Penting untuk menghindari denda dan penalti GDPR karena biayanya akan sangat merusak keuangan perusahaan. Selain itu, hal ini juga dapat merusak reputasi perusahaan yang akan membuat pelanggan kehilangan kepercayaan.
Apa yang dimaksud dengan Denda dan Hukuman GDPR?
GDPR berlaku untuk sebagian besar perusahaan dengan berbagai jenis bisnis dengan berbagai ukuran besar dan kecil. Denda dan hukuman GDPR dibuat agar ketidakpatuhan terhadapnya memiliki konsekuensi keuangan.
Denda dirinci lebih lanjut pada pasal 83 yang berbicara tentang hukuman finansial. Dari rinciannya, kita dapat melihat bahwa jumlahnya fleksibel karena akan disesuaikan dengan ukuran perusahaan.
Dengan begitu, setiap perusahaan yang tidak mematuhi GDPR dapat didenda, berapa pun besarnya. Hukuman finansial selanjutnya dikategorikan dalam dua tingkat tergantung pada tingkat keparahan pelanggaran yang dilakukan perusahaan.
Selain denda administrasi, ada juga konsekuensi lain yang mungkin harus dihadapi perusahaan. Pasal 82 menyatakan bahwa subjek data memiliki hak untuk mendapatkan ganti rugi dari perusahaan yang menyebabkan kerugian non-materiil maupun materiil akibat pelanggaran GDPR.
Baca selengkapnya: Apa itu GDPR: Panduan Komprehensif Untuk Perlindungan Data
Pelanggaran yang Tidak Terlalu Berat Denda Finansial
Pada pasal 83(4) Anda dapat membaca tentang denda finansial untuk pelanggaran yang tidak terlalu berat. Denda dan hukuman GDPR dapat mencapai 2% dari pendapatan tahunan perusahaan di seluruh dunia yang diambil dari tahun keuangan sebelumnya atau sebesar €10 juta. Jumlah yang lebih tinggi adalah jumlah yang akan digunakan sebagai denda. Pelanggaran yang dapat menyebabkan denda meliputi:
- Lembaga sertifikasi
- Prosesor dan pengontrol
- Badan-badan pemantau
Pelanggaran yang Lebih Berat Denda Finansial
Pada pasal 83(5) Anda dapat membaca tentang denda finansial untuk pelanggaran yang lebih berat yang bertentangan dengan prinsip-prinsip beberapa hak. Artikel ini secara khusus merinci tentang “hak untuk dilupakan” dan hak privasi karena keduanya merupakan hak utama yang ingin dilindungi oleh GDPR.
Denda dapat mencapai 4% dari pendapatan tahunan perusahaan di seluruh dunia yang diambil dari tahun keuangan sebelumnya atau sebesar €20 juta. Jumlah yang lebih tinggi adalah jumlah yang akan digunakan sebagai denda. Pelanggaran yang dapat menyebabkan denda terutama meliputi:
- Memproses prinsip-prinsip dasar
- Kondisi persetujuan
- Hak-hak data pribadi
- Mentransfer data ke negara ketiga atau perusahaan internasional
Mereka juga memasukkan pelanggaran-pelanggaran ini ke dalam kategori ini:
- Pelanggaran yang dilakukan terhadap hukum negara anggota yang dirinci lebih lanjut pada bab IX
- Ketidakpatuhan yang dilakukan atas perintah dari otoritas pengawas
Hal-hal yang Menentukan Jumlah Denda
Denda dan hukuman GDPR yang harus dihadapi perusahaan ditentukan oleh tingkat keparahan hukuman dan jika terjadi pelanggaran. Ada 10 hal yang digunakan oleh otoritas untuk menentukan apakah perusahaan akan didenda dan berapa jumlahnya:
- Niat
Otoritas akan melihat apakah pelanggaran tersebut terjadi karena kelalaian atau disengaja.
- Alam dan gravitasi
Otoritas akan melihat keseluruhan pelanggaran yang dilakukan perusahaan. Hal ini mencakup jenis pelanggaran apa yang terjadi, mengapa hal itu terjadi, bagaimana hal itu terjadi, kerugian yang diderita masyarakat, jumlah orang yang terkena dampak, serta jumlah waktu yang dibutuhkan perusahaan dalam menyelesaikan masalah tersebut.
