Bagaimana kami mengelola GDPR
GDPR UE adalah peraturan privasi yang komprehensif yang diimplementasikan pada 25 Mei 2018. Kami telah menempatkan pembaruan dalam teknologi kami yang tidak hanya mengelola inisiatif GDPR tetapi juga akan melampaui batas UE untuk memastikan fokus privasi bagi semua yang menggunakan Zonos.
Zonos menyediakan teknologi privasi terdepan di industri untuk memastikan pembeli dan pedagang memiliki kendali atas data dan proses mereka - memenuhi kerangka kerja GDPR UE.
Tujuan Zonos untuk bisnis Anda terus menjadi:
- Membantu Anda mendekode lintas batas.
- Memberikan Anda kendali atas rantai pasokan global.
- Menyajikan pengalaman yang aman dan fantastis bagi pembeli internasional Anda.
Item arahan kunci GDPR
Penalti
Denda dapat mencapai 4% dari omset global tahunan untuk pelanggaran GDPR atau €20 juta. Ini adalah denda maksimum yang dapat dikenakan untuk pelanggaran yang paling parah, misalnya tidak memiliki persetujuan pelanggan yang cukup untuk memproses data atau melanggar inti dari konsep “Privasi dengan Desain”.
Definisi data pribadi
Data pribadi adalah informasi apa pun yang dapat digunakan untuk mengidentifikasi orang secara langsung atau tidak langsung, seperti nama, foto, alamat email, detail bank, pos di situs jejaring sosial, informasi medis, atau alamat IP komputer.
Persetujuan
Persetujuan harus diberikan dalam bentuk yang dapat dipahami dan mudah diakses dengan tujuan pemrosesan data yang terlampir pada persetujuan tersebut. Persetujuan harus tidak ambigu, mudah dikenali, dan menggunakan clear serta bahasa yang mudah dipahami. Persetujuan juga harus semudah menarik kembali persetujuan seperti saat memberikannya. Ketika memproses data pribadi yang sensitif, tidak ada yang kurang dari “opt-in” yang akan mencukupi.
Jika subjek data berusia di bawah 16 tahun, persetujuan orang tua akan diperlukan untuk memproses data pribadi anak tersebut. Negara anggota dapat menurunkan usia persetujuan orang tua, tetapi tidak lebih rendah dari usia 13 tahun.
Pejabat Perlindungan Data (DPO)
DPO harus ditunjuk dalam kasus (a) otoritas publik, (b) organisasi yang terlibat dalam pemantauan sistematis data besar atau skala besar, atau (c) organisasi yang berpartisipasi dalam pemrosesan massal data pribadi yang sensitif (Art. 37). Jika organisasi Anda tidak termasuk dalam salah satu kategori ini, maka Anda tidak perlu menunjuk DPO.
Hak subjek data
Pemberitahuan pelanggaran
Di bawah GDPR, pemberitahuan pelanggaran akan menjadi wajib di semua negara anggota di mana pelanggaran data kemungkinan akan “mengakibatkan risiko bagi hak dan kebebasan individu.” Pemberitahuan harus dilakukan dalam waktu 72 jam setelah menyadari pelanggaran. Pengolah data juga akan diharuskan untuk memberi tahu pengendali “tanpa penundaan yang tidak semestinya” setelah pertama kali menyadari pelanggaran data.
Hak untuk mengakses
Subjek data memiliki hak untuk memperoleh konfirmasi dari pengendali data apakah data pribadi yang berkaitan dengan mereka telah diproses, di mana, dan untuk tujuan apa. Pengendali data harus memberikan salinan data pribadi, secara gratis, dalam format elektronik.
Hak untuk dilupakan
Dikenal sebagai penghapusan data, hak untuk dilupakan memberi hak kepada subjek data untuk meminta pengendali data menghapus data pribadi mereka, menghentikan penyebaran lebih lanjut dari data tersebut, dan berpotensi meminta pihak ketiga menghentikan pemrosesan data. Data tersebut tidak boleh lagi relevan dengan tujuan asli pemrosesan atau subjek data menarik kembali persetujuan. Juga harus dicatat bahwa hak ini mengharuskan pengendali untuk membandingkan hak subjek dengan “kepentingan publik dalam ketersediaan data” saat mempertimbangkan permintaan semacam itu.
Portabilitas data
Subjek data dapat menerima data pribadi yang berkaitan dengan mereka, yang telah mereka berikan sebelumnya dalam “format yang umum digunakan dan dapat dibaca mesin” dan memiliki hak untuk mentransmisikan data tersebut ke pengendali lain.
Privasi dengan desain
Privasi data harus menjadi inti dari sistem teknologi yang digunakan oleh pengendali dan pengolah untuk mengelola informasi subjek data, bukan hanya tambahan.
