- Peraturan Perlindungan Data Umum (GDPR) berlaku di Polandia selama 4 tahun, tetapi banyak organisasi masih melakukan kesalahan dalam penerapannya.
- Banyak pelanggaran akibat ketergantungan pada peraturan yang sudah ketinggalan zaman atau kesalahpahaman definisi data pribadi!
- Efek kesalahan dapat diminimalkan berkat Cyberpolis dan asuransi D&O.
– Saya ingin mengingatkan Anda bahwa semua institusi, organisasi dan perusahaan, publik dan swasta, wajib menerapkan prinsip-prinsip Peraturan Perlindungan Data Umum. Meskipun bertahun-tahun berlatih, bahkan yang terbaik pun masih membuat kesalahan dalam menerapkan aturan universal Eropa. Paling sering mereka berhubungan dengan tiga bidang: pembuatan dokumentasi, pemahaman tentang definisi data pribadi dan penerapan aturan sesuai dengan hukum. Sayangnya, kesalahan dapat berarti denda tinggi, dan terkadang bahkan mengancam likuiditas – kata Jagienka Smura, GDPR dan penasihat keamanan informasi di Lancea Security Consulting
3 kesalahan perlindungan data paling umum
1. Andalkan aturan yang sudah ketinggalan zaman
Menurut Peraturan Perlindungan Data Umum (GDPR), setiap organisasi harus memiliki catatan aktivitas pemrosesan, yang berisi deskripsi metode keamanan data, yaitu, dalam bahasa hukum – deskripsi langkah-langkah keamanan teknis dan organisasi. Tentunya harus sejalan dengan prinsip-prinsip yang diterapkan di tahun 2018. Apalagi setiap organisasi wajib melakukan analisis risiko yang akan membantu dalam menyesuaikan tingkat keamanan data sesuai kebutuhan. Namun, dalam praktiknya, dokumen-dokumen ini sering kali berisi aturan usang oleh peraturan UE, yaitu, sesuai dengan kebijakan keamanan dan instruksi manajemen sistem TI. Isi dari dokumen-dokumen ini tidak ada artinya – secara formal dan teknis.
Aturan yang berasal dari Kebijakan Keamanan dan Instruksi Manajemen Sistem TI adalah peraturan dari sekitar 15 tahun yang lalu. Yang paling penting adalah aspek teknologi. Cara semua data disimpan dan diproses, termasuk data pribadi, telah berubah secara dramatis. Belum lama ini, sebagian besar dokumen dibuat di atas kertas dan disimpan di lemari lapis baja. Hari ini, semua proses ini telah didigitalkan. Ini berarti bahwa kita menghadapi jenis risiko kebocoran yang berbeda, yang juga jauh lebih besar daripada saat dominasi kertas. Dalam hal ini, keamanan siber memainkan peran utama – jelas Szymon Bąk, spesialis asuransi siber di EIB SA
2. Kesalahpahaman definisi data pribadi
Masalah lain adalah kesalahpahaman definisi data. Akibatnya, beberapa informasi dianggap tidak relevan, dan hampir semua data manusia harus dilindungi. Pola palsu juga berasal dari masa lalu – di Polandia, sebelum tahun 2004, hanya informasi identitas yang dianggap sebagai data pribadi. Menurut definisi dalam Peraturan Perlindungan Data Umum, data pribadi adalah semua informasi yang berkaitan dengan orang alami yang teridentifikasi atau dapat diidentifikasi. Artinya bukan hanya tentang nama depan, nama belakang, tanggal lahir, jenis kelamin dan sejenisnya. Data pribadi juga mencakup, misalnya, informasi tentang real estat atau kendaraan yang dimiliki.
Di sinilah benang teknologi masuk. Identifikasi data pribadi di bawah Peraturan Perlindungan Data Umum (GDPR) juga mencakup … gambar. Apakah mungkin untuk mempostingnya secara bebas di media sosial? Informasi ini dibagikan secara publik, terlepas dari apakah orang-orang dalam foto tersebut dapat diidentifikasi atau tidak, sehingga informasi tersebut dilindungi. Hal yang sama berlaku untuk informasi lain yang dibagikan di profil publik perusahaan di media sosial, di mana kami menyebutkan karyawan, mitra bisnis, dan pelanggan. Dalam hal ini, perlu dipertimbangkan apakah kita benar-benar harus mempublikasikan foto-foto ini dari rapat perusahaan, konferensi, pameran, maupun dari kehidupan perusahaan?
