Geekly articles weekly

Dampak GDPR pada operator data pribadi Rusia

Diposting oleh: Anastasia Zavedenskaya, Asisten Analis, Pusat Analitik UTSB LLC
Peninjau: Ekaterina Rubleva dan Konstantin Samatov, Kepala Arah, Pusat Analisis UTSB LLC

Perusahaan yang memproses data pribadi dianggap sebagai operatornya. Kemungkinan besar, perusahaan ini tahu tentang Undang-Undang Federal 27 Juli 2006 No. 152-FZ "Tentang Data Pribadi" dan persyaratannya. Dan jika perusahaan memiliki pelanggan di Uni Eropa atau apakah ada keinginan untuk menarik mereka? Atau hanya memiliki situs web di Internet dengan formulir yang harus diisi oleh pengguna? Maka Anda perlu memahami apa GDPR dan ruang lingkupnya.

Kembali pada tahun 1995, negara-negara UE mengadopsi Instruksi No. 95/46 / EU tentang perlindungan hak-hak individu dalam pemrosesan data pribadi. Tetapi semuanya berubah, dan pada 25 Mei 2018, ia digantikan oleh Peraturan Perlindungan Data Umum, yang diadopsi oleh Parlemen Eropa pada bulan April 2016, hanya disingkat GDPR.

Penggunaan GDPR akan disetujui di tiga negara lagi Asosiasi Perdagangan Bebas Eropa (EFTA), dan lebih khusus lagi di Islandia, Liechtenstein, Norwegia, yang bukan anggota UE. Situs web EFTA (EFTA), dalam sebuah artikel tentang "Memasukkan GDPR ke dalam EEA (Area Ekonomi Eropa) dan terus menerapkan Petunjuk 95/46 / EC" menyatakan bahwa EPR diharapkan akan diadopsi oleh EEA Joint Committee (EEA) Komite Bersama) dan pemberlakuannya di negara-negara EEA EFTA pada pertengahan Juli 2018. Sampai saat itu, Arahan Perlindungan Data No. 95/46 / EC tetap berlaku dalam Perjanjian EEA, dengan demikian menjamin kemungkinan distribusi data tanpa hambatan antara EEA EFTA dan negara-negara anggota UE.

Kepada siapa GDPR berlaku?


Pertama, Anda perlu memahami siapa yang perlu mengikuti persyaratan GDPR, dan siapa yang tidak termasuk dalam persyaratannya.

gambar

Gambar 1 - Algoritma untuk menentukan ruang lingkup GDPR

Berdasarkan teks dokumen, persyaratannya berlaku tidak hanya untuk organisasi Eropa, tetapi juga untuk perusahaan yang bekerja dengan data pribadi warga negara Uni Eropa atau orang yang berlokasi di Uni Eropa (lihat Gambar 1). Pada saat yang sama, lokasi perusahaan itu sendiri tidak masalah.

Jadi, jika sebuah perusahaan terdaftar di UE atau, misalnya, di Islandia yang disebutkan di atas, Liechtenstein, Norwegia, maka, terlepas dari lokasi proses pemrosesan itu sendiri, ini jelas GDPR.

Untuk memahami apakah suatu organisasi menyediakan layanan atau barang kepada orang-orang yang berlokasi di UE, bahkan niatnya untuk menawarkan layanan / barang akan cukup. Menurut GDPR, niat menjadi jelas jika situs web perusahaan menggunakan bahasa nasional dan mata uang negara anggota Uni Eropa, dan perintah dalam bahasa tersebut dimungkinkan. Atau ada referensi untuk konsumen atau pengguna yang berada di Uni Eropa.

Meskipun bahkan jika situs tersebut sepenuhnya dalam bahasa Rusia, dan dalam ketersediaannya sendiri untuk orang-orang UE tidak menunjukkan niat, Anda tidak dapat sepenuhnya yakin bahwa tidak seorang pun, yang berada di Uni Eropa, akan menggunakan layanannya. Karena itu, Anda disarankan untuk mematuhi persyaratan GDPR dalam hal apa pun.

