Kewajiban Prosesor dan Pengontrol Berdasarkan GDPR: Lembar Cheat

Diterbitkan: 2021-08-18

Dalam melanjutkan seri blog kami tentang Peraturan Perlindungan Data Umum (GDPR) yang akan datang, kami akan menghabiskan beberapa menit untuk menjelaskan berbagai kewajiban yang dikenakan GDPR pada pengontrol data dan pemroses data , kemudian meninggalkan Anda dengan lembar contekan dengan beberapa cepat poin tindakan untuk membantu Anda mengidentifikasi tugas apa yang Anda, khususnya, mungkin perlukan untuk memastikan Anda memiliki kepatuhan.

Tapi pertama-tama, beberapa definisi.

GDPR mendefinisikan pengontrol data dalam Pasal 4(6) sebagai:

orang perseorangan atau badan hukum, otoritas publik, badan atau badan lain yang, sendiri atau bersama-sama dengan orang lain, menentukan tujuan dan sarana pemrosesan data pribadi”

Sedangkan pengolah data (Pasal 4(7)) adalah:

“orang perseorangan atau badan hukum, otoritas publik, lembaga atau badan lain yang memproses data pribadi atas nama pengontrol”

Untuk memberikan contoh yang lebih konkrit: jika Anda adalah pengecer online widget, dan Jane Doe mendaftar ke milis Anda berharap untuk mempelajari lebih lanjut tentang widget Anda (atau mungkin untuk mengintai sampai Anda memiliki penjualan), Anda mungkin akan kumpulkan alamat emailnya—dan mungkin informasi kontak lainnya—saat dia mendaftar. Selamat! Anda baru saja menjadi pengontrol data pribadi Jane Doe. Dia setuju untuk menerima pesan pemasaran dari Anda, dan Anda sebagai pengontrol data dapat menentukan kapan dan bagaimana mengirim email tersebut.

Sekarang katakanlah Anda tidak benar-benar mengirim email pemasaran Anda sendiri, mungkin Anda menyewa penyedia layanan email (ESP) untuk membantu Anda menyusun konten, menjadwalkan email, dan melacak serta melaporkan pengiriman. ESP tidak akan memiliki hak untuk melakukan apa pun yang mereka inginkan dengan data Jane, mereka hanya berhak membantu Anda merancang kampanye, mengirim email, dll., atas permintaan Anda. ESP dalam hal ini adalah pengolah data.

Di jalan, Anda memutuskan untuk melakukan upaya pemasaran merek bersama dengan Mitra A dekat Anda (yang dalam hal ini tidak apa-apa, karena ketika Jane mendaftar, Anda mendapat persetujuannya untuk membagikan datanya dengan Mitra A untuk tujuan ini). Melalui proses negosiasi, Anda telah memutuskan untuk menggunakan ESP Mitra A daripada milik Anda untuk mengirim kampanye. Jadi Anda mengirim daftar pelanggan Anda (termasuk data Jane) ke mitra Anda, yang mengunggahnya ke ESP mereka. Email akan dikirim.

Berdasarkan berbagi data Jane dengan Mitra A untuk kegiatan pemasaran bersama, Anda telah menjadikan Mitra A sebagai pengontrol bersama data Jane. Partner A akan terus menggunakan data Jane di luar lingkup hubungan Anda dengan Jane. ESP Mitra A masih merupakan pemroses data dan harus mematuhi persyaratan Anda dan Mitra A, tetapi Anda juga baru saja memperkenalkan beberapa kerumitan pada hubungan Anda dengan Jane yang harus dilacak oleh GDPR.

Di bawah GDPR, sebagai pemilik data mereka, subjek data diberikan hak, seperti: (Perhatikan bahwa ini bukan daftar lengkap.)

  • Pasal 15 (hak untuk mengakses): Jane dapat menulis surat kepada Anda dan meminta salinan data pribadi yang telah Anda kumpulkan darinya. Anda, sebagai pengontrol data, akan diminta untuk memenuhi permintaan ini dalam waktu 30 hari sejak diterimanya permintaannya;
  • Pasal 16 (hak untuk memperbaiki): jika Jane menemukan data yang Anda miliki tentang dia tidak akurat atau tidak lengkap, dia dapat meminta Anda untuk memperbaruinya (seperti mengubah alamat emailnya, atau mengubah ejaan namanya di database Anda);
  • Pasal 17 (hak untuk menghapus): Jane dapat meminta Anda untuk menghapus semua datanya. Mungkin dia menarik persetujuannya untuk menerima pesan di masa mendatang dari Anda, atau mungkin dia berpikir kampanye yang Anda targetkan kepadanya sedang menuju ke arah yang salah, dan dia ingin memulai dari awal;
  • Pasal 18 (hak atas pembatasan pemrosesan): Mungkin Anda sudah mulai melacak buka dan klik Jane (pelacakan berbasis perilaku), tetapi menurut Jane, dia tidak mengizinkan Anda melakukan itu (Menurut GDPR, pelacakan berbasis perilaku akan membutuhkan persetujuan. Anda tidak bisa hanya berasumsi bahwa Anda bisa melakukannya). Jane dapat meminta Anda untuk berhenti melacak pembukaan dan kliknya sampai Anda berdua memilah apa yang sebenarnya dia setujui;
  • Pasal 20 (hak atas portabilitas data): Dalam beberapa kasus, Jane berhak meminta Anda untuk meng-zip datanya dan mentransfernya ke salah satu pesaing Anda. (Ya! Sungguh. Ini dimaksudkan untuk membantu Jane memindahkan datanya—misalnya—dari satu penyedia ponsel ke penyedia ponsel lainnya, atau untuk memindahkan kehadiran media sosialnya dengan mudah dari satu aplikasi ke aplikasi lain. Jika Anda memproses datanya melalui “performa kontrak” atau “berdasarkan persetujuan”, ketentuan ini dapat berlaku untuk Anda.

Jika Jane memutuskan untuk menggunakan haknya dan meminta Anda menghapus datanya, dalam paradigma pengontrol-prosesor tunggal, itu cukup mudah. Anda menghapus datanya dari sistem Anda dan meminta prosesor Anda (ESP Anda) untuk menghapusnya juga dari mereka.

Namun, dalam model pengontrol bersama, sesuai Pasal 17(2), Anda tidak hanya perlu menghapusnya dari infrastruktur prosesor dan Anda, tetapi Anda juga harus:

“mengambil langkah-langkah yang wajar, termasuk langkah-langkah teknis, untuk memberi tahu pengontrol yang memproses data pribadi bahwa subjek data telah meminta penghapusan”

Dengan kata lain, Anda harus menyimpan catatan yang sangat hati-hati tentang tempat Anda mengirim data Jane dan memulai permintaan penghapusan data atas nama Jane ke pengontrol bersama lain yang mungkin memiliki datanya. Pengontrol bersama itu kemudian juga perlu menjangkau prosesor apa pun yang mereka gunakan, dan menghapus data Jane dari sistem itu juga.

Dan itu baru awal dari kewajiban Anda sebagai pengolah data dan pengontrol informasi Jane. Lihat di bawah untuk daftar singkat tentang apa yang akan diperlukan di bawah GDPR, bersama dengan di mana Anda dapat menemukan detail lebih lanjut di GDPR.

Keamanan data
 Kewajiban pengontrol:Menerapkan langkah-langkah teknis dan organisasi yang tepat untuk melindungi keamanan data.

  • Enkripsi, nama samaran data jika sesuai
  • Kemampuan untuk memastikan kerahasiaan, integritas, dan ketahanan data
  • Proses untuk menguji, menilai, dan mengevaluasi keamanan secara berkala
  • Dokumentasikan upaya Anda.

Kewajiban prosesor:Menerapkan langkah-langkah teknis dan organisasi yang tepat untuk melindungi keamanan data.

  • Enkripsi, nama samaran data jika sesuai
  • Kemampuan untuk memastikan kerahasiaan, integritas, dan ketahanan data
  • Proses untuk menguji, menilai, dan mengevaluasi keamanan secara berkala
  • Dokumentasikan upaya Anda.

Artikel GDPR:Seni. 32 Keamanan Pemrosesan

Pemberitahuan Pelanggaran
 Kewajiban pengontrol:

  • Menginformasikan otoritas pengawas dalam waktu 72 jam dari pelanggaran jika risiko tinggi cenderung data subyek
  • Pemberitahuan subjek data, jika sesuai

Kewajiban prosesor:

  • Beri tahu pengontrol tanpa penundaan yang tidak semestinya setelah mengetahui pelanggaran

Artikel GDPR:Seni. 33 Pemberitahuan pelanggaran data
Seni. 34 Komunikasi pelanggaran data ke subjek data

Prinsip Pemrosesan Data
 Kewajiban pengontrol:

  • Memastikan data diproses secara sah dan transparan kepada subjek data
  • Memastikan data dikumpulkan dan diproses untuk tujuan tertentu, dan tidak dengan cara yang tidak sesuai dengan tujuan awal.
  • Pastikan data yang dikumpulkan akurat dan terkini
  • Pastikan Anda dapat menunjukkan kepatuhan

Artikel GDPR:Seni. 5 Prinsip yang berkaitan dengan pemrosesan data pribadi
Seni. 6 Keabsahan pemrosesan

Pemberitahuan Privasi
 Kewajiban pengontrol:

  • Harus tersedia untuk subjek data.
  • Jelaskan data apa yang akan dikumpulkan dan untuk tujuan apa.
  • Perinci semua penerima yang akan menerima data, termasuk apakah akan ditransfer ke luar EEA, dan bagaimana data akan dilindungi dengan transfer selanjutnya.
  • Jika ada kepentingan yang sah dalam mengumpulkan dan/atau memproses data.
  • Jelaskan periode penyimpanan dan/atau penyimpanan data, atau kriteria yang digunakan untuk menentukan periode penyimpanan.
  • Jelaskan hak subjek data, dan bagaimana subjek data dapat menggunakan haknya.
  • Detail seputar penggunaan pengambilan keputusan otomatis.

Artikel GDPR:Seni. 12 Informasi, komunikasi, dan modalitas yang transparan untuk pelaksanaan hak-hak subjek data
Seni. 13 Informasi yang akan diberikan di mana data pribadi dikumpulkan dari subjek data
Seni. 14 Informasi yang akan diberikan jika data pribadi belum diperoleh dari subjek data

Persyaratan Kontrak dengan Prosesor
 Kewajiban pengontrol:

  • Hanya gunakan pemroses yang dapat memenuhi peraturan GDPR.
  • Hanya gunakan prosesor yang dapat melindungi data subjek data dengan tepat.
  • Jelaskan materi pelajaran, durasi, dan sifat kegiatan pemrosesan.
  • Menjelaskan sifat dan tujuan pengolahan.
  • Jelaskan jenis data pribadi yang sedang diproses.
  • Jelaskan kategori subjek data yang sedang diproses.

Kewajiban prosesor:

  • Hanya memproses data pada instruksi terdokumentasi dari pengontrol
  • Pastikan semua individu yang berwenang untuk memproses data telah berkomitmen pada perjanjian kerahasiaan
  • Membantu pengontrol dalam menangani permintaan hak akses subjek data
  • Membantu pengontrol dengan kewajiban seputar keamanan dan permintaan dari otoritas pengawas.
  • Tersedia dan dapat membantu pengontrol dengan kewajiban kepatuhan
  • Hapus atau kembalikan semua data atas permintaan atau persyaratan pengontrol
  • Uraikan semua transfer data di luar EEA dan jelaskan perlindungan yang akan melindungi data
  • Berkontribusi pada audit yang dilakukan oleh pengontrol atau otoritas lain yang diperlukan
  • Pastikan setiap keterlibatan sub-pemroses memenuhi kewajiban yang sama yang disyaratkan oleh pengontrol.
  • Hanya libatkan sub-prosesor setelah disetujui oleh pengontrol.

Artikel GDPR:Seni. 24 Tanggung Jawab Pengendali
Seni. 28 Prosesor
Seni. 29 Pemrosesan di bawah otoritas pengontrol atau prosesor

Mengadopsi Praktik Perlindungan Data
 Kewajiban pengontrol:

  • Mampu menunjukkan prinsip-prinsip minimalisasi data, dan perlindungan data dengan desain dan/atau default digunakan, jika sesuai
  • Melakukan penilaian dampak privasi pada aktivitas pemrosesan apa pun yang mungkin menimbulkan risiko bagi subjek data

Artikel GDPR:Seni. 5 Prinsip yang berkaitan dengan pemrosesan data pribadi
Seni. 25 Perlindungan Data Berdasarkan Desain dan Default
Seni. 35 Penilaian dampak Perlindungan Data

Simpan Catatan Kegiatan Pemrosesan
 Kewajiban pengontrol:

  • Nama/info kontak pengontrol data dan DPO, atau perwakilan UE
  • Dokumentasikan kategori subjek data, kategori data pribadi, dan penerima data
  • Dokumentasikan dasar hukum untuk transfer data apa pun di luar EEA dan jelaskan perlindungan yang akan melindungi data
  • Jangka waktu penyimpanan data
  • Mendokumentasikan dasar yang sah untuk kegiatan pengolahan data

Kewajiban prosesor:

  • Nama/info kontak pengontrol data dan DPO
  • Kategori pemrosesan yang dilakukan untuk pengontrol

Artikel GDPR:Seni. 30 Catatan Kegiatan Pemrosesan

Ini banyak yang harus diambil, dan mungkin tampak seperti banyak pekerjaan. Namun dalam jangka panjang, ini akan membuat Anda dan mitra Anda mematuhi hukum Eropa, dan melindungi hak subjek data Anda . Mencari lebih banyak wawasan GDPR? Anda dapat menemukan informasi lebih lanjut dalam kategori GDPR di blog kami dan di webinar sesuai permintaan kami: Jalan Menuju GDPR.