Glosarium GDPR: Perincian untuk Orang Sibuk

Diterbitkan: 2018-02-16

Prinsip utama GDPR: Presentasikan kebijakan data Anda kepada pengguna tanpa "hukum".

JADI MENGAPA MEREKA MEMBERI KITA 200 HALAMAN JARGON OTAK UNTUK DIBACA?

Melewati Peraturan Perlindungan Data Umum yang baru sangatlah penting.

Tapi itu sama menyenangkannya dengan menonton turnamen golf yang diputar dalam gerakan lambat.

Jadi, inilah rincian dari arti semua istilah hukum ini—ditulis dalam kalimat yang tidak akan membuat Anda tertidur di tengah jalan.

Jangan ragu untuk CTRL+F jalan keluar dari sakit kepala.

definisi

Binding Corporate Rules (BCRs) : Memiliki data pribadi di UE? Ingin mentransfernya ke orang-orang di organisasi multinasional Anda. di luar UE? BCR adalah aturan yang harus Anda ikuti.

Data Biometrik : “Data tubuh.” Jika itu dapat mengidentifikasi Anda dan ada hubungannya dengan ciri-ciri fisik, fisiologis, atau perilaku—ini dia.

PERSETUJUAN : Ini adalah salah satu yang besar. MENDAPATKAN PERSETUJUAN UNTUK MENGGUNAKAN DATA PRIBADI SESEORANG SEKARANG RUMIT.

Itu harus:

diberikan secara bebas
spesifik
setuju
eksplisit

Jadi…jika Anda akan mengirim email kepada seseorang, Anda harus mendapatkan persetujuan mereka untuk dikirimi email. Akan menggunakan cookie? Anda memerlukan persetujuan khusus untuk itu juga.

Anda telah meminta persetujuan orang secara mandiri. Anda tidak dapat menggabungkannya dengan kotak centang yang sama dengan kebijakan privasi Anda.

Dan Anda tidak dapat mencentang kotak "Saya menyetujui ____". Mereka harus melakukannya sendiri.

Anda tidak dapat menulis penafian kuno "Situs ini menggunakan cookie, dengan berada di sini, Anda keren dengan itu" dan mengharapkannya untuk terbang.

Orang-orang telah memahami bagaimana Anda menggunakan data mereka. Mereka harus memberi Anda OK untuk menggunakannya seperti itu.

Itu banyak.

Kami menulis lebih banyak tentangnya di sini.

Data Mengenai Kesehatan : Seperti apa (alhamdulillah).

Pengontrol Data : Jika Anda seorang pemasar, itu mungkin Anda. Siapa saja yang meminta, mengumpulkan, dan menggunakan data pribadi, dengan cara apa pun. Jika Anda memprosesnya, jika Anda menyimpannya, jika Anda menentukan bagaimana data orang akan digunakan—Anda adalah pengontrol data. Selamat!

Penghapusan Data: AKA: “Hak untuk Dilupakan.” Ini hanya berarti subjek data (manusia) dapat memilih untuk menghapus data apa pun yang Anda miliki. Mereka mengucapkan kata, dan Anda harus menghapus data mereka, berhenti menggunakannya, dan berhenti menyebarluaskan (kotor), dengan cara apa pun.

Portabilitas Data : Jika seseorang datang kepada Anda dan berkata “HEI, saya ingin salinan semua data yang Anda miliki tentang saya”—Anda harus mengatakan “tentu, ini dia.” Dan Anda harus memberikan salinan data tersebut kepada mereka dalam format yang dapat dengan mudah mereka berikan kepada orang lain. (Info lebih lanjut tentang itu tinggal di sini)

Pemroses Data : Apa pun yang Anda (pengontrol data) gunakan untuk mengumpulkan dan memproses data. Banyak alat pemasaran Anda adalah pemroses data (berpikir, alat analitik, alat pengujian A/B, plugin, dan sejenisnya).

Otoritas Perlindungan Data : Orang-orang menakutkan yang akan memastikan Anda mengikuti aturan. Ini adalah otoritas nasional yang bertanggung jawab untuk melindungi data dan privasi–dan memantau penegakan GDPR di dalam UE.

Petugas Perlindungan Data : Seseorang yang harus Anda tunjuk untuk menangani semua kegilaan peraturan ini jika Anda adalah perusahaan yang lebih besar dari 250 orang (tapi sejujurnya, GDPR tidak dapat memutuskan berapa angka yang seharusnya). Ini adalah pakar privasi data yang akan bekerja dengan Anda secara independen dan membuat Anda tetap sejalan dengan GDPR.

Subjek Data : Manusia—yang memiliki data, yang Anda miliki, lihat, atau gunakan.

Delegated Acts : “Hukum bonus” yang menyenangkan yang melengkapi yang sudah ada, untuk memberikan lebih banyak kejelasan atau kriteria. Harapkan banyak ini dari negara-negara UE independen yang bergerak maju.

Pengurangan : Pengecualian terhadap hukum!

Arahan : Ini adalah undang-undang yang menetapkan "tujuan" untuk semua negara UE. Kemudian masing-masing negara membuat undang-undang nasionalnya sendiri untuk memenuhi tujuan itu.

Data Terenkripsi : Kurang lebih: Anda melindungi data pribadi dengan mengacaukan semuanya. Enkripsi data memastikan bahwa hanya orang dengan akses tertentu yang dapat mengakses atau membaca data yang Anda simpan. Sejauh langkah-langkah keamanan pergi, itu ide yang sangat bagus.

Perusahaan : Segala sesuatu yang terlibat dalam kegiatan ekonomi—terlepas dari "bentuk hukumnya". Jadi orang, organisasi, asosiasi, sebut saja. Siapa pun yang membuat atau mengacaukan uang.

Sistem Pengarsipan : GDPR berlaku di dua tempat: untuk sistem otomatis (menyimpan barang di komputer dan di database), atau, untuk salinan cetak, di "sistem pengarsipan yang relevan." Sistem pengarsipan adalah “relevan” jika dapat dicari, atau diakses dengan kriteria tertentu—seperti nama, nomor ID, nomor telepon, dll.)

Jadi, jika Anda membuang semua data SDM Anda ke dalam kotak yang tidak bertanda dan tidak terorganisir—Anda mungkin tidak perlu mengkhawatirkannya untuk GDPR. Anda hanya perlu khawatir tentang mereka, karena Anda tahu, setiap alasan lainnya.

Data Genetik : Situs resmi UE mendefinisikan ini tetapi, ayolah. Anda tahu apa itu genetika.

Group of Undertakings : Ada banyak kasus hukum yang harus disaring untuk memahami apa itu "usaha"—tetapi kurang lebih sampai pada ini: suatu usaha adalah ketika satu perusahaan memiliki kendali atas perusahaan lain. Dan kontrol, dalam hal ini, berarti kemampuan untuk menjalankan “pengaruh yang menentukan”.

Contoh: orang tua memiliki kepemilikan saham mayoritas di anak perusahaan. Diasumsikan mereka dapat melakukan kontrol. Itu adalah usaha.

Dan sekelompok usaha adalah sekelompok dari mereka.

Instansi Utama : Hal ini kurang lebih berkaitan dengan tempat pelaksanaan pengawasan. Ini adalah tempat di dalam serikat pekerja di mana keputusan seputar pemrosesan data dibuat. Artinya—jika Anda memproses data Anda di Jerman, bahkan jika Anda berbasis di tempat lain, "perusahaan utama" Anda ada di Jerman.

DATA PRIBADI : SATU BESAR LAIN. Data pribadi adalah setiap informasi yang berhubungan dengan seseorang dan dapat digunakan untuk mengidentifikasi mereka. Ini termasuk data yang secara tidak langsung dapat mengidentifikasi mereka, atau mengidentifikasi mereka ketika digabungkan dengan data masuk lainnya.

Ini berbeda dengan PII (informasi pengenal pribadi) . Dan itu adalah definisi yang lebih ketat daripada yang pernah kita lihat sebelumnya.

Berikut uraian lengkapnya:

Data Identifikasi Pribadi (PII)

Data pribadi

Nama lengkap (jika tidak umum)
Alamat rumah
Alamat email
Nomor identifikasi nasional
Nomor paspor
Nomor plat kendaraan
Nomor SIM
Wajah, sidik jari, atau tulisan tangan
Nomor kartu kredit
Identitas digital
Tanggal lahir
Tempat lahir
Informasi genetik
Nomor telepon
Nama login, nama layar, nama panggilan, atau pegangan

Nama lengkap (jika tidak umum)
Alamat rumah
Alamat email
Nomor identifikasi nasional
Nomor paspor
Nomor plat kendaraan
Nomor SIM
Wajah, sidik jari, atau tulisan tangan
Nomor kartu kredit
Identitas digital
Tanggal lahir
Tempat lahir
Informasi genetik
Nomor telepon
Nama login, nama layar, nama panggilan, atau pegangan

Alamat IP
Pengidentifikasi unik seperti ID Perangkat, ID Pengguna, ID Transaksi, ID Cookie
Data pseudonim (itu data yang tidak dapat dikenali + kunci di tempat yang berbeda untuk membuatnya dapat dibaca kembali)

Pelanggaran Data Pribadi : "Ups" yang besar. Ini adalah kapan saja seseorang dapat secara tidak sengaja, atau melawan hukum, mengakses, menghancurkan, atau menyalahgunakan data pribadi yang Anda simpan. Di bawah GDPR, Anda harus memberi tahu semua subjek data Anda tentang salah satunya dalam waktu 72 jam.

Privasi menurut Desain : Berhentilah menunda-nunda. Saat Anda membangun sistem yang menangani data—antarmuka, situs web, apa pun—Anda harus memikirkan perlindungan data SEBELUM Anda memulai. Ini harus dirancang dengan mempertimbangkan hak data. Mereka seharusnya tidak menjadi edisi menit terakhir.

Penilaian Dampak Privasi : Suatu hal yang harus Anda (bersama dengan Petugas Perlindungan Data) Anda lakukan! Pada dasarnya, ini hanya mengaudit potensi risiko privasi. Ini berarti melihat data pribadi Anda, bagaimana data itu diproses, dan apa yang Anda lakukan saat ini untuk melindunginya.

Pemrosesan : APA PUN yang Anda lakukan dengan data pribadi—secara manual, atau otomatis. Mengumpulkannya, merekamnya, menggunakannya. Data pribadi begitu banyak berkedip di layar Anda, dan itu diproses.

Pembuatan profil : Jika Anda mengotomatiskan data pribadi, dan menganalisisnya untuk memprediksi perilaku seseorang (khusus)—yang dianggap sebagai pembuatan profil.

Pseudonimisasi – Anda memiliki data pribadi. Anda memprosesnya dengan cara di mana Anda tidak dapat mengaitkannya ke subjek data lagi—setidaknya, bukan tanpa informasi lain yang disimpan secara terpisah. Contoh klasiknya adalah mengganti data yang dapat diidentifikasi dengan nilai yang dapat dibalik dan konsisten—seperti rangkaian angka acak—yang nantinya dapat "dibuka", dan diatribusikan kembali.

Ini berbeda dari data yang sebenarnya dianonimkan: di mana bagian informasi yang dapat diidentifikasi dihancurkan secara total.

Teknik mana yang "dihitung" sebagai nama samaran di bawah GDPR belum sepenuhnya ditentukan, dan ada banyak area abu-abu mengenai jenis data apa yang dianggap sebagai "kemungkinan untuk diidentifikasi," atau "kemungkinan besar" untuk diidentifikasi.

Tetapi ada beberapa insentif GDPR yang mewah untuk memalsukan data pribadi Anda. Anda dapat menemukannya di Recital 29.

Misalnya, saat Anda mengumpulkan data pribadi standar dan reguler, Anda hanya dapat menggunakannya untuk alasan yang secara eksplisit “diperkenankan” oleh subjek data. Tetapi dengan pseudonimisasi, Anda memiliki sedikit lebih banyak waktu untuk memproses data—bahkan jika itu untuk tujuan yang berbeda dari yang awalnya dikumpulkan.

Penerima – Seseorang yang data pribadinya diungkapkan.

Regulasi – Hukum, yang mengikat dan berlaku di seluruh UE.

Perwakilan – Jika orang-orang yang mengabaikan kepatuhan GDPR perlu menghubungi pengontrol data (yaitu perusahaan Anda) untuk mengatasi masalah, mereka akan menghubungi perwakilan Anda. Perwakilan harus berada di Serikat dan secara eksplisit ditunjuk untuk tugas tersebut.

Hak untuk Dilupakan : Lihat Penghapusan Data, di atas.

Hak Akses / Hak Akses Subjek : Jika Anda memiliki data pribadi seseorang, mereka dapat meminta akses ke sana. Anda harus bisa memberikannya kepada mereka.

Otoritas Pengawas : Setiap negara anggota UE akan menunjuk otoritas publik untuk mengawasi kepatuhan GDPR. Itu adalah otoritas pengawas (tetapi Anda mungkin juga mengetahuinya sebagai DPA, atau Otoritas Perlindungan Data).

Trilog – Setelah semua orang membaca draf pertama undang-undang yang diusulkan, Komisi Eropa, Parlemen Eropa, dan Dewan Uni Eropa bertemu secara informal untuk bernegosiasi. Pertemuan-pertemuan itu disebut trilog dan diadakan agar teks kompromi dapat diadopsi dengan cepat.

Akronim:

BCR : Aturan Perusahaan yang Mengikat (lihat di atas)

CFR : Piagam Hak-Hak Dasar Uni Eropa

CJEU : Pengadilan Uni Eropa.

DPA : Otoritas Perlindungan Data (Lihat Otoritas Pengawas)

DPO : Petugas Perlindungan Data

ECHR : Konvensi Eropa tentang Hak Asasi Manusia.

EDPB : Dewan Perlindungan Data Eropa

DEPS : Pengawas Perlindungan Data Eropa

EEA : Wilayah Ekonomi Eropa (28 negara anggota UE, ditambah Islandia, Liechtenstein, dan Norwegia)

TFEU : Traktat tentang Berfungsinya Uni Eropa.

WP29 : Partai Pekerja Pasal 29. Itu adalah dewan penasihat tingkat UE, terdiri dari DPA nasional. Tetapi EDPB kurang lebih telah menggantikannya di bawah GDPR.