Konsep lain yang menarik dan relevan dalam konteks GDPR adalah pemantauan. Pemantauan dalam GDPR mengacu pada pelacakan individu di Internet dengan penggunaan lebih lanjut atau potensi penggunaan berbagai teknologi untuk memproses data pribadi untuk menganalisis atau memprediksi preferensi, karakteristik pribadi, pola perilaku. Yaitu, jika perusahaan mengambil beberapa tindakan untuk mempelajari perilaku orang-orang yang berlokasi di UE, untuk tujuan pemasaran, untuk statistik, dll. - ini pemantauan. Misalnya, Yandex.Metrica, Google Analytics, dll. Dipasang di situs web organisasi, sehingga GDPR harus diterapkan. Karena, sebagaimana telah disebutkan, tidak ada jaminan bahwa seseorang dari UE tidak akan pergi ke situs tempat layanan ini digunakan.

Penting untuk diketahui bahwa organisasi harus menunjuk seorang wakil di UE ketika setidaknya satu dari persyaratan berikut dipenuhi:

  1. pemrosesan sedang berlangsung;
  2. pemrosesan besar-besaran kategori khusus data pribadi;
  3. data pribadi yang diproses terkait dengan hukuman pidana atau kejahatan;
  4. ada risiko pelanggaran hak asasi manusia dan kebebasan yang tinggi.

Menurut GDPR, kategori khusus data pribadi didefinisikan serupa dengan undang-undang Rusia. Kecuali fakta bahwa data tentang putusan bersalah dan pelanggaran dikeluarkan secara terpisah, dengan kewajiban untuk mengontrol pemrosesan mereka oleh badan resmi atau sebagaimana diizinkan oleh hukum negara.

Perwakilan dapat berupa orang alami atau badan hukum yang secara khusus diberi wewenang berdasarkan dokumen yang relevan. Perwakilan harus berlokasi di negara UE tempat subjek data berada. Tugasnya atas nama perusahaan adalah berinteraksi dengan otoritas dan warga negara UE, untuk mematuhi instruksi perusahaan. Dia juga bertanggung jawab atas pelanggaran.

Misalnya, perusahaan Rusia yang tidak memiliki anak perusahaan di Finlandia terus-menerus menyediakan layanannya kepada warganya. Ini berarti bahwa perusahaan harus menunjuk seorang perwakilan yang secara resmi berlokasi di Finlandia. Jika ada anak perusahaan, maka bisa ditunjuk perwakilannya.

Ternyata Peraturan Perlindungan Data Umum memiliki cakupan yang cukup luas, dan jika semuanya cukup logis dengan perusahaan UE, maka negara-negara lain juga berada di bawah distribusi. Menjadi jelas bahwa organisasi Rusia, yang berorientasi pelanggan ke Uni Eropa, juga harus mematuhi persyaratan GDPR.

Misalkan sebuah perusahaan Rusia kecil memiliki toko online, dan seorang warga negara Latvia membeli barang-barang mereka. Ini berarti bahwa persyaratan GDPR berlaku untuk toko online ini, karena data pribadi warga negara UE akan diproses di dalamnya. Jika situs perusahaan ini awalnya memiliki versi bahasa Inggris dan menetapkan harga dalam mata uang sesuai dengan kondisi pengguna, maka situs tersebut juga berada dalam ruang lingkup GDPR. Dan dalam hal apa pun, jika perusahaan tidak bekerja secara pribadi dengan setiap klien, Anda tidak bisa tahu persis dari mana klien itu berasal. Ini berarti bahwa situs web perusahaan kecil yang sepenuhnya Rusia perlu dipersiapkan untuk memenuhi persyaratan GDPR.

Daftar perusahaan yang dicakup oleh GDPR dapat dilanjutkan untuk waktu yang lama, tetapi sejauh ini tidak ada praktik penegakan hukum, menurut penulis, perlu untuk menganalisis siapa tindakan perusahaan yang ditujukan dan dengan siapa ia berinteraksi.

Peran apa yang ditawarkan GDPR?


