Apa itu GDPR ?
Peraturan Perlindungan Data Umum ( GDPR ) adalah peraturan di Uni Eropa di bidang perlindungan data . Ini menggantikan Arahan Perlindungan Data 95/46 / EC, yang diperkenalkan pada 1995 . GDPR diadopsi pada 14 April 2018, dan mulai berlaku pada 25 Mei 2018 . GDPR mengatur penanganan data pribadi oleh pengontrol dan prosesor .
Di bawah GDPR, semua pengontrol data harus menunjuk Petugas Perlindungan Data ( DPO ), dan harus menerapkan proses manajemen risiko dan membuat rencana respons insiden . Ini dimaksudkan untuk membantu organisasi menangani pelanggaran data, melindungi data pribadi warga negara Uni Eropa, dan mematuhi prinsip-prinsip minimalisasi data dan akurasi data . GDPR juga mensyaratkan pelaporan insiden data dalam waktu 72 jam, terlepas dari penyebabnya .
Di bawah GDPR, data pribadi harus :
- Sah dan perlu untuk keperluan yang sedang diproses .
- Dikumpulkan secara akurat dan hati-hati .
- Diproses secara transparan, konsisten, dan adil .
- Dihapus atau dihancurkan jika tidak lagi diperlukan dan harus diawasi secara berkala .
Organisasi yang memproses data pribadi harus mengungkapkan informasi kontak mereka kepada individu yang datanya mereka proses . Mereka juga harus memberi tahu individu tentang hak mereka untuk mengakses data pribadi mereka, meminta perbaikan data yang tidak akurat, keberatan dengan pemrosesan data mereka, dan menggunakan hak untuk dilupakan .
Apa Prinsip-prinsip GDPR ?
GDPR dirancang untuk memberi individu lebih banyak kontrol atas data pribadi mereka, dan untuk menyederhanakan lingkungan peraturan untuk bisnis . Peraturan tersebut menetapkan tujuh prinsip :
Keabsahan, keadilan, dan transparansi : Data pribadi harus diproses secara sah, adil, dan transparan . Batasan tujuan : Data pribadi harus dikumpulkan untuk tujuan yang ditentukan, eksplisit dan sah dan tidak diproses lebih lanjut dengan cara yang tidak sesuai dengan tujuan tersebut . Minimalisasi data : Data pribadi harus memadai, relevan, dan terbatas pada apa yang diperlukan sehubungan dengan tujuan pemrosesan . Keakuratan : Data pribadi harus akurat dan, jika perlu, selalu diperbarui . Batasan penyimpanan : Data pribadi harus disimpan dalam bentuk yang memungkinkan identifikasi subjek data tidak lebih dari yang diperlukan untuk keperluan di mana data pribadi diproses . Integritas dan kerahasiaan : Data pribadi harus diproses dengan cara yang memastikan keamanan data pribadi yang tepat, termasuk perlindungan terhadap pemrosesan yang tidak sah atau melanggar hukum dan terhadap kehilangan, kerusakan, atau kerusakan yang tidak disengaja, menggunakan langkah-langkah teknis atau organisasi yang sesuai . Akuntabilitas : Pengontrol harus bertanggung jawab untuk mematuhi prinsip-prinsip .
Individu memiliki hak untuk mengetahui data pribadi apa yang dikumpulkan tentang mereka, mengapa dikumpulkan, bagaimana data itu akan digunakan, berapa lama itu akan disimpan dan apakah akan dibagikan dengan pihak ketiga mana pun . Mereka juga memiliki hak untuk memiliki data pribadi yang tidak akurat atau tidak lengkap dikoreksi atau dihapus ( ‘ hak untuk dihapus ’ ), serta hak untuk mengakses dan port data mereka ketika diminta ( ‘ hak portabilitas data ’ ) di antara hak-hak lainnya .
Organisasi harus memastikan bahwa data yang mereka kumpulkan diperlukan dan relevan, dan dapat menunjukkan kepatuhan terhadap prinsip-prinsip GDPR . Mereka juga harus memiliki dasar hukum untuk mengumpulkan dan memproses data ini, dan harus memberi tahu individu tentang hak-hak mereka dan mengamankan semua data pribadi secara memadai . Bisnis juga diharuskan melaporkan pelanggaran data yang mungkin terjadi sesegera mungkin untuk mematuhi GDPR .
