Untuk menjaga keamanan data konsumen, Uni Eropa (UE) telah menerapkan hukum privasi dan keamanan yang ketat yang dikenal sebagai Peraturan Perlindungan Data Umum (GDPR). Peraturan Pelindungan Data Umum mendefinisikan dan menegakkan hak warga negara UE terkait data pribadi mereka. Ini menerapkan standar akuntabilitas, keamanan, dan transparansi dalam penggunaan data tersebut.

Perusahaan global yang beroperasi di Uni Eropa atau menangani data pribadi dari UE perlu memahami bagaimana Peraturan Pelindungan Data Umum akan berdampak pada mereka dan bagaimana menjaga kepatuhan Peraturan Pelindungan Data Umum.

Salah satu aspek dari kepatuhan tersebut adalah menerapkan perjanjian pemrosesan data (DPA). Peraturan Pelindungan Data Umum (Peraturan Perlindungan Data Umum) mengatur rincian, aturan, hak, dan kewajiban yang terkait dengan aktivitas pengolahan data. Hal ini membantu memastikan kepatuhan perusahaan, mengamankan data, dan menjaga konsumen tetap terlindungi dan puas.

Panduan ini memberikan gambaran lebih dekat mengenai cara kerja DPA dan apa saja yang harus dimasukkan dalam DPA.

Apa yang dimaksud dengan DPA berdasarkan Peraturan Pelindungan Data Umum?

Perjanjian pemrosesan data adalah kontrak yang ditandatangani antara pengendali data dan pemroses data yang akan menangani data mereka. Hal ini diperlukan untuk memenuhi Peraturan Pelindungan Data Umum secara lengkap.

DPA menjabarkan sifat, tujuan, dan durasi kegiatan pengolahan yang akan dilakukan. Kebijakan ini juga menentukan jenis data pribadi yang akan diproses dan kategori individu yang termasuk dalam data tersebut. Ini mendefinisikan hak dan kewajiban yang akan dimiliki oleh pengontrol. Ini dapat menentukan penggunaan langkah-langkah keamanan teknis, seperti tingkat enkripsi tertentu, yang harus diterapkan.

Perjanjian Perlindungan Data (DPA) mengikat secara hukum, dan pengendali serta pengolah data harus mematuhinya atau berisiko menghadapi sanksi berat.

Manfaat utama dari DPA adalah memastikan kualifikasi dan keandalan pemroses data. Perusahaan perlu mengetahui bahwa data mereka berada di tangan yang tepat dan bahwa data tersebut bersifat pribadi dan aman dari pengintaian. DPA membantu memberikan jaminan tersebut.

Peraturan Pelindungan Data Umum dan persyaratan DPA-nya kemungkinan besar akan berdampak signifikan terhadap operasi bisnis di masa depan. Transaksi bisnis dapat berubah seiring dengan semakin terbatasnya pengumpulan data pribadi, pentingnya komunikasi tentang pengumpulan dan penyimpanan data, serta perlunya kontrak yang lebih ketat bagi hubungan dengan vendor pihak ketiga. Perusahaan-perusahaan individual dan departemen-departemen SUMBER DAYA MANUSIA mereka akan merasakan dampak yang luas karena mereka menyesuaikan proses mereka untuk mematuhi persyaratan Peraturan Pelindungan Data Umum.

Sisi positif dari persyaratan Peraturan Pelindungan Data Umum adalah kepercayaan dapat tumbuh subur dalam bisnis karena orang-orang menjadi lebih yakin akan privasi dan perlindungan data mereka.

Kapan perjanjian pemrosesan data diperlukan?

Apakah Anda memerlukan perjanjian pemrosesan data? Anda mungkin perlu melakukannya jika Anda menangani data pribadi di atau dari Uni Eropa.

Berdasarkan Peraturan Pelindungan Data Umum, dokumen DPA wajib diperlukan setiap kali seseorang atau organisasi memberikan data pribadi kepada penyedia layanan pihak ketiga untuk layanan kolaboratif. Semua pihak yang bertindak sebagai pemroses data harus menandatangani DPA dengan pengendali data.

Sebagai contoh, di Uni Eropa, layanan yang menyediakan hosting untuk situs web harus menandatangani Perjanjian Perlindungan Data (DPA) dengan perusahaan pemilik situs web tersebut. Perusahaan yang memproses data pribadi untuk menyediakan pemasaran konsumen yang ditargetkan juga harus menandatangani Perjanjian Pemrosesan Data (DPA).

Di bawah ini adalah beberapa layanan dan skenario bisnis umum lainnya yang memerlukan DPA:

  • Manajemen email alih daya
  • Solusi pemrosesan data teknis untuk akuntansi keuangan dan penggajian
  • Layanan pencadangan data, baik melalui server fisik maupun di cloud
  • Pengumpulan data atau digitalisasi melalui penyedia layanan eksternal
  • Pembuangan perangkat keras lama yang berisi data sensitif

Dalam beberapa kasus, Peraturan Pelindungan Data Umum dapat mewajibkan DPA (Data Protection Agreement) untuk perusahaan di luar Eropa. Persyaratan ini berlaku kapan pun data UE terlibat. Sebagai contoh, sebuah perusahaan yang berlokasi di Kanada mungkin tunduk pada persyaratan DPA jika perusahaan tersebut menangani data yang berkaitan dengan warga negara Uni Eropa.

Kapan DPA tidak diperlukan?

Ketika DPA tidak diperlukan tabel termasuk kemitraan, layanan portal, agen penagihan, dan manajemen data bersama dari beberapa perusahaan.

Beberapa skenario spesifik tidak memerlukan DPA (Data Protection Agreement). Mereka memiliki perlindungan bawaan yang membuat perlindungan DPA tidak diperlukan. Pertimbangkan hal-hal berikut agar Anda dapat lebih memahami kewajiban perusahaan Anda dalam situasi ini:

  1. Kemitraan dengan kelompok profesional yang memiliki persyaratan kerahasiaan: Di banyak profesi, praktik terbaik adalah bagi penyedia layanan untuk memiliki perjanjian kerahasiaan khusus industri yang mencakup semua langkah keamanan dan persyaratan privasi yang dibutuhkan oleh DPA (Perjanjian Perlindungan Data). Beberapa profesi yang umumnya menggunakan perjanjian kerahasiaan ini meliputi hukum, konsultasi pajak, dan audit keuangan. Banyak layanan kesehatan biasanya juga disertai dengan jaminan kerahasiaan yang ketat.
  2. Layanan portal: Layanan yang hanya menghubungkan orang atau entitas biasanya dikecualikan dari persyaratan DPA. Layanan perjodohan profesional ini sangat sementara sehingga DPA (Domestic Protection Agreement) tidak akan memberikan manfaat yang berarti. Sebagai contoh, perekrut termasuk dalam kategori ini. Mereka hanya menghubungkan orang-orang yang mencari pekerjaan dengan perusahaan yang mencari anggota TIM baru yang berbakat. Skenario ini membuat DPA (Deferred Prosecution Agreement) dengan perekrut menjadi tidak perlu.
  3. Bekerja sama dengan agen penagihan utang: Agen penagih utang mendapatkan akses ke informasi keuangan pribadi dan informasi medis. Karena agen penagihan terpisah dari kreditur asli dan menagih utang untuk keuntungan mereka sendiri, mereka dikecualikan dari persyaratan DPA. Jika mereka bekerja atas nama kreditur asli, agen penagihan harus menandatangani DPA.
  4. Manajemen data bersama dari beberapa perusahaan: Dalam beberapa kasus, perusahaan bekerja sebagai sebuah kelompok untuk mengelola kumpulan data. Skenario ini sering terjadi ketika perusahaan memiliki akses bersama ke data dari pemasok, produk, atau prospek penjualan. Meskipun perusahaan-perusahaan tersebut mungkin merupakan pesaing, mereka menggunakan data yang sama untuk tujuan umum yang sama. Skala penggunaan data ini umumnya berarti DPA tidak wajib.
  5. Uji klinis: Uji klinis farmasi skala besar biasanya tidak menggunakan DPA karena banyaknya faktor yang terlibat di dalamnya. Para dokter, pusat penelitian, dan sponsor semuanya memiliki akses ke data subjek, dan mereka semua memprosesnya secara berbeda sesuai dengan kebutuhan mereka. Data yang dikumpulkan juga umumnya memiliki berbagai tujuan selama uji klinis. Dalam keadaan seperti ini, DPA (Deferred Prosecution Agreement) umumnya tidak berlaku.

Siapa pengontrol data?

Setiap perjanjian DPA terjadi antara pengontrol data dan pemroses data. Pengontrol data adalah organisasi atau individu yang menentukan bagaimana dan mengapa memproses data pribadi. Jika perusahaan Anda memutuskan untuk mengirim data ke pihak ketiga untuk pencadangan di server mereka, maka perusahaan Anda adalah pengendali data.

Ciri khas utama dari pengontrol data adalah kewenangan pengambilan keputusan. Pengontrol data membuat penentuan menyeluruh tentang alasan pengumpulan data dan cara pemrosesan data pribadi harus dilakukan.

Dalam sebagian besar skenario, perusahaan atau organisasi adalah pengendali data. Pengolah data adalah entitas terpisah yang membuat kontrak dengan perusahaan. Seseorang seperti pemilik usaha tunggal atau pekerja lepas juga dapat menjadi pengendali data jika orang tersebut membuat keputusan tentang pengumpulan dan pemrosesan data pribadi.

Siapa pemroses data?

Pengolah data adalah pihak ketiga yang memproses data untuk pengendali data. Dalam skenario di atas, jika perusahaan Anda memutuskan untuk mengirim data Anda untuk dicadangkan, maka perusahaan yang menyediakan layanan pencadangan tersebut adalah pengolah data.

Pengolah data dapat memiliki banyak bentuk. Ini bisa berupa perusahaan, individu, atau otoritas publik. Kriteria yang relevan adalah apakah individu atau entitas tersebut memproses data atas nama pengontrol data atau tidak.

Apa saja yang termasuk dalam dokumen DPA?

Artikel 28-36 Peraturan Pelindungan Data Umum menetapkan kewajiban kontrak apa yang wajib bagi pemroses data berdasarkan aturan DPA Peraturan Pelindungan Data Umum. Di bawah ini adalah beberapa klausul DPA yang diperlukan:

1. Perincian yang menyeluruh tentang detail penanganan data

DPA harus memberikan rincian yang komprehensif tentang bagaimana setiap aspek pemrosesan data akan terjadi. DPA harus mencakup informasi yang jelas tentang topik-topik seperti:

  • Jenis data pribadi yang akan diproses
  • Pokok bahasan data tersebut
  • Kategori subjek data
  • Tujuan dan sifat pemrosesan
  • Durasi pemrosesan data yang diharapkan
  • Dasar hukum untuk pemrosesan data pribadi
  • Pengembalian atau penghapusan data pribadi pada akhir pemrosesan

2. Hak dan tanggung jawab pengontrol dan pemroses data

DPA memastikan kejelasan tentang siapa yang mengendalikan penanganan data.

Dalam menentukan hak dan tanggung jawab untuk kedua belah pihak, DPA memastikan kejelasan tentang siapa yang mengendalikan penanganan data.

Perjanjian Pemrosesan Data (DPA) harus secara eksplisit menyatakan bahwa pengolah data harus melakukan pemrosesan sesuai dengan keinginan dan spesifikasi pengendali data. Hal ini harus secara spesifik menyatakan bahwa pengontrol, bukan prosesor, yang memegang kendali penuh atas data dan apa yang terjadi pada data tersebut.