3. Pemrosesan data pribadi yang melanggar hukum
Kesalahan juga muncul sebagai akibat komplikasi formal. Agar pemrosesan data menjadi legal, ia harus memenuhi persyaratan yang ditetapkan dalam Pasal spesifik GDPR – 6 dan 9. Jadi, di mana kesalahannya? Dengan menggunakannya secara terpisah. Pasal 6 adalah dasar, dan 9 hanya lampirannya, dalam hal data pribadi, yang disebut “sensitif”.
– Ini adalah masalah yang telah digantikan oleh banyak pemeriksa data dalam organisasi. Jika perusahaan mengikuti model yang salah, perlu untuk mengoreksi item informasi dan merumuskan kembali catatan kegiatan pemrosesan data. Jika konten ini tidak benar, hukuman berat dapat diharapkan dalam kasus inspeksi. Kesadaran akan kesalahan ini memasuki praktik Polandia dengan sangat lambat. Sayangnya, ini juga terjadi dalam kasus penerapan aturan yang sudah ketinggalan zaman saat membuat dokumen GDPR dan memahami definisi data pribadi. Perubahan hukum dan teknologi terjadi lebih cepat dari yang kita sadari. Jadi semua perusahaan harus mengikuti waktu agar tidak terkena denda – kata Jagienka Smura dari Lancea.
Asuransi sabuk jiwa?
Anda lihat, bahkan yang terbaik dari mereka membuat kesalahan. Namun, Anda dapat melindungi diri dari efeknya dengan menggunakan asuransi yang sesuai. Dasar dari program perlindungan harus asuransi terhadap efek kecelakaan elektronik (karena fakta bahwa, sebagai suatu peraturan, kami menyimpan dan memproses data secara elektronik). Mereka memungkinkan, antara lain, dana yang akan dicairkan untuk menutupi biaya pengamanan dan pemulihan aset digital jika terjadi kebocoran akibat serangan peretasan atau kesalahan manusia. Namun, dan yang paling penting, asuransi menanggung biaya tindakan yang diperlukan oleh GDPR jika terjadi peristiwa semacam itu, yaitu melakukan kampanye media di antara calon korban kebocoran. Selain itu, ia memberikan penggantian biaya yang terkait dengan proses administrasi dan pengadilan dan pembayaran kompensasi. Secara umum, kebijakan elektronik juga dapat mencakup pembayaran denda yang dikenakan berdasarkan Peraturan Perlindungan Data Umum (GDPR).
– Program perlindungan yang terorganisir dengan baik harus mempertimbangkan jenis kebijakan lain – D&O, yaitu tanggung jawab perdata anggota tim manajemen dan, akhirnya, penyimpangan dalam pembuatan dokumen, identifikasi, dan pemrosesan data pribadi sesuai dengan hukum biasanya merupakan hasil dari keputusan yang salah yang dibuat oleh orang tertentu. Oleh karena itu, pemilik perusahaan atau pemegang saham dapat mengajukan tuntutan hukum terhadap pengambil keputusan yang ingin menyerahkan tanggung jawab atas kerugian tersebut kepada mereka. Misalnya, mereka dapat mengharapkan untuk membayar denda administratif atau kompensasi atas kerusakan lain yang diakibatkan oleh insiden GDPR. Asuransi D&O akan memberi manajer “tertuduh” biaya pembelaan, selain kerugian ini, jika mereka ditemukan karena kelalaian mereka yang bertanggung jawab – tambah Szymon Bąk dari EIB SA
More Stories
Akhir dari tes listrik Triumph TE-1
Opel menghentikan produksi model topnya di Rüsselheim
Portugal telah meluncurkan pembangkit listrik tenaga surya terapung. Ini adalah struktur terbesar dari jenis ini di Eropa – Ekonomi