Untuk informasi lebih lanjut tentang GDPR dan prinsip-prinsipnya, kunjungi situs web Komisi Eropa .
Apa Hak dan Kewajiban di bawah GDPR ?
Peraturan Perlindungan Data Umum ( GDPR ) adalah undang-undang perlindungan data UE baru yang mulai berlaku pada 25 Mei 2018 . GDPR menggantikan Arahan Perlindungan Data UE 1995 . Ini memperkuat aturan perlindungan data UE dengan memberi individu lebih banyak kontrol atas data pribadi mereka, dan menetapkan hak baru bagi individu .
GDPR berlaku untuk perusahaan mana pun yang memproses data pribadi warga negara Uni Eropa, di mana pun perusahaan itu berada . Perusahaan yang memproses data pribadi warga negara Uni Eropa harus mematuhi GDPR kecuali mereka dapat menunjukkan bahwa mereka memenuhi persyaratan tertentu .
GDPR mengharuskan perusahaan untuk mendapatkan persetujuan eksplisit dari individu sebelum mengumpulkan, menggunakan, atau berbagi data pribadi mereka . Perusahaan juga harus memberi individu informasi yang jelas dan ringkas tentang hak-hak mereka di bawah GDPR, dan memastikan bahwa individu dapat dengan mudah menggunakan hak-hak mereka .
GDPR mengenakan denda yang signifikan bagi perusahaan yang melanggar ketentuannya, termasuk hingga 4% dari pendapatan tahunan global perusahaan atau € 20 juta ( mana yang lebih besar ), mana yang lebih besar .
Di bawah GDPR, perusahaan harus :
- Dapatkan persetujuan eksplisit dari individu sebelum mengumpulkan, menggunakan, atau berbagi data pribadi mereka;
- Memberi individu informasi yang jelas dan ringkas tentang hak-hak mereka di bawah GDPR;
- Pastikan bahwa individu dapat dengan mudah menggunakan hak mereka; dan
- Memenuhi persyaratan lain yang ditetapkan dalam GDPR .
Individu memiliki hak untuk :
- Akses data pribadi mereka yang dimiliki perusahaan;
- Perbaiki ketidakakuratan dalam data pribadi mereka yang dipegang oleh perusahaan;
- Hapus data pribadi mereka, atau “ dilupakan ”;
- Batasi bagaimana data mereka digunakan, dan keberatan dengan itu digunakan;
- Meminta agar data pribadi mereka ditransfer ke pengontrol atau prosesor lain; dan
- Tarik persetujuan mereka untuk menggunakan data pribadi mereka .
Individu juga memiliki hak untuk mengajukan keluhan dengan Otoritas Pengawas ( SA ) jika mereka percaya bahwa data mereka telah diproses melanggar GDPR .
GDPR berlaku untuk perusahaan mana pun yang memproses data pribadi warga negara Uni Eropa, di mana pun perusahaan itu berada . Semua perusahaan harus mematuhi GDPR kecuali mereka dapat menunjukkan bahwa mereka memenuhi persyaratan tertentu . Gagal mematuhi GDPR membawa hukuman yang signifikan .
Apa Persyaratan Keamanan dan Perlindungan Data di bawah GDPR ?
Keamanan dan perlindungan data adalah masalah utama bagi organisasi mana pun yang menyimpan atau memproses data pribadi . Di bawah Peraturan Perlindungan Data Umum ( GDPR ), organisasi harus mengambil langkah-langkah khusus untuk melindungi data pribadi dari akses, penggunaan, pengungkapan, atau perusakan yang tidak sah .
Organisasi yang gagal melindungi data pribadi secara memadai dapat dikenakan tindakan penegakan hukum oleh otoritas pengawas, termasuk denda hingga 4% pendapatan tahunan global atau € 20 juta ( mana yang lebih besar ) . Selain itu, orang-orang yang data pribadinya telah salah ditangani oleh suatu organisasi dapat mengajukan pengaduan kepada otoritas pengawas atau mencari ganti rugi di pengadilan .
