Menambahkan video dan diagram selain teks
Selain itu, kami telah mengubah pengaturan agar halaman pengaturan privasi dapat dibuka dengan lebih mudah.
Peningkatan Manajemen oleh Pengguna
Untuk mematuhi GDPR (General Data Protection Regulation), kami telah memperbaiki cara pengelolaan pengguna. Perubahan yang telah dilakukan adalah sebagai berikut:
- Memungkinkan tampilan dan penghapusan data di My Activity
- Menyediakan fungsi pencarian berdasarkan topik, tanggal, dan produk
- Memungkinkan pengecekan pengaturan privasi yang sesuai dengan pengguna
- Memungkinkan manajemen dan penyembunyian iklan yang ditampilkan
- Memungkinkan pemahaman data melalui Google Dashboard
Selain itu, sebelum penerapan GDPR, kami telah membuat perubahan agar informasi pengguna dan iklan lebih mudah dikelola.
Peningkatan Portabilitas Data
Google memiliki berbagai layanan seperti Google Foto, Drive, Kalender, dan Gmail. Berikut adalah langkah-langkah yang diambil oleh Google untuk meningkatkan portabilitas data sebagai bagian dari kepatuhan terhadap Peraturan Perlindungan Data Umum (General Data Protection Regulation/GDPR).
- Perluasan layanan dan item manajemen yang mendukung pengunduhan data
- Penambahan fitur untuk menjadwalkan pengunduhan data secara berkala
Peningkatan Alat untuk Persetujuan Orang Tua dan Penggunaan Internet yang Tepat oleh Anak
Google menyediakan aplikasi Family Link untuk mendukung orang tua dan anak dalam menggunakan internet dengan tepat. Melalui Family Link, orang tua dapat membuat akun untuk anak mereka.
Aplikasi ini memungkinkan orang tua untuk mengatur dan mengelola aturan di rumah, seperti ‘manajemen waktu penggunaan’ dan ‘penangguhan sementara perangkat’.
Dukungan untuk Pengguna Bisnis & Mitra
Untuk mematuhi GDPR (General Data Protection Regulation), kami telah memperbarui kebijakan yang meminta mitra Google (seperti pengiklan dan operator situs) untuk mendapatkan persetujuan pengguna di situs dan aplikasi mereka. Berikut adalah beberapa poin yang termasuk dalam pembaruan ini:
- Menyediakan alat untuk mendukung kepatuhan terhadap GDPR
- Memperketat proses sertifikasi perusahaan yang menggunakan layanan iklan Google
- Memperbarui ketentuan pengolahan data
- Menyediakan informasi rinci tentang portabilitas data dan pemberitahuan insiden data
Penguatan Program Kepatuhan Privasi
Untuk memenuhi persyaratan General Data Protection Regulation (GDPR) Jepang, kami sedang melaksanakan penguatan program kepatuhan privasi. Detail program tersebut adalah sebagai berikut:
- Perbaikan program privasi
- Penguatan proses peninjauan produk
Kami juga melakukan dokumentasi yang lebih komprehensif terkait dengan pengolahan data.
Kepatuhan Facebook terhadap GDPR
Sebagai respons terhadap GDPR, Facebook telah mengumumkan langkah-langkah berikut:
- Konfirmasi pengambilan informasi dari iklan yang ditampilkan
- Pilihan informasi profil
- Konfirmasi teknologi pengenalan wajah (EU & Kanada)
- Persetujuan terhadap syarat layanan dan kebijakan data yang diperbarui
- Implementasi fitur yang memudahkan akses, penghapusan, dan pengunduhan informasi
- Penyediaan informasi untuk pengguna muda
Berikut ini adalah penjelasan detailnya.
Referensi: Facebook “Kepatuhan terhadap General Data Protection Regulation (GDPR) dan Penyediaan Perlindungan Privasi Baru[ja]“
Konfirmasi pengambilan informasi dari iklan yang ditampilkan
Mitra Facebook menggunakan informasi yang diperoleh dari klik tombol ‘Suka’ dan alat yang disediakan oleh Facebook untuk menampilkan iklan. Facebook menyediakan informasi tentang iklan kepada pengguna dan memungkinkan mereka untuk memilih apakah informasi dari mitra dapat digunakan untuk menampilkan iklan.
