Untuk menjaga keamanan data konsumen, Uni Eropa (UE) telah menerapkan undang-undang privasi dan keamanan yang ketat yang dikenal sebagai Peraturan Perlindungan Data Umum (GDPR). GDPR mendefinisikan dan memberlakukan hak warga negara UE terkait data pribadi mereka. GDPR menerapkan standar akuntabilitas, keamanan, dan transparansi dalam penggunaan data tersebut.
Perusahaan global yang beroperasi di Uni Eropa atau menangani data pribadi dari UE perlu memahami bagaimana GDPR akan memengaruhi mereka dan bagaimana menjaga kepatuhan GDPR.
Salah satu aspek kepatuhan tersebut adalah menerapkan perjanjian pemrosesan data (Data Processing Agreement, DPA). Perjanjian pemrosesan data GDPR menetapkan perincian, aturan, hak, dan kewajiban terkait kegiatan pemrosesan data. Ini membantu memastikan kepatuhan perusahaan, mengamankan data, dan menjaga konsumen tetap terlindungi dan puas.
Panduan ini menjelaskan cara kerja DPA dan hal yang harus disertakan dalam DPA.
Apa yang dimaksud dengan DPA berdasarkan GDPR?
Perjanjian pemrosesan data adalah kontrak yang ditandatangani antara pengontrol data dan pemroses data yang akan menangani data mereka. Ini diperlukan untuk kepatuhan GDPR penuh.
DPA menjabarkan sifat, tujuan, dan durasi aktivitas pemrosesan yang akan berlangsung. Ini juga menentukan jenis data pribadi yang akan diproses dan kategori individu yang menjadi pemilik data tersebut. Kebijakan ini mendefinisikan hak dan kewajiban yang akan dimiliki pengendali. Ini dapat menentukan penggunaan langkah keamanan teknis, seperti tingkat enkripsi tertentu, yang harus ada.
DPA bersifat mengikat secara hukum, dan pengontrol data dan pemroses harus mematuhinya atau berisiko terkena penalti yang berat.
Manfaat utama DPA adalah memastikan kualifikasi dan keandalan pemroses data. Perusahaan perlu mengetahui bahwa data mereka berada di tangan yang baik dan bersifat pribadi serta aman dari mata pengintai. DPA membantu memberikan jaminan tersebut.
GDPR dan persyaratan DPA kemungkinan besar akan berdampak signifikan pada operasi bisnis di masa depan. Transaksi bisnis dapat berubah saat pengumpulan data pribadi menjadi lebih terbatas, komunikasi tentang pengumpulan dan penyimpanan data menjadi penting, dan hubungan vendor pihak ketiga memerlukan kontrak yang lebih ketat. Individu perusahaan dan departemen SDM mereka akan merasakan dampak yang luas saat mereka menyesuaikan proses mereka untuk mematuhi persyaratan GDPR.
Kelebihan dari persyaratan GDPR adalah kepercayaan dapat berkembang dalam bisnis karena orang-orang menjadi lebih percaya diri dengan privasi dan perlindungan data mereka.
Kapan perjanjian pemrosesan data diperlukan?
Apakah Anda memerlukan perjanjian pemrosesan data? Anda dapat melakukannya jika Anda menangani data pribadi di atau dari UE.
Menurut GDPR, dokumen DPA bersifat wajib setiap kali seseorang atau organisasi memberikan data pribadi kepada penyedia layanan pihak ketiga untuk layanan kolaboratif. Pihak mana pun yang bertindak sebagai pemroses data harus menandatangani DPA dengan pengontrol data.
Misalnya, di UE, layanan yang menyelenggarakan situs web harus menandatangani DPA dengan perusahaan tempat situs web tersebut berada. Perusahaan yang memproses data pribadi untuk menyediakan pemasaran konsumen yang ditargetkan juga harus menandatangani DPA.
Di bawah ini adalah beberapa layanan dan skenario bisnis umum lainnya yang memerlukan DPA:
- Pengalihdayaan manajemen email
- Solusi pemrosesan data teknis untuk akuntansi keuangan dan penggajian
- Layanan pencadangan data, baik melalui server fisik atau di cloud
- Pengumpulan atau digitalisasi data melalui penyedia layanan eksternal
- Pembuangan perangkat keras lama yang berisi data sensitif
Dalam beberapa kasus, GDPR dapat mewajibkan DPA untuk perusahaan di luar Eropa. Persyaratan ini berlaku kapan saja saat melibatkan data UE. Misalnya, perusahaan yang berlokasi di Kanada mungkin harus mematuhi persyaratan DPA jika menangani data tentang warga negara UE.
