1. Tujuan utama mengadopsi GDPR adalah membuat hidup menjadi sulit untuk bisnis
Faktanya, tujuan utama GDPR adalah untuk memungkinkan pengguna untuk mengontrol siapa dan bagaimana menggunakan data pribadi mereka dan untuk dapat dengan mudah dan kapan saja melarang penggunaan atau mengubah ketentuan untuk menggunakan data pribadi untuk tujuan pemasaran.
Data pribadi dikumpulkan oleh perusahaan untuk meningkatkan pemasaran dan membuatnya dipersonalisasi - ditujukan untuk setiap pengguna tertentu, dengan mempertimbangkan preferensi dan minatnya, yang dikumpulkan berdasarkan perilaku pengguna di Internet: mengunjungi situs, suka suka, menggerakkan mouse di sekitar halaman. Di Internet, Anda dapat mengumpulkan data tersebut tentang pengguna rata-rata aktif
seperti: jenis kelamin, usia, status perkawinan, profesi, minat, kebiasaan konsumen. Jika kami menambahkan pemantauan geolokasi ke ini, jumlah informasi tentang setiap orang yang ada di tangan beberapa perusahaan menjadi menakutkan, terutama ketika memikirkan tentang kebocoran data ini. Bahkan menjadi lebih buruk ketika memikirkan kemungkinan manipulasi perilaku dan keputusan pengguna - contoh berita yang terkait dengan kegiatan
Cambridge Analytica .
Beberapa publikasi memberikan
contoh program yang, berdasarkan analisis hanya 10 suka, memungkinkan Anda untuk mengenal seseorang lebih baik daripada rekan-rekannya yang mengenalnya. Dari 70 suka, program ini belajar tentang seseorang sebanyak teman dekatnya, dari 150 suka - seperti orang tua, saudara atau saudari, dan 300 suka atau lebih - lebih baik dari yang diketahui pasangannya.
Memikirkannya dari sudut pandang pengguna, Anda dapat melihat manfaat tanpa syarat dalam mengadopsi GDPR. Tujuan utamanya adalah untuk membatasi penggunaan data pribadi yang tidak terkendali untuk tujuan komersial, ketika subjek data tersebut tidak tahu siapa, untuk tujuan apa dan bagaimana menggunakan informasi tentang dia yang dikumpulkan di Internet dari berbagai sumber.
2. GDPR berlaku untuk perusahaan-perusahaan Rusia yang memproses data pribadi sekurang-kurangnya satu warga negara dari negara anggota UE
Ini juga salah. GDPR mengatur pekerjaan dengan data pribadi bukan dari warga negara Uni Eropa, tetapi semua orang yang berada di Uni Eropa
" Peraturan ini berlaku untuk pemrosesan data pribadi dari subyek data yang ada di Perhimpunan ... ".
GDPR, Seni. 3 (2) .
Menurut perwakilan Komisi Eropa (yang berhasil secara tidak resmi mengajukan beberapa pertanyaan di konferensi internasional pada Juni 2018 [1]), GDPR tidak berlaku untuk pemrosesan data pribadi orang-orang yang berada di luar UE, bahkan jika mereka telah pergi sementara. Pada saat yang sama, pemrosesan data pribadi warga Rusia yang bepergian di Eropa tunduk pada GDPR.
Sekali lagi, dengan mengacu pada penjelasan informal dari perwakilan Komisi Eropa, untuk menarik perhatian regulator, perlu untuk memproses terutama sejumlah besar data dari pengguna Eropa. Jika tujuan perusahaan Rusia bukan untuk mengumpulkan atau memproses data dari orang Eropa, dan orang-orang yang datanya diolah kadang-kadang berakhir di Eropa, maka regulator tidak mungkin tertarik pada kegiatan perusahaan seperti itu dalam hal kepatuhan dengan GDPR.
Ada pendapat yang berlawanan bahwa jika layanan disediakan di luar UE (misalnya, kamar hotel yang berlokasi di Rusia dapat dipesan dari jarak jauh dari UE), organisasi tidak boleh dikenai GDPR, karena kegiatannya tidak dilakukan di UE dan tidak tunduk pada hukum UE. Pendapat ini tidak sepenuhnya sesuai dengan ketentuan GDPR: jika perusahaan tersebut menggunakan data orang-orang yang terutama tinggal di Eropa, maka GDPR berlaku untuk itu. Jika Anda mengambil contoh sebuah hotel, maka pada saat Anda menginap di hotel, orang Eropa benar-benar tidak di Eropa. Tetapi jika setelah kembali, hotel terus memproses datanya dan, misalnya, mengirimkan materi pemasaran kepadanya, ternyata ia bekerja dengan data seseorang yang tinggal di Eropa. Nah, jika data tidak digunakan untuk tujuan pemasaran, tetapi dikumpulkan hanya untuk reservasi dan pendaftaran tempat tinggal, maka ini bukan masalah: GDPR memungkinkan pengumpulan dan pemrosesan data untuk pelaksanaan kontrak, dan persetujuan subjek data pribadi tidak diperlukan dalam kasus ini.