Informasi subjek data
Informasi yang harus disediakan kepada subjek data saat data dikumpulkan telah didefinisikan dengan jelas dan mencakup:
- Identitas dan detail kontak pengendali dan DPO
- Tujuan pemrosesan, untuk apa data pribadi tersebut dimaksudkan
- Dasar hukum pemrosesan
- Jika berlaku, kepentingan sah yang dikejar oleh pengendali atau pihak ketiga
- Jika berlaku, penerima atau kategori penerima data pribadi
- Periode di mana data pribadi akan disimpan, atau jika ini tidak mungkin, kriteria yang digunakan untuk menentukan periode ini
- Adanya hak untuk mengakses, memperbaiki, atau menghapus data pribadi
- Hak untuk portabilitas data
- Hak untuk menarik kembali persetujuan kapan saja
- Hak untuk mengajukan keluhan kepada otoritas pengawas
Penting untuk dicatat, di mana data tidak diperoleh langsung dari subjek data (mungkin menggunakan daftar pihak ketiga), daftar tersebut bervariasi dan mencakup dari mana sumber data pribadi berasal:
- Adanya pemprofilan dan informasi berarti tentang logika yang terlibat serta signifikansi dan konsekuensi yang diharapkan dari pemrosesan tersebut bagi subjek data.
- GDPR mewakili masalah signifikan bagi pemasar yang mendapatkan data dari daftar pihak ketiga.
Kepentingan sah
Pasal 6 dari peraturan GDPR menyatakan bahwa pengumpul data hanya dapat memproses data secara sah jika, antara lain, ia memiliki kepentingan sah atau persetujuan. Menentukan apakah Anda memiliki kepentingan sah memerlukan “penilaian yang cermat” terhadap harapan dan konteks data yang Anda kumpulkan.
Sangat menggoda untuk menggunakan interpretasi luas dari kepentingan sah untuk mengatasi kebutuhan akan persetujuan. Kami tidak mendorong penggunaan pandangan terbuka tentang kepentingan sah sebagai cara untuk membenarkan pengumpulan data. GDPR memberikan beberapa contoh seperti memproses data pribadi untuk mencegah penipuan, tujuan administratif internal yang berkaitan dengan karyawan dan klien, keamanan jaringan, dan pelaporan kemungkinan aktivitas kriminal atau ancaman terhadap keamanan publik.
Masih ada area abu-abu seputar kepentingan sah, dan definisi tersebut akan menjadi lebih jelas seiring waktu. Rekomendasi jangka pendek adalah untuk membiasakan diri bertanya, “apakah tujuan yang sama dapat dicapai tanpa memproses data pribadi?” Jika jawabannya ya, maka praktik terbaik adalah menjauh dari kepentingan sah sebagai dasar untuk memproses data; Anda harus mendapatkan persetujuan.
Rekomendasi
Zonos merekomendasikan hal berikut untuk mematuhi GDPR UE:
Langkah-langkah untuk mematuhi GDPR
- Buat rencana proaktif untuk kepatuhan GDPR Anda.
- Tinjau pemberitahuan dan kebijakan privasi, dan pastikan mereka memenuhi tingkat kepatuhan GDPR.
- Siapkan rencana jika terjadi pelanggaran keamanan.
- Audit persetujuan Anda.
- Buat persetujuan pemasaran bersifat opt-in.
- Tinjau bagian kepentingan sah dari arahan dengan penasihat hukum Anda untuk memastikan itu mencakup organisasi Anda untuk penggunaan data pembeli dalam memproses dan mengelola pesanan tersebut.
- Buat bahasa persetujuan Anda mudah ditemukan dan dibaca tentang penggunaan data pribadi.
- Buat rencana tindakan untuk permintaan subjek data kepada organisasi Anda untuk penggunaan data mereka.
- Jadilah bertanggung jawab atas kepatuhan Anda.
- Latih karyawan Anda.
- Miliki clear proses yang jelas, tertulis, dan diaudit.
- Tunjuk DPO jika diperlukan.
- Pastikan mitra pengendali/pemrosesan Anda mematuhi.
Pertanyaan yang Sering Diajukan
Siapa yang terpengaruh oleh ini?
GDPR berlaku untuk organisasi, pengendali, dan pemroses yang berada di dalam dan di luar UE, yang menawarkan barang atau jasa kepada subjek data UE. GDPR juga berlaku untuk organisasi, seperti organisasi pemasaran atau mereka yang menyediakan atau menggunakan data yang memantau perilaku subjek UE.
Apa perbedaan antara pengendali dan pemroses?
Seorang pengendali menentukan tujuan, kondisi, dan cara untuk pemrosesan data pribadi, sementara pemroses memproses data pribadi atas nama pengendali.
GDPR UE
Pelajari bagaimana Zonos mengelola inisiatif GDPR UE.Perlindungan data menjadi sangat penting dalam bisnis sehari-hari. Meskipun inisiatif Peraturan Perlindungan Data Umum (GDPR) bukanlah inisiatif privasi pertama di pasar, hingga saat ini - ini telah menjadi kekuatan pendorong yang paling signifikan dalam pemahaman dan pengelolaan data individu serta hak-hak data mereka.
Untuk menarik perhatian, UE memungkinkan negara anggotanya untuk menerapkan denda, yang mencakup penalti maksimum hingga 4% dari omset global tahunan untuk pelanggaran GDPR atau €20 juta. Arahan ini juga menyatakan keinginan untuk kemudahan dan “toko satu atap” untuk administrasi.