- Mitigasi
Otoritas akan melihat apakah perusahaan telah mengambil tindakan yang dapat mengurangi kerusakan yang berdampak pada orang-orang yang menderita akibat pelanggaran tersebut.
- Kategori data
Otoritas akan melihat jenis data pribadi yang terpengaruh oleh pelanggaran yang akan digunakan untuk menentukan jumlah denda dan hukuman GDPR.
- Sejarah
Otoritas akan melihat apakah perusahaan pernah melakukan pelanggaran sebelumnya yang juga mencakup pelanggaran di luar GDPR seperti DPD. Mereka juga akan melihat kepatuhan yang telah dilakukan perusahaan pada tindakan korektif administratif sebelumnya di bawah GDPR.
- Tindakan pencegahan
Otoritas akan melihat persiapan perusahaan dan organisasi teknis yang sebelumnya telah diterapkan oleh perusahaan untuk mematuhi GDPR.
- Faktor-faktor yang meringankan atau memberatkan
Otoritas akan melihat apakah ada masalah lain yang muncul karena keadaan yang dihadapi dari kasus tersebut yang mencakup menghindari kerugian finansial atau mendapatkan keuntungan karena pelanggaran tersebut.
- Kerjasama
Otoritas akan melihat apakah perusahaan bekerja sama dengan otoritas pengawas dalam menemukan dan memperbaiki pelanggaran tersebut.
- Sertifikasi
Otoritas akan melihat apakah perusahaan telah mengikuti kode etik yang telah disetujui atau apakah perusahaan tersebut sebelumnya telah disertifikasi.
- Pemberitahuan
Otoritas akan melihat apakah perusahaan atau pihakketiga yang ditunjuk secara proaktif melaporkan pelanggaran yang terjadi kepada otoritas pengawas.
Jika ditentukan bahwa perusahaan melanggar beberapa peraturan GDPR, maka penalti hanya akan diambil untuk pelanggaran yang paling berat jika semua pelanggaran berada di bawah proses operasi yang sama.
Praktik Terbaik Pemetaan Data
Untuk membantu perusahaan Anda meningkatkan kepatuhan terhadap GDPR, Anda dapat menggunakan pemetaan data. Ini juga akan membantu Anda menghindari denda dan hukuman GDPR dengan memberikan privasi data yang lebih baik. Berikut ini adalah praktik terbaik yang dapat dilakukan perusahaan Anda:
Memilih alat bantu terbaik
Langkah pertama yang perlu Anda lakukan adalah memilih alat terbaik yang akan Anda gunakan dalam memetakan data. Penting bagi Anda untuk menyiapkan sumber daya dan alat terlebih dahulu agar proses pemetaan data dapat dilakukan dengan mudah dan lebih efisien. Anda dapat menggunakan spreadsheet sederhana atau alat khusus tergantung pada kebutuhan perusahaan.
Mengidentifikasi jenis dan sumber data
Anda perlu mengidentifikasi sumber apa yang akan memberikan data dan jenis data apa yang akan Anda kumpulkan. Jadi, Anda harus sangat spesifik ketika mengidentifikasi hal-hal ini karena dapat mempengaruhi akurasi pemetaan data perusahaan.
Mengamankan proses pemetaan data
Ketika Anda melakukan proses pemetaan data, Anda akan berinteraksi langsung dengan data pribadi yang perlu Anda lindungi. Itulah sebabnya, Anda perlu mengamankan proses pemetaan data untuk melindungi data pribadi. Alat pemetaan data yang Anda gunakan juga harus memiliki perlindungan yang kuat seperti yang digunakan pada data Anda yang paling aman.
Memperbarui data secara berkala
Seiring berjalannya waktu, data yang dikumpulkan perusahaan Anda juga akan berubah. Oleh karena itu, praktik terbaik adalah memperbarui pemetaan data setidaknya sekali setiap kuartal atau jika perlu, setiap bulan bahkan setiap minggu.
