Apa itu kepatuhan privasi?
Kepatuhan privasi (privacy compliance) adalah kesesuaian suatu perusahaan terhadap pedoman, spesifikasi, atau undang-undang perlindungan informasi pribadi yang telah ditetapkan. Kepatuhan privasi jadi perhatian besar dalam dunia bisnis karena makin banyak regulasi terkenal yang bermunculan — termasuk General Data Protection Regulation (GDPR) dari Uni Eropa dan California Consumer Privacy Act — yang dirancang untuk mencegah akses tidak sah terhadap informasi identitas pribadi (PII).
Peraturan privasi dulu dan sekarang
EU Data Protection Directive, juga dikenal sebagai Directive 95/46/EC, diadopsi tahun 1995. Tujuannya adalah melindungi privasi dan keamanan semua data pribadi yang dikumpulkan untuk atau tentang warga Uni Eropa, khususnya terkait pemrosesan, penggunaan, atau pertukaran data tersebut. Aturan perlindungan data ini berlaku bukan cuma saat pelaku pengendali data berada atau beroperasi di dalam UE, tapi juga ketika mereka menggunakan perangkat di dalam wilayah UE untuk memproses data pribadi.
Isu kepatuhan privasi kembali mencuat pada 2013 saat mantan kontraktor NSA (National Security Agency) Edward Snowden membocorkan detail program pengawasan bernama Prism. Skala program ini jadi kontroversi karena melanggar aturan seperti safe harbor agreement yang dibuat AS dan UE pada tahun 2000 untuk mengatur ekspor dan penanganan data pribadi warga Eropa oleh perusahaan AS. Kepatuhan privasi juga jadi sorotan setelah kasus peretasan informasi pelanggan di perusahaan besar seperti Target (2013) dan Home Depot (2014).
GDPR memperbarui dan menyatukan hukum privasi data di seluruh UE, menggantikan Data Protection Directive. GDPR disetujui oleh Parlemen Eropa pada 14 April 2016 dan resmi berlaku pada 25 Mei 2018.
California Consumer Privacy Act (CCPA) ditandatangani oleh Gubernur California saat itu, Jerry Brown, pada 28 Juni 2018, dan mulai berlaku pada 1 Januari 2020. CCPA memberikan hak kepada warga California untuk mengetahui data apa yang dikumpulkan tentang mereka, apakah data itu dijual, dan memberi mereka kemampuan untuk menolak penjualan data tersebut. CCPA juga memberikan akses kepada konsumen terhadap informasi pribadi mereka yang dikumpulkan oleh perusahaan yang patuh. Pada 2023, California Privacy Rights Act (CPRA) mengubah CCPA dan memberikan perlindungan privasi tambahan bagi konsumen.
Walaupun hukum privasi tingkat negara bagian di AS lebih maju daripada hukum federal, pada Juni 2022, Komite Energi dan Perdagangan DPR AS menyetujui American Data and Privacy Protection Act. Tapi ADPPA masih perlu disetujui oleh DPR, Senat, dan ditandatangani oleh Presiden sebelum sah jadi undang-undang.
Selain California, negara bagian Virginia juga sudah meresmikan undang-undang perlindungan data konsumen yang komprehensif. Pada Maret 2021, Gubernur Virginia Ralph Northam menandatangani Virginia Consumer Data Protection Act yang akan mulai berlaku pada 1 Januari 2023. VCDPA memberikan hak kepada konsumen untuk mengakses data mereka dan memilih keluar dari pengumpulan data tersebut. Undang-undang privasi lain yang akan berlaku pada 2023 antara lain Colorado Privacy Act, Connecticut Data Privacy Act, dan Utah Consumer Privacy Act.
Washington Privacy Act belum resmi jadi undang-undang, tapi jika disahkan, akan memberikan berbagai hak kepada warga Washington terkait data pribadi mereka, termasuk hak untuk membatasi atau menolak pemrosesan.
Berbagai negara di dunia juga telah membuat undang-undang privasi data yang komprehensif. Menurut Konferensi Perserikatan Bangsa-Bangsa untuk Perdagangan dan Pembangunan (UNCTAD), 71% negara di dunia sudah punya undang-undang privasi.
Tantangan kepatuhan privasi
Banyak perusahaan modern mengumpulkan data yang sangat kompleks sebagai bagian dari aktivitas bisnis sehari-hari dan mengandalkan analisis data tersebut untuk menjalankan usaha. Pengumpulan data jenis ini menciptakan tantangan untuk proses kepatuhan privasi, dimulai dari identifikasi dan klasifikasi data bisnis yang tepat untuk menentukan regulasi mana saja yang berlaku.
Perusahaan global skala besar menghadapi tantangan seperti menentukan undang-undang internasional mana yang berlaku dan mengembangkan aturan data governance serta jadwal penghapusan data yang sesuai. Perusahaan juga harus punya infrastruktur, manajemen, dan tenaga kerja yang tepat untuk menjaga data tetap patuh sepanjang siklus hidupnya. Ini bisa jadi beban besar bagi sumber daya perusahaan karena harus merombak proses data governance, mendefinisikan ulang peran, dan meningkatkan konsultasi hukum demi mengikuti aturan. Perusahaan kecil juga menghadapi tantangan serupa, terutama kekurangan tenaga IT dan hukum yang cukup untuk menghadapi mandat kepatuhan regulasi yang kompleks.
Kepatuhan privasi bisa jadi nilai jual tersendiri bagi perusahaan modern. Perusahaan yang dituduh melanggar hak privasi data bisa kehilangan reputasi dan kepercayaan pelanggan, bahkan menghadapi denda besar dan tindakan hukum.
Menjaga kepatuhan privasi
Organisasi sebaiknya mengembangkan program tata kelola informasi, kebijakan privasi data, dan program pelatihan karyawan demi mematuhi peraturan yang berlaku. Program tata kelola informasi yang terdokumentasi dengan baik dan mencakup kebijakan privasi juga penting untuk memastikan respons yang tepat saat terjadi pelanggaran, serta jadi dokumen penting saat audit dan investigasi regulasi.
Program information governance ini harus mencakup proses inventarisasi informasi pribadi dan prosedur untuk menjaga kerahasiaan data tersebut, sekaligus tetap bisa diakses saat diminta oleh konsumen. Perusahaan juga harus mendokumentasikan kepatuhan mereka terhadap semua peraturan yang relevan, agar siap jika terjadi masalah hukum atau regulasi.
Karena kepatuhan privasi makin jadi perhatian manajemen perusahaan, banyak yang mulai menggunakan software khusus dan jasa konsultan untuk melindungi informasi pribadi. Beberapa perusahaan bahkan membuat posisi chief privacy officer (CPO) atau memperluas peran chief compliance officer (CCO) agar bisa membuat dan menerapkan kebijakan yang dirancang untuk melindungi data karyawan dan pelanggan dari akses tidak sah.