Batas Waktu Kepatuhan GDPR: Cara Menjadi Patuh dalam Bahasa Inggris Sederhana

Diterbitkan: 2018-05-15
Roshni Syaikh
Kontributor Tamu

Coba pikirkan apa yang membuat perusahaan seperti Google, LinkedIn, Twitter, dan sejenisnya mengubah persyaratan dan kebijakan privasi mereka satu demi satu. Anda pasti sudah memperhatikan notifikasi sekarang.

Ya, Facebook sudah menjadi pusat perhatian karena perbedaan data pengguna. Tapi lihat apa yang terjadi pada semua kebijakan cookie. Perusahaan memperbarui persyaratan mereka dengan cepat.

Apa yang memicu kegilaan ini? Tentu saja hal ini terjadi karena satu undang-undang yang berhasil menggemparkan dunia bisnis – GDPR

Undang-undang GDPR Uni Eropa mulai berlaku pada 25 Mei 2018. Ini telah menjadi berita sejak dimulai dan diadopsi oleh Parlemen Uni Eropa pada April 2016.

UU tersebut akan mempengaruhi bisnis yang mengelola data dalam jumlah besar. Ini berlaku untuk semua data warga negara Uni Eropa, terlepas dari lokasi mereka.

Apa itu GDPR dan mengapa diluncurkan?

Secara sederhana, sebagai seseorang yang tinggal di UE, data saya dilindungi karena GDPR.

GDPR adalah singkatan dari Peraturan Perlindungan Data Umum. Ini menggantikan Petunjuk Perlindungan Data 1995 yang lama dan usang. GDPR lebih relevan saat ini karena banyak yang telah berubah selama periode dua dekade.

Kemajuan teknologi yang cepat dan pemrosesan/penggunaan data oleh bisnis telah menyebabkan kesadaran akan kebutuhan akan undang-undang seperti GDPR.

Peraturan baru ini mulai berlaku untuk memberikan kontrol data pribadi kembali kepada warga negara Uni Eropa. Ini diterapkan untuk mengontrol kemampuan bisnis untuk mengeksploitasi data pribadi publik. GDPR diluncurkan untuk memberi warga hak digital mereka.

Undang-undang ini tidak mengharuskan pemerintah nasional untuk meloloskan undang-undang sanksi apa pun. Ini berarti bahwa itu secara alami berlaku untuk setiap orang, organisasi atau bisnis yang berhubungan dengan data warga negara Uni Eropa.

Undang-undang ini berlaku untuk bisnis Anda terlepas dari perusahaan Anda yang beroperasi pada tingkat bisnis ke bisnis atau bisnis ke tingkat konsumen.

Bagaimana GDPR akan memengaruhi bisnis Anda?

Tentang efek gelombang GDPR, ada kabar baik dan buruk. Mari kita lihat mengapa.

Beberapa pemilik usaha kecil panik dan mengeluh tentang kelebihan pekerjaan yang tiba-tiba. Russel Xiam, pemilik perusahaan dukungan produk mengatakan bahwa ada banyak hal yang harus dilakukan untuk bermigrasi ke platform perangkat lunak yang sesuai dengan GDPR.

Merencanakan GDPR sama dengan meninjau kembali pilihan bisnis Anda. Russel Xiam

Ini menyiratkan bahwa usaha kecil adalah yang paling terpengaruh.

John Higham, pemilik Azybao, sebuah perusahaan manajemen proyek mengatakan bahwa orang-orang menolak berbisnis dengan perusahaan-perusahaan Eropa karena mereka takut terjebak macet.

Isabelle Trijt, seorang petugas SDM dari Jerman mengatakan –

Saya harus mengubah/mengubah/membatalkan kebijakan perekrutan dan orientasi karyawan baru sehingga kami tetap berada di dalam lingkaran yang sesuai dengan GDPR. Saya juga harus mengambil tanggung jawab untuk menghapus semua catatan lama yang berisi data orang-orang yang diwawancarai sebelumnya.