DPA harus mengarahkan pemroses data untuk memproses data hanya sesuai dengan instruksi langsung pengontrol data, dan menyimpang dari instruksi tersebut hanya jika undang-undang UE atau salah satu undang-undang negara anggota mengharuskannya.

3. Langkah-langkah kerahasiaan yang diperlukan untuk pemroses data

Otoritas Perlindungan Data (DPA) harus menetapkan protokol yang harus diikuti oleh pengolah data untuk memastikan kerahasiaan data pribadi.

Sebagai contoh, pengolah data harus mewajibkan karyawan tetap, karyawan sementara, dan subkontraktor untuk menandatangani perjanjian kerahasiaan sebelum mereka dapat mulai memproses data pribadi. Satu-satunya saat perjanjian kerahasiaan menjadi tidak perlu adalah ketika kewajiban hukum sudah mengharuskan pengolah data untuk memastikan kerahasiaan.

4. Protokol teknis dan organisasi yang diperlukan untuk keamanan informasi

Otoritas Perlindungan Data (DPA) harus menguraikan langkah-langkah keamanan yang harus diterapkan oleh pengolah data, termasuk langkah-langkah seperti ini bila sesuai:

  • Enkripsi data
  • Penyamaran subjek data
  • Protokol untuk memastikan kerahasiaan, ketersediaan, ketahanan, dan keamanan data dari semua sistem pemrosesan data
  • Proses untuk memulihkan akses ke data pribadi setelah serangan atau pelanggaran
  • Program rutin untuk menguji dan mengevaluasi efektivitas semua langkah keamanan

Banyak prosesor mungkin ingin mendapatkan sertifikasi formal atau menyusun kode etik resmi yang membuktikan protokol yang mereka terapkan. Langkah-langkah seperti ini membantu memberikan jaminan bahwa pemrosesan data mereka sepenuhnya sesuai dengan Peraturan Pelindungan Data Umum.

5. Ketentuan untuk setiap kontrak subkontraktor

DPA juga harus menguraikan persyaratan yang harus diterapkan oleh pemroses data untuk subkontraktornya. Sebagai contoh, prosesor harus memastikan untuk mematuhi aturan dan praktik terbaik:

  • Mempekerjakan subkontraktor hanya dengan persetujuan dan otorisasi tegas dari pengontrol data.
  • Menyusun dan menandatangani kontrak yang memberlakukan persyaratan keamanan data yang sama pada subkontraktor yang harus diikuti oleh pemroses data itu sendiri
  • Memastikan kepatuhan subkontraktor terhadap persyaratan perlindungan data.
  • Menginformasikan pengontrol data tentang perubahan apa pun yang melibatkan subkontraktor dan memberikan waktu kepada pengontrol untuk merespons

6. Kewajiban kerja sama untuk pemroses data

Pengolah data juga harus mengizinkan pengendali data untuk melakukan audit kepatuhan selama pemrosesan.

DPA harus menetapkan kapan dan bagaimana pemroses data harus bekerja sama dengan pengontrol data. Sebagai contoh, pemroses data harus bekerja sama untuk membantu menyelesaikan permintaan akses data. Pemroses juga harus bekerja sama dalam melindungi privasi dan hak-hak subjek data, terutama dengan memenuhi persyaratan ini:

  • Memastikan keamanan data pribadi
  • Segera memberi tahu pihak berwenang dan subjek data tentang pelanggaran data pribadi
  • Melakukan penilaian dampak perlindungan data (DPIA) sesuai kebutuhan.
  • Berkonsultasi dengan pihak berwenang yang relevan ketika risiko data yang serius muncul

Pengolah data juga harus mengizinkan pengendali data untuk melakukan audit kepatuhan selama pemrosesan. Selama audit, pengolah data harus segera memberikan kepada pengendali semua informasi yang relevan untuk menunjukkan bahwa ia telah memenuhi kewajiban kepatuhannya berdasarkan Pasal 28 Peraturan Pelindungan Data Umum.

Praktik terbaik juga mengharuskan pengolah data untuk menyimpan catatan aktivitas pengolahan datanya guna menunjukkan kepatuhan terhadap Peraturan Pelindungan Data Umum.

Apa yang terjadi setelah pelanggaran data di bawah Perjanjian Perlindungan Data (DPA)?

Jika terjadi pelanggaran data, perusahaan-perusahaan yang terlibat perlu mengambil tindakan spesifik dan segera. Perusahaan Anda wajib memberitahukan otoritas pengawas terkait dalam waktu 72 jam jika pelanggaran tersebut menimbulkan risiko serius.

Jika pelanggaran tersebut menimbulkan risiko yang sangat tinggi bagi orang-orang yang terdampak, perusahaan Anda biasanya juga harus memberi tahu individu-individu tersebut. Namun, jika perusahaan Anda sudah memiliki protokol mitigasi risiko teknis dan organisasi yang efektif, pemberitahuan mungkin tidak diperlukan.

Sebagai contoh, bayangkan sebuah perusahaan kartu kredit mengalami pelanggaran data karena serangan terhadap server tempat mereka menyimpan data. Informasi keuangan pribadi para pelanggannya telah dikompromikan. Nama, alamat rumah, informasi kontak tambahan, detail keuangan, dan rincian jenis pembayaran yang mereka lakukan dengan kartu kredit mereka telah menjadi publik.

Perusahaan yang menyediakan layanan hosting server perlu memberitahukan pihak berwenang tentang pelanggaran tersebut dalam waktu 72 jam. Mereka juga perlu memberi tahu perusahaan kartu kredit.

Perusahaan kemungkinan perlu memberi tahu konsumen, karena pengungkapan informasi identitas pribadi mereka dapat membahayakan mereka. Pelanggaran ini juga dapat menyebabkan pengungkapan informasi kesehatan konsumen yang sensitif dan dilindungi jika mereka melakukan pembayaran medis dengan kartu kredit mereka.

Apa sanksi bagi ketidakpatuhan terhadap Peraturan Pelindungan Data Umum? 

Jika terjadi pelanggaran data, perusahaan yang terbukti tidak patuh akan dikenakan tindakan disiplin. Pelanggaran yang mungkin terjadi hanya akan dikenai peringatan. Insiden ketidakpatuhan yang terkonfirmasi dapat dikenakan satu atau lebih sanksi berikut:

  1. Teguran resmi
  2. Larangan sementara atau permanen pada pemrosesan data
  3. Denda hingga EUR€20 juta atau 4 persen dari total pendapatan global tahunan perusahaan.

Rekrut profesional keamanan data untuk TIM Anda dengan G-P

Saat Anda membangun tim internasional yang berfokus pada keamanan data, bekerja samalah dengan G-P. Tim profesional kami dapat membantu Anda memahami peraturan perjanjian pengolahan data yang berlaku untuk perusahaan Anda.

Keberadaan petugas perlindungan data dan profesional hukum lainnya dalam TIM Anda sangat penting untuk tetap mematuhi DPA. Sebagai Employer of Record " (EOR) global, G-P membantu Anda merekrut dan membayar talenta internasional yang Anda butuhkan untuk meraih kesuksesan. Kami sangat memperhatikan privasi data, dan kami dapat membantu Anda mematuhi hukum tenaga kerja setempat dan mengamankan informasi rahasia Anda saat Anda mengembangkan perusahaan Anda secara internasional.

Di G-P, kami membantu Anda mempercepat proses perekrutan. Dengan menggunakan Platform Ketenagakerjaan Global full-stack kami, Anda dapat merekrut dan melakukan onboarding anggota TIM baru hanya dengan beberapa klik, menghemat waktu dan menyederhanakan pendekatan Anda terhadap tantangan pertumbuhan perusahaan internasional.

Minta proposal hari ini, atau hubungi kami untuk mempelajari tentang mempekerjakan profesional keamanan data melalui platform kami.