Startup pertama dihukum karena pelanggaran perlindungan data. Ada aturan yang jelas, tulis penulis tamu kami dalam panduan GDPR untuk para pendiri.
Artikel teknis oleh Alexander Ingelheim, Datenschutzexperte.de
Ada perasaan optimisme di awal: bisnis mulai berkembang, pembiayaan diatur dan karyawan sangat termotivasi. GDPR adalah salah satu topik terakhir yang ingin dibahas orang-orang saat ini. Sebuah kesalahan, seperti yang ditunjukkan oleh contoh-contoh yang menonjol. Denda pertama atas pelanggaran perlindungan data di negara ini dijatuhkan pada layanan media sosial Knuddels pada November 2018. Pada akhir Mei 2019 mencapai N26. Jika Anda tidak ingin hukuman dan surat dari pihak berwenang dan pengacara merusak semangat pendirian Anda, Anda harus mempertimbangkan pertanyaan-pertanyaan berikut.
Apa yang harus saya perhatikan saat memilih alat dan solusi SaaS?
Pada dasarnya, semua solusi perangkat lunak sebagai layanan (SaaS) adalah aplikasi yang disediakan bagi pelanggan oleh penyedia eksternal dan dapat digunakan oleh mereka sebagai layanan. Ada dua hal penting yang perlu dipertimbangkan saat menentukan pilihan:
- Apakah data pribadi diproses melalui alat ini?
Data pribadi adalah informasi apa pun yang berkaitan dengan orang perseorangan yang teridentifikasi atau dapat diidentifikasi. Dalam GDPR, data tersebut antara lain mencakup informasi tentang identitas genetik, mental, ekonomi, budaya, dan sosial seseorang.
Ini juga mencakup data yang memungkinkan penetapan ke pengidentifikasi atau data lokasi. Artinya pengunjung website dan IP-nya terlihat jelas sebagai data pribadi. Tidak ada alat baru yang boleh diintegrasikan di situs web tanpa persetujuan dan pernyataan tertulis dalam deklarasi perlindungan data.
- Apakah ada masalah perlindungan data saat menggunakan layanan ini?
Saat menggunakan alat ini, akan bermanfaat jika alat tersebut tidak diketahui sebelumnya karena pelanggaran data dan celah keamanan. Negara pemrosesan data juga sangat penting: Jika lokasi penyimpanan berada di luar UE dan misalnya di AS, perusahaan ini harus terdaftar di Perlindungan Privasi UE-AS. Terakhir, pada alat itu sendiri, langkah teknis dan organisasi (TOM) menunjukkan apakah data pribadi dilindungi dengan benar – misalnya dengan enkripsi atau nama samaran.
Alat yang digunakan juga harus memastikan bahwa data dihapus sesuai dengan peraturan perlindungan data, serta kerahasiaan jangka panjang dari data yang diproses. Yang terakhir ini dapat dilakukan, misalnya melalui konsep otorisasi yang sesuai. Pada akhirnya, kewenangan pengambilan keputusan mengenai penggunaan alat-alat baru selalu berada pada orang yang bertanggung jawab, yaitu biasanya pada pendiri atau direktur pelaksana. Oleh karena itu, orang tersebut tidak dapat lepas dari tanggung jawab, meskipun terjadi kesalahan atau penyalahgunaan oleh pemberi bantuan.
Dengan siapa perjanjian kerahasiaan harus ditandatangani?
Perjanjian kerahasiaan tidak perlu dibuat dengan siapa pun. Perjanjian ini, juga dikenal sebagai perjanjian kerahasiaan, dibuat oleh perusahaan atas inisiatif mereka sendiri untuk melindungi informasi seperti rahasia perusahaan dan bisnis atau data pribadi. Misalnya, masuk akal untuk memiliki perjanjian kerahasiaan sebelum meneruskan data sensitif perusahaan. Namun bahkan jika sebuah perusahaan menangani topik-topik sensitif atau inovatif, para pendirinya harus mempertimbangkan untuk mengadakan perjanjian kerahasiaan dengan karyawannya, jika salah satu perusahaan tersebut belum menjadi bagian dari kontrak kerja.
