DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

JUDUL I KETENTUAN UMUM

a) Sesuaikan sistem hukum Spanyol dengan Regulasi (UE) 2016/679 Parlemen dan Dewan Eropa, tertanggal 27 April 2016 , tentang perlindungan individu
sehubungan dengan pemrosesan data pribadi mereka dan peredaran bebas data tersebut data, dan melengkapi ketentuannya.
Hak dasar individu untuk perlindungan data pribadi, dilindungi oleh pasal 18.4 Konstitusi (Undang-undang akan membatasi penggunaan teknologi informasi
TUJUAN untuk menjamin kehormatan dan privasi pribadi dan keluarga warga negara dan pelaksanaan penuh hak-hak mereka), akan dilaksanakan sesuai dengan
HUKUM ketentuan Peraturan (UE) 2016/679 dan hukum organik ini.
Seni. 1
b) Menjamin hak digital warga negara sesuai amanat yang ditetapkan dalam pasal 18.4 UUD .

- Ini berlaku untuk pemrosesan data pribadi yang sepenuhnya atau sebagian otomatis, serta pemrosesan data pribadi yang tidak otomatis yang terkandung
atau dimaksudkan untuk disertakan dalam file .
 a) Untuk perlakuan yang dikecualikan dari ruang lingkup penerapan Peraturan Perlindungan Data Umum berdasarkan pasal 2.2 (tidak berlaku
untuk pemrosesan data pribadi):
o a) dalam pelaksanaan kegiatan yang tidak termasuk dalam ruang lingkup penerapan hukum Serikat. Dalam hal ini, akan diatur oleh
undang-undang khusus dan tambahan oleh apa yang ditetapkan dalam ET dan LO ini. Perawatan yang dilakukan adalah dalam situasi
BIDANG ini:
PENERAPAN  Di bawah LO rezim pemilihan umum
HUKUM I  Di bidang lembaga pemasyarakatan
SAMPAI  Mereka berasal dari Catatan Sipil, Properti dan Komersial
DENGAN IX o b) oleh Negara Anggota ketika mereka melakukan kegiatan yang termasuk dalam ruang lingkup penerapan Bab 2 Judul V TEU;
dan pasal 89 TIDAK o c) dilakukan oleh orang perseorangan dalam menjalankan kegiatan pribadi atau rumah tangga secara eksklusif;
sampai BERLAKU o d) oleh pihak yang berwenang untuk tujuan pencegahan, penyelidikan, pendeteksian atau penuntutan tindak pidana, atau
dengan 94 pelaksanaan sanksi pidana , termasuk perlindungan terhadap ancaman keamanan publik dan pencegahannya.
, dengan tidak mengurangi ketentuan bagian 3 dan 4 pasal ini.
Seni. 2  b) Pengolahan data orang yang meninggal , dengan tidak mengurangi ketentuan pasal 3.
 c) Untuk perawatan tunduk pada peraturan tentang perlindungan bahan rahasia .
Catatan: perlakuan yang dilakukan oleh badan peradilan maupun yang dilakukan dalam kepengurusan Kejaksaan, diatur oleh:
 Berdasarkan Peraturan (UE) 216/679
 LO saat ini
 Tanpa mengurangi ketentuan LO Kejaksaan yang berlaku untuknya

DATA MEREKA  Orang-orang yang terkait dengan almarhum karena alasan keluarga atau de facto serta ahli warisnya KECUALI ketika almarhum secara
ORANG DAPAT tegas melarangnya atau begitu ditetapkan oleh undang-undang. Larangan tersebut tidak akan mempengaruhi hak ahli waris untuk
YANG MENGAKSES, mengakses data patrimonial almarhum.
MENINGGAL MEMPERBAIKI  Orang atau lembaga yang secara tegas ditunjuk oleh almarhum untuk itu. Melalui Keputusan Kerajaan: persyaratan dan ketentuan untuk
Seni. 3 ATAU membuktikan validitas dan validitas mandat atau instruksi ini, dan, jika sesuai, pendaftarannya.
MENGHAPUS
MINOR  Kekuasaan ini juga dapat dilaksanakan oleh perwakilan hukum mereka, atau dalam kerangka kekuasaan mereka, oleh Jaksa Penuntut
Umum, yang dapat bertindak ex officio atau atas permintaan orang perseorangan atau hukum yang berkepentingan.

