Pemberitahuan pelanggaran data berdasarkan GDPR

Pelajari bagaimana Microsoft mendeteksi serta merespons pelanggaran data pribadi dan memberi tahu Anda berdasarkan GDPR.

GDPR mewajibkan persyaratan pemberitahuan untuk pengontrol dan pemroses data jika terjadi pelanggaran data pribadi. Informasi di bawah ini membahas tentang persyaratan tersebut, bagaimana upaya Microsoft dalam mencegah terjadinya pelanggaran sejak awal, bagaimana Microsoft mendeteksi pelanggaran, dan bagaimana Microsoft merespons jika terjadi pelanggaran dan memberi tahu Anda sebagai pengontrol data.


Dokumentasi pelanggaran data untuk Layanan Online

Microsoft Professional Services

Peralatan Admin

Atur kontak privasi organisasi Anda. Administrator Penyewa dapat menggunakan Portal Admin Azure Active Directory untuk menetapkan kontak privasi organisasi jika Microsoft perlu menghubungi mereka.

Tanya jawab umum pemberitahuan pelanggaran

Berikut pertanyaan dan jawaban penting terkait pemberitahuan pelanggaran:
|

Data pribadi adalah setiap informasi yang terkait dengan seorang individu yang dapat digunakan untuk mengidentifikasi mereka secara langsung atau tidak langsung. Pelanggaran data pribadi adalah “pelanggaran keamanan yang menimbulkan kerusakan, kehilangan, perubahan, pengungkapan tidak sah, atau akses yang tidak disengaja atau ilegal ke data pribadi yang dikirimkan, disimpan, atau diproses.”

Jika terjadi pelanggaran data pribadi yang dapat mengakibatkan risiko tinggi terhadap hak dan kebebasan individu (seperti diskriminasi, pencurian identitas, penipuan, kerugian keuangan, atau rusaknya reputasi mereka), GPDR mewajibkan Anda untuk:
  • Memberi tahu Otoritas Perlindungan Data (DPA) yang berwenang dalam 72 jam setelah pelanggaran diketahui, misalnya setelah Microsoft memberi tahu Anda. Jika tidak memberitahu DPA dalam periode tersebut, Anda perlu menjelaskan alasannya kepada DPA. Pemberitahuan kepada DPA ini bersifat wajib, bahkan ketika terdapat risiko bagi individu yang tidak tergolong tinggi.
  • Memberi tahu subjek data tentang pelanggaran secepatnya.
  • Mendokumentasikan pelanggaran termasuk deskripsi tipe pelanggaran, seperti jumlah orang yang terkena dampaknya, jumlah rekaman data yang terkena dampaknya, akibat pelanggaran, dan tindakan penanganan yang disarankan atau dilakukan oleh organisasi Anda.

Setelah mengetahui adanya pelanggaran data pribadi, GPDR mewajibkan kami untuk memberi tahu Anda secepatnya. Kewajiban Microsoft sebagai pemroses mencerminkan persyaratan GPDR dan ketentuan kontrak global standar kami. Kami menganggap semua pelanggaran data pribadi yang dikonfirmasi termasuk dalam cakupan; tidak ada batas risiko kerusakan. Kami akan memberi tahu pelanggan apakah Microsoft yang mengalami pelanggaran data secara langsung atau sub-pemroses kami. Kami menerapkan berbagai proses untuk dengan cepat mengidentifikasi dan menghubungi personel insiden keamanan yang telah Anda identifikasi di organisasi. Selain itu, semua sub-pemroses berkewajiban sesuai kontrak untuk melaporkan pelanggarannya sendiri ke Microsoft, dan memberikan jaminan atas dampak tersebut.

Semua layanan dan personel kami mengikuti prosedur manajemen insiden internal untuk memastikan bahwa kami melakukan tindakan pencegahan yang tepat untuk mencegah pelanggaran data. Namun, selain itu, Layanan Online menerapkan kontrol keamanan khusus di seluruh platform kami untuk mendeteksi pelanggaran data apabila hal tersebut terjadi.

Untuk mendukung Anda ketika terjadi pelanggaran data pribadi, Microsoft memiliki:
  • Personel keamanan yang terlatih dalam prosedur tertentu yang perlu diikuti.
  • Memiliki kebijakan, prosedur, dan kontrol untuk memastikan bahwa Microsoft menyimpan catatan mendetail. Hal itu mencakup dokumentasi yang mencatat fakta insiden, efek, dan tindakan pemulihannya, serta melacak dan menyimpan informasi dalam sistem manajemen insiden kami.

Microsoft menerapkan kebijakan dan prosedur untuk memberi tahu Anda secara tepat waktu. Untuk memenuhi persyaratan pemberitahuan Anda kepada DPA, kami akan memberikan deskripsi proses yang kami gunakan untuk menentukan apakah pelanggaran data pribadi telah terjadi, deskripsi tipe pelanggaran, dan deskripsi tindakan yang kami lakukan untuk mengurangi dampak pelanggaran.