Ada banyak kegembiraan mengenai GDPR, namun kini hal itu sudah mereda. Apa yang sebenarnya terjadi sejak 25 Mei – dan bagaimana startup harus mempersiapkan diri menghadapinya.
GDPR telah menjadi kata kunci untuk tantangan hukum bagi perusahaan digital. Di mata publik, tanggal 25 Mei 2018 – hari dimana Peraturan Perlindungan Data Umum UE segera berlaku – merupakan titik balik bagi perusahaan dan konsumen.
Apa yang menyebabkan keributan mengenai peraturan baru Eropa? Bahkan sebelum GDPR, sudah ada undang-undang federal yang komprehensif tentang perlindungan data, yang sebagian besar berfungsi sebagai acuan bagi badan legislatif Eropa. Namun, hal yang berpengaruh dalam persepsi publik adalah banyaknya persyaratan formal bagi perusahaan dan tingginya tingkat hukuman yang dapat dikenakan terhadap kemungkinan pelanggaran terhadap GDPR: hingga 20 juta euro atau (lebih menakutkan bagi perusahaan global) hingga empat persen dari omset tahunan global. Fakta bahwa hukuman yang terdengar sangat kejam ini hanyalah hukuman maksimum, yang juga harus proporsional dalam kasus individu tertentu, sulit meyakinkan pengusaha ketika mereka memikirkan GDPR.
Faktanya, otoritas pengawas perlindungan data belum sepenuhnya membatasi cakupan hukuman. Sejauh ini, secara umum hanya ada sedikit prosedur resmi karena peraturan GDPR yang baru. Hal ini juga disebabkan oleh fakta bahwa petugas perlindungan data yang bertanggung jawab di negara bagian sangat kekurangan staf dan tidak akan mampu memeriksa semua perusahaan dari industri dan ukuran yang berbeda.
Namun gelombang peringatan yang sering diprediksi sebagian besar gagal menjadi kenyataan. “Industri yang waspada” belum berkembang sehubungan dengan GDPR. Sekilas ini hanya mengejutkan. Peringatan dari perusahaan pesaing selalu berisiko menjadi fokus audit perlindungan data. Sumber peringatan terbesar adalah konsumen, yang keluhannya seringkali dapat diklarifikasi dan diselesaikan dengan cara lain.
Startup tidak boleh terbuai dengan rasa aman yang palsu
Kesimpulan sementara setelah musim panas GDPR dapat dikatakan: kepanikan telah mereda. Namun, perusahaan dan khususnya startup tidak boleh terbuai dengan rasa aman yang palsu. Meskipun semuanya tenang, GDPR telah membawa serta persyaratan tambahan untuk perlindungan data. Setiap proses data kini harus didokumentasikan secara menyeluruh. Misalnya, perusahaan e-commerce harus mencatat data konsumen apa saja yang dikumpulkannya dan untuk tujuan apa data tersebut digunakan. Ini mencakup nama dan informasi pembayaran, namun juga data yang memberikan informasi tentang perilaku pembelian.
Ide dasar dari GDPR tidak hanya untuk memastikan kepatuhan terhadap peraturan perlindungan data, tetapi juga untuk dapat mendokumentasikan dan membuktikannya. Jadi dalam arti tertentu tidak ada “praduga tak bersalah”. Persyaratan dokumentasi dibuat lebih ketat dan dilengkapi dengan kewajiban untuk melaporkan sendiri pelanggaran data. Jika perusahaan mengetahui adanya pelanggaran peraturan perlindungan data, misalnya karena data pelanggan telah diteruskan ke mitra bisnis tanpa persetujuan, perusahaan harus secara proaktif melaporkannya kepada otoritas pengawas, selama pelanggaran tersebut tidak sepenuhnya signifikan. Kewajiban ini merupakan pengecualian terhadap prinsip bahwa tidak seorang pun boleh memberatkan dirinya sendiri karena melakukan pelanggaran administratif (atau bahkan tindak pidana).
Peraturan GDPR berlaku untuk semua industri dan perusahaan. Bahkan usaha kecil pun dapat mengalami kesulitan yang signifikan dalam menerapkan hal ini. Contohnya adalah perlunya petugas perlindungan data yang berdedikasi. GDPR tidak hanya bergantung pada ukuran perusahaan (lebih dari sepuluh karyawan yang memiliki akses ke data), namun juga apakah perusahaan tersebut mengikuti model bisnis yang sensitif terhadap data. Oleh karena itu, bahkan sebuah perusahaan rintisan kecil dengan kurang dari sepuluh karyawan memerlukan petugas perlindungan data jika, misalnya, perusahaan tersebut memproses data kesehatan yang sangat sensitif.
Undang-undang perlindungan data penting ketika mengembangkan model bisnis
Oleh karena itu, undang-undang perlindungan data telah memainkan peran penting dalam pengembangan model bisnis. Semakin dini pertimbangan perlindungan data dipertimbangkan, semakin mudah penerapan GDPR. Perlindungan data sendiri merupakan bagian dari area inti sistem kepatuhan di perusahaan digital. Dan segala upaya untuk mematuhi peraturan hukum (compliance) harus dilaksanakan secara dini dan preventif.
Terlepas dari semua permasalahan tambahan yang dapat ditimbulkan oleh GDPR dalam kehidupan bisnis sehari-hari, GDPR juga menawarkan peluang di pasar: GDPR memberikan standar perlindungan data yang seragam untuk seluruh Eropa. Hal ini membuat ekspansi ke negara-negara UE lainnya menjadi lebih mudah. Kesimpulan: GDPR bukanlah alasan untuk panik, meskipun penerapannya tidak boleh diremehkan.