3. Persetujuan pengguna untuk menggunakan data mereka selalu diperlukan
Tidak terlalu seperti itu. Dalam kasus perusahaan non-Eropa, GDPR diterapkan hanya ketika menggunakan data pribadi untuk tujuan pemasaran (menawarkan barang atau jasa) dan memantau perilaku pengguna di Eropa. Jika data tidak digunakan untuk tujuan ini, maka ketentuan GDPR tidak akan berlaku.
Peraturan ini berlaku untuk pemrosesan data pribadi dari subyek data yang berada di dalam Serikat oleh pengontrol atau prosesor yang tidak didirikan di Uni , di mana kegiatan pemrosesan terkait dengan:
(a) penawaran barang atau jasa , terlepas dari apakah pembayaran subjek data diperlukan, untuk subjek data tersebut di Perhimpunan; atau
(B) pemantauan perilaku mereka sejauh perilaku mereka terjadi di dalam Uni.
GDPR, Seni. 3 (2) .
Ketika data diperoleh untuk tujuan pelaksanaan kontrak, persetujuan tidak diperlukan. Ada juga kasus lain di mana penggunaan data pribadi
tidak memerlukan persetujuan . Tetapi jika setelah pelaksanaan kontrak data tetap dengan perusahaan dan disimpan olehnya (misalnya, dalam CRM), dalam hal ini persetujuan pengguna akan diperlukan.
4. Karena pelanggaran GDPR akan segera didenda, denda akan sangat tinggi
Tidak ada yang akan didenda segera. Regulator di berbagai negara baru mulai bekerja dengan aturan baru dan akan mewaspadai pembentukan praktik, dengan saling memperhatikan. Mereka tidak mungkin tergesa-gesa untuk segera menerapkan denda, melainkan akan ada peringatan dan instruksi terlebih dahulu. Denda yang ditunjukkan dalam GDPR adalah batas atas, jika terjadi pelanggaran, denda mungkin tidak selalu berlaku dan mungkin kecil. Denda kemungkinan besar akan diperoleh berdasarkan fakta bahwa mereka harus proporsional dan efektif, dan tujuan utama bukanlah untuk mencekik bisnis, tetapi untuk mengarahkannya ke jalur yang benar.
Selain itu, praktik peradilan (termasuk Pengadilan Luksemburg) akan dibentuk secara paralel, yang penampilannya juga akan ditunggu oleh regulator sebelum memulai inspeksi dan sanksi massal.
Selama percakapan informal dengan perwakilan Komisi Eropa di konferensi, gagasan itu disuarakan bahwa akan mungkin untuk melakukan beberapa uji coba pertunjukan dari beberapa raksasa, sehingga dalam praktiknya menjadi jelas perilaku mana yang tidak dapat diterima dan apa yang dapat menyebabkannya.
Pada masalah penerapan denda karena pelanggaran GDPR, posisi berikut ini paling benar:
"Secara umum, perlu untuk menganggap denda dalam jumlah besar dalam hukum sebagai ukuran rentetan, dan bukan cara baru untuk mengisi kembali anggaran lokal negara-negara UE"
βJumlah denda spesifik akan ditentukan secara individual, dengan mempertimbangkan sejumlah besar faktor. Denda jutaan dolar dapat dikenakan pada organisasi jika secara sadar dan jahat melanggar hak-hak subyek, dengan sembunyi-sembunyi menyembunyikannya dan menerima untung besar dari pemrosesan PD semacam itu β
Adapun kekhawatiran perusahaan Rusia mengenai fakta bahwa mereka mungkin didenda karena tidak mematuhi GDPR, kekhawatiran ini kemungkinan besar tidak terwujud. Tidak mudah bagi regulator untuk menahan perusahaan yang tidak memiliki kantor perwakilan di Eropa untuk bertanggung jawab. Akan semakin sulit untuk menerapkan sanksi yang dikenakan pada wilayah negara yang bukan bagian dari UE. Oleh karena itu, peraturan utama yang diperkirakan terkait dengan GDPR akan melalui regulasi mandiri dalam industri: Bisnis Eropa secara bertahap akan menolak untuk bekerja dengan perusahaan yang tidak mematuhi persyaratan GDPR. Oleh karena itu, konsekuensi negatif utama dari ketidakpatuhan terhadap GDPR bukanlah denda, tetapi hilangnya daya saing di pasar Eropa.
5. Data pribadi tidak dapat ditransfer ke negara lain tanpa pengawasan dan izin yang sesuai.
Data dapat ditransfer jika ada perjanjian dengan perusahaan yang mentransfer data, dan jika ada jaminan tertentu dalam perjanjian tersebut. Selain itu, ada
Konvensi Dewan Eropa 108 (di mana Rusia adalah pihak), itu menunjukkan hal-hal berikut:
"Suatu pihak tidak akan melarang atau mengkondisikan dengan izin khusus arus lintas batas data pribadi yang pergi ke wilayah Pihak lain dengan tujuan semata-mata untuk melindungi privasi"
Tidak ada jawaban pasti tentang bagaimana ketentuan Konvensi 108 terkait dan pembatasan GDPR pada pengiriman data, mungkin ada kontradiksi di antara mereka. Namun dalam hal apa pun, data dapat ditransfer dengan adanya perjanjian, serta dalam beberapa kasus lain yang ditentukan dalam GDPR.
[1] Pearse O'Donohue, Penjabat Direktur untuk Future Networks, Direktorat DG CONNECT di Komisi Eropa.