Keluar dari Uni Eropa, Apakah Inggris Masih Pakai GDPR?
Cyberthreat.id - Pada 31 Januari lalu, Inggris resmi keluar dari Uni Eropa setelah 47 tahun bergabung dalam perserikatan negara-negara Eropa itu. Konsekuensinya, Inggris tak lagi terikat dalam aturan bersama yang dibuat oleh Uni Eropa.
Inggris punya masa transisi hingga akhir tahun ini untuk menyiapkan regulasi sendiri, termasuk dalam hal perlindungan data pribadi warganya.
Saat ini, undang-undang privasi data Inggris mengacu kepada aturan yang berlaku di semua negara anggota Uni Eropa. Dikenal sebagai Peraturan Perlindungan Data Umum atau General Data Protection Regulation (GDPR), aturan itu mulai berlaku sejak Mei 2018.
"Kami akan mengembangkan kebijakan yang terpisah (dari Uni Eropa) dan independen," kata Perdana Menteri Inggris Boris Johnson akhir Januari lalu.
Undang-undang perlindungan data dirancang untuk memberi warga kontrol lebih besar atas bagaimana data pribadi mereka digunakan oleh pelaku bisnis atau organisasi. Bisnis yang menawarkan barang atau jasa di Uni Eropa harus mematuhi undang-undang itu, walaupun mereka beroperasi di benua lain. Walhasil, perusahaan seperti Google atau Facebook yang bermarkas di Amerika, harus mengikuti aturan GDPR ketika produksi mereka diakses secara online oleh pengguna di Uni Eropa.
Untuk memastikan perusahaan bisnis mematuhi aturan itu, Uni Eropa membuat lembaga khusus bernama Information Commissioner's Office atau Kantor Komisi Informasi. Sejumlah perusahaan yang tak mematuhi aturan itu dikenakan denda. Denda menjadi lebih besar, jika perusahaan lalai dalam menjaga data seperti kasus pencurian data atau serangan siber.
Setelah Inggris keluar dari Uni Eropa, kini muncul perdebatan: akankah Inggris "merobek GDPR" dan menggantinya dengan aturan sendiri?
Kepada Zdnet, seorang analis senior keamanan siber di Forrester, Enza Iannopollo mengatakan, sulit bagi Inggris menolak GDPR. Selain karena bertentangan dengan apa yang digunakan negara lain di Eropa, itu juga akan menyulitkan entitas bisnis Inggris untuk menawarkan layanan mereka ke Eropa di masa depan.
"Memutuskan kita tidak peduli lagi dengan perlidunga data berarti kita tidak melihat passar atau harapan konsumen, dan kita membuat kehidupan bisnis yang perlu peroberasi di pasar Inggris dan Eropa pada saat bersamaan," kata Iannopollo.
"Perusahaan bisnis dari Inggris yang berbisnis dengan Uni Eropa perlu mematuhi GDPR, apa pun yang nanti diputuskan oleh Inggris,"tambahnya.
Untuk dapat berdagang secara bebas dengan negara lain di seluruh dunia, undang-undang perlindungan data Inggris kemungkinan masih harus mematuhi GDPR.Tidak hanya untuk berbisnis dengan negara-negara Uni Eropa, tetapi juga dengan banyak negara lain di seluruh dunia mengingat GDPR telah dianggapsebagai standar perlindungan data yang baik.
"Tidak akan ada penyimpangan besar dari GDPR, kita melihat dari negara lain bahwa GDPR adalah standar emas di seluruh dunia, jadi saya tidak berpikir kita akan benar-benar keluar dari landasan itu untuk menjadi berbeda," kata Marta Dunphy Moriel, mitra teknologi komersial di Kemp Little, sebuah firma hukum London yang berspesialisasi dalam teknologi.
"Saya akan terkejut jika kita tiba-tiba memiliki undang-undang yang mendorong kita kembali dan tidak memungkinkan aliran data yang bebas ke standar yang memadai atau apa pun yang membuatnya tidak diinginkan bagi bisnis Inggris untuk memproses data," tambahnya.
GDPR sebenarnya melarang transfer data pribadi ke negara-negara di luar Uni Eropa kecuali jika ada tingkat kecukupan data tertentu - atau perjanjian hukum yang berlaku yang mempertimbangkan berbisnis dengan negara pihak ketiga. Itu berarti bahwa setelah masa transisi, aliran data antara Uni Eropa dan Inggris harus memenuhi persyaratan penilaian kecukupan data.
Jika Ingris nekat mengubah atau mengurangi undang-undang perlindungan data,menurut Iannopolo, itu akan menjadi bumerang.
"Itu akan membuat Inggris sulit menjual produk mereka kepada pelanggan di seluruh Erop dan sekitarnya terutama ketika menyangkut bisnis perangkat lunak dan data," kata Iannopolo.
Ini tidak berarti bahwa semua transfer data akan berhenti dan itu akan menjadi malapetaka, tetapi dalam jangka menengah itu akan menjadi penghalang yang lebih besar bagi organisasi, lebih banyak biaya, lebih sedikit efisiensi dan dapat menyebabkan persepsi tidak serius menjaga privasi seperti perusahaan bisnis Eropa lainnya,"tambahnya.
Salah satu risiko potensial terletak pada cara Uni Eropa memberikan perjanjian kecukupan, dalam bentuk undang-undang Investigatory Powers Act di Inggris, yang menurut beberapa pihak memberikan terlalu banyak kekuatan pengawasan kepada pemerintah, sesuatu yang mungkin tidak disukai oleh Uni Eropa.[]