Regulasi Proteksi Data Umum (GDPR)

Panduan Stripe untuk perubahan proteksi privasi dan data di Eropa

Pengantar

Terakhir diperbarui pada 25 September 2020 untuk mencerminkan keputusan Mahkamah Erop dalam kasus Schrems II.

Gambaran umum tentang undang-undang baru terkait privasi dan proteksi data yang mulai berlaku sejak tanggal 25 Mei 2018, serta beberapa praktik terbaik untuk mematuhi GDPR.

GDPR adalah perubahan terpenting pada peraturan privasi data dalam beberapa dekade. Perusahaan berusaha mengimplementasikan perubahan ini secara besar-besaran pada sistem dan kontrak mereka, dan bagi perusahaan yang beroperasi pada platform yang sudah mematuhi undang-undang ini serta sadar privasi akan selangkah lebih maju. Panduan ini bertujuan membantu pengguna memahami konsekuensi luas GDPR, memberi kesempatan untuk memperbaiki kemampuannya dalam aktivitas pemrosesan data, serta memberi beberapa petunjuk tentang cara mematuhi GDPR dan melakukannya secara konsisten.

Perhatikan: Panduan GDPR ini semata-mata untuk keperluan informasi dan bukan merupakan nasihat legal. Hubungi penasihat hukum Anda untuk menerima panduan khusus tentang kemungkinan dampak GDPR pada bisnis Anda.

Apa yang dimaksud dengan GDPR?

Peraturan Proteksi Data Umum (“GDPR”) adalah undang-undang privasi dan data baru yang berlaku di seluruh Uni Eropa. Peraturan ini menuntut perlindungan privasi yang lebih mendetail dalam sistem organisasi, perjanjian proteksi data yang lebih bernuansa dan mudah dimengerti konsumen, serta pengungkapan praktik privasi organisasi dan perlindungan data yang lebih mendetail.

GDPR menggantikan kerangka kerja hukum data UE saat ini yang sudah ada sejak tahun 1995 (umumnya disebut sebagai “Arahan Proteksi Data”). Arahan Proteksi Data ini memerlukan transposisi ke dalam hukum nasional Negara UE yang mengakibatkan fragmentasi pada lanskap hukum proteksi data UE. GDPR adalah peraturan UE yang memiliki dampak hukum langsung pada semua Negara Anggota UE, yakni tidak perlu ditransposisikan ke dalam hukum nasional Negara Anggota UE agar mengikat. Hal itu akan menyempurnakan konsistensi dan harmoni dalam penerapan undang-undang di UE.

GDPR dapat berlaku pada organisasi yang berdomisili di luar UE

Tidak seperti Arahan Perlindungan Data, GDPR relevan bagi perusahaan yang beroperasi secara global, tidak hanya perusahaan yang berdomisili di UE saja. Berdasarkan GDPR, organisasi masuk dalam lingkup jika (i) organisasi itu didirikan di UE, atau (ii) organisasi itu tidak didirikan di UE namun aktivitas pemrosesan datanya menyangkut individu UE, menawarkan barang dan jasa kepada mereka, atau memantau perilaku mereka.

Pemrosesan data pribadi adalah konsep yang luas di bawah GDPR

GDPR mengatur cara organisasi memproses data pribadi individu UE. “Data pribadi” dan “pemrosesan” adalah istilah yang sering digunakan dalam legislasi, dan memahami artinya secara khusus di bawah GDPR merupakan tujuan sebenarnya yang ingin dicapai oleh undang-undang ini:

  • Data pribadi adalah segala informasi yang terkait dengan perorangan yang telah diidentifikasi atau dapat diidentifikasi. Ini merupakan konsep yang sangat luas karena termasuk segala informasi yang dapat digunakan sendiri-sendiri, atau digabungkan dengan potongan informasi lain, untuk mengidentifikasi seseorang. Data pribadi tidak hanya nama atau alamat email seseorang. Hal ini bisa juga mencakup informasi keuangan atau bahkan, dalam beberapa kasus, alamat IP. Selain itu, kategori data pribadi tertentu memiliki proteksi data yang lebih tinggi karena sifatnya yang sensitif. Kategori data ini meliputi informasi tentang ras dan asal-usul etnis seseorang, pandangan politik, kepercayaan keagamaan dan filosofis, keanggotaan serikat buruh, data genetik, data biometrik, data kesehatan, informasi tentang kehidupan seks atau orientasi seksual, dan informasi catatan kriminal seseorang.

  • Pemrosesan data pribadi adalah aktivitas penting yang memicu kewajiban dalam GDPR. Pemrosesan berarti setiap tindakan atau serangkaian tindakan yang dilakukan atas data pribadi atau serangkaian data pribadi, baik menggunakan secara otomatis maupun tidak, seperti mengumpulkan, merekam, mengorganisir, menstrukturkan, menyimpan, menyadur atau mengubah, mengambil, merujuk, menggunakan, mengungkapkan melalui transmisi, penyebaran, atau menyediakan, menyelaraskan atau mengombinasikan, membatasi, menghapus, atau memusnahkan data tersebut. Intinya, semua proses yang menyimpan atau merujuk pada data pribadi merupakan pemrosesan.

Konsep penting: pengontrol data dan pemroses data

Dalam undang-undang proteksi data UE, ada dua entitas yang dapat memproses data pribadi — pengontrol data dan pemroses data.

Pengontrol data (“pengontrol”) adalah entitas yang, baik sendiri maupun bersama pihak lain, menentukan keperluan dan cara pemrosesan data pribadi. Pemroses data (“pemroses”) adalah entitas yang memproses data pribadi atas nama pengontrol.

Perlu ditentukan apakah entitas pemroses data pribadi untuk setiap pemrosesan data itu adalah pengontrol atau pemroses. Pelaksanaan pemetaan ini memungkinkan organisasi memahami hak dan kewajiban yang melekat pada setiap operasi pemrosesan datanya.

Stripe memiliki aktivitas pemrosesan data tertentu yang mana pihaknya bertindak sebagai pengontrol data, dan di aktivitas lainnya sebagai pemroses data. Ilustrasi yang tepat mengenai peran ganda ini adalah ketika Stripe memproses transaksi kartu kredit. Untuk memfasilitasi transaksi, Stripe memerlukan data pribadi, seperti nama pemegang kartu, nomor kartu kredit, tanggal kedaluwarsa kartu kredit, dan kode CVC. Data pemegang kartu dikirim dari pengguna Stripe lewat Stripe API (atau melalui beberapa metode integrasi lainnya, seperti Stripe Elements). Stripe kemudian menggunakan data untuk menyelesaikan transaksi di dalam sistem jaringan kartu kredit, yaitu fungsi yang dilakukan Stripe sebagai pemroses data. Namun, Stripe juga menggunakan data untuk mematuhi kewajiban peraturannya (seperti Kenali Pelanggan Anda (“KYC”) dan Antipencucian Uang (“AML”), dan dalam peran ini Stripe adalah sebagai pengontrol data.

Dasar hukum pemrosesan data pribadi GDPR

Pertimbangan berikutnya adalah menentukan dipatuhi tidaknya GDPR dalam aktivitas pemrosesan tertentu. Menurut GDPR, setiap aktivitas pemrosesan data yang dilakukan sebagai pengontrol atau pemroses perlu memiliki dasar hukum. GDPR mengakui ada enam dasar hukum pemrosesan data pribadi perorangan UE (dalam GDPR, perorangan UE disebut “subjek data”). Keenam dasar hukum ini ada dalam urutan Pasal 6 (1) (a) sampai (f) GDPR, yaitu:

  1. Subjek data telah memberikan persetujuan atas pemrosesan data pribadinya untuk satu atau beberapa keperluan spesifik;

  2. Pemrosesan **diperlukan untuk melaksanakan sebuah kewajiban ** yang mana subjek data menjadi satu pihak atau untuk mengambil langkah-langkah bila ada permintaan subjek data untuk terikat dalam sebuah kontrak;

  3. Pemrosesan diperlukan untuk **mematuhi kewajiban hukum ** yang mana pengontrol menjadi subjeknya;

  4. Pemrosesan diperlukan untuk melindungi kepentingan vital dari subjek data;

  5. Pemrosesan data diperlukan untuk melaksanakan tugas yang dilakukan demi kepentingan publik atau untuk **melaksanakan wewenang resmi **; atau

  6. Pemrosesan diperlukan untuk kepentingan sah yang dibutuhkan entitas, kecuali jika kepentingan tersebut dikesampingkan oleh kepentingan atau hak mendasar serta kebebasan subjek data yang memerlukan proteksi data pribadi.

Ada kemiripan antara daftar pemrosesan yang diizinkan GDPR dengan daftar dalam Arahan Proteksi Data. Namun, ada pula perbedaan yang signifikan.

Perubahan GDPR yang paling sering didiskusikan, bila dibandingkan dengan Arahan Proteksi Data, adalah pengetatan persyaratan persetujuan (item 1 dalam daftar di atas). Persyaratan persetujuan GDPR mencakup unsur-unsur seperti (i) persyaratan bahwa persetujuan tersebut harus dapat diverifikasi, (ii) permintaan persetujuan harus dapat dibedakan dengan jelas dari hal-hal lain, dan (iii) subjek data harus diberi tahu hak mereka untuk menarik persetujuan. Yang juga harus diingat adalah persyaratan persetujuan yang lebih ketat (“persetujuan eksplisit”) diberlakukan untuk pemrosesan data sensitif.

Item penting lain yang ditekankan adalah item kepentingan yang sah (item 6 dalam daftar di atas). Ketika menyandarkan “kepentingan yang sah” sebagai pendukung pemrosesan data pribadi, organisasi harus menyadari persyaratan uji penyeimbang yang terkait dengan dasar hukum ini. Untuk memenuhi Prinsip Akuntabilitas dalam GDPR, organisasi harus mendokumentasikan kepatuhannya dengan uji penyeimbang, termasuk pendekatan serta argumentasi yang dipertimbangkan pihaknya sebelum menyimpulkan bahwa uji penyeimbang telah terpenuhi.

Hak perorangan berdasarkan GDPR

Arahan Proteksi Data menjamin hak dasar tertentu dari perorangan yang terkait dengan data pribadinya. Hak perorangan ini terus berlaku di bawah GDPR dengan beberapa tambahan penjelasan. Bagan berikut membandingkan hak perorangan di bawah Arahan Proteksi Data dan GDPR.

Hak perorangan **Arahan Proteksi Data ** GDPR
**Permintaan Akses Subjek Data ** Perorangan berhak mengetahui apakah data pribadi mereka sedang diproses, data apa dan bagaimana data pribadi mereka diproses, dan apa saja aktivitas pemrosesan data yang dilakukan. Cakupan hak-hak ini telah diperluas di bawah GDPR. Misalnya, ketika membuat permintaan akses, perorangan harus menerima informasi tambahan, termasuk informasi tentang hak proteksi data tambahan yang mereka miliki berdasarkan GDPR yang tidak ada sebelumnya, seperti hak atas portabilitas atau pemindahan data.
Hak menolak Perorangan boleh melarang operasi pemrosesan data tertentu berdasarkan alasan yang meyakinkan. Perorangan juga boleh menolak pemrosesan data pribadi mereka untuk keperluan pemasaran langsung. GDPR telah memperluas cakupan hak ini dibanding Arahan Proteksi Data.
Hak perbaikan atau penghapusan Perorangan boleh meminta data yang tidak lengkap agar dilengkapi atau mengoreksi data yang salah untuk memastikan bahwa pemrosesan data pribadi memenuhi prinsip proteksi data yang berlaku. Posisi GDPR secara materiil sama dengan Arahan Proteksi Data, namun sebagian prosedur proteksi di bawah GDPR ditambah.
Hak pembatasan Tidak berhak membatasi pemrosesan. Namun, Arahan Proteksi Data memberi hak kepada perorangan untuk meminta pemblokiran atas data pribadi mereka jika operasi pemrosesan tidak memenuhi prinsip-prinsip proteksi data, misalnya jika data tidak lengkap atau akurat. GDPR menawarkan hak meminta pembatasan pemrosesan data mereka dalam situasi tertentu kepada perorangan, termasuk bila perorangan tersebut mempertanyakan keakuratan data.
Hak penghapusan (“hak untuk dilupakan”) Perorangan berhak meminta penghapusan data pribadinya jika operasi pemrosesan tidak mematuhi prinsip proteksi data. Karena itu, hak ini sangat sempit. GDPR memperluas hak ini secara substansial. Misalnya, hak penghapusan dapat dilakukan bila data pribadi tidak lagi diperlukan untuk maksud pengumpulannya, atau perorangan menarik kembali persetujuannya atas pemrosesan dan tidak ada lagi dasar hukum lain yang mendukung kelanjutan pemrosesan.
Hak atas portabilitas/pemindahan data Arahan Proteksi Data tidak secara eksplisit menyebut “portabilitas data” sebagai hak subjek data. Undang-undang Negara Anggota UE mungkin telah mengimplementasikan hak-hak tambahan yang serupa dengan hak portabilitas (pemindahan) data di tingkat nasional. Perorangan dapat meminta data pribadi itu disimpan oleh salah satu pengontrol data yang disediakan kepada mereka atau pengontrol lain.

Transfer data internasional

Topik alur data internasional telah menghangat selama beberapa tahun terakhir, dan terdapat banyak perdebatan dan reformasi hukum dalam bidang ini. Juga hampir bisa dipastikan bahwa undang-undang seputar alur data internasional akan terus berkembang di tahun-tahun mendatang. Hari ini, berdasarkan undang-undang perlindungan data UE, persyaratan tertentu harus dipenuhi sebelum data pribadi perorangan UE dapat dipindahkan ke luar UE, kecuali organisasi yang menerima data pribadi yang berdomisili di yurisdiksi yang masuk daftar yang diizinkan (lihat di sini untuk yurisdiksi yang telah diizinkan).

Di bawah GDPR, transfer data internasional merupakan topik yang menantang untuk dikelola karena hukumnya terus berubah dan ada mekanisme transfer data yang tersedia sangat sedikit. Meski menantang, organisasi perlu mengikuti perkembangan terbaru karena alur kepatuhan data merupakan tulang punggung perusahaan teknologi.

Kami tidak lagi bergantung pada Perlindungan Privasi (Privacy Shield) sebagai mekanisme transfer data mengingat Perlindungan Privasi UE-AS dan Perlindungan Privasi Swiss-AS tidak lagi berlaku sebagai akibat dari keputusan Schrems II yang dikeluarkan oleh Mahkamah Eropa pada tanggal 16 Juli 2020. Kami terus berkomitmen terhadap prinsip-prinsip kerangka kerja Perlindungan Privasi. Karena alasan ini, kami akan tetap mengacu pada Perlindungan Privasi di kebijakan dan perjanjian.

Secara umum, Stripe menerapkan tindakan kepatuhan transfer data internasional yang mengatur semua pemrosesan data pribadi perorangan UE oleh entitas global Stripe. Tindakan ini berdasarkan Klausul Kontraktual Standar UE (SCCs).

Seperti tersebut di atas, alur data internasional akan terus menjadi area yang berpotensi mengalami reformasi hukum di masa mendatang. Karena alasan ini, kami mengikuti secara dekat perkembangan hukum seputar tindakan kepatuhan transfer data internasional ini, dan mengambil setiap tindakan yang ada untuk memastikan kepatuhan terhadap transfer internasional data pribadi subjek data UE. Ini juga berarti bahwa kami memasukkan berbagai tindakan tambahan dalam program kepatuhan transfer data kami semaksimal mungkin dan mengupayakan perluasannya dengan alat bantu yang dimiliki oleh Stripe berdasarkan GDPR.

Ketidakpatuhan

Konsekuensi yang paling banyak disebut terkait ketidakpatuhan terhadap GDPR adalah pengenaan denda maksimum terhadap organisasi yang tidak mematuhinya. Denda maksimum yang dapat dikenakan adalah 4% dari pendapatan global atau 20 juta EUR, mana saja yang lebih besar. Tipe lainnya memiliki denda maksimum 2% dari pendapatan global, atau 10 juta EUR, mana saja yang lebih besar.

Yang jarang disebut adalah kewenangan Otoritas Proteksi Data (“DPA”) berdasarkan Pasal 58 GDPR. Kewenangan ini mencakup kemampuan DPA untuk mengambil tindakan korektif, seperti pembatasan sementara atau permanen pada aktivitas pemrosesan data, termasuk pelarangan menyeluruh terhadap pemrosesan data, atau perintah penangguhan alur data ke penerima di negara ketiga.

Stripe dan GDPR

Di Stripe, privasi, proteksi data, dan keamanan data merupakan inti dari semua yang kami lakukan. Kami senantiasa berusaha terus meningkatkan standar internal dalam bidang keamanan dan privasi data, serta memandang GDPR sebagai kesempatan bagi seluruh industri untuk bekerja sama dan menyempurnakannya.

Stripe memulai upayanya untuk mematuhi GDPR sejak tahun 2016, dan kami berusaha memastikan layanan kami mematuhi GDPR mulai tanggal 25 Mei 2018.

Kepatuhan GDPR terdiri dari banyak elemen. Di antaranya, kami memperbarui dokumentasi dan perjanjian sejalan dengan persyaratan GDPR. Kami juga merevisi kebijakan dan prosedur internal untuk memastikannya mematuhi standar GDPR.

Sebagian besar elemen kepatuhan GDPR terjadi “di balik layar” organisasi karena terkait dengan cara organisasi memperbarui pemrosesan data pribadi. Berikut ini beberapa langkah yang diambil oleh platform seperti Stripe kepada penggunanya (dan kepada mereka sendiri) dalam mengantisipasi GDPR:

  • Melaksanakan analisis kesenjangan (gap analysis) antara persyaratan yang diberlakukan oleh Arahan Proteksi Data dan GDPR, sesuai operasi bisnis perusahaan yang berlaku.

  • Meninjau dan memperbarui alat bantu internal, prosedur, dan kebijakan jika perlu.

  • Merevisi praktik pemetaan dan inventarisasi data, dan memperbarui jika perlu, untuk memenuhi kewajiban penyimpanan catatan berdasarkan GDPR.

  • Melakukan analisis kesenjangan (gap analysis) khusus untuk privasi dan proteksi data menggunakan alat bantu tinjauan guna memenuhi persyaratan Penilaian Dampak Proteksi Data.

  • Memperbarui pendekatan terhadap transfer data internasional.

  • Memperbarui kontrak untuk memenuhi kewajiban Pasal 28 GDPR karena terkait dengan pihak yang melakukan kontrak dengan perusahaan.

  • Meninjau dan, jika perlu, merevisi hubungan dengan vendor agar memenuhi persyaratan GDPR untuk memastikan pihak ketiga menerima dan memproses data pribadi sesuai ketentuan hukum.

  • Memperbarui Program Kepatuhan Privasi perusahaan dengan pelatihan karyawan secara rutin guna mencerminkan perubahan yang akan diimplementasikan untuk GDPR.

Prinsip Akuntabilitas

Pengguna Stripe harus berkonsultasi dengan staf profesional hukum mereka untuk memahami seluruh cakupan kewajiban kepatuhan mereka menurut GDPR. Sebagai aturan umum, jika organisasi Anda didirikan di UE, atau jika organisasi Anda memproses data pribadi perorangan UE, maka GDPR berlaku untuk Anda.

Satu prinsip terpenting dari GDPR yang harus diingat adalah Prinsip Akuntabilitas. Prinsip Akuntabilitas menyatakan bahwa pengontrol data harus dapat menunjukkan bahwa aktivitas pemrosesannya mematuhi prinsip proteksi data yang ditetapkan dalam GDPR. Cara termudah untuk menunjukkan kepatuhan adalah dengan mendokumentasikan dan mengomunikasikan pendekatan kepatuhan GDPR Anda.

Di Stripe, kepatuhan adalah hasil dari usaha kolaboratif banyak orang di organisasi kami, termasuk bagian Operasi Pengguna, Penjualan, Teknik, Keamanan dan Legal. Berdasarkan pengalaman kami, kemitraan lintas fungsional dan dokumentasi yang mudah dipahami sangat membantu keseluruhan proses kepatuhan GDPR.

Daftar periksa GDPR untuk bisnis Anda

Karena hanya beberapa minggu hingga tanggal 25 Mei 2018, organisasi kecil dan menengah mungkin menghadapi tantangan khusus dalam menyiapkan GDPR. Atas pertimbangan ini kami telah menggabungkan beberapa elemen utama dari program kepatuhan GDPR dalam bentuk daftar periksa untuk pengguna.

Kesepahaman: Bersama rekan kerja dari bagian teknik, dukungan pelanggan, dan legal, bangunlah kesepemahaman mengenai GDPR dan dampaknya terhadap organisasi Anda.

Dapatkan gambaran jelas mengenai apa yang terjadi pada data pribadi di organisasi Anda: Latihan pemetaan data dapat membantu mengetahui cara sistem menyimpan dan memproses data pribadi. Pertanyaan berikut dapat memandu Anda:

  • Kategori data pribadi apa yang Anda proses? (misalnya informasi keuangan, informasi kesehatan, informasi terkait pemasaran, dsb.)
  • Kategori perorangan apa yang data pribadinya Anda proses? (misalnya pemegang kartu, anak-anak, pasien, dsb.)
  • Apa alasan pemrosesan informasi ini?
  • Bagaimana dan mengapa Anda mengumpulkan informasi ini?
  • Bagaimana Anda mengamankan data ini?
  • Apakah ada pihak ketiga yang menerima informasi ini? Jika ada, apakah Anda menyebutkan pihak ketiga ini dalam Kebijakan Privasi atau dalam bentuk pemberitahuan lainnya? Tahukah Anda siapa saja pihak ketiga ini? Berapa lama Anda menyimpan informasi perorangan ini?

Pemetaan dasar hukum: Tinjaulah 6 dasar hukum yang disebutkan di atas. Untuk setiap operasi pemrosesan yang diidentifikasi di peta data Anda, kaitkan kembali dengan dasar hukumnya. Hubungan tersebut akan memberi Anda peta dasar hukumnya.

Ketahui cara memenuhi permintaan perorangan yang menggunakan hak-hak mereka:

  • Miliki kemampuan menggunakan informasi dari pemetaan data untuk memenuhi permintaan akses oleh subjek data.
  • Dari peta data, ketahui lokasi data pribadi disimpan dalam sistem (dan rujuk silang dengan sistem lain) untuk memenuhi permintaan penghentian, perubahan, dan penghapusan data.
  • Ketahui format data yang digunakan sistem Anda, dan ketahui cara menanggapi permintaan portabilitas/pemindahan data.

Pelanggaran data dan tanggap insiden: Ketika Anda berbicara dengan rekan kerja mengenai sisi teknis/keamanan organisasi, pastikan Anda mengetahui rencana tanggap insiden. Lakukan latihan di atas kertas agar semua yang terlibat mengetahui apa yang harus dilakukan jika terjadi insiden keamanan. Idealnya tim tanggap insiden sudah paham dan siap mengeksekusi rencana tanggap insiden saat situasi ini terjadi.

Banyak unsur lain yang dapat ditambahkan ke daftar periksa ini, dan Anda harus bekerja sama dengan pakar internal dan penasihat eksternal untuk menghasilkan daftar yang sesuai kebutuhan. Misalnya, antara lain, Anda mungkin perlu melakukan evaluasi dampak proteksi data, menunjuk staf khusus yang menangani proteksi data, mengelola dan meninjau kembali praktik pemasaran dan komunikasi perusahaan lain, dan mengevaluasi proses manajemen dan kontrak vendor.

Bila Anda memiliki fondasi yang kokoh dengan memetakan aktivitas pemrosesan data, Anda akan mendapatkan manfaat besar saat menghadapi pertanyaan kepatuhan GDPR selanjutnya.

Di bawah ini beberapa sumber daya tambahan yang telah kami teliti dan dirasa bermanfaat, dan diharapkan juga bermanfaat bagi Anda.

Sumber daya tambahan

GDPR telah sering dibahas, dan sulit melacak sumber daya yang bagus di internet. Beberapa sumber daya yang kami gunakan untuk mengikuti perkembangan GDPR terkini adalah:

  • Semuanya dimulai dari teks hukum: Teks hukum lengkap GDPR tersedia di sini dan Arahan Proteksi Data ditautkan di sini.

  • Otoritas Pengawasan: Ada Otoritas Proteksi Data (DPA) di setiap Negara Anggota UE, dan banyak di antaranya yang telah menerbitkan panduan bermanfaat mengenai implementasi GDPR. Anda dapat menemukan daftar DPA di sini.

  • Pasal 29 Panitia Kerja (Working Party) (WP29), yang segera akan menjadi Dewan Proteksi Data Eropa (EDPB): WP29 adalah dewan penasihat yang terdiri dari seorang perwakilan DPA dari setiap Negara Anggota UE, Supervisor Proteksi Data Eropa, dan Komisi Eropa. Per 25 Mei 2018, WP29 akan menjadi EDPB. EDPB ini akan terdiri dari kepala DPA dari setiap Negara Anggota UE dan Supervisor Proteksi Data Eropa.

    WP29 telah menerbitkan ratusan panduan serta opini dan telah membuka beberapa topik untuk rujukan. Panduan dan opini terbaru semuanya menekankan cara terbaik mengimplementasikan unsur GDPR ke dalam struktur kepatuhan organisasi. WP29 Newsroom dapat ditemukan di sini.

    Situs web lama dari Panitia Kerja (Working Party) 29 memiliki banyak sumber daya tambahan yang sayangnya tidak mudah lagi diakses sekarang karena memiliki layout situs web yang baru. Situs web yang telah diarsipkan dengan materi tambahan tersedia di sini.

  • Sebagian DPA, kantor hukum, organisasi privasi seperti IAPP, dan banyak organisasi, LSM, dan perusahaan lain menyelenggarakan acara-acara GDPR. Besar kemungkinan organisasi lain juga memiliki pertanyaan yang sama dengan pertanyaan yang Anda miliki tentang implementasi GDPR. Ini adalah kesempatan sangat baik untuk berinteraksi dengan komunitas GDPR dan menjawab pertanyaan ini bersama-sama.

Kembali ke panduan
You’re viewing our website for Bulgaria, but it looks like you’re in the United States.