Kuburan data, daftar hitam, pembuatan profil, dan organisasi yang buruk – ini adalah dosa mematikan yang mahal dan dapat dihindari dari undang-undang perlindungan data yang baru.
Kontribusi dari Urs Verweyen, pengacara di LEGAL di Berlin
Peraturan Perlindungan Data Umum Eropa (GDPR) telah berlaku sejak 25 Mei 2018. Persyaratan bagi perusahaan yang memproses data pribadi telah meningkat secara signifikan, terlepas dari apakah mereka adalah perusahaan besar atau perusahaan baru. Beberapa minggu terakhir khususnya telah menunjukkan bahwa otoritas pengawas kini melakukan pengawasan ketat dan terkadang menjatuhkan hukuman yang tinggi, terkadang untuk pelanggaran yang tampaknya biasa saja. Oleh karena itu, perusahaan harus mempertimbangkan tiga aspek:
Apa yang diinginkan undang-undang perlindungan data yang baru?
Tujuan utama GDPR adalah perlindungan data pribadi. Oleh karena itu, pemrosesan informasi yang berkaitan dengan individu yang teridentifikasi atau dapat diidentifikasi secara umum dilarang dan hanya diizinkan dalam kasus-kasus luar biasa. Yaitu ketika ada persetujuan efektif (opt-in) dari subjek data atau persetujuan hukum. Pemrosesan data mungkin diizinkan oleh hukum, misalnya untuk memenuhi kewajiban kontrak atau hukum, atau untuk melindungi kepentingan Anda sendiri atau pihak ketiga, jika kepentingan pihak yang terkena dampak tidak lebih penting daripada kepentingan tersebut. Contoh: Operator situs web dapat menggunakan cookie tanpa izin jika diperlukan untuk menyediakan layanan dan hanya berdampak kecil pada kepentingan perlindungan data pengguna.
Prinsip pembatasan tujuan, penghematan data, dan pembatasan penyimpanan berlaku untuk pemrosesan data. Data pribadi hanya dapat diproses sesuai tujuan pengumpulannya secara sah dan hanya sebatas materi dan sementara yang diperlukan. Mereka kemudian harus dihapus. Contoh: Siapa pun yang mendapat izin untuk mengirim buletin hanya boleh menggunakan alamat email yang diberikan untuk tujuan ini – dan tidak selamanya. Pengolahan data juga harus dilakukan secara transparan. Harus jelas siapa yang bertanggung jawab. Selain itu, tindakan teknis-organisasi (TOM) yang sesuai harus diambil untuk melindungi data dari kehilangan dan untuk menghindari pemrosesan oleh orang yang tidak berwenang.
Terakhir, terdapat kewajiban pelaporan dan informasi: Apa yang disebut sebagai insiden, yaitu pelanggaran terhadap perlindungan data pribadi, harus dilaporkan dalam waktu maksimal 72 jam, kecuali jika pelanggaran tersebut kemungkinan besar tidak menimbulkan risiko yang signifikan.
Semua ini berkaitan dengan perluasan hak bagi mereka yang terkena dampak, seperti akses terhadap informasi, perbaikan, penghapusan (“hak untuk dilupakan”) dan kemampuan transfer data antar penyedia (“portabilitas data”) serta penolakan terhadap pemrosesan data lebih lanjut.
Sesuatu yang seharusnya dilakukan sejak lama
Hal ini mengarah pada beberapa tugas yang sangat spesifik – yang sebenarnya seharusnya sudah dilaksanakan pada batas waktu 25 Mei 2018 dan harus dapat dipertanggungjawabkan. Startup juga harus membuat dan memelihara direktori aktivitas pemrosesan yang komprehensif (PACT). Ini harus mencakup semua operasi pemrosesan data dengan tujuannya, kelompok orang yang terkena dampak seperti karyawan dan pengguna, data yang diproses seperti nama, alamat, tanggal lahir dan data jaminan sosial, penerima data seperti kantor pajak dan kantor pajak. , periode penghapusan dan TOM yang digunakan untuk tujuan keamanan diatur.
Selain itu, TOM harus diterapkan untuk tujuan keamanan. Hal ini mencakup penyamaran dan enkripsi data serta memastikan kerahasiaan, integritas, ketersediaan dan ketahanan sistem TI yang digunakan oleh konsep keamanan TI. Oleh karena itu, sistem operasi dan aplikasi harus selalu diperbarui dan diamankan dengan firewall dan pemindai virus, serta pengaturan default yang ramah perlindungan data harus dipilih. Konsep peran dan otorisasi harus dikembangkan untuk karyawan dan hak pengguna serta kata sandi harus ditetapkan. Kehilangan data harus dicegah dengan solusi cadangan yang sesuai. Pelanggan dan pengguna harus diberitahu tentang pemrosesan data dan hak-hak mereka (misalnya informasi, keberatan, penghapusan) ketika kontrak selesai (Syarat dan Ketentuan) dan di situs web (pernyataan perlindungan data). Karyawan wajib mematuhi perlindungan data. Kontrak untuk pemrosesan pesanan harus diselesaikan dengan pihak ketiga yang ditugaskan untuk pemrosesan data (penyedia layanan TI, kantor pajak atau sumber daya manusia, dan penyedia layanan penagihan utang).
Jika terdapat risiko tertentu dalam pemrosesan informasi, seperti teknologi baru atau data sensitif tertentu, apa yang disebut penilaian dampak perlindungan data (DPIA) harus dilakukan. Selain itu, perusahaan harus menunjuk petugas perlindungan data jika pemrosesan data mereka memerlukan pemantauan sistematis atau jika sepuluh orang atau lebih secara rutin menangani data pribadi.
Namun demikian, perlindungan data di perusahaan tetap menjadi prioritas utama: manajemen perusahaan, biasanya dewan direksi atau direktur pelaksana, pada akhirnya selalu bertanggung jawab.
Kesalahan untuk dipelajari
Ada masa tunggu tertentu. Namun selama beberapa minggu dan bulan terakhir, otoritas perlindungan data telah berulang kali menindak pelanggaran, beberapa di antaranya dapat dengan mudah dihindari. Hal ini berdampak pada pelanggar perlindungan data baik besar maupun kecil, baik yang menonjol maupun yang kurang dikenal. Dendanya bisa mencapai 20 juta euro atau hingga empat persen dari omset global suatu perusahaan pada tahun sebelumnya.
Petugas perlindungan data Berlin mendenda Delivery Hero hampir 200.000 euro karena hak mereka yang terkena dampak, misalnya untuk memberikan informasi, berulang kali diabaikan dan akun pelanggan lama yang tidak aktif tidak dihapus. Ada juga keluhan tentang email iklan yang tidak diminta. Meskipun telah diberikan pemberitahuan berulang kali dalam jangka waktu yang lama, perusahaan tidak mengambil tindakan pencegahan yang memadai.
Petugas perlindungan data Berlin mendenda fintech N26 sekitar 50.000 euro karena memasukkan nama-nama mantan klien ke dalam daftar hitam untuk pencegahan pencucian uang – terlepas dari apakah mereka benar-benar dicurigai melakukan pencucian uang.
Dalam dua kasus dari Baden-Württemberg, denda sebesar 80.000 euro dan 20.000 euro dikenakan. Dalam kasus pertama, data kesehatan yang diklasifikasikan sebagai sangat sensitif berakhir di Internet. Yang kedua, jejaring sosial menyimpan kata sandi pengguna tanpa terenkripsi.
Data tertentu mungkin tidak diproses
Otoritas Perlindungan Data Austria mendenda Austrian Post sebesar 18 juta euro. Layanan pos membandingkan alamat tempat tinggal dengan hasil pemilu sebelumnya di wilayah masing-masing, menentukan afiliasi partai, dan menggunakannya untuk tujuan periklanan. Namun, menurut GDPR, data yang mengungkapkan opini politik tidak dapat diproses sama sekali.
Perusahaan properti Deutsche Wohnen juga demikian diminta membayar sejumlah delapan digit: 14,5 juta euro. Bertentangan dengan banyak permintaan, ini menyimpan sejumlah besar data pribadi penyewa tanpa memeriksa apakah penyimpanan diperbolehkan dan diperlukan. Petugas perlindungan data Berlin berbicara tentang “kuburan data” dalam beberapa kasus, informasi penyewa yang sudah berumur bertahun-tahun tentang keadaan pribadi dan keuangan mereka (seperti sertifikat gaji atau pengungkapan diri) dapat dilihat. Selain itu, perubahan yang diminta belum dilaksanakan secara memadai selama satu setengah tahun.
Baca juga
Komisaris Perlindungan Data Federal adalah orang terakhir yang berangkat terhadap penyedia telekomunikasi 1&1 (denda: 9,5 juta euro) dan Rapidata (10.000 euro). 1&1 tidak mengambil langkah-langkah keamanan teknis dan organisasi yang memadai untuk layanan pelanggan melalui telepon, yang berarti bahwa orang yang tidak berwenang dapat mempertanyakan data pelanggan. Meskipun ada permintaan berulang kali, Rapidata belum menunjuk petugas perlindungan data perusahaan.
Deduksi
Kesamaan yang dimiliki oleh kasus-kasus baru-baru ini adalah bahwa semua kasus tersebut dapat dihindari jika pihak-pihak yang bertanggung jawab telah memasukkan isu perlindungan data ke dalam agenda pada waktunya dan mengambil tindakan yang diperlukan. Titik awal yang baik adalah mengembangkan atau memperbarui daftar aktivitas pemrosesan (PRA) dan pencatatan sistematis terkait semua proses pemrosesan data di perusahaan Anda. Setelah dicatat, dapat dinilai apakah persyaratan GDPR yang baru dan lebih ketat telah dipenuhi – dan apakah penyesuaian masih diperlukan.