Tanya jawab umum GDPR

Untuk membantu Anda dan organisasi dalam proses mematuhi persyaratan GDPR, kami menyusun daftar tanya jawab umum.


|

Ya. GDPR mengharuskan pengontrol (seperti organisasi yang menggunakan layanan online perusahaan Microsoft) untuk hanya menggunakan pemroses (seperti Microsoft) yang menyediakan jaminan yang cukup untuk memenuhi persyaratan utama GDPR. Microsoft telah mengambil langkah proaktif guna memberikan komitmen ini kepada semua pelanggan Pelisensi Volume sebagai bagian dari perjanjian mereka.

 

Anda dapat menemukan komitmen kontraktual Microsoft sehubungan dengan GDPR dalam perjanjian Pelanggan pada halaman Gambaran Umum GDPR.

 

Microsoft menyediakan peralatan dan dokumentasi untuk mendukung akuntabilitas GDPR Anda. Hal tersebut mencakup dukungan untuk Hak Subjek Data, melakukan Penilaian Dampak Perlindungan Data Anda sendiri, dan bekerja sama dalam mengatasi pelanggaran data pribadi. Kunjungi halaman Gambaran Umum GDPR.

 

Ketentuan GDPR Microsoft mencerminkan komitmen yang diwajibkan bagi pemroses dalam Pasal 28. Pasal 28 mewajibkan pemroses berkomitmen untuk:

  • Menggunakan sub-pemroses hanya dengan persetujuan pengontrol dan tetap bertanggung jawab atas sub-pemroses.
  • Memproses data pribadi hanya berdasarkan instruksi dari pengontrol, termasuk dalam kaitannya dengan pemindahan.
  • Memastikan bahwa individu yang memproses data pribadi berkomitmen terhadap kerahasiaan.
  • Menerapkan langkah teknis dan organisasi yang sesuai untuk memastikan tingkat keamanan data pribadi yang sesuai dengan risiko.
  • Membantu pengontrol dalam kewajibannya untuk merespons permintaan subjek data untuk menggunakan hak GDPR mereka.
  • Memenuhi persyaratan bantuan dan pemberitahuan pelanggaran.
  • Membantu pengontrol dalam proses penilaian dampak perlindungan data dan konsultasi dengan otoritas pengawas.
  • Menghapus atau mengembalikan data pribadi pada akhir penyediaan layanan.
  • Mendukung pengontrol dengan bukti kepatuhan terhadap GDPR.

 

 

Microsoft telah lama menggunakan Klausul Kontrak Standar (juga disebut sebagai Klausul Model) sebagai dasar transfer data untuk layanan online perusahaannya. Klausul Kontrak Standar adalah ketentuan standar yang disediakan oleh Komisi Eropa yang dapat digunakan untuk mentransfer data di luar Wilayah Ekonomi Eropa dengan cara yang memenuhi persyaratan. Microsoft telah mencantumkan Klausul Kontrak Standar ke dalam semua perjanjian Pelisensi Volume melalui Ketentuan Layanan Online. Article 29 Working Party secara khusus menentukan bahwa implementasi Klausul Kontrak Standar oleh Microsoft telah sesuai.

 

Ketika Perlindungan Privasi UE-AS telah tersedia, Microsoft adalah perusahaan pertama yang diberi sertifikasi. Lihat Sertifikasi Microsoft terkait Perlindungan Privasi, dan baca Ketentuan Layanan Online. Perlindungan Privasi UE-AS membantu pelanggan yang ingin mentransfer data mereka ke AS dengan cara yang konsisten dengan kewajiban perlindungan data mereka.

 

Sebagai perusahaan global dengan pelanggan di hampir setiap negara di dunia, Microsoft memiliki portofolio kepatuhan yang tak perlu diragukan lagi untuk membantu pelanggan. Untuk melihat daftar lengkap penawaran kepatuhan termasuk FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud, dan lainnya, kunjungi daftar penawaran kepatuhan.

|

 

Untuk menemukan informasi tentang kemampuan layanan Microsoft yang digunakan untuk memenuhi persyaratan GDPR, silakan kunjungi www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation.

