GDPR dan Cookie

359

(Tulisan keempat [M3] untuk bahan ajar dan diskusi mata kuliah Jejaring Sosial dan Konten Kreatif di Universitas Gunadarma)

Ketika kita mengunjungi sebuah situs web, seringkali kita hanya terfokus pada tujuan kita mengunjungi situs web itu, misalnya mencari informasi atau membeli produk; kita tidak peduli dengan berbagai hal yang terjadi dibelakang layar (maksudnya, peramban dan server). Salah satu dari berbagai hal yang dimaksud disini adalah manajemen dan pengaturan data pribadi.

Di era digital sekarang, data adalah hal yang berharga. Berbagai perusahaan berlomba-lomba menghimpun data, salah satunya data konsumen, demi menaikkan laba usaha. Hal ini berpotensi menimbulkan pelanggaran privasi.

Di luar negeri, dalam hal ini di wilayah Eropa, penduduk di sana telah menyadari pentingnya menjaga data pribadi, termasuk yang berwujud digital. Mereka juga mengusahakan regulasi/aturan untuk menangani masalah perlindungan data secara umum (tidak sebatas data pribadi atau yang menyangkut privasi individu). Regulasi itu dinamakan GDPR.

Teknologi HTTP cookie adalah salah satu cara perusahaan / organisasi memperoleh data konsumen.

General Data Protection Regulation (GDPR)

Sejak ditetapkan pada 14 April 2016 dan berlaku mutlak pada 25 Mei 2018, kemungkinan kotak masuk Email kita tiba-tiba dipenuhi dengan email dari berbagai penyedia layanan dengan kata kunci / subyek email yang sama: "Update to Privacy Policy".

Jika gagal memenuhi ketentuan GDPR, perusahaan akan menerima sanksi. Ini berlaku bagi mereka yang memiliki layanan dan melakukan operasi bisnis di benua Eropa. Misalnya jika sebuah perusahaan e-commerce di Indonesia membuat platform B2B yang memungkinkan untuk menjual barang dan jasa kepada konsumen di Eropa, maka perusahaan itu wajib tunduk kepada GDPR.

(Sanksi yang dimaksud di atas adalah minimal 20 juta Euro atau 4% dari laba tahunan, yang manapun yang lebih besar. Perusahaan dengan jumlah karyawan < 250 orang tidak perlu tunduk, kecuali sifat bisnisnya critical terhadap hak dan kebebasan individu terhadap data mereka.)

GDPR ini menjadi referensi dalam pembuatan hukum yang menyangkut manajeman dan pengolahan data digital, terutama yang terkait konsumen, di negara-negara di luar Uni Eropa, misalnya California, USA dengan California Consumer Privacy Act (CCPA). GDPR sendiri merupakan pengganti Data Protection Directive tahun 1995.

Teks GDPR terdiri atas 99 pasal. Kalau kalian tertarik membacanya, ini link-nya.

Data seperti apa yang dicakup di dalam GDPR?:

  • Informasi identitas pribadi, termasuk nama, alamat, tanggal lahir, nomor identitas nasional (NIK/NPWP)
  • Data berbasis web, termasuk lokasi geografis/fisik pengguna, alamat IP, dan cookie
  • Data kesehatan, biometrik, dan genetik (ras/etnis)
  • Opini politik
  • Orientasi seksual

Apa konsekuensinya bagi platform media sosial yang merambah Eropa?

  1. Mereka wajib menghadirkan perwakilan di Eropa yang akuntabel,
  2. Kebijakan privasi harus disajikan secara jelas dan ringkas bagi pengguna/konsumen,
  3. Memastikan konsumen memiliki "hak untuk dilupakan" tanpa diskriminasi terhadap layanan yang mereka terima (salah satu contoh praktisnya adalah opsi "Delete Account", "Get My Data", atau semacamnya,
  4. Ada prosedur yang mencegah, menangani, dan mempertanggung-jawabkan insiden kebocoran data, termasuk segera melaporkannya ke publik dan juga langsung ke konsumen yang terpengaruh,
  5. Ada staf khusus di perusahaan yang memastikan keamanan data (misalnya Data Protection Officer),
  6. Perusahaan wajib membuat catatan atau riwayat risiko dan kemajuan kepatuhan terhadap GDPR.

Meskipun korporasi seperti Google dan Facebook telah menyatakan tunduk kepada GDPR (GDPR compliant), mereka telah dikenai denda sebesar 3,9 milyar euro (Facebook) dan 3,7 milyar euro (Google) sejak ditetapkannya GDPR. Salah satu penyebab FB terjerat perkara ini adalah karena cara FB mengakali peraturan cookies, yaitu dengan "setujui tanpa syarat, atau Anda tidak mendapatkan apapun".

Selain contoh pelanggaran di atas, masih ada skandal data Facebook–Cambridge Analytica yang terjadi pada tahun 2010 namun baru diekspos pada tahun 2018.

Sementara itu, banyak perusahaan yang tidak mau memperbarui kebijakan data mereka sesuai syarat GDPR dan memilih menutup layanan mereka di region Eropa (contoh: Instapaper dan beberapa situs web berita yang berbasis di USA dan beroperasi di Eropa).

Cookie

Apa itu cookie? Cookie, gampangnya, adalah sekeping data yang diberikan server kepada pengunjung web via peramban ketika pengguna sedang mengunjungi atau menggunakan layanan di situs web tersebut. Istilah teknisnya adalah HTTP cookie.

Cookie memiliki struktur sebagai berikut:

  1. Nama (key)
  2. Nilai data (value)
  3. Atribut lainnya (misalnya domain berlaku dan tanggal kedaluwarsa)

cookie wikipedia

Peramban Mozilla Firefox menampilkan cookie yang didapat setelah mengunjungi situs web Wikipedia

Server dapat meminta peramban untuk menyimpan cookie menggunakan header Set-Header. Contoh di bawah ada dua cookie: theme dan sessionToken:

HTTP/1.0 200 OK
Content-type: text/html
Set-Cookie: theme=light
Set-Cookie: sessionToken=abc123; Expires=Wed, 09 Jun 2021 10:18:14 GMT

Sedangkan jika Anda seorang pemrogram web, Anda bisa meminta peramban menyimpan cookie dari web Anda (menggunakan bahasa pemrograman JavaScript):

document.cookie = "username=John Doe; expires=Thu, 18 Dec 2013 12:00:00 UTC; path=/";

Penjelasan kode di atas: simpan cookie dengan key username dan value "John Doe". Cookie ini akan kedaluwarsa pada tanggal yang bisa kalian lihat di atas. Cookie berlaku untuk seluruh direktori di domain.

Jenis-jenis cookie menurut TrustArc (CA, USA):

  • Cookie yang Diperlukan (Basic/Required): Cookie ini diperlukan untuk mengaktifkan fungsionalitas inti/dasar sebuah situs web. Contoh: menyediakan mekanisme login yang aman (autentikasi), mengingat sampai dimana kita memproses pesanan dalam sebuah website e-commerce.
  • Cookie Fungsional: Cookie ini memungkinkan pemilik/pengelola layanan web untuk menganalisis penggunaan situs. Alasan yang sering digunakan: agar mereka dapat mengukur dan meningkatkan kinerja layanan.
  • Cookie Iklan: Cookie ini bersifat melacak, diberikan oleh pihak ketiga (misalnya oleh perusahaan periklanan) untuk menayangkan iklan yang relevan dengan minat pengunjung web.

cookie zoom

Situs web Zoom menawarkan kepada penggunanya untuk mengatur cookie

Terkait dengan GDPR, ada banyak situs web yang menyediakan layanan cookie-check dan pop up yang menjelaskan tentang hak pengguna terkait penggunaan cookie di situs web buatan kita (contoh: Cookiebot).

Referensi
  1. The Birth Of GDPR: What Is It And What You Need To Know (Forbes)
  2. General Data Protection Regulation di Wikipedia