GDPR - tantangan paling penting bagi pengusaha

Melayani

Peraturan (EU) 2016/679 Parlemen Eropa dan Dewan 27 April 2016 tentang perlindungan individu sehubungan dengan pemrosesan data pribadi dan tentang pergerakan bebas data tersebut, dan mencabut Directive 95/46 / EC, sering disebut sebagai GDPR, tidak diragukan lagi topik terpanas tahun ini. Peraturan tersebut mulai berlaku pada 25 Mei 2018. Tantangan apa yang diperkenalkan GDPR bagi pengusaha?

Siapa yang terpengaruh oleh GDPR?

GDPR berlaku untuk setiap entitas yang memproses data pribadi - dalam praktiknya, setiap pengusaha, baik perusahaan saham gabungan besar atau perseroan terbatas, serta pengusaha yang menjalankan kepemilikan tunggal (yaitu kantor akuntansi, toko online, penata rambut, kecantikan salon, dll.) grosir, kantor dokter, semua entitas yang mempekerjakan karyawan).

Apa itu data pribadi?

Data pribadi menurut GDPR adalah semua data yang memungkinkan identifikasi seseorang, dan oleh karena itu tidak hanya nama dan nama keluarga dan tempat tinggal atau nomor PESEL atau NIP, tetapi juga alamat email, nomor IP, suara dan gambar orang tersebut (dalam hal rekaman audio dan video). Prosedur GDPR tidak berlaku untuk data almarhum, yaitu pengusaha yang menjalankan bengkel batu atau menyediakan layanan pemakaman tidak harus menerapkan peraturan perlindungan terkait data almarhum (namun, mereka jelas akan memproses dan menyimpan data klien memesan kinerja layanan tertentu).

Perubahan apa yang diperkenalkan oleh GDPR?

Peraturan UE tidak jelas dan oleh karena itu akan mengharuskan pengusaha untuk menunjukkan sedikit kreativitas, tentu saja dibatasi oleh ketentuan GDPR. Dalam hal pemeriksaan, pengusaha harus menunjukkan bagaimana ia melindungi data pribadi. Setiap pengusaha harus terlebih dahulu menganalisis data pribadi karyawan atau klien apa yang dia miliki, bagaimana dia memprosesnya sejauh ini, dalam bentuk apa dia telah menyimpan, apakah dia memperoleh persetujuan dari klien atau karyawan untuk memproses data pribadi ini dan, sebagai akibat dari analisis ini, pilih solusi yang akan memastikan perlindungan data yang optimal. Pengusaha juga dapat menugaskan audit dalam hal langkah-langkah keamanan yang diterapkan dan perubahan yang diperlukan, yang tampaknya merupakan solusi yang masuk akal dan dapat dibenarkan.

Perjanjian pemrosesan data

Salah satu masalah terpenting yang terkait dengan GDPR adalah kewajiban untuk mendapatkan persetujuan dari orang yang datanya diproses oleh pengusaha, untuk pemrosesan dan penyimpanannya. Yang penting, persetujuan ini harus diberikan sebelum melakukan tindakan dan harus diungkapkan - oleh karena itu disarankan agar isi pernyataan disiapkan dalam bentuk yang sederhana bagi klien. Berdasarkan rancangan Undang-Undang Polandia tentang Perlindungan Data Pribadi, seseorang akan dapat memberikan persetujuan setelah mencapai usia 13 tahun, dan oleh karena itu klien remaja, meskipun tidak memiliki kapasitas hukum penuh, tidak perlu meminta orang tua untuk persetujuan atas nama mereka. Pelanggan juga harus diberi tahu dengan jelas tentang kemungkinan menghapus data pribadinya dari kumpulan data pengusaha.

Perjanjian titipan

Jika pengusaha menggunakan layanan perusahaan lain (misalnya perusahaan IT, kantor akuntansi, perusahaan pelatihan, perusahaan kurir), pengusaha harus membuat kontrak untuk mempercayakan pemrosesan data pribadi. Perjanjian semacam itu harus dibuat secara tertulis dan berisi informasi tentang durasinya, subjek pemrosesan data dan jenisnya, tujuan pemrosesan dan kategori orang yang datanya akan diproses, serta kewajiban dan hak pemroses data dan pengontrol data. .

Penyimpanan fotokopi dokumen

Praktik umum di sebagian besar perusahaan adalah menyimpan fotokopi kartu identitas, SIM, atau kartu identitas pelajar dalam arsip karyawan. Praktik semacam itu harus dianggap tidak dapat diterima, tidak hanya dari sudut pandang GDPR, tetapi juga karena kekhawatiran yang berulang kali diungkapkan oleh Inspektur Jenderal Data Pribadi (misalnya terkait dengan usaha telekomunikasi, tetapi juga pengusaha yang menjalankan fasilitas hotel dan agrowisata atau menjalankan kompetisi dan kampanye promosi untuk konsumen) mengenai kemungkinan penggunaan yang tidak sah dari salinan ini. Menurut pendapat GIODO, penyajian dokumen identitas saja sudah cukup. Mengingat peraturan GDPR yang baru, muncul pertanyaan tentang apa yang harus dilakukan dengan fotokopi dokumen identitas yang sudah dimiliki pengusaha. Solusi yang paling tepat tampaknya adalah pemusnahan mereka, sambil meninggalkan catatan di arsip pribadi karyawan yang menyebutkan tanggal dan penyebab pemusnahan mereka. Jenis catatan ini akan sangat penting dalam hal file di mana halaman diberi nomor. Fotokopi yang dimusnahkan harus diganti dengan pernyataan oleh karyawan mengenai data pribadinya atau pernyataan oleh karyawan yang mengelola sumber daya manusia di perusahaan pemberi kerja yang menyatakan bahwa dokumen identitas telah ditunjukkan dan sesuai dengan data lain yang diberikan oleh karyawan.

Mulai masa percobaan 30 hari gratis tanpa pamrih!

Daftar kegiatan pemrosesan data

GDPR membebankan pada beberapa pengusaha (misalnya mereka yang mempekerjakan lebih dari 250 karyawan, memproses data sensitif atau memproses data dengan cara yang mengancam hak dan kebebasan) kewajiban untuk menyimpan daftar aktivitas pemrosesan data. Karena kata-kata yang tidak tepat dari kewajiban ini ("ancaman terhadap hak dan kebebasan"), disarankan agar setiap pengusaha menyimpan daftar tersebut, seperti halnya setiap pengusaha harus mempertimbangkan untuk menunjuk pemeriksa data pribadi. Ini diperlukan, misalnya, dalam kasus pengusaha yang memproses data sensitif. Data sensitif adalah data kategori khusus, misalnya tentang kesehatan, orientasi seksual, keyakinan agama, keanggotaan dalam partai politik. Pemeriksa data pribadi dapat menjadi karyawan yang dipekerjakan oleh pengusaha, kecuali jika itu adalah karyawan yang bertanggung jawab, misalnya, untuk keamanan sistem TI. Itu juga bisa menjadi pihak ketiga dan oleh karena itu pengusaha dapat mengalihdayakan layanan ini. Dalam kasus seperti itu, pengusaha harus, bagaimanapun, memverifikasi apakah akan ada konflik kepentingan antara klien dari entitas yang menjalankan fungsi pemeriksa data pribadi.

Keamanan data yang disimpan di cloud

Jika pengusaha menggunakan sistem TI apa pun (misalnya situs web, toko online, media sosial), ia harus menerapkan sistem yang sesuai untuk memastikan keamanan data yang dikirim dengan cara ini. Tantangan khusus menyangkut pengusaha menggunakan apa yang disebut sistem cloud, di mana data tidak disimpan pada disk di tempat pengusaha. Dalam hal ini, pengusaha harus menghubungi penyedia layanan TI dan bersama-sama menilai bagaimana data pribadi diamankan dan perubahan apa yang harus dilakukan. Pengusaha juga tidak boleh menggunakan server email gratis, karena dalam hal ini ia sangat rentan terhadap kemungkinan serangan peretasan dan pencurian data. Untuk alasan ini, disarankan bagi semua pengusaha untuk membeli server email dan server untuk menyimpan file yang dilengkapi dengan sertifikat keamanan yang sesuai, dan dalam hal mengirim file apa pun - mengamankannya dengan kata sandi yang diberikan kepada klien atau karyawan di pesan terpisah. Bahkan pengusaha yang menjalankan blog perusahaan di portal populer harus memeriksa apakah dan bagaimana data pribadi pengguna - pembaca blog ini diamankan dan bagaimana caranya.

GDPR di ponsel bisnis

Masalah yang menarik tampaknya adalah penggunaan telepon bisnis oleh karyawan pengusaha, solusi yang umum dan ada di hampir setiap perusahaan. Kontak dan data yang disimpan dalam memori ponsel juga harus dilindungi sesuai dengan ketentuan GDPR, dan penguncian layar itu sendiri dengan meminta nomor PIN tidak dapat dianggap sebagai metode perlindungan yang memadai. Untuk alasan ini, majikan harus membuat karyawannya peka untuk tidak menginstal aplikasi yang tidak diketahui asalnya di kamera yang dipercayakan kepada mereka, yang dapat mencuri data yang tersimpan di dalamnya. Jika memungkinkan, pengusaha juga harus berinvestasi dalam aplikasi yang mengenkripsi data dan melindungi ponsel dari gangguan yang tidak sah.

Apa risiko ketidakpatuhan terhadap GDPR?

Kegagalan untuk menerapkan ketentuan GDPR dapat mengakibatkan tanggung jawab atas kerugian terhadap orang-orang yang datanya telah diungkapkan, tanggung jawab pidana dan, di atas segalanya, tanggung jawab administratif. Peraturan tersebut menetapkan denda tinggi karena mengabaikan kewajiban yang timbul dari peraturan baru. Selain itu, entitas yang menyimpan dan memproses data pribadi harus melaporkan pelanggaran ketentuan GDPR kepada Presiden Kantor Perlindungan Data Pribadi dalam waktu 72 jam. Ini berarti bahwa jika terjadi, misalnya, peretasan ke server yang digunakan oleh pengusaha atau kebocoran data pribadi lainnya, pengusaha harus mengambil langkah-langkah keamanan khusus.