Untuk menambah ini, pemilik bisnis di Brussel bermigrasi ke MailChimp dari Convertkit karena Convertkit tidak memberikan opsi kotak centang yang memungkinkan pengguna "memilih" data. Ini menyiratkan bahwa pemilik bisnis meninggalkan penyedia layanan email yang tidak memberikan kontrol lebih kepada pengguna, meskipun Convertkit telah memperbarui fungsinya mulai hari ini.

Ini masuk akal karena Anda, sebagai bisnis, tidak boleh berada dalam bahaya karena aturan yang tidak diikuti oleh penyedia layanan email Anda. Lagi pula, penjawab email mungkin memiliki kebijakan yang tidak bertanggung jawab atas kerugian apa pun yang terjadi pada bisnis Anda, bukan?

Meskipun skenario seperti itu jarang terjadi, Anda tetap akan dimintai pertanggungjawaban karena tidak mematuhi undang-undang karena itu adalah milik Andadaftar email.

Di sisi lain, Sidney Burks, CTO dan Co-Founder Ivizone dari Prancis mengatakan,

Kebijakan baru tidak berdampak besar pada bisnis kami. Ini sebagian besar dapat disebabkan oleh fakta bahwa undang-undang Prancis sudah memiliki persyaratan yang cukup ketat seputar perlindungan data dan privasi. GDPR memang memaksa kami untuk memasukkan privasi data ke dalam inti produk kami, dan memikirkannya dari awal, namun saat kami mengembangkan rilis baru untuk produk kami, kami dapat melakukannya dengan cara yang bersih dan efisien.

Sidney juga menambahkan bahwa GDPR telah memaksa bisnis untuk mengatur rumah data mereka. Mereka sekarang telah menambahkan kebijakan tambahan untuk menghapus data basi dan tidak perlu dan memperkuat kebijakan keamanan internal mereka seputar penyimpanan dan akses data. Ini berarti bahwa mereka memberikan tingkat keamanan data yang lebih tinggi kepada klien mereka.

Jadi, jika bisnis atau organisasi Anda menangani dan memproses data pengguna, Anda harus memperhatikan keamanan data pengguna Anda. Anda wajib mematuhi GDPR dalam kasus ini. Jika bisnis Anda tidak mematuhi undang-undang GDPR, Anda mungkin menghadapi hukuman berat.

Hukuman tertinggi untuk penyimpangan terberat akan dikenakan biaya 4% dari omset global Anda atau 20 Juta Euro, mana yang lebih tinggi (lebih lanjut tentang penalti di bagian selanjutnya).

Hukum GDPR berlaku untuk ____?

Ada kebingungan besar tentang kepada siapa hukum itu berlaku. Ada beberapa sumber yang berbicara tentang warga negara Uni Eropa dan ada sumber lain yang berbicara tentang warga Uni Eropa.

Kebingungan muncul ketika orang-orang dengan hak GDPR dirujuk sebagai "subjek data". Tapi siapa subjek data ini?

Subjek data, siapa mereka?

Apakah GDPR berlaku untuk semua data warga negara Uni Eropa?

Atau apakah itu hanya berlaku untuk orang-orang yang tinggal di UE?

Subjek data didefinisikan sebagai orang pribadi yang data pribadinya diproses oleh pengontrol atau pemroses. Pengontrol atau pemroses dapat berupa bisnis atau entitas yang dipekerjakan oleh bisnis yang menentukan corong pemrosesan data.

Istilah "subyek data" tidak memiliki definisi khusus. Sebenarnya, itu adalah konotasi. GDPR mengharuskan bisnis untuk melindungi privasi dan informasi pribadi warga negara Uni Eropa dalam setiap transaksi yang terjadi di negara-negara anggota Uni Eropa. Menurut Penasihat Cyber, setiap orang yang hadir di negara-negara anggota UE pada titik tertentu menjadi subjek data.

Apa saja jenis data yang harus diperiksa?

