Perlindungan data tidak akan tinggal diam: Peraturan Perlindungan Data Umum akan berlaku mulai tahun 2018. Pemula yang mengabaikan peraturan baru bisa kehilangan banyak uang.
Dikontribusikan oleh Christina Schattauer, Pengacara IP dan IT di Squire Patton Boggs (US) LLP
Peraturan Perlindungan Data Umum yang baru akan berlaku mulai tahun depan dan membawa serta beberapa perubahan yang harus dipatuhi dan dipatuhi saat ini. Karena perlindungan data tidak lagi menjadi sebuah renungan. Dengan denda hingga 20 juta euro atau empat persen dari omset tahunan atas pelanggaran, setiap startup harus memberikan perhatian yang cukup terhadap masalah ini.
Peraturan Perlindungan Data Umum (GDPR) berlaku untuk siapa?
Prinsipnya berlaku: Siapa pun yang memproses data pribadi warga negara UE harus mematuhi GDPR. Oleh karena itu, GDPR tidak lagi hanya berlaku bagi perusahaan yang berbasis di UE, namun bagi siapa pun yang memproses data UE, di mana pun lokasinya.
Tidak hanya mereka yang bertanggung jawab atas pemrosesan data, yaitu mereka yang menentukan tujuan pemrosesan, yang harus memperhatikan perubahan tersebut. Yang disebut pemroses kontrak kini juga diwajibkan secara langsung, yaitu mereka yang memproses data pribadi selain penyedia layanan, misalnya pengirim buletin, pusat panggilan, atau penyedia hosting.
Kapan data pribadi dapat diproses?
Pengolahan data antara lain hanya sah jika yang bersangkutan telah menyetujui atau pengolahan data tersebut diperlukan, misalnya untuk melakukan suatu kontrak. Sesuai dengan hukum Jerman saat ini, persetujuan harus diberikan secara sukarela dan tegas.
Persetujuan yang tersembunyi, misalnya dalam deklarasi perlindungan data, tidaklah cukup. Kata-kata dalam ketentuan penggunaan seperti “Dengan membuat akun, Anda setuju bahwa kami dapat menggunakan informasi Anda untuk tujuan pemasaran oleh perusahaan mitra adalah tidak efektif.” Pada prinsipnya, persetujuan tetap dapat diberikan dengan mengklik kotak sebelum, misalnya, membeli produk secara online. Beberapa bidang memiliki persyaratan yang lebih ketat, seperti pemrosesan data kesehatan, data biometrik, atau data anak. GDPR juga mensyaratkan kewajiban dokumentasi internal yang ekstensif. Hal ini berlaku tidak hanya pada situs web di Internet, tetapi juga pada aplikasi.
Apa yang harus diberitahukan?
GDPR memperkenalkan kewajiban informasi yang luas bagi orang yang bertanggung jawab dan juga bagi pemroses. Pelanggaran terhadap kewajiban informasi ini dapat dikenakan denda hingga 20 juta euro atau empat persen dari omset tahunan global.
Secara khusus, informasi tersebut harus memuat hal-hal berikut:
- Siapa yang bertanggung jawab? Untuk perusahaan di luar UE, perwakilannya harus ditunjuk di UE.
- Untuk keperluan apa data tersebut harus diolah, misalnya untuk membuat akun pengguna.
- Siapa saja penerimanya, misalnya bagian HR.
- Kategori data apa yang harus dikumpulkan? Perlu dicatat di sini bahwa email, misalnya, juga merupakan data pribadi.
- Harus disebutkan juga apakah data akan ditransfer ke negara ketiga (di luar UE) dan, jika perlu, dasar transfer tersebut. Secara khusus, dasarnya dapat berupa: Kontrak standar UEmengikat Aturan perusahaan atau keputusan kecukupan oleh Komisi Eropa, yang mana Komisi tersebut telah mengakui tingkat perlindungan data yang aman untuk negara-negara tertentu, seperti Kanada atau Swiss. Daftarnya dapat ditemukan di Situs web Komisi. Transfer data ke perusahaan di AS juga didasarkan pada a Sertifikasi Perlindungan Privasi mungkin. Namun, Perjanjian Perlindungan Privasi, seperti pendahulunya Safe Harbor, saat ini sedang dalam peninjauan kembali.
- Periode penyimpanan data harus disebutkan.
