Seperti kebanyakan peraturan, GDPR bukan daftar aturan yang jelas tentang apa yang harus dilakukan dan apa yang tidak. Karenanya, pertanyaan mengenai hal itu seringkali terlalu luas untuk ditangani di situs tanya jawab. Ada banyak mitos dan penyederhanaan yang salah di sekitar peraturan, dan seluruh industri didasarkan pada ketakutan akan sanksi yang diberlakukan oleh peraturan tersebut.
Jawaban ini mencoba memberikan gambaran praktis tentang subjek. Saya bukan pengacara, tapi saya sudah menangani masalah ini hampir sejak diperkenalkan, pertama dengan pendekatan pengumpulan -tunggu informasi , dan saat ini dengan pendekatan praktis, semacam prioritas dan berulang-ulang.
Kami belum (belum) tahu bagaimana peraturan akan ditafsirkan oleh pengadilan, dan banyak perusahaan masih menunggu untuk melihat tindakan apa yang diambil orang lain. Karena Kesalahan Server adalah untuk para profesional TI, kami bukan pengacara yang dapat menafsirkan peraturan dan hubungannya dengan undang-undang lainnya. Bahkan jika kita bisa, pertanyaan gaya T / A akan sangat panjang untuk memiliki semua informasi terperinci yang diperlukan untuk menjawab: Kepatuhan GDPR bukan masalah tindakan individu, tetapi seluruh strategi di dalam perusahaan Anda. Jika Anda perlu mengajukan pertanyaan seperti itu, Anda mungkin perlu menyewa konsultan atau bahkan pengacara. Namun, banyak yang akan bertahan tanpa satu.
Anda harus membuat (mungkin dengan beberapa nasihat hukum) strategi Anda sendiri dan, berdasarkan itu, memutuskan tindakan apa yang Anda lakukan untuk mematuhi GDPR. Ketika Anda mencoba menerapkan perubahan-perubahan itu dalam sistem informasi aktual, Anda mungkin menghadapi masalah teknis tentang bagaimana sesuatu harus dicapai. Saat itulah pertanyaannya telah dipersempit ke lingkup Kesalahan Server!
Untuk memulai, Anda harus tahu untuk apa peraturan itu. Ini pada dasarnya kerangka hukum untuk memastikan bahwa data pribadi ditangani dengan hati-hati selama masa hidupnya, dari pengumpulan hingga penghapusan. GDPR Pasal 5 menjelaskan prinsip-prinsip untuk memproses data pribadi, singkatnya:
- keabsahan, keadilan dan transparansi
- batasan tujuan
- minimalisasi data
- ketepatan
- batasan penyimpanan
- integritas dan kerahasiaan.
GDPR memberikan subyek data yaitu warga negara mengontrol data pribadi mereka, dan alat untuk memastikan prinsip-prinsip ini telah dihormati. Itu termasuk hak untuk mengakses data sendiri, untuk mengoreksi dan memindahkannya, dan menghapusnya yaitu hak untuk dilupakan (jika tidak ada undang-undang lain yang mengharuskan pelestariannya). Ini juga memberikan kemungkinan sanksi, dan perusahaan Anda mungkin perlu menunjuk petugas perlindungan data .
Sebagian besar prinsip telah diterapkan dalam hukum nasional (karena Directive Perlindungan Data 95/46 / EC), yang membuat perubahan sangat terbatas untuk perusahaan di dalam UE. Perusahaan di luar UE mungkin memiliki sedikit lebih banyak yang harus dilakukan jika mereka memproses data pribadi warga negara UE.
Satu hal utama yang berubah adalah akuntabilitas , yang paling baik dicapai dalam praktik dengan mendokumentasikan prosedur Anda secara menyeluruh:
- bagaimana dan mengapa data pribadi dikumpulkan
- apa yang membuat pemrosesan tersebut sah ( persetujuan hanya merupakan satu syarat dari Pasal 6 )
- bagaimana data disimpan dan diproses
- siapa yang memiliki akses ke data dan bagaimana Anda mengontrol dan mengauditnya
- apakah itu dihapus (praktik otomatis / standar) ketika alasan penyimpanan berakhir
- bagaimana Anda menangani risiko yang terlibat yaitu analisis risiko.
Menurut pendapat saya, jika Anda telah dengan hati-hati memikirkan hal-hal ini, memperbaiki masalah dan mengurangi risiko yang Anda temukan, dan kemudian mendokumentasikan semua ini, Anda harus jauh dari sanksi - bahkan jika Anda mengalami gangguan. Akan ada lautan kemungkinan perilaku lalai antara situasi Anda dan jenis perilaku yang membuat seseorang bertanggung jawab atas € 20 juta / 4% dari denda omset .