Pilihan informasi profil
Profil Facebook mencakup informasi tentang pandangan politik, agama/keyakinan, dan hubungan interpersonal yang dipublikasikan. Pengguna dapat memilih apakah mereka ingin terus mempublikasikan informasi tersebut dan apakah informasi yang dipublikasikan dapat digunakan untuk iklan.
Informasi profil dapat dipilih kapan saja dan pengguna dapat dengan mudah menghapusnya jika mereka menginginkan.
Konfirmasi teknologi pengenalan wajah (EU & Kanada)
Facebook memberikan pilihan kepada pengguna di negara-negara anggota EU dan Kanada untuk menggunakan atau tidak menggunakan teknologi pengenalan wajah. Pengguna di wilayah lain juga dapat memilih secara bebas.
Persetujuan terhadap syarat layanan dan kebijakan data yang diperbarui
Facebook akan menampilkan permintaan persetujuan untuk ‘Syarat Layanan’ dan ‘Kebijakan Data’ yang mengandung informasi rinci tentang mekanisme layanan.
Implementasi fitur yang memudahkan akses, penghapusan, dan pengunduhan informasi
Dengan menggunakan ‘Alat Manajemen Data Pribadi’, pengguna dapat memeriksa dan menghapus data tentang diri mereka. Selain itu, mereka dapat dengan mudah mengunduh dan mengekspor data mereka.
Facebook telah memperbarui fungsi log aktivitas pada perangkat seluler, sehingga pengguna dapat dengan mudah memeriksa informasi apa yang telah mereka bagikan di masa lalu.
Penyediaan informasi untuk pengguna muda
Facebook telah menetapkan batasan khusus untuk pengguna remaja, yang meliputi:
- Pembatasan kategori iklan
- Penggunaan teknologi pengenalan wajah tidak tersedia (di bawah 18 tahun)
- Pembatasan pada peninjauan dan pencarian informasi yang dibagikan oleh pengguna remaja
Secara default, pengaturan awal dirancang agar informasi tidak ‘dipublikasikan’.
Untuk mematuhi GDPR, Facebook juga telah menetapkan peraturan khusus. Bagi pengguna di negara-negara anggota EU, persetujuan orang tua diperlukan untuk melihat iklan dan mencatat informasi profil (seperti agama/keyakinan, pandangan politik, dll).
Di wilayah lain, Facebook memungkinkan pengguna untuk memilih apakah mereka ingin menggunakan data yang diperoleh dari mitra untuk menampilkan iklan atau mempublikasikan informasi pribadi di profil mereka.
Kesimpulan: GDPR Memiliki Ruang Lingkup Data Pribadi yang Lebih Luas Dibandingkan dengan Hukum Jepang dan Memerlukan Tindakan yang Sesuai
GDPR menetapkan berbagai ketentuan seperti ‘penjelasan tujuan penggunaan untuk setiap informasi yang diperoleh’, ‘penegasan hak penghapusan dan portabilitas data’, serta ‘penjelasan periode penyimpanan’, yang semuanya memperluas cakupan hak pengguna dibandingkan dengan hukum Jepang yang ada sebelumnya.
Apabila terjadi pelanggaran GDPR, perusahaan yang terlibat harus membayar denda yang besar, sehingga perusahaan yang mengelola informasi pribadi di dalam wilayah Uni Eropa harus menyesuaikan operasional mereka dengan GDPR. Perusahaan yang sedang atau berencana untuk mengembangkan bisnisnya di Uni Eropa harus membuat kebijakan privasi yang sesuai dengan GDPR.
Panduan Tindakan oleh Kantor Kami
Kantor Hukum Monolith adalah sebuah firma hukum yang memiliki pengalaman kaya dalam IT, khususnya internet dan hukum. Dalam beberapa tahun terakhir, bisnis global terus berkembang, dan kebutuhan akan pemeriksaan hukum oleh para ahli semakin meningkat. Kantor kami menyediakan solusi untuk masalah hukum internasional.
Bidang layanan Kantor Hukum Monolith: Hukum Internasional & Bisnis Luar Negeri[ja]