Hari ini kita akan berbicara tentang GDPR (hebat dan mengerikan) (Peraturan Perlindungan Data Umum) atau Peraturan Umum untuk Perlindungan Data Pribadi. Terlepas dari kenyataan bahwa undang-undang tersebut diadopsi pada Mei 2018, banyak perusahaan masih belum memenuhi semua persyaratannya.
Kami bertemu dengan DPO (Petugas Perlindungan Data) kami sehingga ia dapat menjelaskan secara sederhana apa GDPR itu dan apa yang harus dilakukan perusahaan untuk menghindari denda besar.
Artikel ini berisi catatan kaki mengutip definisi dasar hukum.
- Apa itu GDPR?
- GDPR adalah hukum internasional ยน yang berlaku untuk seluruh dunia, meskipun ia diadopsi di UE. Ini adalah undang-undang yang melindungi hak-hak pengguna di Internet, mengatur, khususnya, transfer, pemrosesan, penyimpanan data pribadi setiap orang yang berada di UE atau merupakan warga negara UE.
ยน "Peraturan ini berlaku untuk pemrosesan data pribadi dalam konteks kegiatan pembentukan pengontrol atau prosesor di Perhimpunan, terlepas dari apakah pemrosesan berlangsung di Perhimpunan atau tidak."- Bahkan jika dia menggunakan layanan / situs perusahaan di luar UE?
- Ya, status internasional memungkinkan Anda untuk memperluas pengaruh hukum tidak hanya di UE. Jika seseorang menggunakan sumber daya yang tersedia untuknya dari wilayah UE atau merupakan warga negara UE, tetapi berada di wilayah negara lain, ia masih tunduk pada undang-undang ini.
- Apa alasan penerapannya?- Adopsi GDPR didahului oleh banyak kasus penyalahgunaan data, termasuk yang pribadi. Pemasar mulai "meneror" orang dengan berbagai jenis penelitian. Mereka mulai mempelajari perilaku dan kebiasaan seseorang dan menggunakan pengetahuan ini, sehingga membuatnya lebih tidak berdaya. Ketika seseorang melakukan beberapa tindakan di situs, sistem rekomendasi, misalnya, memprovokasi dia untuk perilaku tertentu.
Facebook, di beberapa titik, benar-benar mulai secara legal menjual data pengguna untuk penelitian. Plus, semua data biometrik berada di bawah perlindungan, dan ini sangat penting sejak itu paspor elektronik diperkenalkan di UE.
- Apa yang harus dilakukan oleh perusahaan dari negara-negara non-UE untuk mematuhi persyaratan hukum ini?
- Perlu untuk mematuhi aturan bahwa hukum ini mendefinisikan. Pertama-tama, Anda perlu memberi tahu pengguna tentang pengumpulan informasi. Ini adalah pengunjung sumber daya pertama yang ditemui. Perusahaan harus benar-benar dengan jelas dan mudah (termasuk melalui solusi desain) menyampaikan kepada pengguna apa yang mereka inginkan darinya, data apa yang dikumpulkan, dan mengapa mereka membutuhkannya. Jika, misalnya, parameter berat dikumpulkan, perlu untuk menunjukkan mengapa mereka akan digunakan (jika tujuan sebenarnya adalah menawarkan obat untuk menurunkan berat badan, harus dituliskan).
- Haruskah data disimpan dalam bentuk anonim?- Undang-undang mewajibkan untuk menganonimkan data dan menyimpannya di tempat yang berbeda. Tetapi kenyataannya adalah bahwa ada dua peran utama di sini - prosesor ยฒ dan pengontrol ยณ.
Pengontrol adalah orang yang mengumpulkan dan menggunakan data ini, ia berkewajiban untuk menyimpannya secara anonim dan di tempat yang berbeda, sehingga misalnya, penyerang, setelah mendapatkan akses ke beberapa database, tidak akan dapat membandingkan data ini dengan orang sungguhan. Misalnya, nama, alamat, nomor kartu bank, tinggi, berat, status perkawinan, dll. Setiap item harus disimpan dalam database yang berbeda. Dalam satu nama, dalam status perkawinan kedua, di alamat ketiga, dll.
Tetapi setiap perusahaan memiliki algoritma yang memungkinkan Anda untuk menghubungkan semua ini dan menggunakannya untuk keperluan Anda sendiri. Jadi, menyediakan penyimpanan data adalah satu hal. Tetapi pemrosesan โด ini sangat berbeda. Harus ada protokol akses data. Jika tidak ada, jika terjadi kebocoran, ini akan diklarifikasi oleh komisi, dan jika Anda tidak memiliki protokol, komisi akan memutuskan bahwa Anda menyimpannya dengan baik dan tidak memprosesnya dengan sangat baik, dan mereka akan mengambil tindakan.
ยฒ "'prosesor' berarti orang alami atau badan hukum, otoritas publik, agensi atau badan lain yang memproses data pribadi atas nama pengontrol";
ยณ โ'pengontrol' berarti orang alami atau badan hukum, otoritas publik, agensi atau badan lain yang, sendiri atau bersama-sama dengan orang lain, menentukan tujuan dan cara pemrosesan data pribadi; di mana tujuan dan sarana pemrosesan tersebut ditentukan oleh hukum Serikat Pekerja atau Negara Anggota, โ
โด โ'pemrosesan' berarti operasi atau set operasi apa pun yang dilakukan pada data pribadi atau pada set data pribadi, baik dengan cara otomatis, seperti pengumpulan, rekaman, organisasi, penataan, penyimpanan, adaptasi atau perubahan, pengambilan, pengambilan konsultasi, penggunaan, pengungkapan melalui transmisi, diseminasi atau menyediakan, penyelarasan atau kombinasi, pembatasan, penghapusan atau penghancuran โ.
- Bagaimana proses penerjemahan situs / bisnis yang ada diselenggarakan untuk memenuhi persyaratan hukum ini?
- Pertama-tama, perlu untuk menganalisis keadaan pengumpulan dan pemrosesan data saat ini. Oleh karena itu, jika saat ini hanya satu server yang digunakan, maka perlu untuk membaginya menjadi beberapa, sehingga tidak mungkin untuk meretas semua database dari satu sumber. Perlindungan harus di input informasi, dan server terus dipantau oleh perangkat lunak antivirus. Dianjurkan untuk menyediakan saluran kedua dengan Internet, sehingga jika terjadi kebocoran melalui salah satu saluran, matikan dan lakukan pekerjaan untuk menghilangkan semua masalah di saluran lain. Akses hanya boleh melalui koneksi VPN yang aman. Sekarang semua browser utama menulis peringatan ketika mencoba mengakses halaman tanpa https.
Jika https digunakan, semuanya baik-baik saja. Ngomong-ngomong, Google, yang sejak lama mengabaikan beberapa persyaratan undang-undang ini, memperhitungkan keberadaan sertifikat ssl sebagai salah satu faktor peringkat dalam pencarian.
- Apa yang mengancam ketidakpatuhan terhadap persyaratan hukum ini?
- Jika kita berbicara tentang penduduk UE, maka tentu saja itu akan menjadi penalti, perintah yang akan dikeluarkan oleh otoritas pengawas setelah analisis dan penyelidikan. Pada prinsipnya, di tingkat makro, ini semua diatur oleh denda tinggi sebesar EUR 20 juta, atau 4% dari omset tahunan . Pengadilan Eropa, yang akan mempertimbangkan kasus ini, lebih suka 4% dari omset dari 20 juta euro.
Tapi ini maksimal. Setahun telah berlalu sejak berlakunya hukum, dan sudah ada kasus-kasus praktis. Dalam kasus di mana kebocoran minimal dan tidak ada yang terluka, para penyerang ditangkap dan perusahaan hanya mengeluarkan peringatan. Jika, karena kelalaian, sesuatu tidak dilakukan, mereka memberikan denda, dari pasangan hingga ratusan ribu euro. Hingga saat ini, Google telah mengeluarkan denda terbesar โฌ 50 juta untuk kelalaian terus-menerus terhadap persyaratan hukum tertentu. Terutama dihukum berat karena hilangnya data biometrik, misalnya, lembaga medis, ini segera diperingatkan.
- Siapa yang wajib mematuhi hukum ini, dan kepada siapa tindakan itu tidak berlaku?
- Orang yang tidak menyimpan data pribadi โต - data yang memungkinkan Anda mengidentifikasi seseorang, atau menentukan lokasi, misalnya ip juga termasuk di sini, tetapi saat ini komisi tidak menganggap ip sebagai data pribadi. Nama dan nomor telepon adalah data pribadi jika dikumpulkan dengan tujuan tidak hanya menghubungi orang tersebut, tetapi juga menggunakannya dengan cara lain. Jika hanya untuk komunikasi, data tidak memiliki kekuatan dan batasan pada periode retensi. tujuan ini tidak melibatkan penjualan barang atau memprediksi perilaku pengguna.
