GDPR

Penjelasan Kepatuhan Data UE

1. Ikhtisar Legislasi Perlindungan Data Pribadi UE

Uni Eropa mengumumkan Peraturan Perlindungan Data Umum (GDPR) pada tahun 2016 dan mulai berlaku pada tahun 2018. GDPR bertujuan untuk melindungi hak privasi dan perlindungan data semua individu di wilayah UE. GDPR berlaku untuk semua perusahaan dan organisasi yang memproses data pribadi, terlepas dari lokasi geografis mereka, selama aktivitas pemrosesan data mereka melibatkan data pribadi warga negara UE.

（一）Definisi Terkait

1. Pengontrol data adalah orang perseorangan, badan hukum, lembaga publik, badan administratif, atau organisasi non-badan hukum lainnya yang dapat secara sendiri atau bersama-sama menentukan tujuan dan cara pemrosesan data pribadi, dan bertanggung jawab untuk menentukan tujuan dan cara pemrosesan data pribadi, tetapi standar khusus harus ditentukan oleh hukum UE atau negara anggotanya.

2. Pemroses data mengacu pada orang perseorangan, badan hukum, lembaga publik, badan administratif, atau organisasi non-badan hukum lainnya yang memproses data pribadi untuk pengontrol data. Namun, terkadang sulit untuk menentukan apakah suatu entitas termasuk dalam pengontrol data atau pemroses data.

3. Data pribadi mengacu pada informasi apa pun yang menunjuk ke orang perseorangan yang teridentifikasi atau dapat diidentifikasi (“subjek data”). GDPR memperluas cakupan data pribadi. Sesuai dengan cakupan yang didefinisikan oleh GDPR, data pribadi juga mencakup sidik jari digital (misalnya, alamat IP dan Cookie). Selain itu, data genetik atau biometrik juga termasuk dalam kategori “data sensitif”.

4. GDPR secara eksplisit menyebutkan bahwa data sensitif pribadi harus dilindungi secara tinggi, data ini mencakup: asal ras dan etnis individu, pandangan politik, keyakinan agama dan filosofis, keanggotaan serikat pekerja, data genetik, data biometrik, data kesehatan, informasi tentang kehidupan seksual atau orientasi seksual, dan informasi catatan kriminal. Lembaga medis biasanya harus memenuhi standar perlindungan data yang lebih tinggi.

5. Isi Utama

（一）Perusahaan perlu mengikuti langkah-langkah berikut untuk mencapai kepatuhan GDPR:

（1）Audit data: Audit aktivitas pemrosesan data yang ada untuk memastikan pemahaman tentang sumber data pribadi, tujuan penggunaan, dan masa penyimpanan.

（2）Pembaruan kebijakan privasi: Perbarui kebijakan privasi untuk memastikan bahwa isinya sesuai dengan persyaratan GDPR dan secara jelas memberi tahu pengguna tentang cara data mereka diproses.

（3）Membangun mekanisme kepatuhan: Membangun sistem manajemen perlindungan data untuk memastikan bahwa semua aktivitas pemrosesan data mengikuti prinsip-prinsip GDPR.

（4）Pelatihan karyawan: Melatih karyawan tentang GDPR dan pengetahuan terkait perlindungan data untuk meningkatkan kesadaran kepatuhan mereka.

Pemantauan dan peninjauan: Pantau secara teratur aktivitas pemrosesan data untuk memastikan kepatuhan berkelanjutan terhadap persyaratan GDPR.

