Dua Minggu Menuju Fase Penegakan GDPR, Bagaimana Sekarang?

Diterbitkan: 2018-06-08

Akhirnya terjadi. Peraturan Perlindungan Data Umum akhirnya masuk ke fase penegakannya pada 25 Mei 2018, meme dan semuanya.

Kartun tentang fase persiapan GDPR

Terlepas dari apa yang ditakuti oleh banyak pengiklan, dunia tidak berakhir setelah GDPR memasuki fase penegakannya. Tapi itu berubah. Kredit ilustrasi: Ajarkan Privasi

Apakah industri sudah siap? Apakah pembaruan kebijakan menit terakhir itu cukup? Apa yang terjadi sekarang? Dalam posting blog ini, kita melihat bagaimana pemain utama bersiap untuk tenggat waktu, apa yang akan terjadi dengan GDPR, dan bagaimana perusahaan Anda dapat bekerja menuju kepatuhan mulai sekarang.

Serangan Pertama pada Pemain Terbesar

Tidak butuh waktu lama bagi perusahaan terbesar untuk merasakan sengatan litigasi. Hanya beberapa menit setelah GDPR mulai berlaku , aktivis privasi Max Schrems dan organisasinya None of Your Business menghantam Google dan Facebook dengan tuntutan hukum yang menuduh "persetujuan paksa." Tuntutan hukum mengklaim ketidakpatuhan terhadap aturan GDPR pada persetujuan khusus, karena perusahaan-perusahaan ini memberi pengguna opsi semua-atau-tidak sama sekali — menyetujui persyaratan ini untuk mengakses layanan ini — alih-alih mengizinkan mereka untuk menyetujui beberapa persyaratan dan bukan yang lain.

Google dan Facebook menanggapi dengan bersikeras bahwa mereka telah mengambil langkah-langkah yang memadai untuk mematuhi GDPR.

Kemudian kelompok hak digital Prancis La Quadrature du Net mengikuti , mengajukan keluhan tambahan terhadap Google, Facebook, Apple, Amazon, dan LinkedIn. Keluhan serupa dengan yang dibuat oleh Schrems dan menuduh pelanggaran melalui penggunaan persetujuan paksa. La Quadrature juga berencana untuk mengajukan keluhan resmi terhadap Android, WhatsApp, Instagram, Skype, dan Outlook, meskipun hingga tulisan ini dibuat, belum mengambil tindakan resmi.

Bagaimana Apple, Facebook, dan Google Disiapkan

Meskipun sulit untuk mengatakan apakah keluhan tersebut benar-benar mengejutkan salah satu dari perusahaan-perusahaan ini, banyak dari mereka telah menyampaikan kesiapan umum pada hari-hari menjelang penegakan hukum.

Apple , misalnya, pada akhir Mei 2018 memperkenalkan situs web baru yang menunjukkan kepada pelanggan data pribadi apa yang ada di dalamnya. Pelanggan Apple di UE kini dapat meminta untuk melihat data ini, mulai dari riwayat masuk hingga kontak, kalender, catatan, foto, dan dokumen. Pelanggan juga dapat mengoreksi data, menonaktifkan akun, dan menghapus semua informasi. (Apple saat ini menawarkan layanan ini hanya di negara-negara Uni Eropa, Islandia, Liechtenstein, Norwegia, dan Swiss, tetapi mengatakan berencana untuk memperluas ke negara lain akhir tahun ini.)

Pada April 2018, Facebook memperbarui situs webnya dengan versi persyaratan layanan dan kebijakan data yang lebih jelas , memberi pengguna waktu tujuh hari untuk memberikan umpan balik tentang bahasa baru sebelum menyelesaikan dan meminta pengguna untuk menyetujuinya. Facebook juga mengungkapkan bahwa itu akan merombak dan merampingkan kontrol aplikasi untuk membuat pengaturan lebih mudah ditemukan, dengan mengatakan "alih-alih memiliki pengaturan yang tersebar di hampir 20 layar yang berbeda, mereka sekarang dapat diakses dari satu tempat."

Google adalah salah satu aktor paling awal, karena mereka membuat pembaruan terkait GDPR dan memberi tahu pengguna lebih dari enam bulan sebelum batas waktu GDPR. Pembaruan paling signifikan dilakukan pada amandemen pemrosesan data dan persyaratan keamanan untuk G Suite dan Google Cloud, yang membuatnya lebih mudah dipahami untuk mematuhi persyaratan "pemberitahuan yang jelas dan transparan" tentang bagaimana data akan digunakan. Pembaruan lainnya termasuk opsi dan kemampuan baru untuk mengekspor data.

Ada apa di depan?

Dampak penuh dari GDPR belum ditentukan, dan sebagian akan bergantung pada seberapa banyak pelanggan dan kelompok aktivis menggunakan hak baru mereka. Dalam survei Forrester Agustus 2017 terhadap konsumen Inggris, 51% responden mengatakan bahwa mereka paling tidak cenderung menggunakan hak baru mereka di bawah GDPR. Namun, contoh paling umum yang dikutip adalah penghapusan data — jauh dari tuntutan hukum yang lengkap.

Tetapi manfaat terbesar dari peraturan baru ini bukanlah karena lebih banyak konsumen yang mengamati perusahaan — tetapi lebih banyak perusahaan yang mengamati perusahaan lain . Karena GDPR mengamanatkan tanggung jawab bersama untuk semua pihak yang menyentuh data pribadi, perusahaan mengamati proses dan tindakan mitra bisnis mereka lebih dalam. Itulah jenius sebenarnya dari GDPR, Direktur Kepatuhan Data Eropa Simon McGarr menjelaskan dalam artikel Quartz baru -baru ini :

“Eropa memiliki banyak otoritas perlindungan data tetapi tidak cukup untuk mengetuk setiap pintu. Jadi mereka memiliki struktur kepatuhan multi-level yang dibangun ke dalam undang-undang di mana Anda berakhir dengan perusahaan besar yang menegakkan kepatuhan pada perusahaan kecil, dan seterusnya.”

Perusahaan yang kurang siap dari yang mereka harapkan setelah 25 Mei mungkin sudah merasakan tekanan dari mitra bisnis mereka, dan pakar keamanan siber Elliot Rose memperkirakan akan ada banyak organisasi yang masih bersiap-siap setelah tenggat waktu. Bagi mereka yang berada dalam situasi ini, prioritas pertama adalah menangani area berisiko tinggi yang berhubungan dengan informasi sensitif. Perusahaan harus fokus pada pengamanan data sensitif, mencari di mana itu disimpan, dan siapa yang memiliki akses ke sana. Yang penting adalah menyiapkan rencana, dan memulai secepat (dan seakurat) mungkin.

Tetap Siap

Pada akhirnya, GDPR akan membantu bahkan lapangan bermain dalam hal privasi dan transparansi, dan membuka pintu untuk komunikasi di mana mereka ditutup sebelumnya. Sebagai perusahaan, berikut adalah beberapa langkah yang dapat Anda ambil untuk menjaga percakapan tetap berjalan:

Menilai Bagaimana Data Diproses Secara Legal

Apakah Anda memiliki persetujuan pengguna akhir? Apakah itu spesifik, tidak ambigu, dan diberikan secara bebas? Apakah pengalaman pengguna akhir Anda memperjelas hal ini? Apakah Anda memiliki kepentingan yang sah untuk mengumpulkan, memproses, dan menyimpan data? Jika Anda tidak dapat menjawab setiap pertanyaan dengan “ya”, inilah saatnya untuk mundur selangkah.

Perbarui Semua Pemberitahuan yang Diperlukan

Sudahkah Anda meninjau kebijakan privasi Anda saat ini, pemberitahuan, atau informasi lain yang Anda berikan kepada pengguna akhir? Apakah pemberitahuan penting ini ada di tempat pengumpulan? Tinjauan terhadap semua pemberitahuan privasi mungkin diperlukan untuk menjaga pengumpulan, penggunaan, dan penyimpanan data Anda tetap transparan bagi pengguna akhir.

Mengadopsi Protokol Akses Data, Hak Koreksi, dan Hak untuk Dilupakan

Prinsip-prinsip ini memungkinkan pengguna akhir Anda untuk memperbaiki data pribadi yang kedaluwarsa atau tidak akurat dan dihapus dari pemrosesan sama sekali. Kebijakan dan prosedur internal harus diterapkan dan dipelihara untuk menanggapi permintaan tersebut dengan tepat.

Gunakan Data Samaran atau Anonim

Pertimbangkan untuk menghapus atau membatasi pengidentifikasi unik melalui anonimisasi atau pseudonimisasi data. Beberapa teknik termasuk hashing, salting, enkripsi, dan penggunaan token. Ini dapat membantu meminimalkan potensi identifikasi pengguna akhir di masa mendatang, dan juga dapat membantu meminimalkan kewajiban kepatuhan Anda.

Untuk mempelajari lebih lanjut tentang TUNE dan GDPR, baca halaman kami di sini .