ALAT DIADOPSI OLEH EDPS PADA OKTOBER 2022
Oleh Mugurel Olariu, perlindungan data RPD
Komite Perlindungan Data Eropa – ECPD mengadopsi beberapa dokumen pada Oktober 2022, di antaranya kami tunjukkan yang paling penting, sebagai berikut:
√ Panduan 9/2022 tentang pemberitahuan pelanggaran data pribadi menurut RGPD*1.
√ Pernyataan 04/2022 tentang opsi desain untuk euro digital dari perspektif privasi dan perlindungan data*2.
√ Daftar aspek prosedural yang diusulkan untuk diselaraskan di tingkat Uni Eropa, guna memastikan efektivitas penerapan Regulasi Umum Perlindungan Data*3.
Selanjutnya, kami menyajikan pilihan aspek yang dikembangkan oleh alat yang disebutkan:
Panduan 9/2022 tentang pemberitahuan pelanggaran data pribadi menurut RGPD:
➣ Ini merupakan versi terbaru dari Panduan tentang pemberitahuan pelanggaran keamanan data pribadi berdasarkan Peraturan 2016/679, diadopsi pada 3 Oktober 2017 oleh GL 29, direvisi pada 6 Februari 2018 oleh GL 29 – WP 250 rev.01. Dokumen tersebut sedang dalam tahap konsultasi publik hingga 28 November 2022.
➣ Juga berdasarkan Opini no.3/2014 tentang pemberitahuan pelanggaran keamanan data pribadi GL 29 – WP 213, diadopsi pada 25 Maret 2014.
➣ 11 contoh yang diidentifikasi dan 15 kutipan dari isi RGPD direproduksi, untuk korelasi yang lebih baik dari aspek praktis dengan peraturan.
➣ Terlampir adalah A. Diagram persyaratan pemberitahuan dan B. Contoh pelanggaran keamanan data pribadi dan siapa yang harus memberi tahu mereka. Penting untuk dicatat bahwa: Contoh tidak lengkap berikut akan membantu operator dalam menentukan apakah akan memberi tahu pelanggaran dalam berbagai skenario pelanggaran data pribadi. Contoh-contoh ini juga dapat membantu membedakan antara risiko dan risiko tinggi terhadap hak dan kebebasan individu.
Pernyataan 04/2022 tentang opsi desain untuk euro digital dari perspektif privasi dan perlindungan data. Aspek perlindungan data mengacu pada:
➣ Perlindungan privasi dan data berdasarkan desain dan default – awal, EDPS mengingatkan bahwa standar privasi dan perlindungan data yang sangat tinggi, sesuai dengan harapan publik yang diungkapkan oleh warga negara, sangat penting untuk memastikan kepercayaan warga negara Eropa. di euro digital masa depan, yang merupakan faktor kunci keberhasilan proyek. Dibandingkan dengan uang tunai fisik dan propertinya yang bermanfaat untuk privasi dan kebebasan, dapat dipastikan bahwa proposisi nilai khusus untuk euro digital dalam lanskap pembayaran yang sudah sangat kompetitif dan efisien adalah tingkat privasinya yang tinggi, yang merupakan tanggung jawab sektor publik. untuk ditawarkan dan akan menjadi pemicu yang menentukan dalam pengadopsiannya oleh warga negara UE. Untuk alasan ini, euro digital harus dirancang sedekat mungkin dengan uang tunai.
➣ Hindari validasi sistematis dan pelacakan transaksi – EDPS mencatat bahwa “skenario dasar” yang dipilih oleh ECB adalah mengembangkan bentuk euro digital yang tersedia secara online dan dengan transaksi yang divalidasi oleh pihak ketiga. Pilihan desain seperti itu akan memerlukan transparansi penuh atas data pribadi tertentu (termasuk data transaksi) kepada pihak ketiga untuk tujuan APU/PPT. Pengenalan modalitas offline dengan transaksi pribadi dan kepemilikan untuk pembayaran kedekatan bernilai rendah dan pendekatan “privasi selektif”5 untuk modalitas online, di mana hanya transaksi bernilai tinggi yang tunduk pada pemeriksaan AML/CFT, digambarkan sebagai “melampaui baseline ” dan perlu penyelidikan lebih lanjut.