 

GDPR memberlakukan berbagai persyaratan pada organisasi yang mengumpulkan atau memproses data pribadi, termasuk persyaratan untuk mematuhi enam prinsip utama:

  • Transparansi, keadilan, dan keabsahan dalam penanganan dan penggunaan data pribadi. Anda harus terbuka dengan individu tentang bagaimana Anda menggunakan data pribadi dan juga membutuhkan "dasar yang sah" untuk memproses data tersebut.
  • Membatasi pemrosesan data pribadi untuk tujuan yang ditentukan, jelas, dan sah. Anda tidak akan dapat menggunakan kembali atau mengungkapkan data pribadi untuk tujuan yang tidak "kompatibel" dengan tujuan awal data dikumpulkan.
  • Meminimalkan pengumpulan dan penyimpanan data pribadi dalam taraf yang dianggap cukup dan relevan untuk tujuan yang dimaksud.
  • Memastikan akurasi data pribadi dan memungkinkannya dihapus atau diperbaiki. Anda perlu mengambil langkah-langkah untuk memastikan bahwa data pribadi yang Anda pegang sudah akurat dan dapat diperbaiki jika terjadi kesalahan.
  • Membatasi penyimpanan data pribadi. Anda perlu memastikan bahwa penyimpanan data hanya dilakukan selama yang diperlukan untuk mencapai tujuan awal pengumpulan data.
  • Memastikan keamanan, integritas, dan kerahasiaan data pribadi. Organisasi Anda harus mengambil langkah keamanan teknis dan organisasi guna menjaga keamanan data pribadi.

Anda perlu memahami kewajiban khusus organisasi Anda terhadap GDPR dan cara memenuhinya, meskipun Microsoft siap membantu Anda dalam mematuhi persyaratan GDPR.

Untuk mempelajari selengkapnya tentang Peraturan Perlindungan Data Umum (GDPR), silakan kunjungi www.microsoft.com/gdpr tempat Anda juga dapat mempelajari selengkapnya tentang bagaimana produk Microsoft tertentu dapat membantu Anda mempersiapkan diri untuk mematuhi GDPR di bagian tentang Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, dan Windows 10.

GDPR memberikan kontrol atas data pribadi kepada penduduk Uni Eropa melalui serangkaian “hak subjek data.” Ini mencakup hak untuk:

  • Mengakses informasi tentang bagaimana data pribadi digunakan.
  • Mengakses data pribadi yang disimpan oleh organisasi.
  • Menghapus atau memperbaiki data pribadi yang tidak benar.
  • Memperbaiki dan menghapus data pribadi dalam keadaan tertentu (terkadang disebut sebagai "hak untuk dilupakan").
  • Membatasi atau menolak pemrosesan data pribadi secara otomatis.
  • Menerima salinan data pribadi.

Pengontrol adalah individu atau badan hukum, otoritas publik, lembaga, atau badan lain yang, baik secara mandiri atau bersama-sama dengan orang lain, menentukan tujuan dan cara pemrosesan data pribadi. Pemroses adalah individu atau badan hukum, otoritas publik, lembaga, atau badan lain yang memproses data pribadi atas nama pengontrol.

Ya, GDPR berlaku untuk pengontrol dan pemroses. Pengontrol hanya boleh menggunakan pemroses yang mengambil tindakan untuk memenuhi persyaratan GDPR.

 

Berdasarkan GDPR, pemroses memiliki tugas dan tanggung jawab tambahan untuk ketidakpatuhan, atau bertindak di luar instruksi yang diberikan oleh pengontrol, jika dibandingkan dengan Perintah Perlindungan Data. Tugas pemroses meliputi, tetapi tidak terbatas pada:

  • Memproses data hanya seperti yang diperintahkan oleh pengontrol.
  • Menggunakan langkah-langkah teknis dan organisasi yang sesuai untuk melindungi data pribadi.
  • Membantu pengontrol terkait permintaan subjek data.
  • Memastikan sub-pemroses yang terlibat dengannya memenuhi persyaratan ini.

Perusahaan dapat didenda hingga €20 juta atau 4% dari omzet global tahunan, mana pun yang lebih besar, karena gagal memenuhi persyaratan GDPR tertentu. Ganti rugi individual tambahan dapat meningkatkan risiko jika Anda gagal mematuhi persyaratan GDPR.

Hal tersebut tergantung pada beberapa faktor yang disebutkan di dalam peraturan. Pasal 37 GDPR menyatakan bahwa pengontrol dan pemroses harus menunjuk seorang petugas perlindungan data dalam situasi ketika: (a) pemrosesan dilakukan oleh otoritas atau badan publik, kecuali untuk pengadilan yang bertindak dalam kapasitas yudisial mereka; (B) kegiatan inti pengontrol atau pemroses terdiri dari operasi pemrosesan yang, karena tipe, cakupan, dan/atau tujuan mereka, memerlukan pemantauan subjek data secara teratur dan sistematis dalam skala besar; atau (c) kegiatan inti pengontrol atau pemroses terdiri dari pemrosesan kategori data khusus dalam skala besar sesuai dengan Pasal 9 dan data pribadi yang berkaitan dengan hukuman dan pelanggaran pidana sebagaimana dimaksud dalam Pasal 10.

Pemenuhan kepatuhan terhadap GDPR akan menghabiskan waktu dan biaya bagi sebagian besar organisasi, meskipun hal tersebut dapat dilakukan dengan lebih mudah oleh organisasi yang beroperasi dalam model layanan cloud yang dirancang dengan baik dan memiliki program tata kelola data yang efektif.

|

GDPR mengatur pengumpulan, penyimpanan, penggunaan, dan pembagian "data pribadi." Data pribadi didefinisikan secara luas dalam GDPR, yaitu data apa pun yang terkait dengan individu yang diidentifikasi atau dapat diidentifikasi.

 

Data pribadi dapat mencakup, tetapi tidak terbatas pada, pengidentifikasi online (mis., alamat IP), informasi karyawan, database penjualan, data layanan pelanggan, formulir umpan balik pelanggan, data lokasi, data biometrik, rekaman CCTV, catatan skema loyalitas, informasi kesehatan dan keuangan, serta banyak lagi. Data pribadi bahkan dapat mencakup informasi yang tampaknya tidak bersifat pribadi, seperti foto pemandangan alam tanpa orang, yang informasinya terkait dengan nomor akun atau kode unik terhadap individu yang dapat diidentifikasi. Bahkan, data pribadi yang telah diberi nama samaran dapat menjadi data pribadi jika nama samaran dapat dikaitkan dengan individu tertentu.

 

Anda juga harus menyadari bahwa pemrosesan kategori data pribadi "khusus" tertentu, seperti data pribadi yang mengungkapkan asal ras atau etnis seseorang, atau menyangkut kesehatan atau orientasi seksualnya, tunduk pada aturan yang lebih ketat daripada pemrosesan data pribadi "biasa".

 

Evaluasi data pribadi ini sangat tergantung pada fakta, sehingga sebaiknya Anda melibatkan pakar untuk mengevaluasi situasi khusus Anda.

Ya. Meskipun aturannya sedikit berbeda, GDPR berlaku untuk organisasi yang mengumpulkan dan memproses data untuk tujuan mereka sendiri ("pengontrol") serta organisasi yang memproses data atas nama orang lain ("pemroses.") Ini adalah perubahan dari yang Perintah Perlindungan Data yang sudah ada, yang berlaku untuk pengontrol.

Data pribadi adalah segala informasi yang berkaitan dengan individu yang diidentifikasi atau dapat diidentifikasi. Tidak ada perbedaan antara peran pribadi, publik, atau pekerjaan seseorang. Data pribadi dapat mencakup:

 

Contoh data pribadi mencakup:

 

Identitas

  • Nama
  • Alamat rumah
  • Alamat kantor
  • Nomor telepon
  • Nomor ponsel
  • Alamat email
  • Nomor paspor
  • Kartu Tanda Penduduk
  • Nomor Jaminan Sosial (atau yang setara)
  • Surat Ijin Mengemudi
  • Informasi fisik, fisiologis, atau genetik
  • Informasi medis
  • Identitas kultural

Keuangan

  • Detail bank/nomor rekening
  • Nomor pokok wajib pajak
  • Alamat kantor
  • Nomor kartu Kredit/Debit
  • Postingan media sosial

Artefak online

  • Postingan media sosial
  • Alamat IP (wilayah UE)
  • Data lokasi/GPS
  • Cookie

Ya, tetapi GDPR mengatur secara ketat transfer data pribadi penduduk Eropa ke luar Wilayah Ekonomi Eropa. Anda mungkin perlu menyiapkan mekanisme hukum tertentu, seperti kontrak, atau mematuhi mekanisme sertifikasi untuk memungkinkan transfer ini. Microsoft menguraikan mekanisme yang digunakan dalam Ketentuan Layanan Online.

Jika terdapat alasan yang sah untuk pemrosesan dan penyimpanan data yang berkelanjutan, seperti “untuk kepatuhan terhadap kewajiban hukum yang mengharuskan pemrosesan oleh hukum Uni Eropa atau Negara Anggota yang mana pengontrol tunduk kepadanya" (Pasal 17(3)(b)), GDPR mengakui bahwa organisasi dapat diminta untuk menyimpan data. Namun, Anda harus memastikan bahwa Anda melibatkan penasihat hukum guna memastikan bahwa alasan penyimpanan dipertimbangkan terhadap hak dan kebebasan subjek data, harapan mereka pada saat data dikumpulkan, dll.

Enkripsi disebutkan dalam GDPR sebagai tindakan perlindungan yang membuat data pribadi tidak dapat dipahami ketika terkena dampak pelanggaran. Oleh karena itu, digunakannya atau tidak digunakannya enkripsi dapat memengaruhi persyaratan untuk pemberitahuan pelanggaran data pribadi. GDPR juga merujuk enkripsi sebagai tindakan teknis atau organisasi yang tepat dalam beberapa kasus, tergantung risikonya. Enkripsi juga merupakan persyaratan dalam Standar Keamanan Industri bagi Data Kartu Pembayaran dan bagian dari panduan kepatuhan ketat yang terkait dengan industri layanan keuangan. Produk dan layanan Microsoft seperti Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, SQL Server/Azure SQL Database, dan Windows 10 menawarkan enkripsi yang kuat untuk data baik saat disimpan di perangkat maupun saat transit.

 

Untuk mempelajari selengkapnya tentang bagaimana produk dan layanan Microsoft dapat membantu Anda mempersiapkan diri untuk mematuhi GDPR, silakan lihat bagaimana produk kami membantu Anda memenuhi persyaratan GDPR.

GDPR akan mengubah persyaratan perlindungan data dan membuat kewajiban yang lebih ketat untuk pemroses dan pengontrol sehubungan dengan pemberitahuan pelanggaran data pribadi. Berdasarkan peraturan baru, pemroses harus secepatnya memberi tahu pengontrol data tentang pelanggaran data pribadi setelah mengetahuinya. Setelah mengetahui adanya pelanggaran data pribadi, pengontrol harus memberi tahu otoritas perlindungan data yang relevan dalam waktu 72 jam. Jika pelanggaran tersebut kemungkinan akan mengakibatkan risiko tinggi terhadap hak dan kebebasan individu, pengontrol juga perlu secepatnya memberi tahu individu-individu yang terkena dampak. Panduan tambahan tentang topik ini sedang dikembangkan oleh Article 29 Working Party Uni Eropa.

 

Produk dan layanan Microsoft, seperti Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, dan Windows 10, memiliki solusi yang tersedia untuk membantu Anda mendeteksi dan menilai ancaman dan pelanggaran keamanan serta memenuhi kewajiban pemberitahuan pelanggaran GDPR.

|

Microsoft FastTrack adalah manfaat layanan*, layanan keberhasilan pelanggan untuk membantu bisnis mewujudkan nilai bisnis secara lebih cepat dengan Cloud Microsoft. FastTrack membantu:

  • Melakukan migrasi email, konten, dan mengaktifkan layanan Microsoft 365.
  • Menyebarkan dan mengelola perangkat dengan aman.
  • Mendorong bisnis dan mendapatkan penerapan pengguna akhir.

Microsoft FastTrack adalah manfaat layanan yang berkelanjutan dan berulang bagi pelanggan yang dihadirkan oleh teknisi dan pakar Microsoft guna membantu pelanggan atau mitra merencanakan, menyiapkan, dan mendorong penerapan/penggunaan, serta membantu peralihan ke cloud dengan percaya diri sesuai keinginan mereka.

 

Sembari kami membantu pelanggan sehubungan dengan penyebaran dan migrasi tertentu ke Layanan Online, Microsoft FastTrack berkomitmen untuk mematuhi persyaratan GDPR sebelum penerapannya dimulai, yaitu pada 25 Mei 2018. Sebagai bagian dari manfaat layanan profesional FastTrack, kami juga bekerja dengan mitra pelanggan yang sudah ada atau merujuk Mitra untuk bantuan penyebaran dan penerapan.

 

Lihat https://FastTrack.Microsoft.com untuk informasi selengkapnya.

 

*”Manfaat layanan” dianggap sebagai “layanan profesional” seperti yang ditentukan oleh OST dan MBSA.

Teknisi dan pakar FastTrack adalah pakar industri dalam perencanaan skenario dan nilai bisnis yang ingin dicapai oleh pelanggan atau mitra, yang berfokus untuk merencanakan, menyebarkan, dan mendorong penerapan produk dan layanan untuk membantu pelanggan atau mitra mencapai tujuan tersebut. Pelajari selengkapnya tentang bagaimana produk dan layanan Microsoft mendukung kepatuhan terhadap GDPR melalui situs web Pusat Kepercayaan. Kami mendorong pelanggan dan mitra untuk bekerja dengan profesional yang memiliki kualifikasi hukum untuk membahas GDPR, cakupan GDPR khususnya untuk organisasi mereka, dan cara terbaik untuk memastikan kepatuhan.

Kami menyarankan agar pelanggan bekerja dengan tim hukum dan kepatuhan mereka sendiri guna menentukan persyaratan GDPR untuk enkripsi dan keseluruhan persyaratan GDPR. Kepatuhan GDPR bersifat khusus untuk data pelanggan yang dikumpulkan, skenario penggunaan, dan sektor atau kekuatan industri.

Microsoft FastTrack adalah layanan keberhasilan pelanggan yang berkomitmen untuk menghadirkan penyebaran dan laba atas investasi yang lebih cepat, serta mendorong penerapan yang lebih tinggi bagi karyawan Anda atau pengguna akhir produk dan layanan Microsoft. Dengan mempertimbangkan hal tersebut, ketika pelanggan atau mitra mengajukan permintaan bantuan melalui Microsoft FastTrack, kami akan memulai proses untuk menyebarkan produk dan layanan Microsoft dengan tepat kepada pelanggan atau mitra.

 

Sebagai bagian dari manfaat layanan profesional FastTrack, kami juga bekerja dengan mitra pelanggan yang sudah ada atau merujuk Mitra untuk bantuan penyebaran dan penerapan. Anda dapat mempelajari selengkapnya tentang Mitra pakar GDPR yang siap membantu Mitra Microsoft mematuhi persyaratan sebagaimana dijelaskan pada halaman GDPR Pusat Kepercayaan di sini. Kunjungi halaman web Cloud/GDPR Tepercaya untuk menilai kesiapan Anda terhadap GDPR dan bagaimana Anda dapat mempercepat kepatuhan GDPR dengan Cloud Microsoft, dan menggunakan Microsoft FastTrack untuk bantuan penyebaran.


Sumber daya tambahan

Temukan mitra

Penuhi kebutuhan Anda seputar GDPR dengan salah satu mitra global kami yang menawarkan solusi berbasis Microsoft.

Praktik privasi Microsoft

Ketahui bagaimana Microsoft mengelola data Anda, lokasi penyimpanan data, siapa yang dapat mengakses dan ketentuannya, dan lainnya.

Perlindungan Privasi UE-A.S.

Pelajari bagaimana Microsoft menaati prinsip kerangka kerja Perlindungan Privasi UE-A.S.

Pemberitahuan pelanggaran data

Bagaimana Microsoft Mendeteksi dan Merespons Pelanggaran Data Pribadi, serta Memberi Tahu Anda Berdasarkan GDPR.