Kapan DPA tidak diperlukan?
Beberapa skenario tertentu tidak memerlukan DPA. Mereka memiliki perlindungan bawaan yang membuat perlindungan DPA tidak diperlukan. Pertimbangkan hal berikut agar Anda dapat lebih memahami kewajiban perusahaan dalam situasi ini:
- Kemitraan dengan kelompok profesional yang memiliki persyaratan kerahasiaan: Dalam banyak profesi, praktik terbaik adalah agar penyedia layanan memiliki perjanjian kerahasiaan khusus industri yang mencakup semua langkah keamanan dan persyaratan privasi yang diperlukan DPA. Beberapa profesi yang umumnya menggunakan perjanjian kerahasiaan ini antara lain hukum, konsultasi pajak, dan audit keuangan. Banyak layanan kesehatan biasanya juga memiliki jaminan kerahasiaan mereka sendiri yang ketat.
- Layanan Portal: Layanan yang hanya menghubungkan orang atau entitas biasanya dikecualikan dari persyaratan DPA. Layanan pencocokan profesional ini begitu sementara sehingga DPA tidak akan mendapatkan banyak manfaat. Perekrut termasuk dalam kategori ini, misalnya. Mereka hanya menghubungkan orang-orang yang mencari pekerjaan dengan perusahaan yang mencari anggota tim baru yang berbakat. Skenario ini membuat DPA dengan perekrut tidak diperlukan.
- Bekerja dengan lembaga penagihan utang: lembaga penagihan utang mendapatkan akses ke informasi keuangan pribadi dan informasi medis. Karena lembaga penagihan terpisah dari kreditur asli dan menagih utang untuk keuntungan mereka sendiri, mereka dibebaskan dari persyaratan DPA. Jika mereka bekerja atas nama kreditur asli, lembaga penagihan perlu menandatangani DPA.
- Manajemen data bersama dari beberapa perusahaan: Dalam beberapa kasus, perusahaan bekerja sebagai kelompok untuk mengelola pengumpulan data. Skenario ini sering terjadi ketika perusahaan memiliki akses bersama ke data dari pemasok, produk, atau prospek penjualan. Meskipun perusahaan mungkin merupakan pesaing, mereka menggunakan data yang sama untuk tujuan umum yang sama. Skala penggunaan data ini secara umum berarti DPA tidak wajib.
- Uji klinis: Uji klinis farmasi skala besar biasanya tidak menggunakan DPA karena banyaknya kontributor yang diperlukan. Dokter, pusat penelitian, dan sponsor memiliki akses ke data subjek, dan mereka semua memprosesnya secara berbeda sesuai dengan kebutuhan mereka. Data yang dikumpulkan juga umumnya memiliki berbagai tujuan selama uji klinis. Dalam situasi ini, DPA umumnya tidak berlaku.
Siapa pengontrol datanya?
Setiap perjanjian DPA terjadi antara pengontrol data dan pemroses data. Pengontrol data adalah organisasi atau individu yang menentukan cara dan alasan memproses data pribadi. Jika perusahaan Anda memutuskan untuk mengirim data ke pihak ketiga untuk dicadangkan di servernya, perusahaan Anda adalah pengontrol data.
Karakteristik pengendali data yang menentukan adalah kekuatan pengambilan keputusan. Pengendali data membuat penentuan menyeluruh tentang alasan pengumpulan data dan cara pemrosesan data pribadi harus terjadi.
Dalam sebagian besar skenario, perusahaan atau organisasi adalah pengontrol data. Pemroses data adalah entitas terpisah yang menjalin kontrak dengan perusahaan. Individu seperti pemilik tunggal atau pekerja wiraswasta juga dapat menjadi pengendali data jika orang tersebut membuat keputusan tentang pengumpulan dan pemrosesan data pribadi.
Siapa pemroses datanya?
Pemroses data adalah pihak ketiga yang memproses data untuk pengontrol data. Dalam skenario di atas, jika perusahaan Anda memutuskan untuk mengirimkan data Anda untuk dicadangkan, perusahaan yang menyediakan layanan pencadangan adalah pemroses data.
Pemroses data dapat mengambil banyak bentuk. Ini dapat berupa perusahaan, individu, atau otoritas publik. Kriteria yang relevan adalah apakah individu atau entitas tersebut memproses data atas nama pengontrol data atau tidak.
