Pasal 30 GDPR: Memahami Persyaratan Penyimpanan Catatan

Oleh
Pasal 30 GDPR

Jika perusahaan Anda melakukan proses apa pun pada data pribadi dalam cakupan GDPR, maka Anda harus memiliki catatan rinci tentang semua aktivitas tersebut. Semua itu diatur dalam GDPR Pasal 30 tentang pencatatan yang harus Anda patuhi, terutama untuk perusahaan di Eropa.

Apa yang dimaksud dengan penyimpanan catatan Pasal 30 GDPR?

Pencatatan GDPR Pasal 30 mendefinisikan semua persyaratan yang diperlukan untuk mencatat berbagai jenis aktivitas yang memproses data. Peraturan ini kemungkinan besar akan berlaku untuk perusahaan Anda karena memiliki penerapan yang luas. Dengan demikian, jika perusahaan Anda ingin mendapatkan sertifikasi GDPR, Anda perlu melihat bagaimana sistem Anda memindahkan data pada setiap proses dengan mengikuti data tersebut.

Melalui pasal 30, semua perusahaan harus membuat catatan untuk semua kegiatan pengolahan. Catatan ini dibuat untuk regulator agar mereka dapat melihat cara Anda menangani data dan memastikan bahwa data tersebut sesuai dengan peraturan GDPR.

Jadi, penting untuk tidak hanya berfokus pada elemen data itu sendiri karena Anda mungkin mengabaikan banyak hal yang diwajibkan oleh GDPR. Catatan yang Anda buat harus menunjukkan bagaimana dan mengapa data tersebut diproses.

Untuk Siapa Peraturan Ini Berlaku?

Secara umum, GDPR berlaku untuk semua perusahaan di wilayah Uni Eropa, terutama yang ingin mendapatkan sertifikasi. Pasal 30 lebih lanjut mendefinisikan ini sebagai organisasi atau perusahaan yang memiliki ukuran lebih dari 250 karyawan. Jika ukuran perusahaan Anda lebih kecil maka Anda hanya perlu mendokumentasikan aktivitas pemrosesan tertentu yang:

  • Tidak sesekali seperti hal-hal yang jarang Anda lakukan atau sesuatu yang Anda lakukan lebih dari sekali
  • Kemungkinan besar memiliki dampak yang akan membahayakan kebebasan dan hak-hak individu
  • Melibatkan data pelanggaran dan hukuman pidana atau data kategori khusus yang telah dijelaskan lebih lanjut dalam GDPR pasal 10 dan 9.

Mematuhi Aktivitas Pemrosesan GDPR

Untuk menjaga kepatuhan terhadap GDPR, penting bagi perusahaan untuk menyimpan catatan tentang bagaimana proses data pribadi serta maksud dan sifat aktivitas pemrosesan. Otoritas yang memantau dan mengawasi perusahaan Anda kapan saja dapat meminta untuk melihat catatan yang menunjukkan aktivitas pemrosesan.

Penting untuk dicatat bahwa perusahaan Anda berkewajiban untuk menyediakan catatan yang komprehensif yang mencakup dokumen yang terperinci. Tanggung jawab pencatatan aktivitas pemrosesan berada di tangan perusahaan yang bertindak sebagai pengendali atau pemroses.

Catatan itu sendiri harus dibuat secara tertulis yang juga mencakup bentuk tulisan elektronik. Baik perusahaan yang bertindak sebagai pengendali atau sebagai pemroses maupun perwakilannya harus menyediakan catatan untuk otoritas yang bertahan dan mengelolanya jika diminta.

Catatan tersebut dapat digunakan untuk memantau pengoperasian aktivitas pemrosesan untuk memastikan bahwa aktivitas tersebut mematuhi penyimpanan catatan Pasal 30 GDPR. Catatan yang perlu didokumentasikan akan dijelaskan lebih lanjut di bawah ini ketika perusahaan Anda bertindak sebagai pengendali atau ketika perusahaan Anda bertindak sebagai pemroses.

Catatan Apa yang Harus Didokumentasikan oleh Pengawas?

