Peraturan Perlindungan Data Umum (GDPR) UE akan mulai berlaku pada 25 Mei tahun ini. Untuk berjaga-jaga jika Anda bukan pembaca besar (saya juga tidak), kami memutuskan untuk membuat versi "CliffsNotes" ini untuk membantu Anda mempersiapkan diri untuk peraturan yang akan datang. Bagi Anda yang masih ingin membaca teks lengkap GDPR, wajar saja jika saya memperingatkan Anda bahwa berisi banyak jargon hukum dan istilah yang membingungkan. Jadi untuk membantu Anda melewatinya, kami telah menyertakan glosarium singkat di akhir posting ini untuk lebih membantu memahami istilah dan konsep di dalamnya.

GDPR – Versi “CliffsNotes”

GDPR adalah kerangka hukum yang menetapkan pedoman untuk pengumpulan dan pemrosesan informasi pribadi individu di dalam Uni Eropa (UE). Ini menstandardisasi undang-undang perlindungan data di seluruh 28 negara UE (dan negara-negara yang mengumpulkan data dari anggotanya) dan memberlakukan aturan baru yang ketat untuk mengontrol dan memproses informasi pengenal pribadi. Menurut Komisi Eropa, “data pribadi adalah segala informasi yang berkaitan dengan individu, baik yang berkaitan dengan kehidupan pribadi, profesional, atau publiknya. Itu bisa apa saja mulai dari nama, alamat rumah, foto, alamat email, detail bank, posting di situs jejaring sosial, informasi medis, atau alamat IP komputer.” GDPR terdiri dari sejumlah prinsip utama, beberapa di antaranya diuraikan di bawah ini:

Dasar yang sah untuk diproses

Data tidak dapat diproses kecuali ada setidaknya satu dasar yang sah untuk melakukannya:

• Subjek data telah memberikan persetujuan untuk pemrosesan data pribadi untuk satu atau lebih tujuan tertentu.
• Pemrosesan diperlukan untuk pelaksanaan kontrak di mana subjek data menjadi pihak atau untuk mengambil langkah-langkah atas permintaan subjek data sebelum menandatangani kontrak.
• Pemrosesan diperlukan untuk memenuhi kewajiban hukum yang menjadi subjek pengontrol.
• Pemrosesan diperlukan untuk melindungi kepentingan vital subjek data atau orang lain.
• Pemrosesan diperlukan untuk pelaksanaan tugas yang dilakukan untuk kepentingan umum atau dalam pelaksanaan wewenang resmi yang diberikan kepada pengontrol.
• Pemrosesan diperlukan untuk tujuan kepentingan sah yang dikejar oleh pengontrol atau oleh pihak ketiga kecuali jika kepentingan tersebut dikesampingkan oleh kepentingan atau hak dasar dan kebebasan subjek data, yang memerlukan perlindungan data pribadi, khususnya, jika data subjek adalah seorang anak.

Izin

“Persetujuan harus jelas dan dapat dibedakan dari hal-hal lain dan diberikan dalam bentuk yang dapat dipahami dan mudah diakses, dengan menggunakan bahasa yang jelas dan lugas.” Ini berarti bahwa pelanggan Anda tidak dapat dipaksa untuk menyetujui atau tidak menyadari bahwa mereka menyetujui pemrosesan data pribadi mereka. Mereka juga harus diberitahu sebelumnya tentang hak mereka untuk menarik persetujuan dan tahu persis apa yang mereka setujui ketika memberikannya.

Hak Akses, Portabilitas Data, dan Hak Penghapusan

Setelah pengumpulan, buatlah catatan dan buktikan bahwa persetujuan telah diberikan dan untuk apa persetujuan itu diberikan. Anda perlu mengetahui (dan telah menulis catatan tentang) data apa yang dikumpulkan, bagaimana penggunaannya, di mana disimpan, siapa yang memiliki akses ke data tersebut, dan untuk berapa lama dibutuhkan. Jangan gunakan data tersebut untuk alasan lain di luar alasan yang diberikan pada saat pengumpulan.

• Hak untuk mengakses – memberikan kemampuan kepada subjek data untuk memperbarui informasinya atau memiliki prosedur untuk menangani permintaan pembaruan informasi
• Portabilitas data – dapat memberikan subjek data salinan semua data dalam format umum
• Hak untuk dilupakan – bersiaplah untuk menangani permintaan dari subjek data untuk menghapus semua data dan memiliki proses untuk melakukannya dalam periode 30 hari

Melaporkan Pelanggaran Data

GDPR juga berisi persyaratan baru bahwa pengontrol data memiliki kewajiban hukum untuk memberi tahu otoritas pengawas (DPC) tentang pelanggaran data pribadi dalam waktu 72 jam setelah mempelajarinya, kecuali jika data dianonimkan atau dienkripsi. Selain itu, jika pelanggaran tersebut kemungkinan besar akan membahayakan subjek data, pelanggaran tersebut juga harus dilaporkan kepada individu yang terpengaruh dalam periode yang sama.

Privasi menurut Desain dan DPIA

Perusahaan yang mengembangkan sistem baru akan diminta untuk merancang perlindungan data ke dalam pengembangan proses bisnis untuk produk dan layanan. Pengaturan privasi harus ditetapkan pada tingkat tinggi secara default dan tindakan harus diambil oleh pengontrol untuk memastikan bahwa pemrosesan data mematuhi peraturan di seluruh siklus hidup produk atau layanan.

Tidak yakin apakah situs web atau inisiatif pemasaran Anda akan berhasil? Kami senang mengobrol untuk meninjau situasi Anda saat ini dan memberikan umpan balik tentang apa yang perlu Anda patuhi.

Glosarium GPR Cepat

Subjek Data: Seseorang yang tinggal di UE.

Data Pribadi: Setiap informasi yang terkait dengan subjek data yang teridentifikasi/dapat diidentifikasi (nama, nomor ID nasional, alamat, Alamat IP, dll.)

Pengontrol: Perusahaan atau organisasi yang mengumpulkan data pribadi orang dan membuat keputusan tentang apa yang harus dilakukan dengannya. Contoh – perusahaan, Anda sebagai pemasar, bekerja untuk

Prosesor: Perusahaan atau organisasi yang membantu pengontrol dengan "memproses" data berdasarkan instruksinya, tetapi tidak memutuskan apa yang harus dilakukan dengan data. Contoh – Google melalui Google Analytics

Pemrosesan Data: Setiap operasi atau serangkaian operasi yang dilakukan pada data pribadi atau pada kumpulan data pribadi, dengan cara otomatis atau lainnya, seperti pengumpulan, perekaman, pengorganisasian, penataan, penyimpanan, adaptasi atau perubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui transmisi, penyebaran atau dengan cara lain menyediakan, penyelarasan atau kombinasi, pembatasan, penghapusan atau penghancuran.

Petugas Perlindungan Data (DPO): Perwakilan untuk pengontrol/pemroses yang mengawasi kepatuhan GDPR dan merupakan pakar privasi data.

Data Privacy Impact Assessment (DPIA): Penilaian terdokumentasi tentang kegunaan, risiko, dan opsi mitigasi risiko untuk jenis pemrosesan tertentu.

Otoritas Pengawas: Sebelumnya disebut “otoritas perlindungan data”; satu atau lebih lembaga pemerintah di negara anggota yang mengawasi penegakan privasi data negara tersebut (misalnya, Kantor Komisaris Perlindungan Data Irlandia, 18 otoritas nasional/regional Jerman).