GDPR UE

Denda dapat mencapai 4% dari omset global tahunan untuk pelanggaran GDPR atau €20 juta. Ini adalah denda maksimum yang dapat dikenakan untuk pelanggaran yang paling parah, misalnya tidak memiliki persetujuan pelanggan yang cukup untuk memproses data atau melanggar inti dari konsep “Privasi dengan Desain”.

Data pribadi adalah informasi apa pun yang dapat digunakan untuk mengidentifikasi orang secara langsung atau tidak langsung, seperti nama, foto, alamat email, detail bank, pos di situs jejaring sosial, informasi medis, atau alamat IP komputer.

Persetujuan harus diberikan dalam bentuk yang dapat dipahami dan mudah diakses dengan tujuan pemrosesan data yang terlampir pada persetujuan tersebut. Persetujuan harus tidak ambigu, mudah dikenali, dan menggunakan clear serta bahasa yang mudah dipahami. Persetujuan juga harus semudah menarik kembali persetujuan seperti saat memberikannya. Ketika memproses data pribadi yang sensitif, tidak ada yang kurang dari “opt-in” yang akan mencukupi.

Jika subjek data berusia di bawah 16 tahun, persetujuan orang tua akan diperlukan untuk memproses data pribadi anak tersebut. Negara anggota dapat menurunkan usia persetujuan orang tua, tetapi tidak lebih rendah dari usia 13 tahun.

DPO harus ditunjuk dalam kasus (a) otoritas publik, (b) organisasi yang terlibat dalam pemantauan sistematis data besar atau skala besar, atau (c) organisasi yang berpartisipasi dalam pemrosesan massal data pribadi yang sensitif (Art. 37). Jika organisasi Anda tidak termasuk dalam salah satu kategori ini, maka Anda tidak perlu menunjuk DPO.

Pemberitahuan pelanggaran

Di bawah GDPR, pemberitahuan pelanggaran akan menjadi wajib di semua negara anggota di mana pelanggaran data kemungkinan akan “mengakibatkan risiko bagi hak dan kebebasan individu.” Pemberitahuan harus dilakukan dalam waktu 72 jam setelah menyadari pelanggaran. Pengolah data juga akan diharuskan untuk memberi tahu pengendali “tanpa penundaan yang tidak semestinya” setelah pertama kali menyadari pelanggaran data.

Hak untuk mengakses

Subjek data memiliki hak untuk memperoleh konfirmasi dari pengendali data apakah data pribadi yang berkaitan dengan mereka telah diproses, di mana, dan untuk tujuan apa. Pengendali data harus memberikan salinan data pribadi, secara gratis, dalam format elektronik.

Hak untuk dilupakan

Dikenal sebagai penghapusan data, hak untuk dilupakan memberi hak kepada subjek data untuk meminta pengendali data menghapus data pribadi mereka, menghentikan penyebaran lebih lanjut dari data tersebut, dan berpotensi meminta pihak ketiga menghentikan pemrosesan data. Data tersebut tidak boleh lagi relevan dengan tujuan asli pemrosesan atau subjek data menarik kembali persetujuan. Juga harus dicatat bahwa hak ini mengharuskan pengendali untuk membandingkan hak subjek dengan “kepentingan publik dalam ketersediaan data” saat mempertimbangkan permintaan semacam itu.

Portabilitas data

Subjek data dapat menerima data pribadi yang berkaitan dengan mereka, yang telah mereka berikan sebelumnya dalam “format yang umum digunakan dan dapat dibaca mesin” dan memiliki hak untuk mentransmisikan data tersebut ke pengendali lain.

Privasi dengan desain

Privasi data harus menjadi inti dari sistem teknologi yang digunakan oleh pengendali dan pengolah untuk mengelola informasi subjek data, bukan hanya tambahan.

Informasi yang harus disediakan kepada subjek data saat data dikumpulkan telah didefinisikan dengan jelas dan mencakup:

• Identitas dan detail kontak pengendali dan DPO
• Tujuan pemrosesan, untuk apa data pribadi tersebut dimaksudkan
• Dasar hukum pemrosesan
• Jika berlaku, kepentingan sah yang dikejar oleh pengendali atau pihak ketiga
• Jika berlaku, penerima atau kategori penerima data pribadi
• Periode di mana data pribadi akan disimpan, atau jika ini tidak mungkin, kriteria yang digunakan untuk menentukan periode ini
• Adanya hak untuk mengakses, memperbaiki, atau menghapus data pribadi
• Hak untuk portabilitas data
• Hak untuk menarik kembali persetujuan kapan saja
• Hak untuk mengajukan keluhan kepada otoritas pengawas

Penting untuk dicatat, di mana data tidak diperoleh langsung dari subjek data (mungkin menggunakan daftar pihak ketiga), daftar tersebut bervariasi dan mencakup dari mana sumber data pribadi berasal:

• Adanya pemprofilan dan informasi berarti tentang logika yang terlibat serta signifikansi dan konsekuensi yang diharapkan dari pemrosesan tersebut bagi subjek data.
• GDPR mewakili masalah signifikan bagi pemasar yang mendapatkan data dari daftar pihak ketiga.

1. Buat rencana proaktif untuk kepatuhan GDPR Anda.
2. Tinjau pemberitahuan dan kebijakan privasi, dan pastikan mereka memenuhi tingkat kepatuhan GDPR.
3. Siapkan rencana jika terjadi pelanggaran keamanan.
4. Audit persetujuan Anda.
5. Buat persetujuan pemasaran bersifat opt-in.
6. Tinjau bagian kepentingan sah dari arahan dengan penasihat hukum Anda untuk memastikan itu mencakup organisasi Anda untuk penggunaan data pembeli dalam memproses dan mengelola pesanan tersebut.
7. Buat bahasa persetujuan Anda mudah ditemukan dan dibaca tentang penggunaan data pribadi.
8. Buat rencana tindakan untuk permintaan subjek data kepada organisasi Anda untuk penggunaan data mereka.
9. Jadilah bertanggung jawab atas kepatuhan Anda.
10. Latih karyawan Anda.
11. Miliki clear proses yang jelas, tertulis, dan diaudit.
12. Tunjuk DPO jika diperlukan.
13. Pastikan mitra pengendali/pemrosesan Anda mematuhi.

GDPR berlaku untuk organisasi, pengendali, dan pemroses yang berada di dalam dan di luar UE, yang menawarkan barang atau jasa kepada subjek data UE. GDPR juga berlaku untuk organisasi, seperti organisasi pemasaran atau mereka yang menyediakan atau menggunakan data yang memantau perilaku subjek UE.

Seorang pengendali menentukan tujuan, kondisi, dan cara untuk pemrosesan data pribadi, sementara pemroses memproses data pribadi atas nama pengendali.