Dari markas besarWawasan SaaS

GDPR: Bagaimana perusahaan SaaS harus mempersiapkan diri menghadapi peraturan ini?

Diterbitkan Februari 21, 2018 by Renuka Shahane in Wawasan SaaS

Konten menyembunyikan

"Data adalah hal yang berharga dan akan bertahan lebih lama dari sistem itu sendiri." 

Tim Berners-Lee, penemu World Wide Web

Data adalah Emas. Dan ketika dunia berusaha memanfaatkan data dengan berbagai cara (baik etis maupun tidak etis), masukkan GDPR sebagai solusinya. 

 Dampak undang-undang baru dari UE – Peraturan Perlindungan Data Umum (GDPR) terhadap bisnis terbukti menjadi salah satu peraturan global yang paling penting saat ini karena terkait dengan tata kelola data dan privasi data. Banyak orang tidak yakin tentang apa itu GDPR, bagaimana dampaknya terhadap bisnis mereka, atau apakah mereka perlu khawatir sama sekali.

Arti GDPR

GDPR atau Peraturan Perlindungan Data Umum diberlakukan pada tanggal 25 Mei 2018. Uni Eropa (UE) telah memimpin pengembangan peraturan dalam privasi dan perlindungan data selama dua dekade terakhir. Pelanggaran terhadap GDPR dapat mengakibatkan denda hingga 4% dari omset global tahunan Anda atau 20 juta Euro – mana saja yang lebih tinggi. GDPR ditujukan untuk melindungi hak privasi data warga negara UE, tetapi ini berlaku untuk hampir semua perusahaan dengan jangkauan global termasuk SaaS.

Pada artikel ini, kita akan membahas kepatuhan GDPR untuk SaaS dan implikasinya.

Apa perlunya GDPR?

Ada dua alasan mengapa GDPR terbentuk. Pertama, UE ingin memiliki kendali lebih besar atas data pribadi penduduknya dan mengontrol cara penggunaannya. Dengan ini, pihaknya berharap dapat meningkatkan kepercayaan terhadap ekonomi digital.

Kedua, UE memfasilitasi lingkungan yang sederhana dan transparan untuk menjalankan bisnis, sehingga hampir seragam di seluruh UE.

Akankah GDPR berdampak pada Anda meskipun Anda tidak tinggal di UE?

Ya, jika Anda –

  • Menjual barang atau jasa kepada warga negara UE atau yang memantau perilaku mereka.
  • Memproses data pribadi individu UE atas nama bisnis lain.
  • Mengoperasikan situs web yang menggunakan teknologi seperti cookie untuk memantau orang-orang yang tinggal di UE
  • Mempekerjakan penduduk UE mana pun
  • Kumpulkan segala jenis data yang mungkin mencakup informasi tentang warga negara UE

Singkatnya, GDPR berlaku untuk penyedia SaaS yang memiliki klien atau konsumen Eropa, terlepas dari lokasi geografis organisasinya.

GDPR untuk SaaS: Peran Pengontrol Data

Apakah Anda seorang Pengontrol Data? 

Pengontrol data adalah individu atau organisasi yang mengontrol dan bertanggung jawab atas penyimpanan dan penggunaan informasi pribadi. Menjadi pengontrol data mempunyai tanggung jawab hukum yang serius, catatan data pribadi dan aktivitas pemrosesan harus dipelihara.

  • Jika organisasi Anda mengontrol dan bertanggung jawab atas data pribadi yang disimpannya, maka organisasi Anda adalah pengontrol data. di sisi lain, Anda memegang data pribadi, namun beberapa organisasi lain memutuskan dan bertanggung jawab atas apa yang terjadi pada data tersebut, maka organisasi terakhir adalah pengontrol data, dan organisasi Anda adalah pemroses data.
  • Pengendali data dapat berupa individu atau perusahaan, departemen pemerintah, dan organisasi sukarela. Individu seperti dokter umum, apoteker, politisi, dan pedagang tunggal, tempat mereka menyimpan informasi pribadi tentang pasien, klien, konstituen, dll.
  • Pengendali data bertanggung jawab untuk memastikan bahwa kontrak dengan pemroses mematuhi GDPR.

GDPR untuk Organisasi SaaS: Peran Pemroses Data

Apakah Anda seorang Pemroses Data? 

Pemroses bertanggung jawab untuk memproses data pribadi atas nama pengontrol. Contoh pengolah data termasuk perusahaan penggajian, akuntan, dan perusahaan riset pasar, yang semuanya menyimpan atau memproses informasi pribadi atas nama orang lain. Penyedia cloud umumnya juga merupakan pemroses data.

Pemroses data diharuskan menyimpan catatan data pribadi dan aktivitas pemrosesan. Mereka akan memiliki tanggung jawab hukum jika mereka bertanggung jawab atas pelanggaran.

Satu perusahaan atau orang dapat menjadi keduanya- pengontrol data dan pemroses data untuk kumpulan data pribadi yang berbeda. Misalnya, a perusahaan penggajian akan menjadi pengontrol data sehubungan dengan data tentang stafnya sendiri, namun juga akan menjadi pemroses data sehubungan dengan data penggajian staf yang diprosesnya untuk perusahaan kliennya.

Sebelum memahami bagaimana perusahaan SaaS harus mulai bersiap menghadapi GDPR, pertama-tama mari kita pahami jenis data yang menerapkan GDPR.

GDPR untuk organisasi SaaS- Data apa yang digunakan?

Data pribadi

Setiap informasi yang berkaitan dengan seseorang yang dapat diidentifikasi yang dapat diidentifikasi secara langsung atau tidak langsung khususnya dengan mengacu pada suatu pengidentifikasi seperti nama, nomor identifikasi, data lokasi atau pengidentifikasi online yang merupakan hasil dari perubahan teknologi. Ini berlaku untuk data pribadi otomatis dan sistem pengarsipan manual. Data pribadi yang disamarkan yaitu misalnya nama diganti dengan nomor unik, tergantung seberapa sulitnya mengkarakterisasi nama samaran tersebut pada seseorang.

Data pribadi yang sensitif

Data pribadi sensitif di bawah payung GDPR dianggap sebagai kategori data pribadi khusus yang merupakan informasi lebih sensitif tentang seseorang dan karenanya memerlukan perlindungan lebih seperti ras, asal etnis, pandangan politik, agama, keanggotaan serikat pekerja, data genetik seperti urutan DNA, biometrik. sidik jari atau pemindaian retina yang digunakan untuk tujuan identifikasi, dll.

Kepatuhan GDPR untuk perusahaan SaaS: Bagaimana persiapannya?

Pelanggan SaaS dan pemasok SaaS harus siap dan beroperasi untuk kepatuhan GDPR. Jika Anda belum melakukannya, berikut cara melakukannya:  

Memiliki Kesadaran

Pengambil keputusan di organisasi dan orang-orang penting harus memiliki kesadaran tentang GDPR dan menganalisis dampaknya, mengidentifikasi risiko yang terlibat, dan memasukkannya ke dalam proses manajemen risiko mereka.

Dokumentasi yang Tepat

Agar dapat dipertanggungjawabkan dan dipastikan efektif dokumentasi proses, Anda harus mendokumentasikan data pribadi apa yang Anda simpan, dari mana asalnya, dan dengan siapa Anda membagikannya. Anda bahkan mungkin memerlukan audit rutin atas dokumentasi ini. Hal ini penting, bukan hanya karena merupakan persyaratan hukum, namun juga karena dapat mendukung tata kelola data yang baik dan membantu Anda menunjukkan kepatuhan Anda terhadap aspek lain dari GDPR.

Mengkomunikasikan informasi privasi

Sebelum mengumpulkan data pribadi apa pun, undang-undang saat ini mengharuskan Anda memberi tahu pelanggan tentang identitas Anda, alasan Anda mengumpulkan data, tujuan penggunaan data tersebut, kepada siapa data tersebut akan diungkapkan, dan apakah data tersebut akan ditransfer di luar UE. Berdasarkan GDPR, informasi tambahan harus dikomunikasikan kepada individu sebelum pemrosesan.

Hak individu

Organisasi perlu menyediakan data pribadi dalam struktur yang umum digunakan atau dalam format elektronik, secara gratis. Dan, mereka juga perlu memeriksa prosedur mereka untuk memastikan bahwa prosedur tersebut mencakup semua hak yang dimiliki individu. Misalnya, bagaimana reaksi Anda jika seseorang meminta agar data pribadinya dihapus? Akankah sistem Anda membantu Anda menemukan dan menghapus data? Dan siapa yang akan mengambil keputusan itu?