Apa saja yang termasuk dalam dokumen DPA?
Pasal 28-36 GDPR menentukan kewajiban kontraktual apa yang wajib bagi pemroses data berdasarkan aturan DPA GDPR. Di bawah ini adalah beberapa klausul DPA yang diperlukan:
1. Perincian detail penanganan data secara menyeluruh
DPA harus memberikan detail komprehensif tentang bagaimana setiap aspek pemrosesan data akan terjadi. DPA harus menyertakan informasi yang jelas tentang topik-topik seperti:
- Jenis data pribadi yang akan diproses
- Pokok persoalan data
- Kategori subjek data
- Tujuan dan sifat pemrosesan
- Durasi pemrosesan data yang diharapkan
- Dasar hukum untuk pemrosesan data pribadi
- Pengembalian atau penghapusan data pribadi pada akhir pemrosesan
2. Hak dan tanggung jawab pengontrol data dan pemroses
Dalam menentukan hak dan tanggung jawab kedua belah pihak, DPA memastikan kejelasan tentang siapa yang mengontrol penanganan data.
DPA harus secara tegas menyatakan bahwa pemroses data harus melakukan pemrosesan sesuai keinginan dan spesifikasi pengontrol data. Kontroler harus menentukan bahwa pengontrol, bukan prosesor, memiliki kontrol penuh atas data dan apa yang terjadi pada data tersebut.
DPA harus mengarahkan pemroses data untuk memproses data hanya sesuai dengan instruksi langsung pengontrol data, menyimpang dari instruksi tersebut hanya jika undang-undang UE atau salah satu undang-undang negara anggota mewajibkannya.
3. Langkah-langkah kerahasiaan yang diperlukan untuk pemroses data
DPA harus menetapkan protokol yang harus diikuti oleh pemroses data untuk memastikan kerahasiaan data pribadi.
Misalnya, pemroses data harus mewajibkan karyawan tetap, karyawan sementara, dan subkontraktor untuk menandatangani perjanjian kerahasiaan sebelum mereka dapat mulai memproses data pribadi. Satu-satunya saat perjanjian kerahasiaan menjadi tidak perlu adalah ketika kewajiban undang-undang telah mewajibkan pemroses untuk memastikan kerahasiaan.
4. Protokol teknis dan organisasi yang diperlukan untuk keamanan informasi
DPA harus menjabarkan langkah-langkah keamanan yang harus diterapkan oleh pemroses data, termasuk langkah-langkah seperti ini jika diperlukan:
- Enkripsi data
- Penyamaran subjek data
- Protokol untuk memastikan kerahasiaan data, ketersediaan, ketahanan, dan keamanan semua sistem pemrosesan data
- Proses untuk memulihkan akses ke data pribadi setelah serangan atau pelanggaran
- Program rutin untuk menguji dan mengevaluasi keefektifan semua langkah keamanan
Banyak pemroses mungkin ingin mendapatkan sertifikasi resmi atau membuat pedoman perilaku resmi yang menegaskan protokol yang diterapkan. Langkah-langkah seperti ini membantu memberikan jaminan bahwa pemrosesan data mereka sepenuhnya mematuhi GDPR.
5. Ketentuan untuk kontrak subkontraktor
DPA juga harus menguraikan persyaratan yang harus diberlakukan oleh pemroses data untuk subkontraktornya. Misalnya, prosesor harus memastikan untuk mematuhi aturan dan praktik terbaik ini:
- Mempekerjakan subkontraktor hanya dengan persetujuan dan otorisasi tegas dari pengontrol data
- Menyusun dan menandatangani kontrak yang memberlakukan persyaratan keamanan data yang sama pada subkontraktor yang harus diikuti oleh pemroses data itu sendiri
- Memastikan kepatuhan subkontraktor terhadap persyaratan perlindungan data
- Memberi tahu pengontrol data tentang perubahan apa pun yang melibatkan subkontraktor dan memberikan waktu kepada pengontrol untuk merespons
6. Kewajiban kerja sama untuk pemroses data
DPA harus menentukan kapan dan bagaimana pemroses data harus bekerja sama dengan pengontrol data. Misalnya, pemroses data harus bekerja sama untuk membantu menyelesaikan permintaan akses data. Pemroses juga harus bekerja sama dalam melindungi privasi dan hak subjek data, khususnya dengan memenuhi persyaratan berikut:
- Memastikan keamanan data pribadi
- Segera memberi tahu pihak berwenang dan subjek data tentang pelanggaran data pribadi
- Melakukan penilaian dampak perlindungan data (DPIA) sesuai kebutuhan
- Berkonsultasi dengan otoritas terkait jika timbul risiko data serius
Pemroses data juga harus mengizinkan pengontrol data untuk melakukan audit kepatuhan selama pemrosesan. Selama audit, pemroses harus segera memberikan semua informasi terkait kepada pengendali untuk menunjukkan bahwa mereka telah memenuhi kewajiban kepatuhannya berdasarkan Pasal 28 GDPR.
