Geekly articles weekly

Mengapa templat kebijakan privasi tidak cocok untuk Anda?

Sergey Voronkevich, MBA, CIPP / E

Menyalin dan membuat kebijakan privasi


Menyalin kebijakan privasi templat atau menggunakan generator (kompilasi otomatis) adalah praktik yang sangat umum. Memang, dalam beberapa kasus, ini dapat menghemat waktu ketika menyalin informasi berulang yang bersifat universal untuk banyak situs. Tetapi ini hanya berlaku jika Anda menyalinnya dari sumber yang dapat dipercaya atau menggunakan generator berkualitas tinggi.

Salin


Jika Anda masih menyalin kebijakan privasi templat, maka Anda perlu memeriksa ulang kepatuhan dokumen ini dengan Pasal 13 dan 14 dari GDPR (Peraturan Perlindungan Data Umum - Peraturan Umum Uni Eropa untuk Perlindungan Data Pribadi), serta mengubah paragraf yang bersifat individu untuk setiap perusahaan:

  1. Tujuan pemrosesan
  2. Basis pemrosesan yang sah
  3. Waktu pemrosesan

Sulit untuk menemukan kebijakan privasi yang cocok dengan semua proses di perusahaan Anda dan pada saat yang sama GDPR. Sebagian besar kebijakan privasi, bahkan perusahaan Eropa, tidak sesuai dengan GDPR.

Kebijakan privasi yang disalin dapat mencakup pemrosesan data pribadi yang tidak dan tidak bisa dilakukan oleh perusahaan. Ini menciptakan masalah besar dalam implementasi hak-hak subyek data. Misalnya, pengguna layanan Anda ingin menggunakan haknya untuk portabilitas data, tetapi Anda tidak dapat menyadarinya.

Perhatikan juga bahwa banyak templat kebijakan privasi ditulis di bawah undang-undang lain. Sering ada kasus ketika kata "GDPR" dimasukkan di dalamnya bukannya tindakan hukum normatif lainnya.

Akibatnya, Anda menghabiskan lebih banyak waktu untuk menemukan dan mengedit templat ketika akan jauh lebih cepat (atau mungkin lebih murah) untuk menulis kebijakan sendiri atau berkonsultasi dengan spesialis.

Generator


Misalkan Anda menemukan pembuat kebijakan privasi berkualitas. Agar dapat menghasilkan versi yang sudah jadi, Anda masih harus menjelaskan proses Anda secara rinci, merumuskan tujuan, dan menguraikan alasan hukum. Biasanya, mustahil untuk menambahkan semua informasi tentang pemrosesan data pribadi ke pembuat kebijakan privasi. Di beberapa, seperti generator Signatu profesional, ini bisa dilakukan, tetapi untuk menghasilkan sesuatu, Anda harus menjawab lusinan pertanyaan kompleks yang membutuhkan pengetahuan mendalam tentang GDPR.

Membuat kebijakan privasi


Jika Anda membandingkan penggunaan platform dengan pembelian obat-obatan, maka kebijakan privasi adalah sisipan dengan instruksi. Dengan instruksi ini, pengguna tahu bagaimana menggunakan obat ini dengan benar dan tidak membahayakan diri mereka sendiri.

Demikian pula, kebijakan privasi harus berfungsi. Dokumen ini ditulis terutama untuk pengguna. Ingat ini ketika Anda menghubungkan pengacara Anda. Kebijakan privasi harus ditulis dalam bahasa yang dapat dimengerti oleh pembaca.

Saat merancang kebijakan privasi, pertama-tama, lihat hukum yang berlaku untuk pemrosesan Anda. Di sana Anda akan menemukan persyaratan dan memahami informasi apa yang perlu Anda tunjukkan dalam dokumen Anda. Pada artikel ini kita berbicara tentang GDPR.
Persyaratan dasar untuk konten kebijakan privasi untuk GDPR terkandung dalam Seni. 13 dan 14 dari Aturan, serta dalam penjelasan tentang “ Pedoman transparansi ” dari Pasal 29 Partai Kerja, badan pengawas pan-Eropa. Di akhir dokumen adalah tabel di mana Anda dapat memeriksa kebijakan privasi Anda.