Simpan catatan bukti persetujuan – siapa yang memberikan persetujuan, kapan, bagaimana, dan apa yang diberitahukan kepada mereka. Permudah orang untuk membatalkan persetujuannya kapan pun mereka mau. Sertakan peninjauan izin rutin ke dalam proses bisnis Anda karena GDPR dengan jelas menyatakan bahwa pengontrol harus dapat dengan jelas menunjukkan bahwa izin telah diberikan. Oleh karena itu, tinjau sistem yang Anda miliki untuk mencatat persetujuan guna memastikan Anda memiliki jejak audit yang efektif.

GDPR dan SaaS: Bagaimana Perubahan Permintaan Akses Subjek (SAR)?

Berdasarkan GDPR, Organisasi harus menangani Permintaan Akses Subjek (SAR) dengan lebih cepat, serta memberikan informasi tambahan. Individu sudah memiliki hak untuk mengakses data pribadinya melalui SAR. Namun, secara umum permintaan tersebut bebas untuk diajukan dan individu berhak menerima informasi dalam format elektronik.

Jika sebuah organisasi menangani SAR dalam jumlah besar, dampak perubahannya bisa sangat besar. Oleh karena itu, mengambil langkah-langkah untuk mengatur pendekatan terhadap SAR akan membantu organisasi untuk mematuhi GDPR.

Pelanggaran Data

Anda harus memastikan bahwa Anda memiliki prosedur yang tepat untuk mendeteksi, melaporkan tanpa penundaan yang tidak semestinya. Jika memungkinkan dalam waktu 72 jam setelah mengetahui dan menyelidiki, pelanggaran data pribadi.

Tunjuk Petugas Perlindungan Data

Sebuah organisasi perlu menunjuk seseorang untuk bertanggung jawab atas kepatuhan perlindungan data, Anda dapat menunjuk dari luar atau seseorang dari organisasi itu sendiri. Anda mungkin harus melakukan beberapa perubahan pada struktur organisasi Anda.

Regulasi data dan proyek masa depan

A (Keputusan Dampak Privasi Data) DPIA adalah proses mempertimbangkan secara sistematis potensi dampak proyek atau inisiatif terhadap privasi individu. Hal ini memungkinkan organisasi untuk mengidentifikasi potensi masalah privasi sebelum masalah tersebut muncul, dan menemukan cara untuk memitigasinya. DPIA dapat melibatkan diskusi dengan pihak/pemangku kepentingan terkait. Pada akhirnya, penilaian seperti ini terbukti sangat berharga dalam menentukan kelayakan proyek dan inisiatif di masa depan. GDPR telah mengamanatkan DPIA bagi organisasi-organisasi yang terlibat dalam pemrosesan berisiko tinggi; misalnya ketika teknologi baru sedang diterapkan, ketika operasi pembuatan profil kemungkinan besar akan berdampak signifikan terhadap individu, atau ketika ada pemantauan skala besar terhadap area yang dapat diakses oleh publik.

GDPR mungkin tampak sebagai arena tambahan yang perlu dikerjakan oleh perusahaan SaaS, namun dalam jangka panjang, sangat masuk akal untuk mengakui kekhawatiran terhadap privasi data, mengingat jumlah data yang dihasilkan.

Referensi:

Renuka Shahane
Renuka Shahane
Renuka Shahane adalah seorang penulis dan editor di blog Scalefusion. Seorang pembaca setia yang gemar menulis tentang teknologi, ia suka menerjemahkan jargon teknis menjadi konten yang dapat dikonsumsi.
Spanduk artikel

Lainnya dari blog

Penggabungan skala

Scalefusion vs Jamf Pro: Perbandingan berdampingan

Memilih solusi UEM yang tepat memainkan peran penting dalam keamanan dan efisiensi operasional organisasi secara keseluruhan. Hal ini menciptakan...
Atishay Jain -
Penggabungan skala

Cisco Meraki Systems Manager Mengakhiri Masa Pakai: Apa yang akan terjadi selanjutnya...?

Waktu terus berjalan bagi semua pengguna Cisco Meraki Systems Manager. Cisco mengumumkan penghentian dukungan (end of life/EOL) untuk...
Atishay Jain -
Linux

Cara mendaftarkan perangkat Linux di MDM

Perangkat Linux banyak digunakan di berbagai industri. Hal ini disebabkan oleh fleksibilitas, stabilitas, dan efektivitas biaya yang tak tertandingi. Sebagai sebuah...
Atishay Jain -