➣ Ambang privasi, baik offline maupun online – Dalam konteks ini, EDPS menyarankan untuk memperkenalkan dalam skenario dasar, baik untuk modalitas offline maupun online, “ambang privasi” dinyatakan sebagai nilai transaksi di mana tidak ada pelacakan transaksi yang dapat dilakukan, sehingga memberikan kepercayaan warga negara dalam privasi. pembayaran euro digital sehari-hari dan mencerminkan sifat risiko AML/CFT yang rendah. Kurangnya pelacakan ini berarti bahwa transaksi bernilai kecil tidak perlu diverifikasi dan tidak dicatat dalam rekening perantara.
➣ Perlunya kerangka peraturan khusus – Selain itu, EDPS merekomendasikan pengembangan kerangka hukum khusus untuk euro digital, yang secara khusus harus membahas perlindungan data dan masalah AML/CFT, bersamaan dengan perkembangan masalah hukum lainnya. Memang, kerangka hukum pembayaran elektronik saat ini tampaknya tidak memadai untuk instrumen seperti euro digital, yang memiliki karakteristik yang berbeda secara fundamental dari alat pembayaran elektronik lain yang ada dalam hal tujuan kebijakan dan tingkat kepercayaan yang diperlukan untuk memenuhi harapan. publik. EDPS merekomendasikan agar kerangka hukum khusus ini menjadi bagian dari “skenario dasar” yang dipertimbangkan oleh lembaga-lembaga UE.
➣ Mendorong debat publik yang demokratis – Terakhir, EDPS meminta ECB dan Komisi untuk meningkatkan debat publik tentang perlindungan data pribadi dalam pembayaran digital. Dalam pandangan EDPS, ECB dan Komisi dapat memperoleh manfaat dari masukan eksternal lebih lanjut dari masyarakat sipil dan akademisi tentang bagaimana, dalam praktiknya, proyek euro digital dapat memenuhi standar privasi dan perlindungan data tertinggi. Mengenai penerapan kasus penggunaan e-niaga prototipe, EDPS merekomendasikan untuk memastikan bahwa proposal tersebut akan sepenuhnya sesuai dengan Schrems II dan aturan perlindungan data lain yang berlaku.
Daftar aspek prosedural yang diusulkan untuk diselaraskan di tingkat Uni Eropa, untuk memastikan efektivitas penerapan Peraturan Perlindungan Data Umum, dikirim melalui email ke Komisi Keadilan Eropa – Didier Reynders. Ini berkembang dalam Lampiran a Daftar aspek prosedural dari proposal yang dibuat dan yang pada dasarnya merujuk pada:
1. Mengenai para pihak dalam tata cara administrasi:
1.1. Identifikasi para pihak dalam prosedur; status dan hak penggugat.
1.2. Hak para pihak atas persidangan.
1.3. Pihak Akses ke File dan Kerahasiaan.
1.4. Hak untuk didengar.
2. Mengenai tenggat waktu prosedural:
2.1. Langkah-langkah prosedural yang tidak tunduk pada batas waktu.
3. Mengenai pengaduan:
3.1. Persyaratan kelayakan formal.
3.2. Pemberhentian atau penolakan pengaduan dan penghentian prosedur yang diprakarsai oleh pengaduan.
3.3. Menyelesaikan pengaduan melalui perdamaian.
4. Mengenai kewenangan penyidikan:
4.1. Verifikasi dan klarifikasi pendahuluan kewenangan penyidikan Badan Pengawas kepada pihak berwenang sebelum pembentukan yurisdiksi.
4.2. Investigasi “sejauh yang sesuai”.
4.3. Kepatuhan dengan perintah eksekutif.
5. Mengenai tata cara kerjasama menurut Pasal 60 GDPR:
5.1. Kerja sama informal dan ruang lingkup informasi yang dipertukarkan antara Otoritas Pengawasan.
5.2. Informasi Otoritas Pengawas terkait dan Komite sesuai dengan pasal 60 (7) GDPR dan saat keputusan dapat dipublikasikan.
————————————————————————
*1 https://edpb.europa.eu/system/files/2022-10/edpb_guidelines_202209_personal_data_breach_notification_targetedupdate_en.pdf
*2 https://edpb.europa.eu/system/files/2022-10/edpb_statement_20221010_digital_euro_en.pdf
*3 https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf
