GDPR. Apakah perlu untuk melakukannya di Rusia?

Apa itu GDPR?

Pada tanggal 25 Mei 2018, Peraturan Perlindungan Data Umum Uni Eropa (GDPR; selanjutnya disebut GDPR, Peraturan) mulai berlaku. Banyak orang percaya bahwa GDPR hanya berlaku untuk organisasi atau perusahaan Eropa yang memproses data pribadi (PD) di Uni Eropa. Namun pada kenyataannya, Peraturan ini bersifat ekstrateritorial dan berlaku untuk organisasi yang tidak berlokasi di Uni Eropa.

Peraturan, serta Hukum Federal Federasi Rusia No. 152- “Tentang Data Pribadi”, menggunakan konsep dan pendekatan yang dirumuskan dalam Konvensi untuk Perlindungan Individu sehubungan dengan Pemrosesan Otomatis Data Pribadi.
Penekanan utama dalam Regulasi ini adalah pada perlindungan hak dan kebebasan individu dalam pemrosesan data pribadi mereka.

Organisasi-organisasi Rusia yang termasuk dalam lingkup GDPR menemukan diri mereka “antara dua kebakaran”: mereka diharuskan untuk mematuhi undang-undang Rusia dan Peraturan Eropa yang baru. Dalam artikel ini, kami akan mencoba mengungkap siapa yang perlu mematuhi persyaratan GDPR di Rusia, mengapa, dan apa yang bisa menjadi konsekuensi dari tidak memenuhinya.

Kepada siapa GDPR berlaku?

Menurut Pasal 3 Regulasi, GDPR berlaku untuk:

1. Pemrosesan PD selama aktivitas operator atau prosesor (orang yang kepadanya operator telah mempercayai pemrosesan PD) di wilayah Uni Eropa (UE), terlepas dari di mana pemrosesan dilakukan - di wilayah UE atau di luarnya.

2. Pemrosesan PD oleh operator atau prosesor yang berlokasi di luar UE, jika pemrosesan dikaitkan dengan:

a. menawarkan barang atau jasa (dibayar atau gratis) kepada subyek-subyek PD yang berlokasi di UE;

b. memantau tindakan (perilaku, aktivitas) subyek PD di UE.

3. Pemrosesan PD oleh operator yang berlokasi di luar UE, jika berlaku untuk undang-undang Negara Anggota sesuai dengan hukum publik internasional.

Jika dengan operator yang jelas-jelas termasuk dalam klausa 1 (Anda harus berada di UE) dan klausul 3 (misi diplomatik dan konsulat negara-negara anggota UE) lebih atau kurang jelas, maka klausa 2 menimbulkan banyak pertanyaan, karena menentukan penerapan GDPR ke Rusia. perusahaan.

Untuk menemukan jawaban atas pertanyaan-pertanyaan ini, di samping teks utama Regulasi, perlu juga diperhatikan fakta bahwa GDPR memiliki mukadimah yang mengungkapkan apa yang dipandu oleh legislator ketika menetapkan norma-norma yang dijelaskan dalam GDPR. Secara khusus, dalam paragraf 23 pembukaan, dikatakan bagaimana kita dapat menentukan bahwa operator (atau pengolah data) menawarkan barang atau jasa kepada orang-orang yang berlokasi di UE. Faktor-faktor yang memungkinkan untuk menentukan arah kegiatan di UE dapat dianggap sebagai penggunaan dalam penawaran dan penjualan barang atau jasa dalam bahasa atau mata uang negara anggota UE, penyebutan pelanggan atau pengguna yang berlokasi di UE. Dan dalam paragraf 24 pembukaan, dikatakan bahwa memantau tindakan subjek PD berarti melacak pengguna Internet, termasuk kemungkinan pembuatan profil individu berikutnya, khususnya dengan tujuan menganalisis atau memprediksi preferensi, perilaku, dll.

Selain itu, Pasal 2 GDPR menyatakan bahwa Peraturan ini tidak berlaku untuk kegiatan yang tidak tunduk pada hukum UE.

Dari hal di atas, seseorang dapat menentukan kriteria berikut untuk penerapan langsung GDPR ke organisasi Rusia:

1. Organisasi tersebut berlokasi di UE (adalah cabang atau kantor perwakilan dari perusahaan Rusia).
2. Organisasi ini tidak berlokasi di UE, tetapi melakukan aktivitas secara fisik di UE, dan aktivitas ini mencakup pemrosesan data pribadi (misalnya, perusahaan transportasi dengan pengiriman barang dari Rusia ke individu-individu di UE).
3. Organisasi secara sistematis menawarkan barang dengan pengiriman ke UE dengan kemungkinan pembayaran dalam euro (PLN, SEK, dll.).
4. Organisasi ini menawarkan layanan kepada individu dalam salah satu bahasa resmi UE, ada situs web dalam bahasa itu. Untuk membayar layanan, Anda dapat menggunakan mata uang negara-negara UE atau pembayaran tidak diperlukan.
5. Organisasi mengumpulkan dan menganalisis informasi tentang pengunjung situs web dari UE, dan menggunakan hasil analisis sendiri atau menjual (transfer) ke orang lain.

Untuk organisasi yang termasuk dalam klausa 2-5, GDPR berlaku sejauh pemrosesan PD dari orang yang berada di UE diproses. Misalnya, pemrosesan data pribadi sebagai bagian dari catatan personalia, jika semua karyawan organisasi bekerja di Rusia, tidak termasuk dalam regulasi GDPR, dan proses bisnis yang ditentukan dalam kriteria akan jatuh.
Organisasi yang memproses data pribadi atas nama operator yang menjadi subjek regulasi GDPR tunduk pada GDPR dalam jumlah yang tergantung pada bagian proses yang ditransfer atas nama. Jika organisasi melakukan bagian dari proses pemrosesan (misalnya, mengumpulkan data pribadi, menganalisis data pribadi, dll.), Organisasi itu berada di bawah pengaruh GDPR. Jika organisasi menyediakan layanan hosting (DPC), hanya persyaratan GDPR yang akan disajikan oleh operator untuk langsung diterapkan padanya.

Kami juga ingin mencatat bahwa kasus-kasus berikut, yang sering ditemukan dalam materi tentang GDPR, bukan kriteria untuk penerapan Peraturan:

1. Kewarganegaraan subjek PD tidak mempengaruhi penerapan GDPR (misalnya, kehadiran pekerja warga negara Uni Eropa tidak berarti bahwa organisasi berada di bawah GDPR);
2. Ketersediaan situs web organisasi di UE tidak berarti penerapan otomatis GDPR. Jika organisasi tidak melakukan pembuatan profil, dan statistik yang dikumpulkan tidak terikat pada pengguna tertentu, aktivitasnya tidak boleh berada di bawah GDPR.
3. Jika layanan disediakan di luar UE (misalnya, kamar hotel yang berlokasi di Rusia dapat dipesan dari jarak jauh dari UE), organisasi tidak boleh dikenai GDPR, karena kegiatannya tidak dilakukan di UE dan tidak tunduk pada hukum UE.

Jika Anda masih ragu tentang penerapan Peraturan ini ke organisasi Anda, Anda dapat menghubungi NIP Informzashita CJSC dan kami akan membantu Anda menentukan bagaimana dan apa persyaratan GDPR dari organisasi Anda yang harus diperhatikan.

Memantau kepatuhan dengan GDPR di Rusia dan konsekuensi dari ketidakpatuhan

Untuk melindungi hak-hak subyek PD di setiap negara UE, badan-badan negara telah dibentuk untuk melindungi hak-hak subyek PD (dalam teks Regulasi - Otoritas Pengawas, dalam praktik umum badan-badan semacam itu disebut Data Protection Authorities (DPA)). Antara lain, DPA diberkahi dengan kekuatan berikut menurut Bagian 1 Pasal 58 GDPR:

• meminta informasi tentang pemrosesan PD;
• melakukan audit keamanan PD;
• untuk menerima dari operator dan akses prosesor ke semua PD dan ke semua informasi yang diperlukan untuk melaksanakan tugas mereka;
• mendapatkan akses ke tempat operator dan prosesor apa pun, termasuk peralatan dan fasilitas pemrosesan data apa pun.

