GDPR: Setelah 25 Mei, Tindakan Jangka Menengah dan Panjang Apa?

GDPR: Setelah 25 Mei, Tindakan Jangka Menengah dan Panjang Apa?

Skenario Setelah Tindakan Kepatuhan GDPR

Apa selanjutnya setelah prosedur kepatuhan GDPR utama? Tindakan apa yang dapat diambil dalam jangka menengah dan panjang? Haruskah kita menunggu hukum untuk kasus atau skenario tertentu?

Di sini, kita akan melihat beberapa rekomendasi dari para ahli.

Pada Mei 25 th, 2018, setelah ketentuan utama diterapkan untuk mematuhi peraturan GDPR yang baru, setiap tindakan baru harus sesuai dari tahap desain dan dilindungi dengan baik. Namun, masih banyak yang harus dilakukan. Ketika poin-poin utama diperlakukan sebagai prioritas, kami harus terus melanjutkan proyek-proyek yang disajikan dalam peta jalan untuk menghindari risiko terkena sanksi dan denda. Aturan tersebut memang menganggap bahwa tugas DPO (petugas perlindungan data) bersifat permanen. Ini adalah bagian dari proses perbaikan berkelanjutan. Oleh karena itu, pertanyaannya adalah melanjutkan penerapan prosedur terbaik. Ini bisa menjadi proyek atau program TI nyata untuk terlibat dalam penundaan tradisional 6 hingga 18 bulan yang telah diamati oleh banyak ahli.

Dalam Menghadapi Resiko Tindakan Kolektif

Tidak ada yang tahu pasti tindakan apa dan kontrol apa yang akan dilakukan. Di sisi lain, harus dipahami bahwa organisasi dihadapkan pada class action oleh pengguna, pelanggan atau konsumen meskipun risiko menjadi pelanggar selalu nyata.

Di antara tempat kerja jangka menengah dan panjang , referensi dapat dibuat tentang hak akses (dengan perbaikan, penentangan, dan penghapusan); serta hak atas portabilitas yang akan memungkinkan pihak yang berkepentingan untuk mengambil file yang dapat dikirim secara elektronik ke pihak ketiga, biasanya jika terjadi perubahan penyedia.

Komponen informasi / komunikasi juga dapat menjadi penting program. Secara khusus, penting untuk bersikap transparan tentang tujuan tindakan. Misalnya, jika saya memberikan detail pribadi saya untuk layanan tertentu; tidak ada pertanyaan untuk menggunakannya untuk tujuan lain.

Oleh karena itu, penting untuk memastikan bahwa modalitas pengumpulan data harus adil, sah, dan transparan. Jika berlaku, untuk pemrosesan kantor belakang di “dekat pantai” atau “lepas pantai”, (misalnya pusat konsultasi atau pemecahan masalah di Asia Tenggara), harus diberitahukan bahwa data kemungkinan besar akan dipamerkan di luar UE.

Peluang Bisnis dan Revisi Strategi Digitalnya

Menghormati regulasi baru dapat membuka peluang komersial yang nyata:

“Jika salah satunya positif, hamparan batasan peraturan ini dapat berubah menjadi tambang emas”.

Dengan mengatur diri mereka sendiri, perusahaan akan dapat mengkomunikasikan kekuatan kompetitifnya kepada pelanggan mereka. Mereka mungkin, misalnya menyatakan bahwa mereka tidak memonetisasikan penggunaan data pribadi atau melakukannya untuk kepentingan mereka dengan mendapatkan keterikatan mereka. Misalnya, pilihan tempat penjualan atau titik kontak yang telah memilih layanan.

Pendekatan seperti itu mendorong pembuatan atau setidaknya pertimbangan ulang strategi digitalnya. Ini mengarah pada restrukturisasi pemrosesan database, termasuk data pribadi. Sebagai contoh, ini menunjukkan bahwa

Saya tidak hanya menghormati peraturan di mata pengguna atau pelanggan saya, tetapi saya mengusulkan kepada mereka, dengan bersikap transparan, untuk memanfaatkan mereka untuk meningkatkan service

Prinsip Tanggung Jawab

Pendekatan transparan ini lebih sesuai untuk semua kelompok utama. Prinsip tanggung jawab antara subkontraktor dan kolektor dan pemegang data (dan tidak pernah menjadi “pemilik” karena data tetap menjadi milik orang-orang). Pengumpul data bertanggung jawab atas penerapan aturan yang benar oleh subkontraktornya.

Maju dalam Hukum dan Informatika

Anda harus pragmatis. Anda perlu campur tangan pada aspek hukum, teknis, serta aspek lainnya dari data tersebut. Ada alat, seperti DPPS (Data Protection Impact Assessment) yang tidak hanya memungkinkan Anda memfasilitasi berbagai tugas tetapi juga kode etik dan panduan praktik yang baik seperti ICO (UK).

Pemetaan data pribadi, dalam file atau aplikasi, dapat melibatkan ratusan tindakan. Oleh karena itu, direkomendasikan untuk merancang rencana prioritas berdasarkan sifat dan sensitivitas data.

Penerapan prosedur keselamatan dan ketertelusuran juga , dengan sendirinya, merupakan proses perbaikan yang berkelanjutan.

Oleh karena itu, kami dipersilakan untuk melakukan diagnostik atau audit kepatuhan perusahaan. Anda kemudian dapat bertindak secara adhoc tergantung pada dasar penilaian dampak. Pada beberapa aspek, mungkin tepat untuk menggunakan beberapa dukungan.

Batasan Enkripsi

Enkripsi disarankan di hulu, terutama dalam hal prosedur pembayaran atau transaksi keuangan seperti protokol Pci-DSS. Tetapi ini bisa sangat membosankan bagi beberapa organisasi. Ini bisa memakan waktu lama, dan mungkin berat untuk basis historis volume besar dan sedikit informasi (seperti file penerima buletin). Tidak disarankan secara sistematis karena ini mungkin tidak proporsional dalam beberapa konteks.

Minimasi, Anonimisasi, dan Pseudonimisasi

Menerapkan prinsip minimisasi memungkinkan untuk mengekspos lebih sedikit data dengan mengumpulkan hanya data yang benar-benar berguna dan diperlukan dalam konteks tujuan yang dinyatakan.

Kita tidak boleh fokus pada pemetaan teknis, tetapi pada identifikasi, hak untuk identitas dalam ruang terbatas, dan kualifikasi. “Bisakah kami menyimpan data ini? Ya, jika kami tidak dapat melakukan sebaliknya”.

Anonimisasi, yang tidak dapat diubah, adalah pendekatan yang baik menurut hukum, jika perlu untuk mengunci kerahasiaan yang kuat, sedangkan pseudonimisasi (yang memungkinkan untuk kembali) tetap bisa diperdebatkan, bahkan jika itu sah secara hukum. Tetapi sekali lagi, prosesnya membosankan dan mahal jika dilakukan setelahnya.

Hak atas Informasi dan Penghapusan

Hak untuk informasi, yang juga merupakan hak untuk mempertanyakan, juga harus tetap menjadi perhatian, “secara proaktif dinamis”.

Kewajiban untuk menghapus atau membersihkan menimbulkan pertanyaan tentang berapa lama data harus disimpan , yang bergantung pada sifatnya dan pada komitmen kontrak atau kondisi umum. Jadi ada dampaknya pada tindakan tersebut. Bab ini juga mengangkat pertanyaan tentang kewajiban menghafal, hak atas sejarah, tetapi juga merujuk pada kebebasan pers, yang bertujuan untuk melestarikan memori akan fakta.

Dalam Jangka Panjang, Yurisprudensi dan Penyesuaian …

Dalam neraca, kepatuhan terhadap GDPR merupakan proses yang berkelanjutan. Peraturan GDPR, itu adalah penggelembungan artikel, dua puluh lebih, dibandingkan dengan hukum 1978, yaitu 99 pasal, yang diperkenalkan oleh 173 'resital' dengan sebanyak mungkin interpretasi. Padahal, tidak ada yang cukup jelas, tetapi kasus litigasi akan fokus pada poin-poin tertentu.

Akhirnya, kami mencatat bahwa taruhannya bersifat global dan frontal. Prinsip hukum adalah bagian terpenting dari GDPR, bagaimanapun, ini bukan masalah kebebasan tetapi tentang martabat, dan penghormatan terhadap martabat masyarakat.