Selain deklarasi perlindungan data, apakah ada hal lain yang harus saya perhatikan?
Tentu saja. Terlepas dari kontrol atas penggunaan alat baru yang benar, hal-hal lain, terutama internal, harus diperhitungkan. Selain transparansi mengenai semua proses pemrosesan data pribadi, penting untuk mendefinisikan dengan jelas rencana dan tanggung jawab atas insiden data, pertanyaan dari pihak yang terkena dampak, dan pihak berwenang. Sekarang ada beberapa solusi perangkat lunak dan vendor yang hemat biaya dan berguna yang mendukung startup.
Bagaimana dengan kontrak pemrosesan pesanan: dengan siapa saya harus menyelesaikannya?
Menurut GDPR, perusahaan harus menyelesaikan kontrak pemrosesan pesanan, atau disingkat kontrak AV, jika perusahaan meneruskan data pribadi ke pihak ketiga untuk diproses. Kontrak harus dibuat antara perusahaan itu sendiri dan penyedia layanan terkait yang memproses data untuk pengontrol.
Bahkan jika perusahaan meneruskan data untuk diproses, perusahaan tetap menjadi pengontrol dalam hal undang-undang perlindungan data – oleh karena itu, penyedia layanan terkait adalah kontraktor yang terikat oleh instruksi. Situasinya berbeda jika pemrosesan data bukan fokus utama ketika menugaskan layanan profesional, namun hanya diperlukan untuk pelaksanaan kontrak: Dalam kasus ini, kemungkinan besar penyedia layanan yang disebutkan juga merupakan orang yang bertanggung jawab.
Jika Anda tidak yakin, Anda harus memeriksa kontrak utama asli yang dibuat dengan penyedia layanan. Jika ragu, sebaiknya hubungi petugas perlindungan data yang dapat mempermudah klasifikasi.
Bisakah saya berbagi data akses perangkat lunak di dalam perusahaan?
Pada dasarnya tidak. Setiap karyawan yang menggunakan alat tertentu harus memiliki akunnya sendiri. Secara umum, akses harus selalu dipersonalisasi karena berbagi akun merupakan masalah dalam hal perlindungan data. Selain itu, kata sandi tidak boleh dibagikan kepada pihak ketiga. Persyaratan khusus berlaku untuk akses administratif atau akses jarak jauh, misalnya mengenai panjang dan kerumitan kata sandi. Dan tentunya tidak bisa hanya dituliskan pada kertas tempel, melainkan harus disimpan dengan sangat aman. Penggunaan alat manajemen kata sandi yang sesuai direkomendasikan di sini. Hal ini memungkinkan banyak kata sandi dikumpulkan dan disimpan dalam database pusat. Alat-alat ini juga sangat berguna saat karyawan bergabung, karena kata sandi dapat diubah atau dicabut dengan mudah dan cepat.
Bisakah saya mengirim buletin ke kontak email saya?
TIDAK. Bahkan satu alamat email yang digunakan secara ilegal – untuk tujuan periklanan – dapat mengakibatkan peringatan. Jika buletin akan dikirim, persetujuan penerima harus selalu diberikan terlebih dahulu, kecuali pengecualian berlaku untuk pelanggan lama. Di Jerman, hal ini dilakukan melalui prosedur DOI, prosedur double opt-in: hanya ketika pihak yang berkepentingan mengeklik tautan di email konfirmasi yang mereka minta agar mereka secara jelas menginginkan buletin tersebut, mereka dapat menerimanya.
Dengan pengetahuan yang benar, pertemuan yang tidak menyenangkan dengan pihak berwenang dan pengacara dapat dihindari. Jika ragu, konsultasikan dengan pakar jika ada masalah perlindungan data. Pelanggaran perlindungan data bukanlah pelanggaran sepele dan sangat menyakitkan bagi perusahaan-perusahaan muda yang masih dalam tahap permulaan.
Alexander Ingelheim adalah petugas perlindungan data bersertifikat dan pendiri Datenschutzexperte.de.