INSTRUMEN DIADOPSI OLEH EDPS PADA MARET 2023
Oleh Mugurel Olariu, perlindungan data RPD
Pada tanggal 28 Maret 2023, Komite Perlindungan Data Eropa – ECPD mengadopsi dalam sesi pleno jarak jauh, dokumen kerja berikut*1, yang menarik bagi operator industri:
✔ Pedoman no. 8 Tahun 2022 tentang Identifikasi Otoritas Pimpinan, Bentuk Final (Setelah Konsultasi Publik)*2;
✔ Pedoman no. 9 Tahun 2022 tentang Pemberitahuan Insiden Keamanan, bentuk final (setelah konsultasi publik)*3.
Di bawah ini kami sajikan aspek-aspek penting dari dokumen-dokumen tersebut, sebagai berikut:
Pedoman 8/2022 tentang identifikasi otoritas pengawas utama operator atau orang yang diberi wewenang oleh operator*4
Pada tanggal 5 April 2017, Article 29 Working Party mengadopsi Pedoman untuk identifikasi pengontrol atau pengontrol data (WP244 rev.01), yang disetujui oleh Dewan Perlindungan Data Eropa (selanjutnya disebut sebagai EDPS) dalam pleno pertamanya pertemuan. Dokumen ini adalah versi panduan yang sedikit diperbarui. Setiap referensi ke Pedoman WP29 untuk identifikasi pengontrol atau otoritas pengawas utama pengontrol (WP244 rev.01) selanjutnya harus ditafsirkan sebagai referensi ke pedoman EDPS ini.
EDPS mencatat bahwa klarifikasi lebih lanjut diperlukan, khususnya mengenai gagasan pendirian prinsipal dalam konteks pengontrol terkait dan dengan mempertimbangkan Pedoman EDPS 07/2020 tentang konsep pengontrol dan pengontrol data dalam GDPR.
Paragraf tentang masalah ini telah direvisi dan diperbarui, sedangkan dokumen lainnya dibiarkan tidak berubah kecuali untuk perubahan editorial. Revisi mengacu lebih khusus pada Bagian 2.1.3 tentang operator terkait.
GDPR tidak secara khusus menangani masalah penunjukan otoritas pengawas utama di mana dua atau lebih operator yang didirikan di EEA bersama-sama menentukan tujuan dan sarana pemrosesan – yaitu operator terkait. Pasal 26 ayat (1) dan resital 79 RGPD menentukan bahwa, dalam situasi pengendalian bersama, operator menetapkan, secara transparan, tanggung jawab masing-masing untuk memenuhi kewajibannya berdasarkan RGPD.
Seperti yang diingat oleh EDPS dalam Pedomannya tentang konsep pengontrol dan orang yang berwenang, pengontrol terkait harus menentukan siapa melakukan apa, memutuskan di antara mereka sendiri siapa yang harus melakukan tugas tertentu, untuk memastikan bahwa pemrosesan mematuhi ketentuan kewajiban yang berlaku di bawah GDPR sehubungan dengan pemrosesan bersama yang dimaksud.
Jika pemrosesan dilakukan oleh sekelompok pelaku usaha yang berkedudukan di EEA, diasumsikan bahwa kedudukan pelaku usaha dengan kendali umum adalah pusat pengambilan keputusan yang berkaitan dengan pemrosesan data pribadi dan karenanya akan dibawa ke menjadi pimpinan utama grup, kecuali keputusan tentang tujuan dan sarana pemrosesan diambil oleh unit lain. Induk atau kantor pusat operasional kelompok perusahaan EEA kemungkinan akan menjadi tempat utama bisnis, karena ini akan menjadi tempat administrasi pusatnya.
Tindakan kepatuhan dan kewajiban terkait yang harus dipertimbangkan oleh operator terkait saat menentukan tanggung jawab masing-masing, selain yang secara khusus disebutkan dalam Pasal 26(1) – Operator Terkait GDPR, termasuk, antara lain, kontak organisasi dengan subjek data dan otoritas pengawas.
Referensi dalam definisi tempat administrasi operator pusat bekerja dengan baik untuk organisasi yang memiliki kantor pusat keputusan pusat dan struktur cabang. Dalam kasus seperti itu, jelas bahwa kekuatan untuk membuat keputusan tentang pemrosesan lintas batas dan melaksanakannya terletak pada kantor pusat perusahaan. Dalam kasus seperti itu, menentukan lokasi fasilitas utama – dan oleh karena itu otoritas pengawasan mana yang menjadi otoritas pengawasan utama – sangatlah mudah. Namun, sistem pengambilan keputusan grup perusahaan bisa lebih kompleks, memberikan kekuatan pengambilan keputusan yang independen dalam kaitannya dengan pemrosesan lintas batas ke unit yang berbeda. Kriteria yang disebutkan di atas akan membantu kelompok usaha untuk mengidentifikasi tempat usaha utama mereka.
Perlu diingat bahwa otoritas pengawas tidak berkewajiban untuk mematuhi persyaratan perjanjian tersebut, baik sehubungan dengan kualifikasi para pihak sebagai operator terkait maupun sehubungan dengan titik kontak yang ditunjuk.
Selain itu, kewenangan pengambilan keputusan dari operator terkait tidak termasuk penentuan otoritas pengawas yang kompeten sesuai dengan Pasal 55 – Kompetensi dan 56 – Kompetensi otoritas pengawas utama GDPR atau kemampuan otoritas pengawas tersebut untuk melaksanakan tugas dan wewenang yang dijelaskan dalam Pasal 57 – Tugas dan 58 – Kompetensi dari RGPD.
Gagasan kantor pusat terkait, berdasarkan GDPR, ke satu operator dan tidak dapat diperluas ke situasi operator terkait. Hal ini tidak mengurangi kemungkinan setiap operator terkait memiliki kantor pusatnya sendiri. Dengan kata lain, pembentukan induk pengendali tidak dapat dianggap sebagai pembentukan utama operator terkait untuk pemrosesan yang dilakukan di bawah kendali bersama mereka. Oleh karena itu, operator asosiasi tidak dapat menunjuk (di antara unit-unit di mana keputusan tentang tujuan dan sarana pemrosesan dibuat) kantor pusat bersama untuk kedua operator asosiasi.
Selain itu, dalam Lampiran diperjelas dalam bentuk tanya jawab, aspek-aspek mengenai:
➢ Apakah operator atau orang yang diberi wewenang oleh operator melakukan pemrosesan data pribadi lintas batas?
➢ Bagaimana otoritas pengawas utama diidentifikasi?
➢ Apakah ada otoritas pengawas yang tertarik?
Pedoman 9/2022 tentang pemberitahuan pelanggaran keamanan data pribadi menurut GDPR*5
Pada 3 Oktober 2017, Working Party 29 (selanjutnya disebut sebagai “WP29”) mengadopsi Panduannya tentang pemberitahuan pelanggaran data pribadi berdasarkan Peraturan 2016/679 (WP250 rev.01), yang disetujui oleh Komite Eropa untuk Perlindungan Data ( selanjutnya disebut sebagai “EDPD”) pada rapat pleno pertamanya. Dokumen ini adalah versi panduan yang sedikit diperbarui. Setiap referensi ke Pedoman WP29 tentang pemberitahuan pelanggaran data pribadi berdasarkan Peraturan 2016/679 (WP250 rev.01) selanjutnya harus ditafsirkan sebagai referensi ke Pedoman 9/2022 dari EDPS ini.
EDPS mencatat bahwa ada kebutuhan untuk mengklarifikasi persyaratan pemberitahuan untuk pelanggaran keamanan data pribadi di perusahaan non-UE. Paragraf tentang masalah ini telah direvisi dan diperbarui, sedangkan dokumen lainnya dibiarkan tidak berubah kecuali untuk perubahan editorial. Kajian tersebut merujuk, secara lebih spesifik, pada poin 73 dari Bagian II.C.2 dokumen tersebut.
Jika pengontrol non-UE tunduk pada Pasal 3(2) atau Pasal 3(3) GDPR dan mengalami pelanggaran, maka ia harus mematuhi kewajiban pemberitahuan berdasarkan pasal 33 dan 34 GDPR.
Pasal 27 GDPR mewajibkan pengontrol (dan orang yang berwenang) untuk menunjuk perwakilan di UE di mana Pasal 3(2) GDPR berlaku. Namun, kehadiran perwakilan di Negara Anggota saja tidak memicu sistem One Stop Shop. Karena alasan ini, pelanggaran harus diberitahukan kepada setiap otoritas pengawas tempat subjek data berada di Negara Anggota mereka.
Pemberitahuan ini akan menjadi tanggung jawab operator. Sesuai dengan pedoman 3/2018 tentang ruang lingkup teritorial GDPR (Pasal 3)*6, EDPS menganggap bahwa posisi perwakilan di Perhimpunan tidak sesuai dengan peran petugas perlindungan data eksternal (“DPO eksternal”) , oleh karena itu, tanggung jawab untuk memberi tahu otoritas pengawas jika terjadi pelanggaran keamanan data pribadi tetap menjadi tanggung jawab operator, sesuai dengan Pasal 27 ayat (5) GDPR. Seorang perwakilan masih dapat terlibat dalam proses pemberitahuan jika hal ini telah diatur secara tegas dalam mandat tertulis.
Dalam Lampiran, aspek-aspek mengenai:
A. Bagan yang menunjukkan persyaratan notifikasi.
B. Contoh Pelanggaran Keamanan Data Pribadi dan Siapa yang Harus Diberitahukan.
———————————————————————————————–
*1 https://www.dataprotection.ro/?page=Comunicat_Presa_05.04.2023&lang=ro
*2 https://edpb.europa.eu/system/files/2022-10/edpb_guidelines_202208_identifyinglsa_targetedupdate_en.pdf
*3 https://edpb.europa.eu/our-worktools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_ro
*4 Adopsi pedoman (versi terbaru dari pedoman sebelumnya WP244 rev.01 diadopsi oleh Working Party 29 dan disetujui oleh EDPB pada 25 Mei 2018) untuk konsultasi publik yang ditargetkan.
*5 Adopsi pedoman (versi terbaru dari pedoman WP250 sebelumnya (rev.01) yang diadopsi oleh kelompok kerja 29 dan disetujui oleh EDPB pada 25 Mei 2018) untuk konsultasi publik khusus – versi 1.0 pada 10 Oktober 2022. Adopsi pedoman berikut khusus konsultasi publik – versi 2.0 pada 28 Maret 2023 tentang masalah pemberitahuan pelanggaran data untuk operator non-EEA.
*6 Tersedia di https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scopedprarticle-3-version_en