Praktik terbaik juga dilakukan oleh pemroses untuk menyimpan catatan aktivitas pemrosesannya guna menunjukkan kepatuhan terhadap GDPR.
Apa yang terjadi setelah pelanggaran data berdasarkan DPA?
Jika pelanggaran data terjadi, perusahaan yang terlibat harus segera mengambil tindakan yang spesifik. Perusahaan Anda harus memberi tahu otoritas pengawasan terkait dalam 72 jam jika pelanggaran tersebut menimbulkan risiko serius.
Jika pelanggaran tersebut menimbulkan risiko yang sangat tinggi bagi orang-orang yang terkena dampak, perusahaan Anda biasanya juga harus memberi tahu orang-orang tersebut. Namun, jika perusahaan Anda sudah memiliki protokol mitigasi risiko teknis dan organisasi yang efektif, pemberitahuan mungkin tidak diperlukan.
Misalnya, bayangkan sebuah perusahaan kartu kredit mengalami kebocoran data karena serangan pada server tempat perusahaan tersebut menyimpan datanya. Informasi keuangan pribadi nasabahnya telah terancam. Nama, alamat rumah, informasi kontak tambahan, perincian keuangan, dan perincian jenis pembayaran yang dilakukan pada kartu kredit mereka telah diketahui publik.
Perusahaan yang menghosting server perlu memberi tahu pihak berwenang tentang pelanggaran tersebut dalam 72 waktu jam. Perusahaan juga perlu memberi tahu perusahaan kartu kredit.
Perusahaan mungkin perlu memberi tahu konsumen, karena pengungkapan informasi pengidentifikasi pribadi mereka dapat membahayakan mereka. Pelanggaran ini juga dapat mengakibatkan pengungkapan informasi kesehatan sensitif dan dilindungi konsumen jika mereka telah melakukan pembayaran medis pada kartu kredit mereka.
Apa sajakah sanksi atas ketidakpatuhan terhadap GDPR?
Jika pelanggaran data terjadi, perusahaan yang diketahui tidak patuh akan dikenakan tindakan disipliner. Kemungkinan pelanggaran hanya menerima peringatan. Insiden ketidakpatuhan yang dikonfirmasi dapat dikenakan satu atau beberapa hukuman berikut:
- Teguran resmi
- Larangan sementara atau permanen terhadap pemrosesan data
- Denda hingga EUR€20 juta atau 4 persen dari total pendapatan global tahunan perusahaan
Merekrut profesional keamanan data untuk tim Anda dengan Globalization Partners
Saat Anda membangun tim internasional yang berfokus pada keamanan data, bekerja samalah dengan Globalization Partners . Tim profesional kami dapat membantu Anda memahami peraturan perjanjian pemrosesan data yang berlaku untuk perusahaan Anda.
Memiliki petugas perlindungan data dan profesional hukum lainnya dalam tim Anda sangat penting untuk tetap mematuhi DPA. Sebagai Pemberi Kerja Catatan ( Employer of Record atau EOR) global, Globalization Partners membantu Anda merekrut dan membayar talenta internasional yang Anda butuhkan untuk sukses. Kami sangat menganggap serius privasi data, dan kami dapat membantu Anda mematuhi undang-undang ketenagakerjaan setempat dan mengamankan informasi rahasia Anda saat Anda mengembangkan perusahaan secara internasional.
Di Globalization Partners , kami membantu Anda mempercepat proses perekrutan Anda. Dengan menggunakan Global Employment Platform tumpukan penuh kami, Anda dapat merekrut dan mendaftarkan anggota tim baru Anda hanya dengan beberapa klik, menghemat waktu, dan menyederhanakan pendekatan Anda terhadap tantangan pertumbuhan perusahaan internasional.
Minta proposal hari ini, atau hubungi kami untuk mempelajari tentang mempekerjakan profesional keamanan data melalui platform kami.