Seperti halnya proses apa pun, pemrosesan data memiliki dua sisi - sisi yang datanya diproses, mis. Subjek data pribadi, dan orang yang memproses data ini. Mari kita bahas lebih detail pada yang kedua. Konsep pengontrol (pengontrol data Inggris) dan prosesor (pengolah data bahasa Inggris) diperkenalkan ke dalam GDPR.

Kami akan berurusan dengan persyaratan ini berdasarkan GDPR dan penjelasan yang diberikan di situs Komisi Eropa.

Pengontrol, sesuai dengan ayat (7) Pasal 4 GDPR, adalah individu, individu atau badan hukum, berbagai badan dan lembaga yang menentukan untuk tujuan apa dan dengan cara apa data diproses.

Semua tanggung jawab untuk memenuhi persyaratan untuk pemrosesan dan perlindungan data pribadi ada pada controller. Pengontrol harus dapat memverifikasi kepatuhan.

Ternyata jika perusahaan memutuskan "mengapa?" dan "bagaimana?" data pribadi yang diproses, itu adalah pengontrol data. Karyawan perusahaan pemrosesan melakukan ini sebagai pengontrol data.

Jika sebuah perusahaan, bersama dengan satu atau lebih organisasi, bersama-sama menentukan "mengapa?" dan "bagaimana?" data pribadi yang diproses, dapat disebut pengontrol bersama (English joint controller). Pengawas bersama menyimpulkan perjanjian yang menyatakan kewajiban untuk mematuhi persyaratan GDPR. Aspek-aspek utama dari perjanjian ini harus ditransfer ke orang-orang yang datanya diproses.

Prosesor (prosesor), sesuai dengan ayat (8) Pasal 4 GDPR, adalah orang, perorangan atau badan hukum, berbagai badan dan lembaga yang terlibat dalam pemrosesan data pribadi atas nama pengontrol.

Ternyata prosesor memiliki hak untuk memproses data pribadi hanya atas nama pengontrol. Prosesor pemrosesan data, misalnya, mungkin merupakan perusahaan pihak ketiga yang terlibat dalam pemrosesan data.

Suatu organisasi dapat menjadi pengontrol data atau pengolah data, atau keduanya sekaligus.

Dalam Undang-Undang Federal 27 Juli 2006 No. 152-FZ "Pada Data Pribadi", ada konsep operator, yang mirip dengan pengontrol, dan prosesor mirip dengan orang yang memproses data pribadi atas nama operator.

GDPR dan No. 152-FZ "Pada Data Pribadi". Umum dan perbedaan


Setiap dokumen peraturan menggunakan aturan definisi sendiri, pertimbangkan dan bandingkan.

Data pribadi, sesuai dengan Pasal 3 Undang-Undang Federal "Tentang Data Pribadi", adalah segala informasi yang secara langsung atau tidak langsung memungkinkan Anda untuk mengidentifikasi seseorang. Ayat (1) Pasal 4 GDR memberikan definisi yang sama, kecuali bahwa alih-alih kata "define", "identifikasi" digunakan.

Istilahnya serupa, tetapi GDPR berbicara lebih rinci tentang informasi yang terkait dengan data pribadi. Dari mana kita mendapatkan bahwa informasi yang memungkinkan untuk menentukan identitas subjek data adalah data pribadi. Tidak masalah apakah subjek dapat diidentifikasi secara langsung oleh mereka atau apakah alat atau program khusus diperlukan.

GDPR berisi daftar data pribadi berikut:

  1. Nama depan;
  2. Nomor identifikasi;
  3. Data lokasi;
  4. Pengidentifikasi online;
  5. Kombinasi pengidentifikasi / indikator.

Hal tersulit dengan pengidentifikasi online. Ini termasuk alamat IP, cookie, dll. Alamat IP, misalnya, dapat menyebabkan orang tertentu mengakses Internet, atau hanya dapat menunjukkan titik akses ke jaringan, mis. dalam beberapa kasus, ini dapat digunakan untuk menentukan seseorang hanya dalam hubungannya dengan data lain. Apakah alamat IP terkait dengan data pribadi adalah titik diperdebatkan dan tergantung pada konteks situasi. Tetapi karena GDPR berfokus pada pengidentifikasi online, Anda disarankan untuk melindunginya juga.

Prinsip dan kondisi pemrosesan diatur dalam Pasal 5, 6 Undang-Undang Federal “Tentang Data Pribadi” dan dalam Pasal 5.6 dari GDPR.

Undang-Undang tentang Data Pribadi Federasi Rusia berisi 7 prinsip pemrosesan, dan GDPR memuat 6. Semua prinsip dapat dibandingkan, kecuali bahwa undang-undang Rusia menjelaskan larangan menggabungkan basis data yang dibuat untuk tujuan yang tidak kompatibel. Pelengkap penting untuk prinsip-prinsip dalam GDPR adalah prinsip transparansi / transparansi. Yaitu, setiap informasi dan pesan yang terkait dengan pemrosesan data pribadi mudah diakses oleh subjek dan jelas untuk pemahamannya, yaitu, bahasa yang jelas dan sederhana digunakan. Selain itu, GDPR mendefinisikan keamanan data pribadi sebagai prinsip [hal. (f), Psl. 5, GDPR,], tetapi bersama kami, ini lebih mungkin disajikan sebagai tugas.

Kondisi di mana pemrosesan tersebut sah menurut hukum juga dapat dibandingkan. Dengan melakukan hal itu, GDPR memungkinkan negara untuk memperkenalkan persyaratan pemrosesan mereka.

Pasal 9 Undang-Undang Federal “Tentang Data Pribadi” dan Pasal 7 GDPR menggambarkan persetujuan subjek untuk pemrosesan data pribadi. Kedua dokumen tersebut berbicara tentang konkret, kesadaran dan kesadaran. Adalah penting bahwa GDPR mensyaratkan bahwa konsensus dikompilasi dalam bahasa yang dapat dimengerti dan mudah diakses. Persetujuan untuk pemrosesan data harus diberikan secara terpisah dari ketentuan dan perjanjian lainnya. Itu harus mencakup semua tujuan pemrosesan. Proses penarikan persetujuan harus sesederhana seperti memperolehnya - ini adalah cara untuk mencentang kotak dan menghapusnya.

Ternyata perjanjian itu tidak boleh ambigu, tetapi akurat - "Saya setuju ...". Ini harus mencakup daftar tujuan pemrosesan spesifik. Juga tidak mungkin untuk menggunakan, misalnya, kotak centang dengan menetapkan persetujuan default. Ini bertentangan dengan kebebasan memberikan persetujuan. Dan operator selalu harus siap untuk mengkonfirmasi bahwa subjek telah memberikan persetujuannya.

Salah satu perbedaan utama dari GDPR adalah bahwa ia menetapkan aturan khusus untuk menyetujui penyediaan layanan informasi masyarakat kepada anak di bawah umur. Jika seorang anak yang berusia 16 tahun terlibat dalam pemrosesan data pribadi, maka itu sah. Untuk anak di bawah 16 tahun, persetujuan harus diberikan oleh orang yang menjalankan fungsi orang tua atau wali.

Kedua dokumen yang dipertimbangkan menggambarkan hak-hak subjek data secara luas. Baik di sana maupun di sana, individu dapat menerima data dan informasi mereka tentang cara mereka diproses, dapat memperbaiki, menghapus informasi tentang diri mereka sendiri. Hal utama adalah bahwa menurut Hukum Federal "Pada Data Pribadi", suatu entitas dapat menerima informasi tentang pemrosesan data pribadi ketika mengumpulkan data berdasarkan permintaan. Dan menurut GDPR, organisasi berkewajiban untuk menyediakan semua informasi tentang pemrosesan pada saat menerima data pribadi. GDPR menggambarkan penghapusan dan perubahan informasi sebagai hak subjek, dan hukum Rusia sebagai tugas operator. Subjek data pribadi selalu dapat menarik persetujuannya untuk memproses dan meminta penghapusan data yang berkaitan dengannya.

Perbedaan penting lainnya dari GDPR adalah bahwa ada hak terpisah untuk mentransfer datanya. Perusahaan yang beroperasi dalam kerangka GDPR harus memahami bahwa ketika suatu subjek meminta informasi yang sebelumnya diberikan kepada mereka, mereka diharuskan untuk memberikannya tanpa hambatan. GDPR memperjelas bahwa data ini harus terstruktur dan memiliki format yang dapat dibaca mesin. Juga, atas permintaan pengguna, organisasi harus mentransfer datanya ke organisasi lain mana pun. Semua ini baru untuk persyaratan hukum.

Ada bagian terpisah di GDPR tentang Petugas Perlindungan Data. Peran ini mirip dengan orang yang ditunjuk sebagai penanggung jawab untuk mengatur pemrosesan data pribadi dari hukum Rusia. Menurut GDPR, jika suatu organisasi terus-menerus memonitor entitas atau memproses kategori khusus dalam skala besar, diperlukan untuk menunjuk Petugas Perlindungan Data. Jika tidak, penunjukan dilakukan atas kebijakan organisasi atau berdasarkan hukum negara. Menurut Hukum Federal "Pada Data Pribadi", operator wajib menunjuk orang yang bertanggung jawab untuk mengatur pemrosesan data, dalam hal apa pun.

Ketika menyebutkan langkah-langkah keamanan, Hukum Federal "Pada Data Pribadi" mengacu pada akuntansi untuk pemrosesan data pribadi. Pada gilirannya, GDPR juga berkewajiban untuk menyimpan catatan tersebut dalam bentuk yang terdokumentasi, termasuk formulir elektronik. Kewajiban tidak dikenakan pada organisasi dengan kurang dari 250 karyawan, jika mereka tidak melakukan pemrosesan secara berkelanjutan, jangan memproses dalam kategori khusus skala besar atau data tentang hukuman, pelanggaran. Menurut penulis, disarankan untuk menyimpan catatan tersebut dalam kasus apa pun.

Jika perusahaan adalah pengendali, akuntansi harus mengandung:

  1. informasi tentang pengontrol, perwakilannya dan petugas perlindungan data (jika ada);
  2. memproses tujuan;
  3. informasi tentang subjek data dan kategori data pribadi yang diproses;
  4. informasi tentang penerima data pribadi lainnya;
  5. tanggal penghapusan data, jika memungkinkan;
  6. Deskripsi langkah-langkah keamanan, jika memungkinkan.

Jika perusahaan adalah prosesor, akuntansi harus mengandung:

  1. Informasi tentang prosesor, pengontrol, dan, jika mungkin, perwakilannya dan petugas perlindungan data;
  2. memproses informasi;
  3. informasi tentang penerima data pribadi lainnya;
  4. tanggal penghapusan data, jika memungkinkan;
  5. Deskripsi langkah-langkah keamanan, jika memungkinkan.

Organisasi harus siap memberikan informasi ini kepada penyelia setiap saat.

Apa data pribadi itu sendiri, lalu "bagaimana?", "Mengapa?" dan "mengapa?" mereka sedang diproses, langkah-langkah apa yang digunakan untuk melindungi informasi, apa yang dapat dilakukan subjek dan apa yang wajib dilakukan oleh operator - poin-poin utama ini serupa dalam Hukum Federal “Tentang Data Pribadi” dan GDPR. Tapi inilah yang harus dilakukan jika, bagaimanapun, telah terjadi kebocoran data yang tidak diinginkan, secara khusus dinyatakan hanya dalam GDPR. Jadi, jika sebuah perusahaan tetap mengizinkan kebocoran data pribadi, maka wajib memberi tahu atasan dan entitas yang menderita kerugian tentang hal itu dalam waktu singkat. Kalau tidak, perusahaan akan didenda. Di bawah GDPR, seorang pengawas ditunjuk di masing-masing negara oleh tindakan hukum pengaturan yang relevan. Para pemimpin badan pengawas ini membentuk Dewan Perlindungan Data Eropa.

Dan yang paling menarik: untuk memperkuat kepatuhan wajib dengan norma-norma, GDPR memperkenalkan denda untuk setiap pelanggaran. Jumlah denda mencapai hingga 20 juta euro atau 4% dari arus kas perusahaan (jumlah tertinggi dipilih). Namun dalam kenyataannya - semuanya tidak begitu menakutkan. Dalam kasus-kasus di mana pelanggarannya kecil, hanya teguran yang dapat dibuat. Sanksi tidak berwujud juga dapat mencakup larangan oleh pengawas pada pemrosesan data pribadi (atau transfer mereka ke rekanan) sampai pelanggaran diperbaiki.

Denda, pertama-tama, harus memiliki efek yang meyakinkan, yang berarti bahwa hukuman tersebut dapat sangat bervariasi dalam jumlah yang ditetapkan. Jumlah denda diatur tergantung pada karakteristik pelanggaran itu sendiri:

  1. sifat, keparahan dan lamanya pelanggaran;
  2. sengaja atau karena kelalaian, pelanggaran total;
  3. langkah-langkah untuk mengurangi kerusakan;
  4. langkah-langkah perlindungan yang digunakan;
  5. pelanggaran masa lalu;
  6. kategori data pribadi yang terkena dampak pelanggaran;
  7. bagaimana pelanggaran diketahui;
  8. faktor-faktor yang memberatkan dan meringankan lainnya.

Misalnya, pemberitahuan kebocoran yang sebelumnya dianggap sebagai faktor penting untuk mengurangi hukuman.

Untuk meringkas


Peraturan Perlindungan Data Umum adalah dokumen besar baru dengan pembukaan yang panjang dan 99 artikel, yang dapat ditafsirkan oleh setiap orang dengan caranya sendiri. Tetapi jika perusahaan tidak ingin dikenai denda jutaan, perlu mematuhi persyaratan GDPR, dan, tentu saja, tidak melupakan Hukum Federal “Tentang Data Pribadi” dan anggaran rumah tangganya.

Jika Anda adalah perusahaan Rusia, pertama-tama Anda perlu menentukan apakah ruang lingkup organisasi berada dalam ruang lingkup GDPR.

Jika disertakan, maka tindakan prioritas yang harus diambil untuk memenuhi persyaratan baru adalah sebagai berikut:

Menentukan apakah perwakilan di UE diperlukan. Tetapkan jika perlu.
Periksa ketersediaan informasi tentang proses pemrosesan (tujuan, periode penyimpanan, informasi tentang hak-hak subjek data, dll.), Serta keberadaan proses terstruktur dan terdokumentasi untuk menanggapi permintaan dari subjek data pribadi.
Periksa persetujuan untuk pemrosesan data pribadi untuk kepatuhan dengan persyaratan GDPR. Ini harus dinyatakan dalam bahasa yang dapat dipahami, khususnya, berisi semua tujuan pemrosesan, yang terletak secara terpisah dari kondisi / perjanjian lainnya. Persetujuan diberikan atas dasar tindakan aktif, dan bukan "secara default" atau tidak bertindak. Jika perlu, perbarui.

Periksa data pribadi yang diproses untuk kesesuaian dengan tujuan pemrosesan yang ditentukan.
Menyimpan catatan semua aktivitas pemrosesan data pribadi.

Melakukan penilaian dampak perlindungan data, mis. menentukan tingkat kepentingan setiap proses bisnis spesifik terkait dengan pemrosesan data pribadi dengan menilai kerusakan yang disebabkan selama kegagalan fungsi.

Periksa langkah-langkah keamanan untuk kepatuhan dengan GDPR. Jika perlu, perbaiki.

Memperkenalkan proses yang terorganisir dan terdokumentasi dengan baik untuk pemberitahuan insiden oleh penyelia, terutama dalam 72 jam deteksi. Sertakan informasi tentang sifat kebocoran, informasi untuk umpan balik, kemungkinan konsekuensi, langkah-langkah untuk menghilangkan kebocoran dalam pemberitahuan. Jika mungkin, beri tahu subjek data pribadi jika ada risiko terhadap hak dan kebebasannya dan data tersebut belum dienkripsi, dalam waktu yang wajar.

Bersiaplah untuk memberikan bukti legitimasi kegiatan pemrosesan PD.

Source: https://habr.com/ru/post/id423733/

More articles:


All Articles