Untuk mematuhi GDPR, organisasi harus menerapkan langkah-langkah teknis dan organisasi untuk memastikan tingkat keamanan yang sesuai dengan risiko yang ditimbulkan oleh kegiatan pemrosesan mereka . Langkah-langkah ini harus mencakup, tetapi tidak terbatas pada :
- Mengenkripsi data pribadi
- Membatasi akses ke data pribadi hanya untuk personel yang berwenang
- Mencadangkan data secara teratur
- Menerapkan kontrol keamanan fisik dan informasi
- Sistem pemantauan untuk kemungkinan pelanggaran
- Staf pelatihan tentang keamanan data dan prosedur perlindungan
Organisasi juga harus mempertimbangkan untuk menerapkan proses manajemen risiko yang dirancang khusus untuk mengatasi risiko yang ditimbulkan oleh kegiatan pemrosesan mereka . Proses-proses ini harus mempertimbangkan sensitivitas data pribadi yang sedang diproses, jenis pemrosesan yang dilakukan, dan potensi bahaya jika terjadi pelanggaran .
Organisasi harus memiliki prosedur untuk menangani insiden akses, penggunaan, pengungkapan, atau penghancuran data pribadi yang tidak sah . Prosedur-prosedur ini harus mengidentifikasi peran dan tanggung jawab staf dalam menanggapi insiden dan harus memberikan panduan tentang bagaimana risiko potensial dapat dikurangi .
Akhirnya, organisasi harus memastikan bahwa prosesor data pihak ketiga yang mereka gunakan sesuai dengan GDPR . Mereka juga harus memiliki prosedur untuk memantau dan menegakkan kontrak mereka dengan prosesor tersebut .
Apa Persyaratan Privasi & Persetujuan untuk Mengumpulkan, Mentransfer, dan Memproses Data Pribadi di bawah GDPR ?
Peraturan Perlindungan Data Umum ( GDPR ) adalah seperangkat peraturan yang harus diterapkan oleh negara-negara anggota Uni Eropa untuk melindungi data pribadi individu di dalam UE . Peraturan ini juga dirancang untuk memberi individu kontrol yang lebih besar atas data pribadi mereka .
Untuk mematuhi GDPR, organisasi yang mengumpulkan, memproses, atau mentransfer data pribadi harus memastikan bahwa mereka memiliki persetujuan individu untuk melakukannya . Mereka juga harus memberi individu informasi yang jelas dan ringkas tentang hak-hak mereka di bawah GDPR, serta data pribadi apa yang dikumpulkan dan mengapa .
Organisasi juga harus mengambil langkah-langkah untuk melindungi data pribadi yang mereka kumpulkan dari akses, perusakan, perubahan, atau pengungkapan yang tidak disengaja atau tidak sah . Mereka juga harus memastikan bahwa penyedia layanan pihak ketiga yang mereka gunakan untuk penyimpanan atau pemrosesan data pribadi sesuai dengan GDPR .
Kegagalan untuk mematuhi GDPR dapat mengakibatkan denda hingga 4% dari pendapatan tahunan global organisasi atau € 20 juta ( mana yang lebih besar ) .
Oleh karena itu, organisasi harus mengambil langkah-langkah yang diperlukan untuk memastikan kepatuhan dengan GDPR ketika mengumpulkan, mentransfer, dan memproses data pribadi . Ini termasuk menerapkan kebijakan dan prosedur yang jelas untuk mendapatkan persetujuan, memberikan dokumentasi data pribadi yang dikumpulkan dan disimpan, dan mengambil langkah-langkah yang tepat untuk melindungi data tersebut .
Apa Mekanisme Penegakan GDPR ?
Peraturan Perlindungan Data Umum ( GDPR ) dirancang untuk memberikan kontrol individu atas data pribadi mereka dan untuk menciptakan lapangan permainan yang setara untuk bisnis . Peraturan ini ditegakkan oleh Komisi Eropa, otoritas perlindungan data nasional ( DPA ), dan otoritas pengawas ( SA ) .
Komisi bertanggung jawab untuk memastikan bahwa GDPR diterapkan dan ditegakkan dengan benar di semua negara anggota UE . DPA bertanggung jawab untuk menyelidiki pengaduan dan mengambil tindakan penegakan hukum terhadap perusahaan yang melanggar GDPR . SA bertanggung jawab untuk mengawasi perusahaan yang memproses sejumlah besar data pribadi .
GDPR mengenakan denda yang signifikan bagi perusahaan yang melanggar ketentuannya, termasuk hingga 4% dari pendapatan tahunan global perusahaan atau € 20 juta ( mana yang lebih besar ), mana yang lebih besar . Selain itu, GDPR memberi individu hak untuk mengajukan keluhan dengan DPA jika mereka yakin hak mereka telah dilanggar .