Pengontrol didefinisikan oleh GDPR sebagai entitas yang menentukan cara dan tujuan pemrosesan data pribadi. Jika perusahaan Anda bertindak sebagai pengendali dalam pemrosesan data pribadi, maka Anda perlu menyediakan catatan untuk hal-hal ini:

  • Rincian kontak dan nama perusahaan
  • Kontak dan nama petugas yang bertanggung jawab atas perlindungan data dan membantu kepatuhan terhadap GDPR – jika ada
  • Kontak dan nama pengendali bersama termasuk perusahaan lain yang bekerja sama dengan perusahaan Anda. Anda juga perlu menyatakan bagaimana dan mengapa pemrosesan data pribadi – jika berlaku
  • Kontak dan nama orang yang bertindak sebagai perwakilan perusahaan, termasuk perusahaan lain yang mewakili perusahaan Anda jika Anda menawarkan layanan atau memantau data untuk warga negara Uni Eropa – jika ada
  • Tujuan pemrosesan data termasuk mengapa perusahaan perlu menggunakan data pribadi tersebut, misalnya untuk tujuan pemasaran, rekrutmen, atau manajemen pelanggan.
  • Kategori individu mencakup berbagai kategori orang yang data pribadinya diproses oleh perusahaan Anda, seperti anggota perusahaan, pelanggan, karyawan, dll.
  • Kategori data pribadi yang diproses perusahaan yang mencakup kategori informasi yang diproses perusahaan dari orang-orang misalnya, data kesehatan, data keuangan, detail kontak, dll.
  • Untuk mematuhi GDPR Pasal 30, Anda memerlukan daftar perusahaan internasional atau nama negara ketiga tempat Anda mentransfer data pribadi, termasuk negara atau perusahaan mana pun di luar negara lokal Anda – jika berlaku
  • Pengamanan yang dilakukan terhadap data pribadi yang ditransfer secara luar biasa ke perusahaan internasional atau negara ketiga. – jika ada
  • Jadwal penyimpanan untuk berbagai kategori data pribadi termasuk lamanya waktu data akan disimpan. Garis waktu dapat ditetapkan dengan menggunakan pedoman industri atau kebijakan internal yang mungkin berbeda untuk setiap perusahaan. – jika memungkinkan
  • Penjelasan umum tentang keamanan perusahaan dan tindakan teknis yang digunakan untuk melindungi dan menjaga data pribadi seperti pelatihan, kontrol akses, enkripsi, dll. – jika memungkinkan

Catatan Apa yang Harus Didokumentasikan oleh Pemroses?

Pemroses didefinisikan oleh GDPR sebagai entitas yang melakukan pemrosesan data pribadi seperti yang disyaratkan oleh pengontrol. Jika perusahaan Anda bertindak sebagai pemroses dalam pemrosesan data pribadi maka Anda perlu menyediakan catatan untuk hal-hal ini:

  • Rincian kontak dan nama perusahaan
  • Kontak dan nama petugas yang bertanggung jawab atas perlindungan data dan membantu kepatuhan terhadap GDPR – jika ada
  • Detail kontak dan nama semua pengendali yang bertindak untuk perusahaan, termasuk perusahaan yang memutuskan bagaimana dan mengapa memproses data pribadi.
  • Kontak dan nama orang yang bertindak sebagai perwakilan perusahaan, termasuk perusahaan lain yang mewakili perusahaan Anda jika Anda menawarkan layanan atau memantau data untuk warga negara Uni Eropa – jika ada
  • Kontak dan nama orang yang bertindak sebagai perwakilan perusahaan pengendali termasuk perusahaan lain yang mewakili perusahaan pengendali jika mereka menawarkan layanan atau memantau data untuk warga negara Uni Eropa – jika berlaku
  • Kategori pemrosesan yang Anda lakukan untuk setiap pengendali termasuk kategori yang Anda lakukan pada data pribadi misalnya, layanan TI, pemrosesan penggajian, pemasaran.
  • Untuk mematuhi GDPR Pasal 30, Anda memerlukan daftar perusahaan internasional atau nama negara ketiga tempat Anda mentransfer data pribadi, termasuk negara atau perusahaan mana pun di luar negara lokal Anda – jika berlaku
  • Pengamanan yang dilakukan terhadap data pribadi yang ditransfer secara luar biasa ke perusahaan internasional atau negara ketiga. – jika ada
  • Penjelasan umum tentang keamanan perusahaan dan tindakan teknis yang digunakan untuk melindungi dan menjaga data pribadi seperti pelatihan, kontrol akses, enkripsi, dll. – jika memungkinkan