GDPR menganggap setiap dan semua data pribadi mengenai orang perseorangan sebagai milik orang tersebut. Jenis data mungkin termasuk:

  • Informasi Digital
  • Data Biometrik
  • Data Genetik
  • Data Terenkripsi
  • Data pribadi

Hak subjek data:

1. Menurut EU GDPR, Anda dapat memilih untuk menjadi subjek data atau tidak. Artinya, Anda dapat menolak untuk memproses data Anda dan dengan demikian, Anda menggunakan hak Anda untuk tidak menjadi subjek data.
2. Jika Anda memilih untuk menjadi subjek data, Anda berhak untuk diberitahu tentang data Anda. Anda memiliki hak untuk mencari semua pemrosesan informasi yang melibatkan informasi pribadi Anda.

3. Anda juga diberikan kuasa dan wewenang penuh untuk mengubah data pribadi Anda atau menarik data Anda pada titik tertentu. Ini adalah alasan utama mengapa bisnis harus menyediakan opsi kotak centang (dibahas di bagian di atas) untuk memberi pengguna lebih banyak kebebasan dan kekuatan untuk mendapatkan persetujuan mereka.

4. Subjek data juga dapat menolak pemrosesan sebagian/atau seluruh datanya jika menurutnya data yang diolah tidak akurat atau tidak benar.

5. Subjek data juga dapat menolak atau menolak transfer data mereka dari satu penyedia layanan ke penyedia layanan lainnya. Selain itu, sebagai subjek data, Anda juga dapat meminta untuk menghapus data Anda dari catatan. Tetapi hak ini tidak dapat diperoleh oleh subjek data jika data yang diproses adalah untuk tujuan hukum, tujuan kesehatan masyarakat, tujuan penelitian, dll.

Singkatnya, ini berlaku untuk semua penduduk UE terlepas dari lokasi bisnis, organisasi, atau kewarganegaraan mereka. Dan, melanggar hak-hak subjek data menarik hukuman berat.

Apa saja faktor yang menentukan hukuman?

1. Pelanggaran Sebelumnya – Jika Anda memiliki riwayat pelanggaran, baik dari sudut pandang GDPR atau Arahan Perlindungan Data yang sebelumnya aktif, ini akan menjadi faktor yang menentukan jumlah penalti.
2. Penyebab – Pelanggaran bisa disengaja dan untuk tujuan yang menguntungkan. Atau itu akan menjadi hasil dari langkah yang diabaikan. Either way, badan pembuat keputusan menetapkan jumlah hukuman tergantung pada penyebabnya.
3. Jenis informasi – Tergantung pada klasifikasi informasi yang digunakan. Misalnya, sebuah perusahaan mungkin telah menggunakan data genetik atau biometrik seseorang untuk tujuan bisnis. Ini mungkin menarik hukuman yang lebih tinggi daripada informasi seperti rincian pekerjaan. Sekali lagi, hukuman diatur sepenuhnya dalam kebijaksanaan dan batasan undang-undang Uni Eropa.
4. Solusi dan Tindakan – Jika Anda telah mengambil langkah-langkah untuk mengurangi kerusakan yang disebabkan oleh seseorang atau sekelompok orang yang terkena dampak langsung dari bisnis Anda, ini juga akan menjadi faktor penentu.
5. Tindakan pencegahan – UE telah memiliki masa transisi 2 tahun sebelum mulai berlaku dan penegakan penuh pada Mei 2018. Jika perusahaan Anda telah mengambil tindakan untuk tetap mematuhi undang-undang GDPR, namun pelanggaran telah terjadi, ini akan menjadi poin yang harus disorot sebelum penalti ditetapkan.
6. Niat – Jika kerusakan data disengaja, ini bisa menjadi pemicu penalti.
7. Kerjasama dan Relasi – Jika bisnis telah mewajibkan untuk bekerja sama dengan otoritas pengawas untuk memperbaiki kerusakan dan mungkin membalikkan pelanggaran, ini bertindak sebagai positif yang dapat mengurangi hukuman.
8. Pelaporan – Jika pelanggaran dilaporkan secara proaktif oleh badan pelanggar itu sendiri atau diketahui oleh sumber sekunder.