2. Kapan Pemrosesan Data Pribadi Dianggap Sah?

Sesuai dengan Pasal 6 GDPR, pemrosesan data pribadi harus mematuhi enam dasar hukum berikut:

(1) Subjek data telah menyetujui pemrosesan data pribadinya untuk satu atau beberapa tujuan tertentu;

(2) Pemrosesan diperlukan untuk pelaksanaan kontrak di mana subjek data menjadi pihak, atau untuk mengambil langkah-langkah atas permintaan subjek data sebelum memasuki kontrak;

(3) Pemrosesan diperlukan untuk kepatuhan terhadap kewajiban hukum yang menjadi subjek pengendali;

(4) Pemrosesan diperlukan untuk melindungi kepentingan vital subjek data atau orang alami lainnya;

(5) Pemrosesan diperlukan untuk pelaksanaan tugas yang dilakukan untuk kepentingan umum atau dalam pelaksanaan kewenangan resmi yang diberikan kepada pengendali;

(6) Pemrosesan diperlukan untuk tujuan kepentingan sah yang dikejar oleh pengendali atau oleh pihak ketiga, kecuali jika kepentingan tersebut dikalahkan oleh kepentingan atau hak dasar dan kebebasan subjek data yang memerlukan perlindungan data pribadi, khususnya jika subjek data adalah anak-anak. (Catatan: Ini tidak berlaku untuk pemrosesan yang dilakukan oleh otoritas publik dalam menjalankan fungsinya)

Memperoleh persetujuan terlebih dahulu adalah prasyarat terpenting bagi perusahaan untuk memproses data pribadi warga negara Uni Eropa secara legal. Misalnya, ketika menghadapi kepatuhan GDPR, Facebook harus berusaha untuk mendapatkan persetujuan, daripada mematuhi prinsip minimalisasi data.

Persetujuan yang diperoleh harus dapat dibuktikan, harus dibedakan dengan jelas dari hal-hal lain, dan dapat ditarik kembali. Perlu dicatat bahwa pemrosesan data sensitif harus mendapatkan persetujuan eksplisit. Persetujuan yang ambigu atau “selimut” dianggap tidak valid. Perusahaan harus menyajikan bahasa yang mudah dipahami kepada subjek data untuk memilih apakah akan menyetujui pemrosesan data pribadi mereka oleh pihak lain. Mengingat hal ini, setidaknya secara teori, permintaan persetujuan yang tidak jelas, penuh dengan istilah teknis, dan jangka panjang tidak akan ada lagi.

Selain itu, diam, kotak yang sudah dicentang sebelumnya, atau tidak aktif, tidak merupakan persetujuan yang sah. Ketika pengguna perlu mencentang kotak atau menyetujui melalui telepon, ini termasuk pilihan yang jelas.

Anak di bawah umur di bawah usia 16 tahun tidak memiliki hak persetujuan yang sah, tetapi negara anggota Uni Eropa dapat melonggarkan batasan usia ini menjadi 13 tahun.

(Dua) Transfer Data Pribadi Lintas Batas

1. Transfer Internal Uni Eropa

Dalam kasus transfer data pribadi di dalam Uni Eropa, GDPR tidak memberlakukan persyaratan tambahan apa pun pada penerapan langsung GDPR. Namun, ketika pengendali mempekerjakan pemroses, hubungan antara pengendali data dan pemroses data perlu dikendalikan oleh perjanjian, dan standar minimum yang ditetapkan oleh GDPR dalam kasus ini harus dipatuhi. Perjanjian antara pemroses dan pemroses (Pasal 28 GDPR) menetapkan subjek dan durasi pemrosesan, sifat dan tujuan pemrosesan, jenis data pribadi dan kategori subjek data, serta kewajiban dan hak pengendali.

2. Transfer Data Non-UE: Langkah-langkah untuk Mematuhi GDPR

Untuk transfer data non-UE, GDPR mengantisipasi keadaan tertentu di mana transfer semacam itu dapat dilakukan. Secara khusus, organisasi yang terlibat dalam transfer data pribadi non-UE akan diminta untuk memverifikasi:

Apakah Komisi Eropa memiliki keputusan kecukupan, dan jika tidak, memberikan jaminan tambahan melalui perjanjian kontrak.

(1) Komisi Eropa dapat mengeluarkan keputusan tentang tingkat perlindungan data di negara/wilayah non-UE (misalnya, Perisai Privasi UE-AS). Keputusan ini didasarkan pada penilaian komprehensif tentang apakah negara ketiga memiliki jaminan hukum perlindungan data yang memadai yang setara dengan UE. Hasil dari keputusan kecukupan adalah penghapusan hambatan apa pun untuk transfer data dari UE (serta Norwegia, Liechtenstein, dan Islandia) ke negara ketiga tersebut tanpa persyaratan perlindungan data lebih lanjut.

