Kepatuhan GDPR: di sini’s Apa yang harus diketahui oleh bisnis India

Dalam artikel ini, saya akan memberikan ringkasan Peraturan Perlindungan Data Umum (GDPR) dan menyoroti poin -poin penting yang harus diperhatikan oleh bisnis India.

1. GDPR berlaku untuk organisasi India: Meskipun GDPR adalah hukum Eropa, ini berlaku untuk organisasi India yang menyediakan barang atau jasa kepada individu di Uni Eropa (UE) atau memantau perilaku mereka di dalam UE.
2. Peran pengontrol dan prosesor: Organisasi India dapat bertindak sebagai pengontrol (menentukan bagaimana dan mengapa data perlu diproses) atau prosesor (memproses data atas nama pengontrol).
3. Perlindungan Data Pribadi: GDPR melindungi data pribadi subjek data UE, termasuk nama, email, alamat, alamat IP, dan banyak lagi. Perlindungan yang lebih ketat diberikan untuk data kategori sensitif seperti pendapat politik, keyakinan agama, dll.
4. Kewajiban Kepatuhan GDPR: Organisasi India yang termasuk dalam ruang lingkup GDPR perlu memberikan hak baru kepada subjek data UE, termasuk hak untuk dilupakan, hak untuk menghapus, hak untuk memperbaiki data, dan hak atas portabilitas data.
5. Kewajiban untuk pengontrol: Pengontrol harus menerapkan langkah -langkah teknis dan organisasi yang tepat untuk memastikan kepatuhan GDPR. Ini termasuk memiliki kebijakan perlindungan data, pseudonimisasi, enkripsi, dan privasi dengan desain.
6. Persyaratan kontrak: Kontrak antara pengontrol dan prosesor untuk memproses data pribadi harus menggabungkan persyaratan GDPR.
7. Perwakilan Lokal dan Petugas Perlindungan Data: Organisasi India di luar UE mungkin perlu menunjuk perwakilan lokal dan petugas perlindungan data, yang menambah biaya kepatuhan.
8. Persetujuan yang jelas dan eksplisit: Persetujuan yang dicari dari subjek data harus jelas dan eksplisit. Kotak persetujuan pra-uji atau persetujuan tersirat tidak cukup di bawah GDPR.
9. Pencatatan: Organisasi yang mempekerjakan lebih dari 250 orang perlu menyimpan catatan.
10. Pemberitahuan pelanggaran data: Pelanggaran data harus dilaporkan ke pihak berwenang dalam waktu 72 jam dan ke subjek data tanpa penundaan yang tidak semestinya.
11. Transfer data lintas batas: Transfer data ke pihak ketiga atau negara harus memenuhi persyaratan kecukupan GDPR. India saat ini bukan negara yang diberitahu.
12. Hukuman untuk ketidakpatuhan: Ketidakpatuhan terhadap GDPR dapat menyebabkan hukuman yang signifikan. Denda moneter mungkin hingga 4% dari pergantian tahunan di seluruh dunia atau EUR 20 juta.
13. Risiko reputasi: Organisasi yang tidak patuh juga menghadapi risiko reputasi dan potensi hilangnya klien UE.
14. Privasi di era digital: Privasi telah menjadi prioritas di era digital, seperti yang ditunjukkan oleh kontroversi terbaru seperti skandal Facebook-Cambridge Analytica.
15. Tindakan segera untuk kepatuhan: Organisasi India harus menilai data pribadi, meninjau kebijakan dan kontrak privasi, memastikan persetujuan diperoleh, memungkinkan hak subjek data baru, dan memiliki prosedur untuk mendeteksi, melaporkan, dan menyelidiki pelanggaran data.

Catatan: Artikel ini didasarkan pada pengalaman dan pengamatan pribadi saya dan bukan merupakan nasihat hukum. Sangat penting bagi bisnis India untuk berkonsultasi dengan profesional hukum untuk panduan khusus tentang kepatuhan GDPR.

Kepatuhan GDPR: di sini’s Apa yang harus diketahui oleh bisnis India

Catatan kaki

GDPR: Inilah yang perlu diketahui oleh perusahaan India

Peraturan Perlindungan Data Umum sebagai sebuah istilah, sekarang, diketahui oleh sebagian besar organisasi India yang berurusan dengan data pribadi. GDPR, atau Peraturan Perlindungan Data Umum adalah hukum privasi baru Uni Eropa (UE), yang akan mulai berlaku mulai 25 Mei 2018. Apakah GDPR berlaku untuk organisasi India? Ya. Meskipun GDPR adalah hukum Eropa, itu akan berlaku untuk organisasi India jika organisasi tersebut menyediakan barang atau jasa kepada orang -orang di Uni Eropa (UE) i.e. Subjek data UE, atau memantau perilaku mereka di dalam UE. Organisasi India dapat bertindak sebagai pengontrol (i.e. Tentukan bagaimana dan mengapa data perlu diproses), atau prosesor (i.e. Proses data atas nama pengontrol). GDPR telah menetapkan kewajiban dan hukuman spesifik dalam kedua kasus tersebut. GDPR melindungi ‘data pribadi’ Subjek data UE seperti nama, email, alamat, alamat IP, data lokasi, data genetik dan biometrik, pengidentifikasi online, dll. Data ini bisa menjadi karyawan, pelanggan, vendor atau mitra bisnis dari suatu organisasi. Perlindungan yang lebih ketat diberikan untuk data kategori sensitif, seperti pendapat politik, kepercayaan agama, keanggotaan serikat pekerja, asal ras atau etnis, dll. Apa yang perlu dilakukan organisasi India untuk kepatuhan GDPR? Organisasi India yang termasuk dalam Ambit GDPR perlu memberikan hak baru kepada subjek data UE yang akan datang. Ini termasuk: hak untuk dilupakan, hak untuk menghapus data pribadi, hak untuk memperbaiki data, hak untuk portabilitas data, dll. GDPR telah menetapkan kewajiban dan tanggung jawab terperinci untuk pengontrol dan prosesor. Beberapa yang kritis meliputi: Pengontrol sekarang perlu menerapkan langkah -langkah teknis dan organisasi yang tepat untuk memastikan dan menunjukkan bahwa ia mematuhi GDPR, seperti memiliki kebijakan perlindungan data yang tepat, pseudonimisasi, enkripsi, privasi dengan desain dan privasi default pada saat pengembangan dan implementasi produk, dll. Kontrak antara pengontrol dan prosesor untuk pemrosesan data pribadi perlu menggabungkan persyaratan GDPR; Pengendali dan prosesor di luar UE perlu menunjuk perwakilan lokal di UE, dan petugas perlindungan data, dalam kasus -kasus tertentu, yang akan menjadi kepatuhan dan biaya tambahan untuk perusahaan India; Persetujuan yang dicari oleh pengontrol dari subjek data harus jelas dan eksplisit. Kotak persetujuan pra-uji/persetujuan tersirat tidak akan bekerja di bawah GDPR. Opt-out harus eksplisit; Catatan yang akan dipertahankan jika suatu organisasi mempekerjakan lebih dari 250 orang; Pemberitahuan pelanggaran data kepada pihak berwenang dalam waktu 72 jam, dan untuk subjek data tanpa penundaan yang tidak semestinya; Transfer data lintas batas dengan pihak ketiga / negara perlu memenuhi tingkat perlindungan yang memadai sebagai GDPR. India bukan negara yang diberitahu. Apa hukuman dan risiko untuk ketidakpatuhan? Hukumannya signifikan di bawah GDPR. Untuk ketidakpatuhan dengan persyaratan persetujuan pelanggan, hak subjek data (dibahas di bawah), persyaratan transfer data lintas batas, dll. Hukuman moneter bisa lebih tinggi: 4% dari omset tahunan di seluruh dunia di tahun keuangan sebelumnya atau EUR 20 juta. Untuk ketidakpatuhan oleh pengontrol dan pemroses kewajiban mereka di bawah GDPR, denda bisa lebih tinggi dari: 2% dari omset tahunan di seluruh dunia pada tahun keuangan sebelumnya atau EUR 10 juta. Ini dapat memiliki implikasi keuangan yang signifikan bagi organisasi mana pun yang melakukan bisnis di Eropa. Selain itu, di sana’S juga risiko reputasi dan risiko kehilangan klien/ pelanggan UE jika organisasi India tidak sesuai dengan GDPR. Takeaways Kunci untuk Organisasi India Privasi telah mengambil panggung utama di era digital, seperti yang terbukti dari kontroversi Facebook -Cambridge Analytica baru -baru ini. UE adalah pasar yang signifikan untuk industri IT/ BPO/ Teknologi India. Oleh karena itu, kepatuhan GDPR telah diprioritaskan untuk semua organisasi India yang memiliki bisnis di UE. Dengan 25 dapat mendekati, jika belum dilakukan, perusahaan India dapat menilai yang berikut untuk kepatuhan langsung: melakukan penilaian data pribadi dalam sistem mereka, meninjau kebijakan privasi dan kontrak untuk memastikan bahwa mereka sesuai dengan GDPR; Menilai sumber data UE, bagaimana disimpan, apakah langkah -langkah keamanan berlaku; Menilai apakah persetujuan sesuai persyaratan GDPR diambil untuk pengumpulan data pribadi; Jika tidak, seseorang harus segera menjangkau dan mendapatkan persetujuan sebelum 25 Mei 2018; Pastikan bahwa Anda memiliki sistem untuk mengaktifkan hak subjek data baru individu, termasuk bagaimana Anda akan menghapus data pribadi; Pastikan Anda memiliki prosedur yang memadai untuk mendeteksi, melaporkan, dan menyelidiki pelanggaran data.(Oleh Anshul Prakash, Mitra, dan Shweta Dwivedi, Associate Utama, Khaitan & Bersama)

Kami di MoneyControl menggunakan cookie dan teknologi pelacakan lainnya untuk membantu Anda dengan navigasi dan menentukan lokasi Anda. Kami juga menangkap cookie untuk mendapatkan umpan balik Anda, menganalisis penggunaan produk dan layanan kami dan menyediakan konten dari pihak ketiga. Dengan mengklik ‘Saya menerima’, Anda menyetujui penggunaan cookie dan teknologi pelacakan lainnya. Untuk detail lebih lanjut, Anda dapat merujuk pada kebijakan cookie kami.

* Kami mengumpulkan cookie untuk fungsi situs web kami dan untuk memberi Anda pengalaman terbaik. Ini termasuk beberapa cookie penting.

Cookie dari pihak ketiga yang dapat digunakan untuk personalisasi dan menentukan lokasi Anda. Dengan mengklik ‘Saya menerima’, Anda menyetujui penggunaan cookie untuk meningkatkan pengalaman pribadi Anda di situs kami. Untuk detail lebih lanjut, Anda dapat merujuk pada kebijakan cookie kami

* Saya setuju dengan kebijakan privasi yang diperbarui dan saya menjamin bahwa saya di atas 16 tahun

Saya setuju dengan pemrosesan data pribadi saya untuk tujuan rekomendasi yang dipersonalisasi tentang produk keuangan dan serupa yang ditawarkan oleh MoneyControl

Saya setuju iklan yang dipersonalisasi dan segala jenis pemasaran ulang/penargetan ulang di situs web pihak ketiga lainnya

Saya setuju untuk menerima komunikasi pemasaran langsung melalui email dan SMS

Pilih (*) Semua kondisi wajib untuk melanjutkan.

Perkenalan

Hampir setiap hari kami membagikan data pribadi kami dengan cara tertentu seperti, dengan memesan tiket penerbangan, tiket film, membuat reservasi hotel, masuk ke situs web media sosial, atau untuk tujuan kerja. Tapi pernahkah Anda bertanya -tanya apa yang terjadi pada data ini? Bagaimana perusahaan menggunakan dan memproses data ini? Dapatkah Anda memilih untuk menolak pengumpulan atau pemrosesan data Anda? Apakah menurut Anda perusahaan harus mengambil persetujuan Anda sebelum mereka memutuskan apa yang harus dilakukan dengan data pribadi Anda?

Negara -negara di seluruh dunia memberlakukan undang -undang untuk perlindungan data pribadi. Statistik UNCTAD menunjukkan bahwa 66% negara di seluruh dunia memiliki undang -undang tentang perlindungan data. Peraturan Perlindungan Data Umum (GDPR) adalah salah satu undang -undang tersebut, diberlakukan pada tahun 2018 untuk perlindungan data pribadi semua negara anggota Uni Eropa. India belum memberlakukan rancangan undang -undang tentang perlindungan data yang dikenal sebagai RUU Perlindungan Data Pribadi (PDP), 2018 . Saat ini, data pribadi dilindungi oleh Data Pribadi Sensitif atau Aturan Informasi (SPDI) 2011 di bawah Undang -Undang Teknologi Informasi, 2000 .

Meskipun tidak ada undang -undang perlindungan data pribadi tertentu di India, sangat penting untuk dipahami jika GDPR berlaku untuk bisnis di India. Jika ya, lalu bagaimana mereka bisa mematuhi itu?

Apa itu GDPR dan lakukan semua bisnis India harus mematuhi itu?

GDPR adalah undang -undang komprehensif yang bertujuan untuk melindungi pemrosesan dan pergerakan data pribadi individu di dalam dan di luar UE . Meskipun diberlakukan untuk perlindungan data pribadi semua negara anggota Uni Eropa, dampak GDPR di seluruh dunia. Banyak negara menganggap privasi dan perlindungan data lebih serius setelah diberlakukannya GDPR. Bisnis berusaha memastikan bahwa mereka mematuhi GDPR dan juga menyusun undang -undang regional yang sesuai dengannya. Untuk memahami peraturan ini dan penerapannya, penting untuk mengetahui siapa prosesor data, pengontrol data, dan subjek data.

Pasal 4 (7) mendefinisikan ‘pengontrol’ sebagai, orang alami atau hukum, otoritas publik, agensi, atau badan lain yang menentukan tujuan dan sarana pemrosesan data pribadi. A ‘prosesor’ Di sisi lain berarti orang alami atau hukum, otoritas publik, agensi, atau badan lain yang memproses data pribadi atas nama pengontrol sesuai Pasal 4 (8). Subjek data disebut sebagai orang alami yang diidentifikasi atau diidentifikasi, sesuai GDPR.

Penerapan GDPR dibahas berdasarkan Pasal 3 GDPR. Itu berlaku di:

• Semua pemroses data dan pengontrol data di dalam wilayah UE
• Semua pengontrol data dan pemroses di luar wilayah UE yang menawarkan barang atau jasa di UE adalah profil individu di UE
• Pemrosesan data pribadi sebagai bagian dari kegiatan salah satu cabangnya yang ditetapkan di UE.

Untuk memastikan perlindungan data pribadi penduduk Negara Anggota UE, GDPR juga memiliki penerapan ekstrateritorial. Ini berarti bahwa ruang lingkup GDPR meluas ke negara -negara, bukan di dalam yurisdiksi Uni Eropa. Namun, tidak semua bisnis India harus mematuhi GDPR. Bisnis India yang menawarkan barang atau jasa apa pun di UE, memproses data pribadi yang ditransfer dari UE, atau membuat profil data pribadi penduduk UE, harus mematuhi GDPR.

Bagaimana seharusnya bisnis India mematuhi GDPR?

Setelah memastikan jika GDPR berlaku untuk bisnis Anda di India, Anda perlu memastikan hal berikut:

1. Memiliki kebijakan privasi yang diperbarui:

Untuk memiliki kebijakan privasi yang sesuai dengan GDPR, bisnis India dapat memperbarui kebijakan privasi mereka dengan memasukkan:

• Kategori Data Pribadi Dikumpulkan: Kebijakan harus dengan jelas mencantumkan jenis data pribadi dan kategori khusus data pribadi yang dikumpulkan seperti nama, ID email, alamat rumah/pekerjaan, keyakinan agama dan politik, dll.

• Penggunaan data pribadi: Tujuan dan dasar yang sah untuk mengumpulkan dan memproses data harus ditunjukkan dengan jelas dalam kebijakan. Harus ada setidaknya satu dasar yang sah untuk mengumpulkan dan memproses data pribadi dari enam pangkalan yang sah untuk memproses data yang disebutkan berdasarkan Pasal 6 GDPR.
• Izin: Persetujuan eksplisit, gratis, dan tidak ambigu harus diambil dari subjek data untuk memproses data mereka. Ini memberi individu pilihan nyata dan kontrol atas data dan privasi mereka.
• Hak Subjek Data: Rincian permintaan pemrosesan oleh subjek data sehubungan dengan menegakkan hak -hak mereka yang mencakup hak untuk menarik persetujuannya, hak untuk membatasi pengontrol data dari memproses data mereka, hak untuk dilupakan atau hak portabilitas data seperti yang diberikan dalam GDPR diperlukan untuk disebutkan dalam kebijakan privasi/pemberitahuan.

2. Melindungi hak -hak subjek data:

Agar setiap bisnis India patuh pada GDPR, mereka harus memastikan bahwa mereka membuat mekanisme permintaan subjek data untuk melindungi hak -hak subjek data. Bab 3 dari GDPR didedikasikan untuk hak -hak subjek data yang mencakup hak untuk mengakses data, hak untuk dilupakan, hak untuk membatasi data dari diproses, hak subjek data untuk memberikan persetujuan eksplisit dari subjek data, hak portabilitas data, dan hak untuk melakukan perbaikan.

3. Menentukan apakah Anda pengontrol atau prosesor data:

Bisnis India harus tahu apakah mereka pengontrol data atau prosesor berdasarkan apakah mereka memutuskan cara data digunakan atau hanya memproses data. Bab 4 dari GDPR menetapkan kewajiban dan kewajiban yang berbeda untuk pengontrol data dan prosesor data. Pengontrol data wajib menerapkan langkah -langkah teknis dan organisasi yang tepat untuk memastikan dan menunjukkan bahwa pemrosesan dilakukan sesuai dengan peraturan ini. Pengontrol juga harus meninjau dan memperbarui langkah -langkah ini sebagai dan ketika menjadi perlu untuk melakukannya. Padahal, prosesor berkewajiban untuk mengimplementasikan langkah -langkah yang disebutkan di atas atas nama pengontrol dan tidak dapat melibatkan prosesor lain tanpa pengontrol data’S Otorisasi, sesuai Pasal 28 GDPR.

4. Mempertahankan catatan pemrosesan data pribadi:

Setiap pengontrol data dan prosesor yang memiliki lebih dari 250 karyawan diharuskan untuk menyimpan catatan kegiatan pemrosesan, sesuai dengan Pasal 30 GDPR. Catatan pemrosesan data pribadi harus secara luas berisi yang berikut:

• Nama pengontrol data atau/dan prosesor.
• Tujuan mengumpulkan data.
• Jenis data yang dikumpulkan.
• Kategori Subjek Data yang datanya dikumpulkan.
• Nama penerima kepada siapa data diungkapkan.
• Kegiatan pemrosesan yang dilakukan atas nama prosesor.
• Dokumentasi Dalam hal transfer data pribadi subjek data ke pihak ketiga atau organisasi internasional.
• Langkah -langkah keamanan dilakukan untuk diproses.

Catatan -catatan ini harus disimpan secara tertulis atau dalam bentuk elektronik dan harus tersedia untuk otoritas pengawas atas permintaan.

5. Mengamankan pemrosesan data pribadi:

Saat mengumpulkan dan memproses data pribadi, mungkin ada risiko besar seperti penghancuran, kerugian, perubahan, perubahan, pengungkapan yang tidak sah, atau akses ke data pribadi yang dikirimkan, disimpan, atau diproses. Untuk memastikan keamanan data, pengontrol dan prosesor harus menerapkan langkah -langkah teknis dan organisasi yang meliputi:

• Pseudonimisasi dan enkripsi data pribadi.
• Mempertahankan kerahasiaan, integritas, ketersediaan, dan ketahanan sistem dan layanan pemrosesan.
• Mekanisme untuk mengembalikan ketersediaan dan akses ke data pribadi secara tepat waktu.
• Proses untuk menguji, menilai, dan mengevaluasi efektivitas tindakan teknis dan organisasi secara teratur.

6. Penilaian Dampak Perlindungan Data:

Penilaian Dampak Perlindungan Data adalah cara untuk menilai dampak kegiatan pemrosesan pada perlindungan data pribadi oleh pengontrol data sebelum benar -benar memprosesnya. Ini wajib bagi bisnis -bisnis yang menggunakan profil sistematis dan luas yang secara signifikan mempengaruhi orang alami, memproses kategori khusus atau data pelanggaran pidana dalam skala besar, atau secara sistematis memantau tempat yang dapat diakses secara publik dalam skala besar. Penilaian Dampak Data harus berisi yang berikut:

• Deskripsi sistematis kegiatan pemrosesan dan tujuan pemrosesan
• penilaian kebutuhan dan proporsionalitas operasi pemrosesan sehubungan dengan tujuan;
• Penilaian Risiko terhadap Hak dan Kebebasan Subjek Data
• Langkah -langkah yang diambil untuk mengatasi risiko, termasuk perlindungan, langkah -langkah keamanan, dan mekanisme untuk memastikan perlindungan data pribadi dan untuk menunjukkan kepatuhan dengan peraturan ini dengan mempertimbangkan hak dan kepentingan sah subjek data dan orang lain yang bersangkutan.

7. Mudah membaca Kebijakan Privasi:

Kebijakan Privasi harus ditulis sedemikian rupa sehingga dapat dengan mudah dipahami oleh semua orang yang mungkin atau mungkin tidak memiliki pengetahuan tentang perlindungan data dan undang -undang privasi. Itu juga dapat tersedia dalam bahasa lokal tempat perusahaan beroperasi.

Apa yang Terjadi Jika Bisnis India Don’t mematuhi GDPR?

Tidak sesuai dengan persyaratan GDPR dapat memiliki konsekuensi besar bagi bisnis. Ada dua tingkat denda administrasi yang dipungut atas perusahaan untuk ketidakpatuhan. Level 1 termasuk denda 10 juta euro atau 2% dari perusahaan’Pergantian Global Tahunan dan Level 2 termasuk penalti moneter 20 juta euro atau 4% dari perusahaan’Pergantian global tahunan untuk ketidakpatuhan terhadap ketentuan-ketentuan tertentu dari peraturan sebagaimana tercantum di bawah 83 (4) dan 83 (5) dari GDPR.

Jumlah total denda untuk ketidakpatuhan GDPR telah meningkat dari 2018 menjadi 2021. Faktanya, hukuman hampir dua kali lipat hingga 332 juta dolar pada Januari 2021. Pada tahun 2019, Google telah didenda $ 55 juta oleh regulator Prancis karena tidak mengungkapkan dengan benar kepada pengguna mereka tentang pengumpulan data mereka untuk iklan yang dipersonalisasi. Baru -baru ini, pada Oktober 2020, H&M telah didenda hampir $ 41 juta dolar untuk menyimpan catatan berlebihan tentang keluarga, agama, dan penyakit tenaga kerjanya. Informasi ini dikumpulkan oleh manajer perusahaan H&M’S di Jerman melalui obrolan informal dan kemudian digunakan untuk mengevaluasi kinerja kerja mereka dan membuat keputusan pekerjaan.

Ini menunjukkan bagaimana beberapa perusahaan besar di dunia telah didenda atas ketidakpatuhan dengan peraturan GDPR. Hukuman GDPR sangat besar dan akan berdampak pada bisnis India sebagian besar jika mereka gagal mematuhi GDPR, mengingat ukuran bisnis industri TI di Eropa yang diperkirakan sekitar 155-220 miliar USD di Jerman dan Prancis saja.

Kesimpulan

Kepatuhan dengan GDPR sangat penting untuk bisnis India yang berbisnis dengan rekan -rekan UE mereka atau hadir di UE untuk menghindari denda dan risiko keuangan bagi perusahaan. Karena semakin banyak orang yang ingin memiliki kendali atas privasi dan data pribadi mereka yang digunakan oleh organisasi besar dan kecil, kepatuhan terhadap GDPR akan membuat organisasi dapat dipercaya, transparan, dan bertanggung jawab di antara pelanggan dan klien mereka.

Referensi

• https: // www.Spirion.com/blog/gdpr-fines-increase/
• https: // www.PWC.Dalam/Konsultasi/Cyber-Security/Blog/GDPR-What-It-Means-For-India-Businessses.Sumber HTML#
• https: // unctad.org/halaman/perlindungan data-dan-privasi-legislasi-dunia

Siswa dari Kursus Lawsikho secara teratur menghasilkan tugas menulis dan mengerjakan latihan praktis sebagai bagian dari kursus mereka dan mengembangkan diri mereka dalam keterampilan praktis kehidupan nyata.

Lawsikho telah menciptakan kelompok telegram untuk bertukar pengetahuan hukum, rujukan, dan berbagai peluang. Anda dapat mengklik tautan ini dan bergabung:

Ikuti kami di Instagram dan berlangganan saluran YouTube kami untuk konten hukum yang lebih menakjubkan.

Peraturan Perlindungan Data Umum UE (GDPR)

Bagaimana Peraturan Akan Dampak Organisasi India, GIC, Sektor Teknologi, dan Perusahaan yang Menggunakan Solusi ERP

Peraturan Perlindungan Data Umum UE (GDPR)

Akankah organisasi dampak GDPR EU di India? Baca lebih lanjut tentang bagaimana ia berevolusi dan apa yang telah berubah dari arahan perlindungan data Uni Eropa sebelumnya 1995.

Lihat Laporan

EU GDPR: Suatu sudut pandang untuk organisasi sektor teknologi

Eropa diperkirakan menjadi peluang outsourcing potensial $ 45 miliar untuk vendor layanan teknologi India. Menjadi GDPR yang sesuai akan menjadi kesempatan bagi organisasi TI untuk mengejar jalan baru di wilayah UE dan juga untuk memperbarui kontrak yang ada.

Lihat Laporan

EU GDPR: Suatu sudut pandang untuk pusat-pusat in-house global di India

Peraturan perlindungan data UE akan berdampak pada ‘Organisasi yang menawarkan barang atau jasa kepada pelanggan di UE’, ‘Organisasi yang memantau perilaku (online) dari pelanggan UE’ Dan selama layanan ini organisasi tersebut mengakses/proses/host/menyimpan data pribadi pelanggan UE. Baca perspektif untuk GICS di India.

Baca laporannya

EU GDPR: Suatu sudut pandang untuk operasi ERP dan HRMS

Organisasi saat ini menggunakan berbagai solusi ERP sambil berurusan dengan mitra bisnis mereka (e.G., Karyawan, pelanggan, vendor, dll.) dan banyak menangkap data pribadi dari subjek data ini. Sangat penting untuk memahami subjek data mana dan informasi pribadi yang dicakup dalam GDPR (sebagaimana pengarahan di bagian sebelumnya).

Baca laporannya

Bagaimana menurutmu?

Apakah Anda menemukan ini bermanfaat? ya Tidak

Rekomendasi

Masa Depan Risiko: Sepuluh Tren

Game Baru, Aturan Baru

Selamat Datang kembali

Masih bukan anggota? Bergabunglah dengan Deloitte saya

• Rumah
• Locator kantor
• Direktori Kantor Global
• Siaran pers
• Kirim RFP
• Hubungi kami
• Alumni Deloitte India: Bergabunglah dengan kami

Jasa

Industri

• Konsumen
• Energi, Sumber Daya & Industri
• Jasa keuangan
• Pemerintah & Layanan Publik
• Ilmu Hidup & Perawatan Kesehatan
• Teknologi, Media & Telekomunikasi

Karier

• Karier India
• Hidup di Deloitte
• Pencarian pekerjaan
• Alumni
• Penasihat Aspiran Karir

© 2022 Deloitte Touche Tohmatsu India LLP. Lihat Ketentuan Penggunaan untuk informasi lebih lanjut.

Deloitte Touche Tohmatsu India Private Limited (U74140MH199 5PTC093339) Perusahaan swasta yang dibatasi oleh saham dikonversi menjadi Deloitte Touche Tohmatsu India LLP, kemitraan terbatas (LLP Identification No. AAE-8458) dengan efek dari 1 Oktober 2015.

Deloitte mengacu pada satu atau lebih dari Deloitte Touche Tohmatsu Limited, perusahaan swasta Inggris yang dibatasi oleh jaminan (“Dttl”), jaringan perusahaan anggota, dan entitas terkait mereka. DTTL dan masing -masing perusahaan anggotanya adalah entitas yang terpisah dan independen secara hukum. Dttl (juga disebut sebagai “Deloitte Global”) tidak memberikan layanan kepada klien. Silakan lihat www.Deloitte.com/akan mempelajari lebih lanjut tentang jaringan global perusahaan anggota kami.

Klik di sini untuk mengakses Deloitte’prinsip global perilaku bisnis.

Klik di sini untuk mengakses penasihat penting untuk calon karier.

India: GDPR Vis-à-Vis Undang-Undang Perlindungan Data India

Privasi, seperti yang diketahui, adalah perhatian terbesar di seluruh dunia. Apakah itu mitos, atau benar -benar ada beberapa? Ini adalah pertanyaan yang menghantui warga negara di seluruh dunia. Perusahaan memanfaatkan dan menjual produk mereka, mengklaim bahwa mereka akan memastikan privasi Anda. Legislator berusaha mendapatkan pelanggar data dengan mendefinisikan undang -undang. Namun, karena peningkatan inovasi dan teknologi, menjadi sulit untuk mengatasi masalah tentang pelanggaran dan pelanggaran.

GDPR dan ketentuan pentingnya

GDPR adalah peraturan yang mengatur pengumpulan dan pemrosesan informasi pribadi & sensitif warga negara di UE. Peraturan tersebut memberikan mandat pada perusahaan yang menyediakan layanan di UE atau melalui perantara mana pun untuk mengetahui konsumen UE mereka tentang data yang dikumpulkan dan diproses oleh situs web dan kontrol terletak pada konsumen itu sendiri. Peraturan ini berlaku untuk setiap situs web yang beroperasi di UE atau dapat diakses oleh siapa saja di UE, tetapi situs web ini didasarkan pada.

Peraturan tersebut mencakup ketentuan yang mengatur informasi pribadi yang dapat dikumpulkan oleh perusahaan dan bagaimana ia dapat menggunakan informasi itu, sehingga membatasi perusahaan dan mengakhiri peluang bagi perusahaan untuk menyesatkan konsumen melalui beberapa taktik yang digunakan perusahaan sebelumnya.

Pasal 5.1 dan 5.2 dari peraturan tersebut memberikan beberapa prinsip yang merupakan pilar konkret untuk perlindungan data melalui GDPR, menjadi sah, transparan, akurat, batasan penyimpanan data, kerahasiaan, akuntabilitas, dll. adalah beberapa prinsip seperti itu. Peraturan baru juga telah mengakui beberapa hak baru untuk konsumen di UE, menjadi hak untuk diberi tahu, hak untuk keberatan, hak untuk membatasi, dll.

GDPR dan kepatuhannya

Semua perusahaan yang beroperasi di UE dan persediaan dan memproses informasi pribadi konsumen UE (warga negara) harus mematuhi GDPR. Ini juga termasuk perusahaan yang tidak memiliki kehadiran di UE tetapi situs web dapat diakses di UE. GDPR menciptakan tanggung jawab pada perusahaan berikut untuk kepatuhan hukum:

1. Perusahaan mana pun yang memiliki operasi/kehadiran di UE.
2. Perusahaan mana pun yang tidak memiliki operasi/kehadiran di UE tetapi stok dan menggunakan informasi warga negara Uni Eropa.
3. Kekuatan karyawan harus lebih dari 250.
4. Kurang dari 250 karyawan, namun pemrosesan datanya memengaruhi hak dan kebebasan subyek data, sedang berlangsung, atau melibatkan data pribadi sensitif tertentu.

Kepatuhan dengan demikian untuk setiap perusahaan secara langsung atau tidak langsung terlibat dalam stocking dan menggunakan informasi warga Uni Eropa.

• Apa kepatuhan utama yang harus dipatuhi perusahaan?

Ada satu standar yang harus dipatuhi oleh setiap perusahaan di bawah GDPR. Ada beberapa kepatuhan, beberapa kepatuhan utama adalah sebagai berikut:

1. Pengunjung situs web diberitahu tentang pengumpulan data.
2. Dengan mengklik tombol atau mengambil tindakan lain, pengunjung secara sukarela menyetujui pengumpulan informasi ini.
3. Jika ada data pribadi yang dipegang oleh situs web yang pernah dikompromikan, Situs segera memberi tahu pengunjungnya.
4. Evaluasi keamanan data situs web diperlukan.
5. Apakah karyawan saat ini dapat memenuhi peran ini tanpa perlu menyewa petugas perlindungan data khusus (DPO). 1

Ada berbagai cara bagi bisnis untuk mematuhi GDPR. Mengaudit data pribadi dan menyimpan catatan semua data yang mereka kumpulkan dan diproses adalah beberapa tugas penting. Selain itu, bisnis harus memastikan bahwa semua pengunjung situs web melihat pemberitahuan privasi yang diperbarui dan bahwa setiap masalah database diperbaiki.

• Otoritas Kepatuhan untuk Perusahaan

Pengontrol data, pemroses data, dan petugas perlindungan data adalah salah satu peran yang ditentukan oleh GDPR sebagai bertanggung jawab untuk memastikan kepatuhan (DPO). Orang yang mengontrol bagaimana dan mengapa data pribadi diproses dikenal sebagai pengontrol data. Pengontrol juga harus memastikan bahwa kontraktor eksternal mengikuti aturan.

India dan GDPR – Persamaan dan Perbedaan

Di India, Undang -Undang Teknologi Informasi, 2000 (selanjutnya disebut sebagai Undang -Undang TI) dan Aturan Teknologi Informasi, 2011 (selanjutnya disebut sebagai aturan TI) mengatur perlindungan data online. Undang -undang ini diberlakukan untuk memberikan pengakuan hukum untuk transaksi digital transfer data elektronik dan teknik komunikasi elektronik lainnya 2 . Undang -Undang IT menyediakan kewajiban kriminal dan sipil untuk akses tidak sah ke komputer atau sistem komputer apa pun berdasarkan Bagian 66 dan Bagian 43 dari Undang -Undang tersebut masing -masing. Amandemen pada tahun 2009 membawa perusahaan (perusahaan tubuh) di bawah ambisi dan tanggung jawab juga dibuat atas mereka. 3

Persamaan dan perbedaan antara itu bertindak dan GDPR

1. Tindakan TI dan GDPR keduanya memiliki objek untuk mengontrol dan mengatur transfer data untuk e-commerce. Di sisi lain, GDPR lebih peduli untuk melindungi warga negara Uni Eropa dan hak -hak mereka, namun hal yang sama hilang dalam Undang -Undang TI India.
2. Baik aturan GDPR dan TI di bawah Pasal 5 dan Aturan 5 menyatakan bahwa:

1. Pengumpulan data harus dilakukan dengan pembenaran hukum.
2. Koleksi harus diminta untuk mencapai tujuan yang dinyatakan.

Namun, prinsip panduan GDPR berlaku untuk pemrosesan data. Di sisi lain, prinsip -prinsip yang diuraikan dalam Undang -Undang TI berlaku untuk pertemuan dan penggunaan informasi. Pemrosesan tidak dinyatakan. Integritas data, perlindungan dari pemrosesan yang tidak sah, akuntabilitas, keadilan, dan transparansi adalah di antara prinsip -prinsip yang dinyatakan dalam GDPR tetapi tidak termasuk dalam Undang -Undang TI.

1. Di bawah aturan TI dan GDPR, masing -masing, menyetujui dari penyedia informasi atau subjek data diperlukan untuk pengumpulan dan pemrosesan informasi. Namun, Undang -Undang TI tidak memiliki klausa yang secara langsung membahas “keabsahan” pemrosesan, berbeda dengan GDPR. GDPR memberi negara anggota wewenang untuk menetapkan persyaratan pemrosesan khusus dan mencantumkan lima kondisi tambahan tentang perlunya pemrosesan. Undang -Undang TI tidak memerlukan persyaratan tersebut.
2. Kedua peraturan memerlukan persetujuan sebelum pengumpulan data dan memberi penyedia opsi untuk mencabut persetujuan tersebut.

Namun, berbeda dengan GDPR, tindakan TI tidak:

1. Tentukan persetujuan
2. Tentukan kondisi untuk persetujuan anak -anak
3. Menuntut agar pengontrol data memberikan bukti persetujuan.

1. Kedua aturan mengklasifikasikan orientasi seksual, informasi kesehatan, dan data biometrik sebagai data sensitif. Kategori data pribadi sensitif tambahan yang tidak dicakup oleh kedua peraturan ditentukan oleh Undang -Undang TI dan GDPR secara terpisah.
2. Beberapa ketentuan Bagian 43A dari IT Act secara kasar selaras dengan hak GDPR. Ini adalah hak atas perbaikan, informasi, dan untuk mencabut persetujuan.

Tindakan TI tidak memanfaatkan kata “benar” seperti yang dilakukan GDPR. Undang -Undang TI tidak merujuk pada beberapa hak signifikan yang dinyatakan dalam GDPR. Ini termasuk hak untuk mengakses informasi, untuk membatasi pemrosesan, ke portabilitas data, untuk menolak, menghapus, dan atas hak tentang pengambilan keputusan dan profil otomatis. GDPR memberikan rincian luas tentang haknya. Di sisi lain, beberapa hak ini hanya dijelaskan secara longgar dalam Undang -Undang TI.

Jalan ke depan dan kesimpulan

Keputusan kelembagaan tertentu yang dibuat India mengenai perlindungan data diharapkan memiliki dampak besar pada ekonomi negara itu. Dampak ini bisa langsung (seperti biaya kepatuhan yang tinggi) atau tidak langsung (potensi penahan inovasi dan kerugian produktivitas secara keseluruhan). Bahkan jika angka numerik yang dinyatakan mungkin tidak selalu akurat tentang India, mereka memang menunjukkan berbagai efek yang mungkin dimiliki oleh peraturan privasi data gaya GDPR pada segmen yang berbeda dari ekonomi India.

Catatan kaki

2 Undang -Undang Teknologi Informasi, 2000.

Isi artikel ini dimaksudkan untuk memberikan panduan umum untuk materi pelajaran. Saran spesialis harus dicari tentang keadaan spesifik Anda.