Pada tanggal 25 Mei 2018,
Peraturan Eropa baru
tentang Perlindungan Data Pribadi (selanjutnya disebut GDPR - Peraturan Perlindungan Data Umum) mulai berlaku. Peraturan ini dikenal dengan efek ekstrateritorialnya: wajib untuk digunakan di semua negara Uni Eropa, dan dalam kondisi tertentu meluas ke perusahaan non-Eropa atau memaksa mereka untuk membawa kegiatan mereka sesuai dengan persyaratan GDPR agar tidak kehilangan mitra Eropa mereka. Akibatnya, bisnis Rusia juga dapat dipengaruhi oleh undang-undang baru, analisis umum yang tersedia di
sini . GDPR memperkuat rezim yang sebelumnya dibentuk untuk melindungi data pribadi, serta memperkenalkan kewajiban baru bagi organisasi yang memproses data tersebut.
Secara khusus, peraturan ini memodernisasi profesi yang sudah ada yang bertanggung jawab untuk perlindungan data (selanjutnya disebut DPO - Petugas Perlindungan Data). Posting ini juga disediakan dalam
direktif kerangka 1995 , yang digantikan oleh teks baru. Undang-undang sebelumnya mengatur kegiatan spesialis seperti itu, tetapi tidak bersikeras penunjukannya tanpa gagal.
Kapan sebaiknya DPO diresepkan?
Saat ini, di era GDPR, penunjukan DPO telah menjadi keharusan dalam kasus-kasus berikut (
Pasal 37 dari GDPR ):
- Dalam perusahaan yang secara sistematis dan teratur melakukan pemantauan individu dalam skala besar (paling sering pemantauan untuk tujuan periklanan kontekstual);
- Di perusahaan yang melakukan pengolahan besar-besaran kategori khusus data pribadi, seperti data kesehatan, dll.
- Di otoritas publik mana pun yang memproses data pribadi.
Dalam semua kasus lain, penunjukan DPO tetap opsional. Namun demikian, para regulator Eropa dengan suara bulat mendesak untuk tidak mengabaikan spesialis seperti itu dan mendelegasikan wewenang untuk melindungi data pribadi kepada seorang profesional di bidang ini.
Inovasi legislator Eropa semacam itu mudah dijelaskan oleh filosofi peraturan itu sendiri: rezim perlindungan data yang ditingkatkan; peningkatan tanggung jawab pemroses data; sanksi besar jika terjadi pelanggaran disposisi GDPR. Untuk menyelaraskan kegiatan mereka dengan persyaratan baru, perusahaan memerlukan dukungan spesialis yang sangat terspesialisasi.
Defisit di pasar layanan DPO
Benar, anggota parlemen tidak mempertimbangkan atau mengabaikan fakta bahwa pasar saat ini untuk layanan perlindungan data pribadi tidak siap untuk menahan gelombang masuknya pelanggan baru yang dipaksa untuk merekrut DPO. Terlepas dari kenyataan bahwa profesi ini telah ada selama lebih dari satu hari, jumlah spesialis meninggalkan banyak yang harus diinginkan bahkan di pasar Eropa. Jadi, menurut
penelitian oleh IAPP (Asosiasi Profesional Privasi Profesional), 28 ribu spesialis harus dipekerjakan pada 2018 hanya di Uni Eropa dan Amerika Serikat. Dan di seluruh dunia, angka ini tumbuh hingga 75 ribu.
Jelas, permintaan seperti itu tidak dapat dipenuhi secara eksklusif oleh profesional in-house (karyawan internal perusahaan). Dalam hal ini, banyak perusahaan beralih ke organisasi konsultasi eksternal yang menyediakan layanan DPO. Misalnya, untuk bisnis kecil dan menengah, ini bisa jauh lebih mudah daripada mempekerjakan karyawan baru. Dalam kasus apa pun, status eksternal atau internal hampir tidak berpengaruh pada aktivitas DPO itu sendiri.
DPO - pengacara atau spesialis IT?
Pertama-tama, Anda perlu memahami bahwa DPO harus memiliki pengetahuan hukum. Kesimpulan ini secara langsung mengikuti dari
Pasal 39 Regulasi Eropa, yang berisi daftar tugas dan misi DPO. Lebih jauh, ini, tentu saja, adalah seorang pengacara. Selain itu, haruslah seorang pengacara yang memiliki keterampilan manajerial yang kuat dan keahlian teknis yang tepat, yaitu seorang manajer.
Jarang, peran DPO dimainkan oleh para spesialis di bidang teknologi informasi, yang hanya memiliki gagasan dasar tentang undang-undang. Benar, situasi ini adalah ciri khas negara-negara Barat. Di pasar domestik untuk perlindungan data pribadi, spesialis IT-lah yang mendominasi, dan bukan pengacara sama sekali. GDPR, yang telah mulai berlaku, seharusnya memberi skala pada para ahli hukum di Rusia, lebih tepatnya, ahli hukum khusus.
Dengan satu atau lain cara, perusahaan besar, tentu saja, lebih suka mempekerjakan beberapa spesialis untuk memastikan keamanan TI dan lainnya untuk data pribadi. Usaha kecil dan menengah sedang mencoba untuk membuat pilihan demi satu karyawan yang kompeten di kedua bidang.
Mengapa ini terjadi? Jawabannya ada di permukaan: GDPR memiliki terlalu banyak tanggung jawab untuk perusahaan.
Di satu sisi, perlu untuk memastikan keamanan data pribadi, untuk merespons dengan benar jika terjadi kebocoran. Ini biasanya dilakukan oleh orang-orang IT. Di sisi lain, perlu untuk membuat perjanjian yang secara hukum sesuai dengan persyaratan peraturan, membuat register yang disediakan secara khusus, menghubungi otoritas pengawas dan memenuhi tugas "kertas" lainnya. Dan pengacara, terkadang bahkan manajer, biasanya terlibat dalam hal ini.
Akibatnya, spesialis yang baik di bidang data pribadi adalah campuran dari semua profesi ini.
Apa yang DPO lakukan?
Adapun perimeter kegiatan DPO, karyawan tersebut akan melakukan segala yang diperlukan bagi perusahaan untuk sepenuhnya mematuhi peraturan Eropa dan tindakan lain di bidang perlindungan data pribadi dan, dengan demikian, menghindari sanksi besar, serta risiko kontrak dengan mitra.
DPO akan melakukan audit umum atas kegiatan tersebut, mengidentifikasi semua kategori data pribadi yang diproses oleh perusahaan, mengusulkan langkah-langkah untuk memastikan keamanannya, serta strategi pengembangan umum ke arah penggunaan data yang sah. Dia juga akan bernegosiasi dengan penyelia jika perlu. Ini juga akan membantu untuk menanggapi permintaan orang yang datanya diproses dengan benar oleh perusahaan. Secara umum, hampir semua yang terkait dengan data pribadi akan berada di bawah batas DPO.
Jika karyawan seperti itu diabaikan di era GDPR, serta di tengah skandal besar dengan kebocoran data pribadi, terserah perusahaan sendiri. Tetapi sekali lagi, ini hanya diperlukan bagi mereka yang tidak memiliki tanggung jawab langsung untuk menunjuk DPO.
Fitur penyediaan layanan DPO
Ketika sebuah organisasi berpikir tentang merekrut DPO, penting untuk memahami bahwa ada dua jenis layanan utama di bidang ini: in-house dan konsultasi di atas. Dalam kasus pertama, karyawan tersebut dipekerjakan berdasarkan kontrak kerja, yang kedua, perusahaan konsultan eksternal menyediakan layanan DPO berdasarkan kontrak hukum sipil. Terlepas dari opsi yang dipilih, perusahaan itu sendiri akan tetap menjadi orang yang bertanggung jawab secara hukum. Dalam hal apa pun, DPO tidak bertanggung jawab atas kegagalan perusahaan untuk mematuhi disposisi GDPR.
Selain itu, peraturan Eropa secara ketat mengatur independensi lengkap seorang spesialis dalam perlindungan data pribadi. Dalam kasus in-house, DPO hanya dapat bertanggung jawab kepada orang yang memegang posisi tertinggi dalam hierarki. Dalam kasus konsultasi eksternal, DPO tidak boleh berada dalam situasi konflik kepentingan, yang sering terjadi jika, misalnya, seorang pengacara.
Dalam setiap kasus, konflik kepentingan dan independensi DPO selalu diperiksa oleh penyelia di bidang perlindungan data pribadi. Ini adalah proses yang wajib dan penugasan DPO harus dinyatakan kepada regulator. Dengan kata lain, setiap kali DPO ditunjuk, penyelia harus diberitahu tentang ini.
Anda dapat mempelajari lebih lanjut tentang berbagai seluk-beluk yang terkait dengan penunjukan DPO, baik yang bersifat wajib maupun opsional, serta fungsi dan misinya dari
Pedoman kelompok kerja WP29 . Organisasi ini ada di era direktif kerangka kerja 1995, dan tugas utamanya adalah menafsirkan undang-undang di bidang perlindungan data pribadi. Dengan berlakunya GDPR, kelompok kerja digantikan
oleh Dewan Perlindungan Data Eropa, tetapi pekerjaan WP29 tidak kehilangan signifikansinya.
Beberapa wawasan tentang profesi DPO
Saat ini, benar-benar tidak dapat dipahami apa latar belakang yang harus dimiliki oleh pencari kerja untuk DPO di Rusia. Lembaga pendidikan hampir tidak menyediakan program khusus di bidang hukum digital atau perlindungan data pribadi. Tentu saja, permintaan di pasar domestik jauh lebih sedikit daripada di pasar Eropa, tetapi tidak cukup untuk membenarkan kesenjangan tersebut. Sekolah hukum besar baru saja mulai memperkenalkan kursus khusus di bidang TI.
Banyak organisasi internasional telah lama menyediakan berbagai metode sertifikasi. Misalnya,
IAPP tersebut menawarkan kursus persiapan tentang GDPR dan mensertifikasi mereka yang berhasil lulus ujian. Kursus ini dapat diakses oleh semua pendatang dan akreditasi IAPP sangat dihargai di seluruh dunia.
Adapun profitabilitas profesi, jika Anda percaya, misalnya, asosiasi Prancis yang bertanggung jawab untuk perlindungan data pribadi, DPO rata-rata di Eropa menghasilkan 2,5 ribu hingga 4 ribu euro. Plug ini kira-kira sesuai dengan pendapatan rata-rata seorang programmer Eropa. Sebagai kesimpulan, kita dapat mengharapkan persamaan perkiraan antara pendapatan dari dua profesi ini di pasar domestik.
Kesimpulannya, harus ditekankan bahwa Petugas Perlindungan Data adalah profesi muda yang telah menerima dorongan signifikan untuk pengembangan berkat berlakunya peraturan GDPR Eropa yang baru. Saat ini, perlindungan data pribadi pada GDPR adalah tren ilmiah yang harus diperhatikan oleh perusahaan di seluruh dunia, dan bukan hanya di Eropa. Segera, kerja sama penuh dengan mitra Eropa akan menjadi mungkin hanya jika GDPR dihormati, yang sulit dibayangkan tanpa mengintegrasikan profesi DPO di sektor jasa konsultasi, setidaknya.