Semakin sering Anda memperbarui data, semakin kecil kemungkinan terjadinya aktivitas yang tidak patuh atau kelemahan privasi. Dengan begitu, Anda dapat menghindari denda dan hukuman GDPR.
Mematuhi catatan data GDPR
Pemetaan data saja tidak akan cukup untuk digunakan sebagai bukti bagaimana perusahaan mengelola data pelanggan. GDPR pasal 30 telah menjelaskan tentang catatan data yang dapat membantu Anda mematuhi peraturan serta memberikan bukti transfer data.
Respons Insiden GDPR
Jika terjadi hal yang lebih buruk, maka Anda perlu memastikan bahwa perusahaan Anda mengeluarkan pemberitahuan sebagai bagian dari laporan insiden kepada otoritas pengawas. Pemberitahuan harus dikirim dalam waktu 72 jam setelah perusahaan Anda mengidentifikasi insiden tersebut.
Jika terjadi keterlambatan yang menyebabkan Anda mengirim notifikasi melewati jangka waktu yang ditentukan, maka Anda harus menyertakan alasannya. Pemberitahuan yang dikirimkan kepada otoritas pengawas harus mencakup:
Detail dari insiden tersebut
Anda harus memberikan semua detail insiden yang mencakup jumlah dan jenis data pribadi yang terlibat dalam insiden serta jumlah orang yang terkait dengan data yang terpengaruh.
Informasi kontak
Anda perlu memberikan informasi kontak orang di perusahaan Anda yang bertanggung jawab untuk membagikan informasi lebih rinci mengenai insiden tersebut, seperti petugas yang bertanggung jawab atas perlindungan data.
Konsekuensi insiden
Anda perlu memberikan detail konsekuensi yang mungkin terjadi dari insiden tersebut untuk menghindari denda dan hukuman GDPR.
Rencana perusahaan terkait insiden tersebut
Anda perlu memberikan rincian tentang rencana yang akan dilakukan perusahaan untuk mengatasi masalah tersebut dan upaya yang akan dilakukan perusahaan untuk mengurangi dampak negatif yang ditimbulkan oleh insiden tersebut.
Selain mengirimkan pemberitahuan kepada otoritas pengawas, perusahaan Anda juga harus mengirimkan pemberitahuan kepada individu yang terkena dampak. Batas waktu ditetapkan menjadi “tanpa penundaan yang tidak semestinya” yang ditafsirkan oleh beberapa orang sebagai 72 jam, tetapi yang lain percaya bahwa jangka waktu tersebut lebih toleran dan bisa lebih luas.
Namun, Anda tidak perlu mengirimkan notifikasi kepada individu yang terkena dampak untuk setiap insiden yang terjadi di perusahaan Anda. Oleh karena itu, Anda perlu meneliti lebih lanjut tentang insiden mana yang perlu diberitahukan kepada individu dan mana yang tidak perlu diberitahukan.
Kesimpulan
GDPR mengeluarkan denda tersebut untuk memastikan bahwa keamanan data menjadi terlalu mahal jika tidak diadopsi dengan baik. Itulah sebabnya, penting bagi perusahaan Anda untuk mematuhi GDPR yang dapat membantu Anda menghindari denda.
Salah satu metode yang dapat Anda gunakan untuk membantu perusahaan mematuhi peraturan tersebut adalah pemetaan data. Oleh karena itu, lebih baik menerapkan praktik terbaik pemetaan data yang sesuai untuk perusahaan Anda.
Jika terjadi kejadian yang lebih buruk, maka penting juga untuk menerapkan respons insiden dan menginformasikan otoritas pengawas dan individu yang terkena dampak. Pemberitahuan harus dikirim dalam jangka waktu tertentu untuk menghindari denda dan hukuman GDPR lebih lanjut.
Deskripsi: Pelajari cara menghindari denda GDPR yang mahal dengan memahami peraturan dan menerapkan langkah-langkah perlindungan data yang tepat. Panduan ini mencakup segala hal mulai dari pemetaan data hingga respons insiden.
Tags: Denda dan hukuman GDPR, denda dan hukuman GDPR pasal 83, menghindari denda dan hukuman GDPR, pedoman denda dan hukuman GDPR, apa itu denda dan hukuman GDPR,