Praktik Terbaik Penyimpanan Catatan untuk Mematuhi GDPR

Untuk mematuhi GDPR, maka Anda perlu mengatur catatan dengan cara seperti yang dinyatakan oleh peraturan tersebut. Ini bukanlah proses yang mudah karena membutuhkan catatan yang rinci serta kerja yang terus menerus untuk memeliharanya. Berikut ini adalah praktik terbaik yang perlu Anda lakukan jika ingin mematuhi GDPR

Melakukan Inventarisasi Data

  • Tentukan kategori masing-masing subjek data yang dikumpulkan perusahaan, seperti pelanggan, pemilik akun, karyawan, dll.
  • Tentukan kategori data pribadi yang disimpan di dalam database perusahaan Anda, seperti riwayat penelusuran pelanggan, catatan karyawan, dll.
  • Menentukan kategori data pribadi yang disimpan di dalam database yang dimiliki oleh pihak ketiga, misalnya informasi kartu kredit nasabah.

Melakukan Pemetaan Data

Penting bagi Anda untuk memetakan data yang Anda ambil sehingga Anda akan tahu ke mana semua kategori data yang berbeda itu pergi ketika Anda mengumpulkannya. Untuk mencapai hal ini, Anda perlu melakukan:

  • Melacak semua langkah yang diambil selama pemrosesan setiap data dari titik pengumpulan dan seterusnya.
  • Perjalanan catatan data pribadi harus dilacak saat berada di database perusahaan dan di database milik pihak ketiga.

Anda juga harus mengidentifikasi tempat penyimpanan data pribadi di dalam basis data perusahaan dan basis data milik pihak ketiga. Anda harus mencatat di mana server database yang dimiliki oleh perusahaan dan database yang dimiliki oleh pihak ketiga berada secara geografis.

Melakukan Penilaian terhadap Pemrosesan Data untuk Mematuhi GDPR Pasal 30 pencatatan

  • Anda perlu menentukan kategori data pribadi mana yang penting untuk menjalankan bisnis Anda. Dengan begitu, Anda dapat menghentikan pengumpulan data dan menghapus data pribadi lain yang tidak penting.
  • Anda perlu menentukan kategori data pribadi mana yang akan disimpan oleh perusahaan Anda dan kategori data pribadi mana yang akan dihapus oleh perusahaan Anda. Hal ini penting agar Anda dapat meminimalkan jumlah data pribadi yang dikumpulkan oleh perusahaan Anda.
  • Anda harus memastikan bahwa pemrosesan data pribadi dilakukan dengan persetujuan atau/dan dilakukan dalam standar keabsahan sebagaimana dinyatakan dalam GDPR pasal 6
  • Anda perlu mengatur parameter yang akan digunakan untuk menentukan lama waktu penyimpanan data pribadi serta format yang digunakan untuk menyimpan data pribadi.
  • Anda perlu mengidentifikasi apakah akan ada kemacetan yang mungkin terjadi saat memproses permintaan data pribadi.

Kesimpulan

Seperti yang Anda lihat, penting bagi perusahaan Anda untuk mematuhi GDPR Pasal 30 pencatatan, baik Anda bertindak sebagai pengontrol atau sebagai pemroses. Oleh karena itu, lebih baik segera mulai membuat catatan jika Anda ingin mendapatkan sertifikasi GDPR. Ingatlah untuk selalu memperbarui catatan yang akan digunakan untuk memastikan bahwa perusahaan Anda masih mematuhi peraturan GDPR.

Deskripsi: Pahami persyaratan penyimpanan catatan menurut GDPR Pasal 30 dan pelajari praktik terbaik untuk membuat dan menyimpan catatan aktivitas pemrosesan data Anda.

Tags; GDPR Pasal 30 pencatatan, GDPR Pasal 30 pencatatan praktik terbaik, GDPR Pasal 30 peraturan pencatatan, GDPR Pasal 30 manajemen pencatatan, GDPR Pasal 30 persyaratan pencatatan

Hubungi Paireds

Human Security and Compliance Platform

Tertarik dengan otomatisasi compliance dan human focus cyber security? Hubungi kami untuk membahas kebutuhan cyber security dan compliance Anda. Kita akan bekerja sama untuk mencari tahu apa yang Anda butuhkan dan bagaimana memulainya.

Let’s talk

%d blogger menyukai ini: