Pemberitahuan pelanggaran dan otoritas pengawasan - perlindungan data pribadi

Melayani

Otoritas pengawas adalah setidaknya satu otoritas publik yang melindungi hak individu sehubungan dengan pemrosesan data pribadi. Saat ini, badan yang mengawasi perlindungan data pribadi adalah GIODO. Mungkin ada lebih dari satu otoritas pengawasan di suatu negara. Pelaporan pelanggaran juga tunduk pada otoritas pengawas.

Badan ini harus bertindak secara independen. Dia tidak akan bisa memulai bisnis. Pengangkatan akan mengikuti prosedur yang transparan sehingga yang terpilih bersifat netral. Kandidat untuk jabatan ini mungkin seseorang dengan keterampilan, kualifikasi yang sesuai di bidang perlindungan data pribadi dan pengalaman. Aturan untuk membentuk otoritas pengawas secara eksplisit diatur dalam peraturan GDPR. Disebut otoritas pengawas utama akan mendukung otoritas yang lebih mapan. Tujuan pembentukan mereka akan menjadi kerja sama yang efektif dari Negara-negara Anggota, dan ini adalah untuk berkontribusi secara langsung untuk meningkatkan keamanan perlindungan data pribadi di UE.

Otoritas pengawas di setiap negara Uni Eropa akan memiliki tugas dan wewenang yang sama.

Perhatian!

Pada 25 Mei 2018, Polandia harus memberi tahu otoritas UE tentang perubahan yang diadopsi pada undang-undang dan - seperti setiap Negara Anggota - membentuk otoritas pengawas.

Kompetensi otoritas pengawas

Contoh kompetensi otoritas pengawas terkait dengan perlindungan pemrosesan data oleh pengusaha meliputi:

  • melakukan prosiding penjelasan
  • melakukan proses perbaikan
  • kerjasama dengan otoritas pengawas lainnya dari Negara-negara Anggota
  • menjatuhkan hukuman
  • pemberian izin (termasuk klausul kontrak) dan rekomendasi
  • mengadopsi klausa standar
  • menyimpan daftar penilaian dampak pelanggaran
  • mendorong pengembangan kode etik
  • mendorong pembentukan mekanisme sertifikasi
  • menerbitkan kriteria akreditasi untuk kode etik
  • menyetujui aturan perusahaan yang mengikat
  • mengambil bagian dalam pekerjaan Dewan Perlindungan Data Eropa
  • menyimpan daftar pelanggaran internal
  • konsultasi
  • memberikan konsultasi sebelumnya
  • memantau kepatuhan terhadap kode etik yang diterapkan
  • konsultasi
  • melaporkan pelanggaran kepada otoritas kehakiman
  • memperkenalkan batasan pemrosesan data sementara atau permanen
  • menegakkan ketentuan peraturan UE tentang perlindungan data pribadi
  • menyebarluaskan ilmu pengetahuan di masyarakat
  • menerima pengaduan
  • penyediaan catatan dari pengontrol dan pemroses data.


Negara-negara Anggota (otoritas) akan dapat menentukan kompetensi tambahan dari otoritas pengawas, sejalan dengan hukum UE dan hukum internal (nasional), tidak bertentangan dengan Peraturan. Namun, mereka tidak boleh melampaui kerangka prosedural tertentu. Negara Anggota akan diminta untuk memastikan kepatuhan terhadap peraturan ini. Setelah kompetensi yang disebutkan di atas, Anda dapat mengajukan kewajiban dan tanggung jawab baru pengusaha yang merupakan pengolah data di perusahaannya terhadap negara dan UE. Kewajiban pengusaha akan mencakup penerapan praktik yang baik, meminimalkan terjadinya insiden pada data pribadi, membuat dokumentasi kegiatan dengan data pribadi, membuat daftar perwalian, menyiapkan kumpulan koleksi, menginformasikan subjek data, membuat kontrak untuk mempercayakan pemrosesan data pribadi , pemasaran yang wajar, nama samaran dan enkripsi data dan perlindungan yang tepat, jika dalam bentuk kertas.

Otoritas pengawas akan menegakkan dan menerapkan ketentuan GDPR. Oleh karena itu, penting untuk mempersiapkan diri dengan baik untuk perubahan yang akan datang.

Kewajiban terkait pemrosesan data pribadi

Saat membuat penilaian dampak perlindungan data, yang akan menjadi kewajiban baru mereka, pengusaha juga wajib berkonsultasi hasilnya dengan otoritas pengawas, terutama ketika mereka tidak memiliki kemampuan keamanan data teknis yang sesuai di perusahaan mereka. Selain itu, konsultasi dengan otoritas pengawas harus bermanfaat bagi pengontrol data pribadi, misalnya dalam menyiapkan tindakan dalam bentuk kode etik, yang direkomendasikan dalam Peraturan GDPR kepada setiap perusahaan yang memproses data pribadi.

Penilaian risiko pemrosesan data pribadi

Keamanan pemrosesan data harus mempertimbangkan status pengetahuan teknis saat ini. Tingkat keamanan harus sesuai dengan skala risiko dalam pemrosesan data pribadi.

Keamanan pemrosesan data pribadi dapat dijamin dengan:

  • nama samaran - yaitu, enkripsi data pribadi

  • jaminan kerahasiaan, integritas, dan ketahanan sistem pemrosesan data yang konstan

  • kemampuan untuk memulihkan akses ke data dengan cepat jika terjadi insiden

  • pengujian rutin dan evaluasi langkah-langkah keselamatan teknis.

Oleh karena itu, sangat penting untuk menyediakan fasilitas teknis yang sesuai dan orang-orang dengan kompetensi yang sesuai di perusahaan Anda. Tampaknya perlu untuk melatih semua karyawan, bahkan yang secara tidak langsung memproses data pribadi di perusahaan.

Contoh 1.

Jika karyawan kantor akuntansi mencetak dokumen yang berisi data pribadi klien perusahaan, mereka tidak boleh meninggalkannya di printer untuk waktu yang lama, karena ini dapat mengakibatkan akses ke data pribadi oleh orang yang tidak berwenang.

Sangat penting untuk menilai risiko yang terkait dengan pemrosesan data pribadi. Ini akan dapat dikonsultasikan dengan otoritas penegakan yang dijelaskan di atas, sehingga perlu dipersiapkan untuk bekerja sama dan menghindari:

  • penghancuran data pribadi yang tidak disengaja dan melanggar hukum

  • kehilangan data pribadi

  • modifikasi data atas inisiatif Anda sendiri

  • pengungkapan data pribadi yang tidak sah kepada orang lain

  • akses tidak sah dari orang lain ke data

  • penyimpanan data pribadi yang tidak benar.

Mungkin bermanfaat untuk mengembangkan pendekatan terhadap data pribadi. Peraturan tersebut mengusulkan pembuatan kode etik dan mekanisme tindakan yang tepat, sehingga mewajibkan otoritas pengawas untuk mengendalikannya.

Pemberitahuan pelanggaran data pribadi

Namun, kunci pemrosesan data yang tepat adalah kewajiban untuk melaporkan setiap pelanggaran. Ini akan berlaku untuk pengontrol data dan pemroses data, bahkan jika mereka tidak menyebabkan konsekuensi negatif apa pun pada subjek data.

Jika terjadi pelanggaran perlindungan data pribadi, fakta ini akan dilaporkan ke otoritas pengawas. Namun, itu tidak akan memerlukan pemberitahuan jika risiko pelanggaran hak dan kebebasan tidak mungkin terjadi.

Namun, jika risikonya signifikan, maka harus dilaporkan kepada otoritas pengawas dalam waktu 72 jam, dan setelah periode itu juga akan diminta untuk memberikan penjelasan dan alasan yang relevan atas keterlambatan pelaporan. Ini bersifat bukti, dokumentasi akan memungkinkan badan pengawas untuk memutuskan apakah aturan untuk keamanan data pribadi telah diterapkan dan apakah pantas untuk menjatuhkan hukuman - dan hukumannya akan signifikan!

Pemberitahuan pelanggaran kepada otoritas pengawas harus mencakup:

  • deskripsi pelanggaran, kategori dan jumlah subjek data

  • data petugas perlindungan data.

Langkah selanjutnya adalah memberi tahu subjek data tentang pelanggaran semacam itu. Mereka diberitahu ketika risiko melanggar hak dan kebebasan orang perorangan tinggi. Ini dilakukan oleh administrator data pribadi. Pemberitahuan insiden subjek data harus mengandung unsur yang sama seperti ketika dilaporkan kepada otoritas pengawas, tetapi tanpa menjelaskan sifat pelanggaran dan menunjukkan orang lain yang terkena dampak pelanggaran.

Tidak perlu memberi tahu seseorang ketika:

  • administrator sebelumnya telah menggunakan langkah-langkah enkripsi data (nama samaran),

  • menghilangkan kemungkinan risiko pelanggaran yang tinggi (melakukan penilaian),

  • akan melakukan upaya yang tidak proporsional untuk secara individual menginformasikan setiap orang yang terkena dampak pelanggaran (kemudian dia mengeluarkan pengumuman publik).