Prosedur kontrol khusus ditetapkan oleh negara-negara UE secara independen. Dalam hal terjadi pelanggaran terhadap ketentuan Regulasi DPA, antara lain, menurut Bagian 2 Pasal 58 GDPR, mereka dapat:

• mengeluarkan peringatan atau komentar kepada operator atau prosesor bahwa prosedur saat ini untuk memproses PD melanggar ketentuan Regulasi;
• mengeluarkan perintah tentang perlunya memenuhi permintaan subjek, tentang kebutuhan untuk menginformasikan subjek tentang pelanggaran PD keamanan;
• untuk menuntut agar pemrosesan data pribadi sejalan dengan Regulasi dalam periode tertentu;
• memaksakan pembatasan sementara atau permanen pada pemrosesan , termasuk larangan pemrosesan;
• mengeluarkan perintah untuk menghapus atau mengklarifikasi PD;
• untuk mengenakan denda administrasi bersama dengan tindakan lain atau sebagai ganti mereka;
• menuntut untuk menghentikan transfer PD ke negara ketiga atau ke organisasi internasional.

Peraturan tersebut menetapkan perlunya organisasi yang berlokasi di luar UE untuk menunjuk perwakilan di UE yang melaluinya DPA akan berinteraksi dengan organisasi tersebut, tetapi ditekankan bahwa tanggung jawab untuk memproses PD bukan wakilnya, tetapi organisasi itu sendiri.

GDPR tidak mengungkapkan prosedur untuk memantau kepatuhan terhadap Regulasi oleh organisasi yang berlokasi di luar UE dan tidak menunjuk perwakilan, serta bagaimana organisasi yang berlokasi di luar UE akan bertanggung jawab atas pelanggaran aturan pemrosesan data pribadi.

Kami melakukan serangkaian wawancara dengan DPA dari negara-negara UE tentang pemantauan kepatuhan dengan GDPR di luar UE. Jawabannya berbeda, tetapi secara keseluruhan tidak ada kejelasan. Salah satu perwakilan DPA membuat reservasi bahwa kasus-kasus seperti itu akan diatur bekerja sama dengan DPA dari negara-negara di mana operator atau prosesor berada. Situasi geopolitik saat ini dan posisi kepala Roskomnadzor A. Zharov tentang perlunya kepatuhan organisasi Rusia dengan GDPR membuat beberapa keraguan bahwa upaya kerja sama antara DPA UE dan Roskomnadzor akan menjadi produktif.

Saya ingin menarik perhatian pada fakta bahwa denda jutaan dolar yang ditentukan dalam GDPR, yang sebagian besar dari semua operator yang ditakuti, adalah bar atas. GDPR mengatakan bahwa denda (dan sanksi lainnya) yang dikenakan harus proporsional dengan pelanggaran, efektif dan mencegah pelanggaran berulang. Jumlah denda tertentu akan ditentukan secara individual, dengan mempertimbangkan sejumlah besar faktor. Denda jutaan dolar dapat dikenakan pada organisasi jika secara sadar dan jahat melanggar hak-hak subyek, dengan sembunyi-sembunyi menyembunyikannya dan menerima untung besar dari pemrosesan PD semacam itu.

Konsekuensi yang paling mungkin (tetapi bukan satu-satunya) dan signifikan dari tidak terpenuhinya GDPR untuk organisasi Rusia yang tidak memiliki kantor perwakilan atau anak perusahaan di UE (serta perwakilan yang ditunjuk untuk pemrosesan PD) bukanlah denda, tetapi memblokir situs web organisasi di UE atau negara bagian secara individu Anggota UE. Terlepas dari kenyataan bahwa kemungkinan memblokir situs tidak secara eksplisit dinyatakan dalam GDPR, tampaknya menjadi cara alami untuk membatasi pemrosesan PD untuk mencegah pelanggaran berulang, terutama jika tidak ada cara lain untuk mempengaruhi operator.

Mengapa organisasi Rusia harus mematuhi GDPR?

Implementasi GDPR memiliki keuntungan lain bagi organisasi selain peluang nyata untuk menghindari kemungkinan sanksi oleh DPA UE.

Pertama-tama, ini adalah peningkatan tingkat keamanan informasi dan manajemen data secara keseluruhan dalam organisasi. Seringkali dalam proses membawa kepatuhan dengan persyaratan untuk perlindungan data pribadi, sebuah organisasi untuk pertama kalinya membuat daftar proses bisnis yang ada, memahami aliran data yang ada, membuat diagram jaringan, menggambarkan sistem perlindungan informasi yang ada. Tindakan ini menjadi dasar untuk melindungi tidak hanya PD, tetapi juga jenis informasi rahasia lainnya, serta untuk mengoptimalkan proses bisnis.

Jika organisasi memproses data pribadi yang ditransfer kepadanya oleh rekanan yang tunduk pada GDPR, rekanan tersebut akan menuntut kepatuhannya terhadap persyaratan GDPR untuk pemroses data pribadi. Kepatuhan dengan GDPR akan memungkinkan penyedia layanan untuk memperluas pasar yang dapat diakses untuk penyediaan layanan di UE, serta memberikan layanan kepada organisasi-organisasi Rusia yang termasuk dalam persyaratan GDPR.

Persyaratan kepatuhan wajib dengan GDPR dapat berasal dari perusahaan induk ketika GDPR berlaku untuk organisasi grup perusahaan yang dengannya organisasi Rusia bertukar data pribadi. Tetapi dalam hal ini, disarankan, pertama, untuk mengklarifikasi apakah data pribadi orang-orang yang berada di UE benar-benar diproses, dan kedua, jika mereka diproses, untuk memperluas persyaratan Peraturan pada proses-proses di mana data pribadi tersebut diproses, dan tidak untuk keseluruhan organisasi.

GDPR menetapkan kebutuhan untuk menghormati berbagai hak subyek PD dan untuk memastikan transparansi pemrosesan PD untuk subyek. Dibandingkan dengan Undang-Undang Federal “Tentang Data Pribadi”, GDPR menjelaskan secara lebih rinci bagaimana cara menginformasikan subjek PD tentang pemrosesan PD mereka, serta bagaimana mereka dapat menggunakan hak mereka terkait dengan pemrosesan ini. Refleksi dari masalah-masalah pemrosesan data pribadi ini dalam kebijakan pemrosesan data pribadi, serta dalam pengumpulan informasi tentang pemrosesan data pribadi, dapat meningkatkan transparansi organisasi dan memberikan kepercayaan yang lebih besar pada bagian dari semua subjek data pribadi.

Ringkasan

Jika organisasi Anda berlokasi di Rusia, ini tidak berarti bahwa GDPR tidak berlaku untuknya. Anda dapat memeriksa penerapan persyaratan Aturan ke organisasi Anda menggunakan kriteria di atas.

Peraturan baru saja mulai berlaku, dan menurut Symantec, 80% organisasi di UE tidak memenuhi persyaratan GDPR. Bagaimana organisasi UE dapat dikenai sanksi oleh UE sehubungan dengan pelanggaran GDPR masih belum jelas, namun demikian, Peraturan tersebut harus ditanggapi dengan serius.

Sebagai kesimpulan, kami ingin mencatat bahwa dengan probabilitas tinggi dalam waktu dekat untuk keseragaman dengan undang-undang Eropa dalam undang-undang Rusia tentang pemrosesan PD, kata-kata yang mirip dengan persyaratan GDPR akan muncul.

Diposting oleh Alisa Gorinova, Konsultan Senior, Departemen Konsultasi dan Audit, Informzaschita. Jika Anda masih memiliki pertanyaan, kami siap berbicara dengan Anda. Kami sedang menunggu surat Anda ke a.gorinova@infosec.ru.