Waktu terus berjalan: Mulai tanggal 25 Mei, perusahaan akan diwajibkan menerapkan Peraturan Perlindungan Data Umum Eropa (GDPR) yang baru. Apa yang perlu segera dilakukan saat ini?
Kontribusi dari Hans-Christian Woger, pengacara di CMS Jerman.
Insiden baru-baru ini seputar Cambridge Analytica dan Facebook menjadi percepatan dalam masalah perlindungan data. Dalam konteks ini, Menteri Kehakiman Federal, Barley, menyerukan hukuman yang tegas dan lebih banyak transparansi dalam pemrosesan data. Hal inilah yang dimaksudkan oleh Peraturan Perlindungan Data Umum (GDPR), yang berlaku mulai tanggal 25 Mei 2018. Sejak saat itu, perusahaan harus paling lambat mematuhi persyaratan ketat undang-undang perlindungan data yang berlaku di seluruh Eropa, jika tidak, mereka berisiko menghadapi tuntutan hukum atas kerugian dari pihak yang terkena dampak dan denda serius hingga 20 juta euro atau empat persen dari omset tahunan.
Namun meskipun GDPR telah berlaku selama dua tahun, banyak perusahaan yang belum mengambil langkah apa pun untuk mematuhi peraturan tersebut. Mereka mempengaruhi setiap perusahaan, terlepas dari ukuran atau industrinya. Langkah-langkah apa yang harus diambil agar setidaknya sebagian besar dapat memenuhi persyaratan GDPR paling lambat tanggal 25 Mei 2018?
Dapatkan peta
Meskipun perusahaan Anda sendiri tidak boleh menjadi “wilayah yang belum dipetakan”, peta harus dibuat terlebih dahulu. Orientasi mengenai pemrosesan data Anda sendiri diperlukan, karena aliran data seringkali tidak diketahui secara detail. Oleh karena itu, inventarisasi harus dilakukan.
Untuk memenuhi kewajiban berdasarkan GDPR, harus ada gambaran yang jelas tentang siapa yang mengumpulkan data apa dan untuk alasan apa, bagaimana data tersebut diproses, dan berapa lama data tersebut disimpan. Ini menjadi dasar direktori di mana semua proses pemrosesan data harus dicatat secara dinamis dan diperbarui di masa mendatang.
Baca peta dan patuhi itu
Panduan ini bukan hanya merupakan titik awal untuk inventarisasi perlindungan data, namun juga inti dari setiap konsep perlindungan data. Penting untuk menyadari perlunya tindakan.
Baca juga
Salah satu tugas terpenting berdasarkan GDPR adalah kewajiban menyediakan dokumentasi. Semua tindakan yang diambil oleh perusahaan untuk melindungi data harus dicatat dan perlindungan tersebut dapat dibuktikan jika diperlukan. Langkah-langkah keamanan tersebut mencakup, misalnya, menyimpan data dari sumber berbeda sedemikian rupa sehingga setidaknya ada pemisahan logis – meskipun data disimpan di server yang sama.
Pelatihan karyawan merupakan faktor keselamatan yang penting. Menurut GDPR, salah satu tugas petugas perlindungan data adalah melatih karyawan. Jika menjadi relevan apakah pelatihan tersebut telah dilaksanakan, bukti terdokumentasi harus tersedia.
Tanpa inventarisasi dan panduan yang terus diperbarui, sulit untuk membuktikan kebenaran pemrosesan data. Tentu saja daftar ini harus benar dan proses sebenarnya tidak boleh menyimpang darinya.
Ketahui jalan Anda di sepanjang hutan
Sama pentingnya dengan mencatat data dengan benar adalah mengidentifikasi dasar hukum pemrosesannya. Karena pemrosesan data apa pun tidak dapat diterima kecuali ada dasar hukum, misalnya persetujuan, untuk hal tersebut.
“Kartu data” yang dibuat menjadi dasar penentuan dasar hukum, karena kartu tersebut harus selalu mencatat tujuan pengolahan data tersebut. Misalnya, terdapat perbedaan apakah data pelanggan digunakan untuk memproses kontrak atau untuk mengirimi mereka iklan dari perusahaan mitra. Aktivitas pertama diizinkan langsung dari GDPR, untuk aktivitas terakhir, masing-masing perusahaan memerlukan izin. Oleh karena itu, dasar hukumnya harus dicantumkan dalam peta.
Selain itu, risiko harus dinilai dan tindakan keamanan yang tepat harus diambil pada setiap operasi pemrosesan. Kartu data juga menjadi dasar untuk hal ini. Informasi yang tersedia di sana harus digunakan untuk menentukan kerugian apa yang dapat ditimbulkan terhadap mereka yang terkena dampak dan berdasarkan hal ini, data harus diamankan dari “kebocoran”.
Tanyakan kepada pengguna
Jika telah ditentukan bahwa persetujuan pengguna diperlukan untuk pemrosesan, maka harus diperiksa apakah persetujuan yang memenuhi persyaratan GDPR mungkin sudah ada. Bahkan persetujuan yang diperoleh sebelum GDPR berlaku tetap menjadi dasar hukum yang sesuai selama tidak melanggar peraturan.
Persetujuan harus didasarkan pada keputusan bebas dan terinformasi dari masing-masing pengguna. Itu harus dibuat dengan pernyataan yang jelas dan dapat dibatalkan. Jika hasilnya tidak tersedia persetujuan yang sesuai, maka persetujuan tersebut harus diperoleh. Prosesnya harus didokumentasikan.
Bicaralah dengan pengguna
Persetujuan tanpa informasi yang cukup dari pengguna juga tidak cukup. GDPR mewajibkan perusahaan untuk lebih transparan terhadap pihak yang terkena dampak. Anda harus diberi tahu tentang dasar hukum, tujuan pemrosesan, dan durasi penyimpanan.
Kewajiban tersebut jelas bisa dipenuhi jika ada kejelasan aliran data di perusahaannya sendiri. Tanpa “peta” yang tepat, hal ini tidak akan mungkin terjadi.
Deklarasi perlindungan data dan deklarasi eksternal lainnya juga harus disesuaikan. Hal ini tidak boleh dianggap remeh karena merupakan andalan sebuah perusahaan.
Periksa tamu pesta
Poin terakhir adalah pengendalian seluruh kontrak dengan pihak ketiga. Apakah data ditransfer kepada mereka dan jika demikian, siapa yang melakukan “penguasaan” atas data tersebut dan menentukan bagaimana dan untuk apa data tersebut digunakan?
Juga harus diperiksa apakah data diekspor, yaitu apakah data diproses di luar Wilayah Ekonomi Eropa. Oleh karena itu, penting untuk memastikan perlindungan hukum atas transfer data tersebut.
Di sini untuk tinggal
Dengan GDPR, deklarasi perlindungan data yang baru saja tidak cukup. Faktanya, ini bukanlah titik awal yang tepat. Hanya jika ada pengetahuan tentang aliran data di perusahaan, maka mereka yang terkena dampak dapat diberi informasi dengan cara yang benar dan berdasarkan fakta. Kesalahan terbesar adalah mengabaikan GDPR. Itu bahkan tidak akan menjadi cerita yang bagus di “FuckUp Night”.