(2) Transfer harus tunduk pada perlindungan yang sesuai

Jika negara ketiga tidak tercakup dalam keputusan kecukupan, organisasi UE harus mempertimbangkan salah satu alternatif berikut:

1) Klausul Kontrak Standar. Komisi Eropa juga dapat mengadopsi klausul kontrak standar untuk memfasilitasi pengontrol UE dalam memberikan perlindungan perlindungan data yang memadai ketika mentransfer data pribadi ke pengontrol atau prosesor non-UE. Sejauh ini, Komisi Eropa telah menerbitkan dua set klausul kontrak standar: transfer data dari pengontrol UE ke pengontrol non-UE atau EEA, dan transfer dari pengontrol UE ke prosesor non-UE atau EEA. Otoritas perlindungan data juga dapat mengadopsi klausul model. Namun, klausul ini perlu disetujui oleh Komisi. Terakhir namun tidak kalah pentingnya, transfer lintas batas juga dapat dilakukan berdasarkan klausul kontrak ad hoc yang disepakati antara eksportir dan importir data, yang harus disetujui oleh DPA yang kompeten.

2) Aturan Perusahaan yang Mengikat (BCR). Jika data pribadi ditransfer dari satu entitas perusahaan ke entitas perusahaan lain (terlepas dari wilayah), transfer data akan dilakukan sesuai dengan Aturan Perusahaan yang Mengikat (BRC). Aturan Perusahaan yang Mengikat adalah aturan yang mengikat secara hukum yang disetujui oleh otoritas pengawas yang kompeten yang mengatur transfer dan pemrosesan data pribadi secara internal oleh grup perusahaan atau grup perusahaan yang terlibat dalam kegiatan ekonomi bersama dan karyawannya (termasuk yang berlokasi di luar UE). wilayah. Dibandingkan dengan klausul kontrak standar, keuntungan dari BCR adalah bahwa setelah persetujuan dari otoritas perlindungan data diperoleh, semua transfer intra-grup di masa mendatang dapat dilakukan terlepas dari wilayah tanpa persyaratan lebih lanjut.

Selain opsi di atas, GDPR memperkenalkan dua alat kecukupan alternatif untuk transfer data: mekanisme sertifikasi yang disetujui dan kode etik yang disetujui. Kedua mekanisme tersebut memungkinkan transfer data asalkan importir data membuat komitmen yang mengikat dan dapat ditegakkan untuk menerapkan perlindungan yang sesuai untuk perlindungan data.

(3) Pengecualian Transfer Data

Dalam sejumlah kasus, transfer data pribadi dapat dilakukan tanpa mekanisme transfer yang disebutkan di atas. Keadaan ini terbatas dan mencakup kasus-kasus berikut:

1. Subjek data telah memberikan persetujuan eksplisit;

2. Transfer diperlukan untuk masuk atau melaksanakan kontrak;

3. Ada alasan penting kepentingan publik;

4. Diperlukan untuk menetapkan, melaksanakan, atau membela klaim hukum;

5. Diperlukan untuk kepentingan vital subjek data atau orang lain;

6. Ini melibatkan data pendaftaran publik;

Selain itu, GDPR memperkenalkan batasan baru pada transfer non-berulang yang melibatkan sejumlah subjek data yang terbatas, yaitu derogasi. Transfer diizinkan jika tidak ada dasar hukum lain, ketika diperlukan untuk tujuan kepentingan sah dari eksportir data yang memaksa dan tidak digantikan oleh kepentingan sah subjek data dan eksportir memberikan perlindungan yang memadai untuk data yang ditransfer. Dalam hal ini, eksportir harus memberi tahu otoritas perlindungan data dan subjek data yang relevan tentang keadaan transfer tersebut.