Saat menyusun kebijakan, kesalahannya adalah menyebarkan informasi tentang pemrosesan individu dalam bagian yang berbeda, ketika penyusun menggambarkan kategori data yang diproses secara terpisah dari sasaran, dan sasaran secara terpisah dari dasar hukum untuk pemrosesan (persetujuan, kepentingan yang sah, kontrak, persyaratan hukum, dll.). Ini dilarang, karena orang (subjek data) tidak jelas kategori data mana yang diproses untuk tujuan apa. Ini sama jika Anda pergi ke pejalan kaki di jalan dan meminta telepon. Dia memiliki pertanyaan yang masuk akal: "Mengapa?" Dia akan memutuskan apakah akan memberikan telepon tergantung pada bagaimana Anda ingin menggunakannya. Demikian pula, pengguna setuju untuk memproses data pribadi tergantung pada tujuan Anda.

Dengan kata lain, lebih baik untuk menyusun teks kebijakan privasi untuk perawatan individual.
Misalnya, pada awal 2019, GOOGLE menerima denda 50 juta dari supervisor Prancis CNIL. Salah satu pelanggaran adalah bahwa informasi penting tentang tujuan pemrosesan, periode penyimpanan, kategori data pribadi yang akan diproses tersebar di berbagai dokumen. Akibatnya, subjek data perlu mengambil 5-6 tindakan untuk mendapatkan informasi yang diperlukan.

Perlu dicatat bahwa kebijakan privasi itu sendiri hanya merupakan puncak gunung es. Sebelum menyusun kebijakan privasi, Anda harus melalui sejumlah langkah:

  1. menyusun daftar pemrosesan data pribadi (Pasal 30 Peraturan).
  2. perumusan tujuan pemrosesan. Misalnya, Anda bertanya kepada departemen yang bertanggung jawab mengapa mereka memproses data ini atau itu. Mungkin ternyata mereka mengambil beberapa data "untuk masa depan", tidak memiliki tujuan khusus sekarang;
  3. pemilihan dasar hukum untuk pemrosesan (Pasal 6 Peraturan). Tahap ini bukan hanya "meramal di atas camomile", tetapi juga analisis hukum yang rumit;
  4. penentuan waktu pemrosesan untuk setiap proses;
  5. inventaris pihak ketiga (agen outsourcing, mitra, pemasok, penyedia) kepada siapa Anda memberikan akses ke data pribadi.

Kesalahan yang dibuat pada tahap awal ini sangat sering terlihat jelas dalam kebijakan privasi.

Risiko menggunakan kebijakan privasi yang salah


  1. Hukuman dikenakan setelah pemeriksaan oleh penyelia. Dan ini adalah 20 juta euro atau 4% dari total omset global perusahaan.
  2. Keluhan dari subjek data yang belum memahami kebijakan privasi Anda kepada supervisor. Apa yang akan terjadi selanjutnya - lihat paragraf 1.
  3. Reputasi manja . Kehadiran kesalahan nyata dalam kebijakan privasi dapat menjatuhkan kutipan dari perusahaan publik. Investor takut bukan karena perusahaan itu telah melanggar aturan apa pun, tetapi berisiko mendapat sanksi besar. Tidak ada pemegang saham perusahaan Anda yang akan menghargai risiko ini, dan rekanannya tentu tidak akan senang dengan kebangkrutan Anda.
  4. Jika Anda memilih basis hukum yang salah, maka subjek data mungkin memiliki hak, yang implementasinya benar-benar akan memblokir proses di perusahaan Anda . Contoh: Anda telah memilih persetujuan sebagai dasar hukum untuk diproses dalam situasi di mana hanya kontrak yang dimungkinkan. Jika pengguna menarik persetujuannya, Anda tidak akan dapat memberikan layanan kepadanya. Pada akhirnya, Anda menemukan diri Anda dalam jebakan hukum: di satu sisi, Anda perlu menyadari hak subjek untuk dilupakan, dan di sisi lain, untuk memberinya bantuan. Jangan memberinya hak untuk dilupakan - Anda akan didenda, dan tidak memberinya layanan - Anda akan dikenakan sanksi berdasarkan kontrak yang Anda tandatangani dengan entitas ini.

Dengan demikian, kebijakan privasi:

  1. Ini dikembangkan secara individual untuk proses organisasi tertentu,
  2. Itu ditulis dalam bahasa yang dapat dimengerti dan memiliki struktur yang jelas,
  3. hanya satu dari banyak dan jauh dari acara pertama yang mematuhi Peraturan,
  4. diperlukan untuk kelangsungan hidup perusahaan di era GDPR dan
  5. tidak memaafkan kesalahan.

Source: https://habr.com/ru/post/id438450/

More articles:


All Articles