Siapa yang terpengaruh oleh GDPR, yaitu ketentuan baru tentang perlindungan data pribadi?

Melayani

Saat ini, mungkin tidak ada orang yang tidak akan bersentuhan dengan konsep GDPR. Tetapi apakah semua orang tahu apa itu sebenarnya, kapan itu berlaku, kewajiban apa yang dikenakannya dan kepada siapa GDPR berlaku?

Apa itu GDPR?

GDPR adalah peraturan tentang perlindungan data pribadi. Ini adalah peraturan UE, oleh karena itu setiap negara anggota wajib mematuhi peraturan ini.

GDPR mengklarifikasi beberapa masalah, terkadang memperkenalkan konsep baru, dan yang terpenting menggantikan ketentuan Undang-Undang tentang Perlindungan Data Pribadi tahun 1997, yang sejauh ini mengikat di Polandia.

GDPR berisi panduan umum tentang cara melindungi data pribadi dengan benar, juga mengatakan bahwa pemroses data harus menerapkan perlindungan yang sesuai - tetapi tidak menunjukkan perlindungan khusus - tugas ini sudah menjadi tanggung jawab pemroses tertentu. Tidak ada gunanya dalam peraturan untuk menunjukkan langkah-langkah keamanan tertentu, karena berbagai entitas tunduk pada GDPR - dari kepemilikan tunggal kecil hingga perusahaan besar. Apa yang akan menemukan aplikasi di sebuah perusahaan kecil tidak akan berguna sama sekali di lain.

Siapa yang terpengaruh oleh GDPR?

GDPR berlaku untuk setiap perusahaan, baik kepemilikan perseorangan, maupun perusahaan - yang beroperasi di Uni Eropa, yang memproses data pribadi. Kebangsaan orang yang datanya diproses, di mana pemrosesan berlangsung, atau di mana server berada tidak menjadi masalah.

Contoh entitas yang dicakup oleh GDPR:

  • pengusaha dengan kantor pusat di luar UE, tetapi melakukan kegiatan di wilayahnya,

  • entitas yang menawarkan layanan mereka kepada klien di luar Serikat, tetapi memiliki kantor pusat di wilayah Serikat,

  • perusahaan yang memproses data melalui komputasi awan - tidak masalah di mana server berada,

  • pengusaha yang menjalankan kantor akuntansi yang kegiatannya terdiri dari penyelesaian akun dengan perusahaan lain,

  • pengusaha yang tidak memiliki unit organisasi di UE, tetapi menawarkan barang dan jasa kepada warga di UE (misalnya toko online).

GDPR tidak berlaku untuk orang yang memproses data pribadi untuk penggunaan pribadi, misalnya mengirim kartu Natal ke penerima pribadi.
Oleh karena itu, pengusaha berkewajiban untuk mematuhi ketentuan GDPR sehubungan dengan kliennya, kontraktor, tetapi tidak harus menerapkannya saat mengirim kartu Natal kepada orang-orang dari daftar kontak pribadi.

Kegiatan apa yang tunduk pada GDPR?

Pemrosesan data pribadi tunduk pada GDPR. Untuk dapat mengatakan apa itu pengolahan data pribadi, pertama-tama harus dijelaskan dengan baik apa itu data pribadi.

Data pribadi adalah informasi yang dapat digunakan untuk mengidentifikasi orang tertentu. Terkadang satu informasi cukup untuk mengidentifikasinya (mis. orang tertinggi dalam tim), terkadang harus ada lebih banyak informasi ini (mis. nama, nama keluarga, dan tanggal lahir). Kebetulan data yang sama di satu tempat memungkinkan Anda untuk mengidentifikasi orang tertentu (misalnya nomor PESEL di kantor komune), dan di tempat lain itu tidak berarti apa-apa (misalnya PESEL tertulis di selembar kertas).

Data pribadi dapat dibagi menjadi data umum - ini adalah data dasar "keras" atau "kering", seperti nama, nama keluarga, nomor PESEL - dan data sensitif (data sensitif), seperti agama, etnis, orientasi, dll. Data pribadi berkaitan dengan orangnya, bukan perusahaannya. Perusahaan ABC - tidak ada data pribadi di sini, Marek Nowicki dari perusahaan ABC - informasi tersebut sudah merupakan data pribadi. Pemrosesan data pribadi adalah kinerja semua operasi pada data yang disebutkan di atas, misalnya mengumpulkan, menyimpan, mengatur, mengatur, menyimpan, mengadaptasi atau memodifikasi, mengunduh, melihat, menggunakan, mengungkapkan dengan mengirim, mendistribusikan, menghapus, atau menghancurkan.

Siapa yang dapat memproses data pribadi?

Data pribadi dapat diproses oleh pengusaha sebagai pengontrol data atau sebagai pengolah.

Administrator data pribadi (ADO) adalah entitas yang secara mandiri atau bersama-sama dengan pihak lain menetapkan tujuan dan metode pemrosesan data pribadi. Itu selalu sebuah perusahaan, organisasi, bukan orang.

Contoh ketika pengusaha adalah administrator data pribadi:

  • majikan dalam hubungannya dengan pekerja,

  • pemilik toko online dalam kaitannya dengan pelanggan,

  • pemilik situs web sehubungan dengan orang-orang yang berlangganan buletin.

Pemroses data adalah orang yang bertindak berdasarkan kontrak yang dibuat dengan PDC. ADO masih memutuskan tentang tujuan dan metode pemrosesan data, namun, ADO mempercayakan aktivitas tertentu pada data ini kepada entitas yang terpisah. Ini bisa menjadi orang alami dan perusahaan lain. Contoh pengolah data:

  • kantor akuntansi yang memproses data pribadi yang diberikan kepadanya untuk tujuan ini oleh klien berdasarkan permintaan,

  • entitas yang secara profesional menangani penghancuran data pribadi, memproses data pribadi dalam hal ini atas permintaan kliennya,

  • orang yang melakukan perekrutan atas nama pemberi kerja.

Pemroses data berdasarkan permintaan harus membuat kontrak yang sesuai dengan pengontrol data, yang disebut perjanjian perwalian, yang akan menentukan aturan pemrosesan data. Dalam organisasi tertentu, data pribadi sebenarnya diproses oleh individu tertentu - karyawan atau rekanan pengontrol atau pemroses data. Orang tersebut harus diberi wewenang untuk memproses data pribadi.

Kapan data pribadi dapat diproses?

Data pribadi hanya dapat diproses jika ada yang disebut dasar hukum untuk pengolahan data. Dalam kasus pengusaha, alasan khas untuk pemrosesan data biasa adalah:

  • persetujuan subjek data,

  • pemrosesan data diperlukan untuk melakukan kontrak dengan subjek data (misalnya toko online yang menjalankan pesanan),

  • pemrosesan diperlukan untuk memenuhi kewajiban hukum yang dibebankan pada pengontrol (mis.pembukuan),

  • pemrosesan diperlukan untuk tujuan kepentingan sah yang dikejar oleh administrator atau oleh pihak ketiga (misalnya surat dari kantor kejaksaan).

Dalam kasus kategori data khusus, alasan khas untuk pemrosesan adalah:

  • persetujuan eksplisit dari subjek data,

  • pengolahan data diperlukan untuk melakukan tugas-tugas yang berkaitan dengan ketenagakerjaan, jaminan sosial karyawan,

  • pemrosesan diperlukan untuk tujuan perawatan kesehatan preventif atau kedokteran kerja, untuk menilai kemampuan karyawan untuk bekerja,

  • pengolahan data diperlukan untuk mengejar hak di pengadilan.

Itu selalu pengontrol data yang harus dapat menunjukkan bahwa ia memiliki dasar yang tepat untuk pemrosesan data. Ini adalah kewajiban hukumnya yang dihasilkan dari apa yang disebut aturan akuntabilitas.

Tahapan implementasi GDPR di perusahaan

GDPR memberikan penekanan khusus pada perlindungan data pribadi yang benar saat diproses oleh entitas tertentu. Implementasi GDPR sebenarnya adalah penerapan langkah-langkah keamanan agar data tidak diproses secara tidak sah, sehingga orang yang tidak berwenang tidak dapat mengakses data ini.

Mengingat hal di atas, GDPR adalah penerapan langkah-langkah yang memastikan perlindungan yang tepat atas data pribadi dan menghindari risiko insiden (peristiwa yang mengekspos perusahaan, misalnya, kebocoran informasi).

Untuk menghindari risiko di atas, disarankan untuk mengambil langkah-langkah berikut:

  1. Pertama-tama, yang terbaik adalah melakukan apa yang disebut inventarisasi data yang diproses sejauh ini, yaitu melihat setiap proses di perusahaan, setiap departemen, setiap komputer, kabinet, dan tempat-tempat lain di mana data dikumpulkan. Inventaris semacam itu akan membantu mengumpulkan semua data yang diproses di perusahaan di satu tempat dan menentukan tujuan pemrosesannya. Jika tujuan pemrosesan data tertentu telah kedaluwarsa - data pribadi tersebut harus dihapus atau dimusnahkan.

  2. Kemudian, atas dasar verifikasi tersebut di atas, ada baiknya untuk melakukan analisis risiko, yaitu memikirkan siapa yang memiliki akses ke data ini dan siapa yang mungkin memiliki, peristiwa apa yang dapat mempengaruhi kebocoran data (identifikasi ancaman).

  3. Sekarang sudah cukup untuk menentukan tingkat keparahan dan kepentingan untuk setiap risiko yang teridentifikasi - seberapa besar kemungkinan terjadinya suatu bahaya dan seberapa signifikannya.

  4. Langkah selanjutnya adalah mengidentifikasi solusi yang akan mengurangi, mencegah atau mencegah terjadinya risiko - ini adalah definisi dari langkah-langkah keamanan. GDPR tidak menunjukkan tindakan perlindungan khusus, ini adalah masalah individu untuk setiap perusahaan - solusi yang berbeda akan bekerja di perusahaan kecil, berbeda di sekolah. Penting untuk menjadi efektif.

Dengan berpikir jauh sebelumnya tentang risiko, kami dapat mencegahnya karena kami telah mengidentifikasi tindakan pencegahan dalam analisis risiko kami. Dan ketika risiko tertentu terjadi, kita akan tahu betul bagaimana cara menghilangkannya. Memikirkan kegiatan seperti itu terlebih dahulu akan membuat tindakan kita diperhatikan dan lebih cerdas.

Namun, harus diingat bahwa pendekatan berbasis risiko memerlukan pemantauan terus menerus terhadap tingkat risiko yang terkait dengan pemrosesan data pribadi. Oleh karena itu, tidak cukup untuk menentukan tingkat risiko sekali untuk proses tertentu dan menerapkan langkah-langkah keamanan data - tingkat risiko harus terus dipantau sebagai bagian dari proses pemrosesan data yang sedang berlangsung.

Mulai masa percobaan 30 hari gratis tanpa pamrih!

Kapan GDPR akan mulai berlaku?

GDPR telah berlaku sejak 2016, karena peraturan itu diadopsi di Uni Eropa dua tahun lalu. Peraturan ini memberikan batas waktu bagi Negara-negara Anggota untuk menerapkan aturan baru tersebut paling lambat 25 Mei 2018.

25 Mei 2018 adalah waktu ketika GDPR harus masuk ke dalam aplikasi umum. Oleh karena itu, jika perusahaan ingin menerapkan ketentuan GDPR sebelum waktu ini, tidak ada yang menghalangi.

Peraturan UE menyerupai hukum Polandia karena fakta bahwa peraturan tersebut mengikat semua Negara Anggota dan dapat diterapkan secara langsung, sehingga tidak memerlukan implementasi ke dalam hukum nasional - peraturan tersebut diterapkan secara langsung.

Ketentuan GDPR tidak perlu diadopsi dalam hukum Polandia, seperti halnya dengan arahan. GDPR akan berlaku dan karenanya akan langsung berlaku dan efektif secara langsung. Masing-masing negara diizinkan untuk membuat peraturan yang menentukan secara lebih tepat dalam lingkup tertentu, oleh karena itu, tentu saja, peraturan tersebut juga akan dibuat di Polandia, tetapi mereka harus mematuhi peraturan utama, yaitu GDPR.