GDPR juga menyediakan berbagai langkah penegakan hukum lainnya, seperti mengharuskan perusahaan untuk berhenti memproses data pribadi atau bahkan menghapus data sama sekali . Selain itu, ini memberikan DPA hak untuk memberlakukan larangan sementara atau definitif pada kegiatan pemrosesan data .
GDPR juga memperkenalkan konsep baru perlindungan data “ dengan desain ”, yang mengharuskan perusahaan untuk membangun langkah-langkah perlindungan data ke dalam produk dan layanan mereka sejak awal . Dengan cara ini, perusahaan didorong untuk mempertimbangkan implikasi privasi dalam proses desain mereka . Ini memiliki dampak signifikan pada bagaimana perusahaan mengumpulkan dan menggunakan data pribadi, serta bagaimana mereka melindungi data yang mereka kumpulkan .
Selain rezim hukuman yang ketat, GDPR baru juga memperkenalkan prosedur penyelesaian sengketa alternatif ( ADR ) . Ini memungkinkan individu untuk mencari ganti rugi atas pelanggaran GDPR tanpa harus terlibat dalam litigasi yang mahal dan memakan waktu . Dengan menyediakan mekanisme ADR, GDPR berharap dapat mendorong perusahaan untuk menyelesaikan perselisihan secara lebih efisien dan efektif .
Secara keseluruhan, GDPR memperkenalkan serangkaian langkah penegakan hukum yang komprehensif yang dirancang untuk memastikan bahwa perusahaan mematuhi persyaratan hukum perlindungan data . Penting bagi perusahaan untuk memahami kewajiban mereka berdasarkan GDPR dan mengetahui perkembangan baru di bidang ini .
Apa Dampak Hukum Melampaui Perbatasan UE ?
Peraturan Perlindungan Data Umum ( GDPR ) telah menciptakan kegemparan sejak pertama kali diperkenalkan . Tidak hanya memiliki efek yang luas di Uni Eropa ( EU ), tetapi dampaknya juga dirasakan di luar perbatasannya . Di sini, kita melihat bagaimana GDPR mempengaruhi bisnis dan individu di luar UE .
Sebagai permulaan, penting untuk dicatat bahwa GDPR berlaku untuk perusahaan mana pun yang memproses atau bermaksud memproses data individu di UE, terlepas dari apakah perusahaan tersebut berbasis di dalam atau di luar UE . Ini berarti bahwa bahkan jika bisnis Anda berbasis di Australia, misalnya, tetapi Anda memiliki pelanggan atau pengunjung situs web dari Eropa, GDPR masih akan berlaku untuk Anda .
Jadi apa artinya ini bagi bisnis di luar UE ? Pada dasarnya, itu berarti bahwa jika Anda ingin melakukan bisnis dengan orang Eropa, Anda harus mematuhi GDPR . Kegagalan untuk mematuhi dapat mengakibatkan denda yang besar – hingga 4% dari pendapatan tahunan global Anda atau € 20 juta ( mana yang lebih besar ), mana yang lebih besar – jadi itu bukan sesuatu yang bisa dianggap enteng .
Tentu saja, mematuhi GDPR bisa mahal dan memakan waktu, terutama untuk usaha kecil . Tetapi banyak yang percaya bahwa manfaat jangka panjang lebih besar daripada biaya jangka pendek . Dengan mematuhi GDPR, bisnis dapat menunjukkan kepada pelanggan dan karyawan mereka bahwa mereka menganggap serius perlindungan data dan berkomitmen untuk mempertahankan standar tinggi dalam hal penanganan data pribadi .
Selain manfaat nyata dari kepatuhan GDPR untuk bisnis, mungkin juga ada hal positif bagi individu di luar UE . Misalnya, GDPR membantu mempromosikan standar privasi global, yang melindungi individu agar informasi pribadi mereka dipanen oleh perusahaan atau entitas lain tanpa persetujuan mereka . Ini sangat bermanfaat bagi mereka yang tinggal di negara-negara yang tidak memiliki undang-undang privasi yang kuat . Jadi, sementara GDPR mungkin tampak seperti beban yang luar biasa bagi bisnis pada pandangan pertama, itu bisa berfungsi sebagai model dan sumber perlindungan yang berguna bagi individu di seluruh dunia .
Singkatnya, dampak GDPR dirasakan jauh melampaui batas-batas UE . Bisnis di mana-mana harus memperhatikan implikasi GDPR jika mereka berencana untuk melakukan bisnis dengan orang Eropa, sementara individu dapat mengambil manfaat dari upayanya untuk mempromosikan standar privasi global . Pada akhirnya, hanya waktu yang akan memberi tahu seberapa dalam dan luas dampak GDPR .
Apa FAQ Umum tentang GDPR ?
- Apa itu GDPR ?
Peraturan Perlindungan Data Umum ( GDPR ) adalah undang-undang perlindungan data UE baru yang mulai berlaku pada 25 Mei 2018 . GDPR menggantikan Arahan Perlindungan Data UE 1995 . Ini memperkuat aturan perlindungan data UE dengan memberi individu lebih banyak kontrol atas data pribadi mereka, dan menetapkan hak baru bagi individu .
- Kepada siapa GDPR berlaku ?
GDPR berlaku untuk perusahaan mana pun yang memproses data pribadi warga negara Uni Eropa, di mana pun perusahaan itu berada . Ini termasuk perusahaan yang berbasis di luar UE yang menawarkan barang atau jasa kepada warga negara UE, atau yang mengumpulkan dan memproses data pribadi warga negara UE untuk tujuan lain .
- Apa hukuman untuk ketidakpatuhan terhadap GDPR ?
Perusahaan yang melanggar GDPR dapat dikenakan denda hingga 4% dari pendapatan global tahunan mereka atau € 20 juta ( mana yang lebih besar ) . Selain itu, perusahaan mungkin menghadapi penangguhan kegiatan bisnis mereka di UE, dan diminta untuk mengambil langkah-langkah perbaikan untuk memastikan kepatuhan dengan GDPR .
- Apa ketentuan utama GDPR ?
GDPR berisi sejumlah ketentuan penting, termasuk :
- Hak untuk dilupakan :
Individu memiliki hak untuk menghapus data pribadi mereka dalam keadaan tertentu .
- Hak portabilitas data :
Individu memiliki hak untuk menerima data pribadi mereka dalam format yang terstruktur, umum digunakan, dan dapat dibaca mesin, dan memiliki hak untuk mengirimkan data tersebut ke pengontrol lain
- Pemberitahuan pelanggaran data :
Perusahaan harus memberi tahu individu tentang pelanggaran data pribadi apa pun yang dapat menyebabkan risiko atau membahayakan mereka .
- Privasi dengan desain :
Perusahaan harus mempertimbangkan privasi individu ketika merancang, mengembangkan, dan mengimplementasikan produk dan layanan .
- Petugas Perlindungan Data :
Perusahaan harus menunjuk Petugas Perlindungan Data jika mereka memproses sejumlah besar data pribadi yang sensitif atau memantau individu dalam skala besar .
- Langkah apa yang harus diambil perusahaan untuk mematuhi GDPR ?
Perusahaan harus menilai kegiatan pemrosesan data mereka, memperbarui kebijakan dan prosedur internal mereka sesuai dengan persyaratan GDPR, memberikan pelatihan bagi staf tentang penanganan data pribadi, menunjuk Petugas Perlindungan Data jika diperlukan, tinjau pengaturan kontrak yang ada dengan pelanggan dan vendor, dan pastikan mereka memiliki sistem dan kontrol yang tepat untuk mendeteksi dan melaporkan setiap pelanggaran data pribadi .
Juga direkomendasikan bahwa perusahaan mencari bantuan pengacara perlindungan data yang berpengalaman untuk memastikan kepatuhan dengan GDPR .
Kesimpulan
GDPR adalah undang-undang perlindungan data yang kompleks dan kuat yang memiliki implikasi mendalam terhadap bagaimana bisnis mengumpulkan dan menggunakan informasi pribadi .
Meskipun menavigasi peraturan baru mungkin tidak mudah, penting untuk memahami dasar-dasar GDPR dan bagaimana organisasi Anda dapat tetap mematuhi standar yang berkembang ini .
Dengan melakukan itu, Anda dapat melindungi bisnis Anda dari hukuman yang mahal serta meningkatkan kepercayaan konsumen .