Perlu juga diingat bahwa surat, login atau kata sandi, secara terpisah, bukan data pribadi. Hanya khusus parameter yang memungkinkan Anda untuk mempersonalisasi seseorang atau menentukan di mana dia berada, misalnya alamat ip + mac.
Di ruang pasca-Soviet, kita terbiasa dengan fakta bahwa "jika tidak diizinkan, itu dilarang", di negara-negara liberal, sebaliknya, "apa yang tidak dilarang diperbolehkan diperbolehkan". Ini adalah dua paradigma yang sangat berbeda, dan sikap terhadap hukum. Dan, dengan demikian, anggapan tidak bersalah berlaku di sini - sampai terbukti, Anda tidak bersalah.
โต โ'data pribadi' berarti segala informasi yang berkaitan dengan orang alami yang diidentifikasi atau dapat diidentifikasi ('subjek data'); orang alami yang dapat diidentifikasi adalah orang yang dapat diidentifikasi, secara langsung atau tidak langsung, khususnya dengan merujuk pada pengidentifikasi seperti nama, nomor identifikasi, data lokasi, pengenal online atau satu atau lebih faktor spesifik untuk fisik, fisiologis, identitas genetik, mental, ekonomi, budaya atau sosial dari orang alami itu โ;
- Sekarang, komisi telah mengajukan undang-undang lain tentang perlindungan data pribadi, undang-undang tentang cookie, beri tahu kami lebih banyak tentang ini.
- Ini hanya pertanyaan alamat ip. Melalui ip, Anda dapat menentukan di mana orang tersebut berada, seluruh konfigurasi peralatan. Tetapi pada saat yang sama perlu untuk entah bagaimana mematuhi hukum ini. Sekarang ip telah bergerak di luar cakupan hukum ini . Tapi mereka tidak pergi, pertanyaannya tetap terbuka, karena masih membutuhkan regulasi. Sudah ada dua edisi, segera akan ada yang ketiga. Penggunaannya bagus untuk dipotong. Inggris Raya telah memulai gerakan ke arah ini .
Jika hukum diadopsi dalam versi saat ini, Google dan perusahaan sejenis tidak akan dapat bekerja di UE. Sekarang semua orang melobi untuk mitigasi undang-undang ini. Tetapi patut membayar upeti ke UE, mereka memberikan perhatian besar kepada orang-orang, warga negara dan penduduk mereka, dan mereka mempromosikan undang-undang ini demi orang. Sementara hukum belum diadopsi, dan bahkan belum dalam tahap membaca terakhir. Tetapi dipandu oleh praktik, bahkan jika diterima pada 2019, 1-2 tahun biasanya diberikan untuk menyelesaikan semua masalah.
Sekarang seluruh pertanyaan hanya seberapa dalam perusahaan akan diizinkan untuk menembus kehidupan pribadi orang.
- Apa komposisi tim yang diperlukan untuk menerapkan langkah-langkah untuk memenuhi persyaratan situs hukum ini?
- Biasanya ini menyiratkan pekerjaan parsial, dalam kasus yang jarang perlu melibatkan seluruh tim secara penuh. Analis akan melakukan audit keadaan saat ini di perusahaan, serta menghasilkan spesifikasi untuk dieksekusi. Seorang administrator sistem atau DevOps yang akan bertanggung jawab untuk perangkat keras, saluran komunikasi dan banyak lagi, dan seorang programmer , akan menyelesaikan situs.
- Apa hasil kerja tim dan perusahaan klien?
- Pertama-tama, pekerjaan dengan data pribadi (pemrosesan) akan diubah: pengumpulan, pemrosesan, penyimpanan akan disesuaikan dengan hukum. Dengan tingkat probabilitas tinggi, posisi baru akan muncul di perusahaan klien - Data Protection Officer (DPO). Pekerjaan akan dilakukan di situs web perusahaan dan dokumentasi tersedia untuk pengguna (Pernyataan Keselamatan, Kebijakan Privasi, Kebijakan Pemrosesan Cookie, dll.). Protokol internal untuk akses dan pemrosesan data pribadi pengguna akan muncul.
Anda dapat mempelajari lebih lanjut tentang GDPR dengan mengklik tautan: https://www.gdpreu.org/ (sumber daya hanya tersedia dalam bahasa Inggris).