- Hak apa saja yang dimiliki oleh orang yang bersangkutan? Dia harus diberitahu tentang kemungkinan untuk meminta, memblokir dan menghapus informasi. Dia dapat menolak pemrosesan data kapan saja dan mencabut persetujuannya setelah persetujuan tersebut diberikan. Yang baru adalah kewajiban untuk menginformasikan tentang hak untuk mengajukan keluhan kepada otoritas perlindungan data dan kemampuan transfer data ke penyedia lain. Penyedia layanan media sosial kemungkinan besar akan mengalami kesulitan dalam menerapkan hak tersebut karena beragamnya data yang disimpan (teks, suara, gambar).
Apakah deklarasi perlindungan data diperlukan?
Tidak ada kewajiban untuk memberikan pernyataan perlindungan data berdasarkan GDPR. Namun, kewajiban tersebut ada berdasarkan hukum Jerman, yang tetap berlaku seiring dengan peraturan tersebut. Deklarasi perlindungan data yang ada harus disesuaikan.
Apakah register pemrosesan data perlu disimpan?
Sebagian besar perusahaan diharuskan menyimpan catatan pemrosesan data yang ekstensif. Hal ini berlaku tanpa batasan pada perusahaan dengan 250 karyawan atau lebih, serta perusahaan dengan pemrosesan data khusus, seperti data kesehatan, berapa pun ukurannya. Meskipun sebuah startup saat ini hanya memiliki sedikit karyawan, disarankan untuk membuat daftar semua operasi pemrosesan sekarang dengan mempertimbangkan masa depan. Ini menghemat banyak pekerjaan di kemudian hari ketika tidak ada seorang pun yang memiliki gambaran umum tentang semua sistem yang digunakan.
Haruskah petugas perlindungan data ditunjuk?
Seorang petugas perlindungan data harus ditunjuk khususnya jika operasi pemrosesan memerlukan pemantauan sistematis yang ekstensif dan teratur terhadap mereka yang terkena dampak atau, misalnya, jika data kesehatan diproses secara ekstensif.
Petugas perlindungan data dapat berupa karyawan atau konsultan eksternal. Kontrak layanan kemudian harus diselesaikan dengan konsultan eksternal.
Petugas perlindungan data harus memiliki keahlian dalam undang-undang perlindungan data dan tugasnya termasuk memberi nasihat kepada perusahaan tentang perlindungan data, memantau kepatuhan terhadap perlindungan data dan bekerja dengan otoritas pengawas.
Pelanggaran juga dapat mengakibatkan denda hingga sepuluh juta euro atau dua persen dari omset tahunan global.
Apa saja yang harus diperhatikan saat memproses data pesanan?
Pemrosesan pesanan berarti data diproses oleh, misalnya, penyedia layanan. Hal ini terutama terjadi ketika melakukan outsourcing akuntansi. GDPR mengharuskan pengontrol dan pemroses mengadakan kontrak yang mengatur poin-poin tertentu, termasuk bahwa pemrosesan hanya dilakukan berdasarkan instruksi yang terdokumentasi, bahwa langkah-langkah keamanan tertentu dipatuhi, dan bahwa semua orang yang diberi wewenang oleh pemroses wajib menjaga kerahasiaan. Jika terjadi pelanggaran, denda hingga sepuluh juta euro atau dua persen dari omset tahunan global dapat dikenakan pada orang yang bertanggung jawab dan – ini baru – juga pada pengolah. Kontrak penyedia layanan yang ada harus dinegosiasi ulang.
Kesimpulan: Apa yang akan berubah akibat Peraturan Umum Perlindungan Data?
- Pelanggaran menyebabkan denda yang signifikan
- Mereka yang terkena dampak pemrosesan data harus mendapat informasi lengkap
- Hak subjek data diperluas, misalnya subjek data dapat meminta agar data tersebut ditransfer ke orang lain yang bertanggung jawab (ini akan menimbulkan masalah bagi penyedia media sosial, misalnya)
- Ketika data anak-anak (di bawah 16 tahun) diproses, persetujuan anak dan persetujuan orang tua juga diperlukan.
Jika Anda ingin menghindari risiko kepatuhan, Anda harus mulai menerapkan persyaratan GDPR sekarang. Risiko kepatuhan ini dapat mengurangi nilai atau bahkan menjadi pemecah kesepakatan. Ada juga risiko denda atas pelanggaran.