Harap dicatat bahwa tidak satu pun dari faktor di atas yang menjamin hukuman tertentu karena penentuan denda sepenuhnya berada dalam kebijaksanaan undang-undang UE.

Untuk informasi lebih lanjut, lihat prinsip-prinsip inti yang mengarah pada penegakan Hukum GDPR di sini .

Menunjuk Petugas Perlindungan Data (DPO)

Data yang sedang diproses dalam bisnis Anda mungkin harus menjalani pemantauan. Jika Anda memerlukan bantuan dalam mengatur bisnis Anda untuk mematuhi GDPR, badan UE menyarankan untuk mencari konsultasi ahli.

Setiap Negara Anggota UE dapat mencalonkan satu atau lebih otoritas publik independen untuk membantu memantau kepatuhan undang-undang data.

Menurut GDPR, Petugas Perlindungan Data harus ditunjuk jika bisnis Anda beroperasi pada tingkat berikut:

1. Organisasi yang bertindak sebagai otoritas publik

2. Perusahaan yang menangani agregasi dan pemantauan data skala besar

3. Perusahaan yang menangani pemrosesan informasi pribadi penting dalam skala besar

5 Mitos tentang GDPR

1. Perusahaan AS sangat terpengaruh – Semua perusahaan (bukan hanya perusahaan AS) dengan pelanggan UE harus mematuhi hukum.

2. Pemilik usaha kecil tidak perlu khawatir tentang GDPR – Bisnis kecil atau besar: jika menangani data pengguna, itu harus sesuai dengan GDPR.

3. Persetujuan pengguna tidak wajib jika pengguna memilih untuk memasukkan informasi pribadi mereka selama berlangganan – Persetujuan eksplisit dari pengguna dalam bentuk kotak centang adalah wajib mulai 25 Mei 2018.

4. Jika Anda tidak melakukan bisnis di dalam UE, Anda tidak perlu khawatir – Jika Anda adalah bisnis yang berurusan dengan data warga negara UE, terlepas dari lokasi warganya, GDPR berlaku.

5. Data pengguna hanyalah data yang disediakan oleh pengguna – Setiap data yang dikumpulkan, dibuat, dimodifikasi, diubah, atau diperoleh dalam bentuk cookie, perilaku pengguna tetap merupakan data pengguna.

Kesimpulan

Jika Anda adalah bisnis dengan situs web yang mengumpulkan informasi pribadi subjek data, Anda sekarang diwajibkan untuk menerapkan cara yang sesuai dengan hukum untuk memperoleh informasi pengguna. Misalnya, jika Anda memiliki pop-up atau formulir berlangganan di situs web Anda, satu-satunya cara untuk memastikan Anda mendapatkan persetujuan dari pengguna adalah dengan:

  • Menerapkan metode pilihan ganda yang mengumpulkan hanya anggota yang tertarik dengan persetujuan.
  • Memberi pengguna opsi untuk memilih untuk mengatur datanya.
  • Memberi pengguna opsi untuk berhenti berlangganan.
  • Memastikan semua layanan pihak ketiga yang Anda gunakan sesuai dengan GDPR.
  • Menjaga prosedur perolehan data Anda tetap terkendali.
  • Mengkomunikasikan kebijakan privasi Anda secara transparan.
  • Menunjuk Petugas Perlindungan Data atau mendidik dan melatih bisnis Anda untuk menghindari pelanggaran data.
  • Memastikan audit dan aksesibilitas data secara teratur.
  • Meminimalkan data yang Anda pegang dan proses.

Penafian: Informasi di atas semata-mata untuk referensi dan tujuan informasi. Itu tidak berdiri sebagai nasihat hukum. Silakan mencari penasihat hukum untuk saran lebih lanjut.