Pertama-tama Anda harus mengetahui arti dari akronim tersebut yaitu RGPD, karena itu akan sangat penting untuk perkembangan model bisnis digital Anda. Yah, itu setara dengan apa yang sebenarnya adalah Peraturan Perlindungan Data Umum (RGPD) dan yang baru-baru ini diberlakukan. Dan jika Anda memiliki file perdagangan atau toko online Anda harus mematuhi undang-undang agar tidak mengambil kejutan negatif lainnya mulai sekarang.
Apakah saya harus melakukan sesuatu untuk menyesuaikan toko atau bisnis saya dengan GDPR? Dalam hal ini, Anda harus tahu bahwa RGPD adalah peraturan yang disetujui di tingkat Uni Eropa dan tujuannya adalah untuk memastikan perlindungan informasi pribadi.
Mulai sekarang, semua perusahaan harus menyediakan di situs web mereka Kebijakan Privasi yang menjelaskan keadaan mereka menangani data yang memiliki, baik pelanggan, rekan, karyawan atau hanya tertarik untuk menerima informasi komersial.
Prinsip-prinsip baru dimasukkan dalam RGPD
Dalam regulasi saat ini tentang perlindungan data di tingkat Eropa, skenario baru dipertimbangkan untuk pemilik bisnis digital. Dan di antaranya adalah aspek-aspek berikut yang kami paparkan di bawah ini. Di mana Anda juga perlu mempertimbangkan bahwa Parlemen Eropa dan Dewan akhirnya menyetujui Peraturan Perlindungan Data Umum (RGPD), yang, dengan aspirasi menyatukan rezim dari semua Negara Anggota terkait masalah tersebut, telah mulai berlaku pada tanggal 25 Mei 2016, meskipun pemenuhannya hanya akan diwajibkan setelah dua tahun sejak tanggal tersebut.
Prinsip tanggung jawab. Mekanisme harus diterapkan untuk membuktikan bahwa semua tindakan yang diperlukan telah diambil untuk memproses data pribadi seperti yang dipersyaratkan oleh norma. Ini adalah tanggung jawab proaktif. Organisasi harus dapat menunjukkan bahwa mereka memenuhi persyaratan ini, yang akan memerlukan pengembangan kebijakan, prosedur, kontrol, dll.
Prinsip perlindungan data secara default dan berdasarkan desain. Pada kesempatan ini, langkah-langkah harus diambil untuk menjamin kepatuhan terhadap standar sejak perusahaan, produk, layanan atau aktivitas yang melibatkan pemrosesan data dirancang, sebagai suatu peraturan dan dari sumbernya.
Prinsip transparansi. Pemberitahuan hukum dan kebijakan privasi harus lebih sederhana dan lebih jelas, memfasilitasi pemahaman mereka, serta lebih lengkap. Bahkan dibayangkan bahwa, untuk menginformasikan tentang perlakuan data, ikon standar dapat digunakan.
Kewajiban baru bagi perusahaan digital
Terkadang, wajib menunjuk Delegasi Perlindungan Data (DPO), internal atau eksternal, untuk membantu organisasi dalam proses kepatuhan normatif. Namun, kompleksitas standar baru akan membuat angka ini sangat direkomendasikan di sebagian besar organisasi.
Dalam kasus tertentu, penilaian dampak privasi harus dilakukan, yang pada akhirnya akan menentukan risiko spesifik yang terlibat dalam pemrosesan data pribadi tertentu dan memperkirakan langkah-langkah untuk mengurangi atau menghilangkan risiko tersebut.
Perusahaan multinasional akan memiliki otoritas kontrol nasional tunggal sebagai lawan bicaranya: yaitu dari pembentukan utama entitas. Inilah yang dikenal sebagai satu jendela.
Pelanggaran keamanan harus dikomunikasikan kepada otoritas kontrol dan, dalam kasus serius, kepada mereka yang terkena dampak, segera setelah diketahui, menetapkan jangka waktu maksimum 72 jam.
Data sensitif: Data yang dilindungi secara khusus diperluas, sekarang termasuk data genetik dan biometrik. Tindak pidana dan putusan juga termasuk dalam kategori ini, meskipun bukan yang bersifat administratif.
Pemilihan orang yang bertanggung jawab atas perawatan lebih sulit, karena akan perlu memilih orang yang memberikan jaminan kepatuhan terhadap peraturan yang memadai.
Jaminan tambahan untuk apa yang disebut transfer data internasional: dengan penetapan jaminan yang lebih ketat dan mekanisme pemantauan terkait dengan transfer data internasional di luar Uni Eropa.
Segel dan sertifikasi: diharapkan segel dan sertifikasi kepatuhan akan dibuat yang memungkinkan akreditasi Akuntabilitas oleh organisasi.
Kewajiban untuk mendaftarkan file menghilang, yang digantikan oleh kontrol internal dan, dalam beberapa kasus, inventaris operasi pemrosesan data yang dilakukan, yang dapat dilihat memiliki konten yang mirip dengan yang saat ini terdapat dalam formulir di pertanyaan.
Sanksi: jumlah sanksi untuk pelanggaran aturan bertambah, mencapai 20 juta euro atau 4% dari omset global tahunan (tidak dikecualikan dari denda untuk Administrasi Publik, meskipun Negara Anggota mungkin setuju untuk melakukannya).
Hak baru diberikan oleh regulasi
Transparansi dan informasi. Organisasi, ketika memproses data pribadi, harus memberikan lebih banyak informasi dan dengan cara yang lebih mudah dipahami, lengkap dan sederhana, yang akan mendukung pengambilan keputusan oleh warga negara. Pertimbangan khusus diberikan kepada anak di bawah umur pada saat ini.
Persetujuan. Persetujuan untuk dapat memproses data pribadi harus tegas, bebas dan dapat dibatalkan dan harus diberikan melalui tindakan afirmatif yang jelas. Persetujuan diam-diam tidak diperbolehkan.
Hak untuk dilupakan. Persetujuan yang diberikan untuk pemrosesan data pribadi dapat dicabut kapan saja, karena dapat menuntut penghapusan dan penghapusan data di jejaring sosial atau mesin pencari internet.
Hak untuk membatasi perawatan yang dipermasalahkan. Ini memungkinkan warga untuk meminta pemblokiran sementara atas pemrosesan data mereka ketika ada kontroversi tentang legalitasnya.
Portabilitas data. Warga negara akan diizinkan untuk meminta transfer data pribadi dari satu penyedia layanan Internet ke penyedia layanan lainnya.
Keluhan. Keluhan dapat diajukan melalui asosiasi pengguna.
Kompensasi dan hukuman untuk ketidakpatuhan. Kemungkinan menuntut kompensasi atas kerusakan yang berasal dari perlakuan tidak sah atas data pribadi diakui.
Orang yang bertanggung jawab atas arsip tersebut dapat menetapkan biaya untuk menjawab pelaksanaan hak akses, dengan mempertimbangkan biaya administrasi yang ditimbulkannya.
Pertimbangan tentang penerapannya yang benar
Terlepas dari hal-hal tersebut di atas, masih banyak aspek yang masih menunggu perkembangan dan konkretnya yang diatur dalam peraturan ini. Dalam pengertian ini, perlu dicatat bahwa Negara Anggota, otoritas kontrol, Komite Perlindungan Data Eropa dan Komisi harus menentukan banyak elemen yang muncul di RGPD yang terlalu ambigu atau tidak jelas.
Bagaimanapun, ketentuan yang terkandung dalam Peraturan secara langsung berlaku di masing-masing Negara Anggota, tanpa perlu perubahan posisi, dan mewajibkan perusahaan swasta dan lembaga publik untuk menghadapi proses penting penyesuaian kembali peraturan.
Namun, RGPD tidak serta merta mencabut LOPD dan peraturan pelaksanaannya. Ini hanya menggantikan ini sejauh mereka tidak sesuai dengannya. Di area di mana ketidakcocokan tersebut tidak terjadi, kedua peraturan akan hidup berdampingan, yang menyebabkan banyak masalah praktis dan interpretatif, penyelesaiannya akan membutuhkan bantuan profesional khusus yang menawarkan jaminan yang memadai. Sementara di sisi lain, proses adaptasi ulang tidak mudah secara teknis, sehingga penting bagi perusahaan untuk memiliki penasihat hukum khusus yang menawarkan jaminan yang memadai.
Dapatkan layanan perlindungan data
Cara yang baik untuk mendapatkan layanan perlindungan data adalah dengan meminta penawaran dari Asosiasi Perusahaan Perlindungan Data (AEPD.org). Dalam hal ini, AEPD.org memiliki perubahan resmi di antara perusahaan terkaitnya. Pengoperasiannya sederhana: Anda harus meminta anggaran dari AEPD.org dan asosiasi yang sama ini mendistribusikannya di antara rekanannya, mencoba memastikan bahwa pelanggan akhir menerima nasihat yang baik.
Jika Anda tidak membuka AEPD.org, satu-satunya cara untuk mendapatkan perkiraan adalah mengunjungi satu per satu situs web perusahaan perlindungan data. Prosedur ini lebih lambat, tetapi juga efektif. Dalam beberapa minggu mendatang kami akan membuat dan menerbitkan daftar perusahaan LOPD, untuk mempermudah pengoperasian ini. Untuk saat ini, mungkin pilihan terbaik adalah pergi ke Association of Data Protection Companies.
Kesimpulan terakhir
Persetujuan harus diberikan melalui tindakan afirmatif yang jelas yang mencerminkan manifestasi yang bebas, spesifik, terinformasi, dan tegas dari pihak yang berkepentingan untuk menerima pemrosesan data pribadi tentang dirinya, seperti pernyataan tertulis, termasuk melalui sarana elektronik, atau pernyataan lisan.
Ini dapat mencakup mencentang kotak di situs web di internet, memilih parameter teknis untuk penggunaan layanan masyarakat informasi, atau pernyataan atau perilaku lain yang secara jelas menunjukkan dalam konteks ini bahwa pihak yang berkepentingan menerima perlakuan yang diusulkan atas informasi pribadi mereka. Oleh karena itu, diam, kotak centang atau tidak bertindak seharusnya bukan merupakan persetujuan.
Persetujuan harus diberikan untuk semua aktivitas pemrosesan yang dilakukan untuk tujuan yang sama atau sama. Ketika pengobatan memiliki beberapa tujuan, persetujuan harus diberikan untuk semuanya. Jika persetujuan dari pihak yang berkepentingan harus diberikan sebagai hasil dari permintaan melalui sarana elektronik, permintaan tersebut harus jelas, ringkas dan tidak mengganggu penggunaan layanan yang disediakan.