Pada 12 September, Undang-Undang Data Uni Eropa dari Komisi Eropa mulai berlaku. Ini memaksa banyak bisnis yang beroperasi di Eropa untuk memikirkan lagi cara mereka mengelola data.
Undang-undang ini mulai berlaku pada 11 Januari 2024, dan baru diterapkan pada 12 September. Ini adalah bagian dari strategi data besar Komisi Eropa dan melengkapi Peraturan Tata Kelola Data dari November 2020.
Menurut Komisi, UU ini membuat aturan yang menjelaskan siapa yang bisa menciptakan nilai dari data dan dalam kondisi apa. Juga ada aturan untuk data yang dihasilkan oleh perangkat Internet of Things (IoT).
Laura Petrone, seorang analis utama di GlobalData, bilang ruang lingkup UU ini cukup ambisius. “Tujuannya adalah untuk memastikan pembagian data yang lebih adil di antara berbagai pelaku ekonomi digital di UE dan agar data lebih banyak tersedia untuk digunakan kembali di pasar UE. Untuk mencapainya, kontrol data ingin dialihkan dari produsen dan penyedia cloud besar ke pengguna produk dan layanan terkoneksi serta perusahaan-perusahaan kecil di UE.
“Misalnya, penyedia cloud harus memudahkan perpindahan antar platform dan mendukung interoperabilitas melalui standar terbuka. Perusahaan teknologi juga harus siap untuk menyerahkan data kepada badan sektor publik dalam kebutuhan yang sangat penting, seperti keadaan darurat publik,” kata Petrone.
UU Data ini adalah bagian dari upaya regulator Eropa melawan apa yang mereka anggap sebagai pelampauan batas oleh Big Tech. Meski ditujukan untuk perusahaan teknologi AS, undang-undang baru ini menambah lapisan kerumitan regulasi lagi bagi perusahaan multinasional asing yang sudah berurusan dengan kewajiban dari GDPR, Direktif NIS2 tentang Keamanan Siber, UU Layanan Digital, dan UU Pasar Digital.
Petrone menyarankan bisnis untuk meninjau layanan pemrosesan data mereka untuk menentukan seberapa jauh aturan baru ini berlaku dan bersiap untuk mematuhinya, misalnya dengan memperbarui syarat-syarat kontrak. Tapi ini bukan berita buruk semua untuk perusahaan besar. “Mereka juga harus siap untuk mengambil peluang dalam perubahan ini, seperti menarik pelanggan baru yang bisa beralih dari pemain terkuat,” tambahnya.
Shaun Hurst, penasihat regulasi utama untuk platform kepatuhan Smarsh, setuju bahwa UU ini bisa memberikan kesempatan bagi bisnis untuk mengakses data berharga dan mengembangkan layanan inovatif, serta memerlukan tindakan cepat untuk melindungi rahasia dagang dan memperbarui perjanjian kontrak.
“Untuk perangkat dan layanan Internet-of-Things tertentu, ‘akses oleh desain’ harus diintegrasikan, memastikan data dapat diakses pengguna dengan mudah dan aman. Meski ada masa transisi yang lebih lama untuk persyaratan ini, sangat penting bagi bisnis untuk memulai prosesnya sekarang,” kata Hurst.
Hurst menyarankan bisnis yang menyediakan perangkat dan layanan terkoneksi untuk memperbarui kontrak dan langkah-langkah transparansi untuk mendefinisikan hak akses data dengan akurat. Dia bilang kontrak harus jelas menjelaskan jenis data yang dihasilkan, cara menyimpannya, dan bagaimana pengguna bisa mengaksesnya.
Bisnis perlu membangun proses kepatuhan untuk menangani permintaan data dari pengguna, pihak ketiga, atau badan pemerintah dengan efisien—dan akan menghadapi kemungkinan permintaan kompensasi jika terjadi pelanggaran.
Anita Hodea, seorang associate di firma hukum Katten Muchin Rosenman UK LLP, menjelaskan bahwa UU ini mencakup semua kegiatan pemrosesan data, baik data pribadi maupun non-pribadi. Jika data pribadi terlibat, GDPR yang lebih diutamakan, memastikan privasi dan perlindungan tetap terjaga.
“Diperkenalkannya istilah baru, seperti ‘pemegang data’, dan panduan terbatas tentang penerapannya berarti organisasi harus hati-hati mendefinisikan peran, tata kelola, dan tanggung jawab untuk mematuhi kedua kerangka kerja ini,” peringat Hodea.
“Bagi perusahaan, UU ini mengharuskan merancang produk untuk data yang mudah diakses dan aman, memungkinkan berbagi dengan pihak ketiga yang adil, dan meningkatkan transparansi,” katanya.
Dalam postingan blog tentang UU baru ini, Chris Gow, Senior Director, EU Public Policy Government Affairs di Cisco, menyoroti bagaimana UU ini memperkenalkan persyaratan yang tumpang tindih dan kompleks untuk mentransfer data non-pribadi, terutama bagi perusahaan yang menangani set data campuran.
“Privasi dan keamanan data harus selalu diutamakan, tetapi aturan untuk mentransfer data lintas batas harus seimbang dan berdasarkan risiko aktual. Ketika perusahaan bekerja dengan set data yang mencakup berbagai jenis data, mengikuti aturan GDPR tentang transfer data lintas batas seharusnya sudah cukup, tanpa perlu memenuhi persyaratan tambahan dari UU Data. Lapisan regulasi tambahan ini memberatkan administrasi tanpa peningkatan yang sesuai dalam keamanan atau manajemen risiko,” tulisnya.
Meski UU ini bertujuan untuk meratakan lapangan bermain bagi perusahaan Eropa, banyak yang percaya kerumitan tambahan dari regulasi semacam ini mungkin memiliki efek sebaliknya. Gow mendesak Komisi Eropa untuk lebih fokus pada penyederhanaan regulasi dan reformasi yang ditargetkan, yang akan memperkuat posisi Eropa dalam AI dan inovasi digital.
Dalam blognya, Gow menyimpulkan perlu untuk mengurangi kerumitan regulasi: “Aturan data yang disederhanakan, perlindungan yang lebih baik untuk rahasia dagang, dan pendekatan yang seimbang untuk aliran data internasional akan membantu perusahaan Eropa bersaing secara global, mendorong inovasi, dan memastikan bahwa manfaat ekonomi digital dinikmati oleh semua.”
“Apa arti UU Data UE bagi bisnis?” awalnya dibuat dan diterbitkan oleh Verdict, sebuah merek milik GlobalData.
Informasi di situs ini disertakan dengan itikad baik hanya untuk tujuan informasi umum. Ini tidak dimaksudkan sebagai nasihat yang harus Anda andalkan, dan kami tidak memberikan pernyataan, jaminan, atau jaminan, baik tersurat maupun tersirat mengenai keakuratan atau kelengkapannya. Anda harus mendapatkan saran profesional atau spesialis sebelum mengambil, atau tidak mengambil, tindakan apa pun berdasarkan konten di situs kami.