1
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

PENYANDANG  Untuk yang ditunjukkan untuk anak di bawah umur.

CACAT  Atau oleh mereka yang ditunjuk untuk melaksanakan fungsi pendukung, jika fakultas tersebut termasuk dalam tindakan pendukung

JUDUL II: PRINSIP PERLINDUNGAN DATA

 Data akan tepat, dan jika perlu, diperbarui.
 Ketidakakuratan data pribadi, sehubungan dengan tujuan pemrosesannya, tidak akan disebabkan oleh pengontrol data, asalkan yang terakhir telah
mengadopsi semua tindakan yang wajar untuk menghapus atau memperbaiki tanpa penundaan, ketika data yang tidak akurat:
o Mereka akan diperoleh oleh orang yang bertanggung jawab langsung dari pihak yang terkena dampak.
AKURASI DATA o Mereka akan diperoleh oleh penanggung jawab mediator atau perantara jika peraturan yang berlaku untuk bidang kegiatan menetapkan
Seni. 4 kemungkinan ini. Mediator akan memikul tanggung jawab jika data yang dikomunikasikan kepada penanggung jawab tidak sesuai dengan yang
diberikan oleh pihak yang terkena dampak.
o Jika penanggung jawab menerimanya dari penanggung jawab lain berdasarkan pelaksanaan hak portabilitas oleh pihak yang terkena dampak.
o Mereka diperoleh dari pendaftaran publik oleh orang yang bertanggung jawab.

 Mereka tunduk pada kewajiban ini bahkan ketika hubungan obligor dengan penanggung jawab atau penanggung jawab pengobatan telah berakhir:
TUGAS o Pengontrol data
KERAHASIAAN
o Mereka yang bertanggung jawab atas pengobatan
Seni. 5
o Serta semua orang yang ikut campur dalam setiap fase itu.
 Ini adalah setiap ekspresi dari kehendak BEBAS, KHUSUS, INFORMASI DAN INEQUIVOUS dimana pemrosesan data pribadi tentang Anda diterima, baik
PERSETUJUAN DARI
dengan pernyataan atau tindakan afirmatif yang jelas.
YANG
 Jika untuk tujuan pluralitas, perlu untuk menyatakan secara khusus dan tegas bahwa itu diberikan untuk semuanya.
TERPENGARUH
 Pelaksanaan kontrak tidak dapat dilakukan dengan tunduk pada fakta bahwa pihak yang terpengaruh menyetujui pemrosesan data pribadi untuk
Seni. 6
tujuan yang tidak terkait dengan pemeliharaan, pengembangan, atau kontrol hubungan kontraktual.
 Jika anak di bawah umur UMUR DI ATAS 14 TAHUN, kecuali jika undang-undang mengharuskan bantuan dari pemegang kekuasaan orang tua atau
PERSETUJUAN DI
perwalian untuk merayakan perbuatan hukum atau bisnis di mana persetujuan untuk perawatan diperoleh.
BAWAH UMUR
 Jika Anda BERUSIA DI BAWAH 14 TAHUN: persetujuan hanya akan sah jika pemegang otoritas orang tua atau perwalian dicatat, dengan ruang lingkup
Pasal 7
yang ditentukan.
Pemrosesan data  Untuk kepatuhan terhadap aturan HUKUM ATAU PERATURAN DENGAN Pangkat HUKUM, yang juga dapat memberlakukan ketentuan khusus pada
karena kewajiban perlakuan, seperti tindakan keamanan tambahan atau lainnya yang ditetapkan dalam Peraturan (UE) 2016/769:
hukum, o nama samaran dan enkripsi data pribadi;
kepentingan publik, o kemampuan untuk menjamin kerahasiaan, integritas, ketersediaan, dan ketahanan permanen dari sistem dan layanan pengobatan;
atau pelaksanaan o kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi dengan cepat jika terjadi insiden fisik atau teknis;
kekuasaan publik o suatu proses verifikasi, evaluasi dan penilaian secara teratur terhadap keefektifan langkah-langkah teknis dan organisasional untuk menjamin
Seni. 8 keamanan pengobatan.
 Untuk pemenuhan misi yang dilakukan untuk kepentingan umum atau dalam pelaksanaan kekuasaan publik menurut RE, bila berasal dari kompetensi
dikaitkan dengan norma dengan kekuatan hukum.

2
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

 Sekadar persetujuan dari pihak yang terkena dampak tidak akan cukup untuk mencabut larangan pemrosesan data yang tujuan utamanya
adalah untuk mengidentifikasi ideologi, afiliasi serikat pekerja, agama, orientasi seksual, kepercayaan, dan asal ras atau etnis KECUALI,
menurut pasal. 9.2 RE:
a) subjek data memberikan persetujuan eksplisitnya untuk pemrosesan data pribadi tersebut untuk satu atau lebih tujuan yang ditentukan, kecuali
jika Undang-Undang Persatuan atau Negara Anggota menyatakan bahwa larangan tersebut tidak dapat dicabut oleh subjek data;
b) perlakuan tersebut diperlukan untuk pemenuhan kewajiban dan pelaksanaan hak-hak tertentu dari penanggung jawab perlakuan atau pihak
yang berkepentingan di bidang hukum ketenagakerjaan dan jaminan sosial serta perlindungan, sepanjang diperbolehkan oleh Undang-Undang
Persatuan Negara Anggota atau perjanjian bersama sesuai dengan hukum Negara Anggota yang menetapkan jaminan yang memadai untuk
menghormati hak dan kepentingan dasar subjek data;
c) perlakuan tersebut diperlukan untuk melindungi kepentingan vital pihak yang berkepentingan atau orang perseorangan lainnya , dalam hal pihak
yang berkepentingan secara fisik atau hukum tidak mampu memberikan persetujuannya;
d) perlakuan tersebut dilakukan , dalam ruang lingkup kegiatannya yang sah dan dengan jaminan yang semestinya, oleh suatu yayasan, asosiasi atau
organisasi nirlaba lainnya , yang tujuannya adalah politik, filosofis, agama atau serikat pekerja, asalkan perlakuan tersebut merujuk secara
eksklusif kepada anggota saat ini atau sebelumnya dari badan tersebut atau kepada orang yang memelihara kontak rutin dengan mereka
sehubungan dengan tujuan mereka dan asalkan data pribadi tidak dikomunikasikan di luar mereka tanpa persetujuan dari subjek data;
e) perlakuan mengacu pada data pribadi yang secara nyata telah dipublikasikan oleh pihak yang berkepentingan;
f) perlakuan tersebut diperlukan untuk perumusan, pelaksanaan atau pembelaan klaim atau ketika pengadilan bertindak dalam menjalankan fungsi
yudisialnya;
KATEGORI DATA
g) pemrosesan diperlukan untuk alasan kepentingan publik yang esensial , berdasarkan undang-undang Persatuan atau Negara Anggota, yang harus
KHUSUS
proporsional dengan tujuan yang ingin dicapai, pada dasarnya menghormati hak atas perlindungan data dan menetapkan langkah-langkah yang
Seni. 9
memadai dan tepat khusus untuk melindungi kepentingan dan hak dasar pihak yang berkepentingan;
h) perawatan diperlukan untuk tujuan pengobatan pencegahan atau pekerjaan, evaluasi kapasitas kerja pekerja, diagnosis medis, penyediaan
perawatan atau perawatan kesehatan atau sosial, atau pengelolaan sistem dan layanan perawatan kesehatan dan sosial, atas dasar Serikat atau
Negara Anggota hukum atau berdasarkan kontrak dengan profesional perawatan kesehatan ketika perawatan dilakukan oleh subjek profesional
dengan kewajiban kerahasiaan profesional.
i) pemrosesan diperlukan untuk alasan kepentingan publik di bidang kesehatan masyarakat, seperti perlindungan terhadap ancaman kesehatan
lintas batas yang serius, atau untuk memastikan tingkat kualitas dan keamanan yang tinggi dari perawatan kesehatan dan obat-obatan atau alat
kesehatan, atas dasar Persatuan atau undang-undang Negara Anggota yang menetapkan langkah-langkah yang sesuai dan spesifik untuk
melindungi hak dan kebebasan subjek data, khususnya kerahasiaan profesional,
j) pemrosesan diperlukan untuk tujuan pengarsipan untuk kepentingan umum, tujuan penelitian ilmiah atau sejarah atau tujuan statistik , sesuai
dengan Pasal 89(1), berdasarkan undang-undang Negara Kesatuan atau Negara Anggota, yang harus proporsional dengan tujuan yang dikejar,
pada dasarnya menghormati hak atas perlindungan data dan menetapkan tindakan yang sesuai dan spesifik untuk melindungi kepentingan dan
hak dasar pihak yang berkepentingan
 CATATAN : perlakuan yang dimaksud dalam huruf g), h) dan i ) art. 9.2. RE berdasarkan Hukum Spanyol harus dilindungi oleh norma dengan kekuatan
hukum, yang dapat menetapkan persyaratan keamanan dan kerahasiaan tambahan. Standar tersebut dapat mencakup pemrosesan data di bidang
KESEHATAN, jika diperlukan oleh pengelolaan sistem dan layanan perawatan kesehatan publik dan swasta, atau pelaksanaan kontrak asuransi di mana
pihak yang terkena dampak adalah salah satu pihak.
PENGOLAHAN DATA  Hal itu hanya dapat dilakukan apabila dicakup oleh suatu norma DU, dalam undang-undang ini atau dalam norma lain yang setingkat dengan hukum, di
SIFAT PIDANA bawah pengawasan otoritas publik, kecuali untuk tujuan selain pencegahan, penyidikan, pendeteksian, atau penuntutan. tindak pidana atau

3
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

pelaksanaan sanksi pidana.

 Catatan lengkap data yang mengacu pada hukuman dan pelanggaran pidana serta prosedur dan tindakan pencegahan dan keamanan terkait:
a) Pelaksanaannya dapat dilakukan sesuai dengan ketentuan Sistem Administrasi Kearsipan untuk menunjang Administrasi Peradilan.
Seni. 10
b) Itu hanya dapat dilakukan di bawah pengawasan otoritas publik.
 Di luar kasus yang disebutkan di bagian sebelumnya, pemrosesan jenis data ini hanya akan dimungkinkan jika dilakukan oleh PENGACARA DAN
PENGACARA dan tujuannya adalah untuk mengumpulkan informasi yang diberikan oleh klien mereka untuk menjalankan fungsinya.

JUDUL III: HAK ORANG

TRANSPARANSI  Penanggung jawab pengobatan adalah orang yang bertugas memberikan informasi dasar
DAN INFORMASI  Pada saat mereka mendapatkannya
Seni. 11  Tb harus menunjukkan alamat email dan cara lain yang memungkinkan akses mudah dan cepat ke informasi yang tersisa.
Jika data  INFORMASI DASAR:
diperoleh a) Identitas penanggung jawab dan wakilnya, jika ada.
langsung dari b) Tujuan pengobatan
yang terkena c) Kemungkinan untuk menggunakan hak yang ditetapkan dalam pasal 15 hingga 22 RE: hak akses, perbaikan, penghapusan,
dampak pembatasan, portabilitas data, penentangan dan keputusan individu otomatis, termasuk pembuatan profil (dalam kasus
terakhir, informasi dasar harus berisi keadaan ini, di mana pihak yang terkena dampak akan diberi tahu tentang hak untuk
menentang adopsi keputusan individu otomatis yang menghasilkan efek hukum padanya atau secara signifikan
memengaruhinya dengan cara serupa.
Jika data tidak  Penanggung jawab akan dapat mematuhi kewajiban informasi dan lebih tua INFORMASI DASAR AKAN BERISI:
diperoleh  Kategori data tunduk pada pengobatan.
langsung dari  Sumber dari mana data berasal.
yang terkena  Pada saat mereka diperoleh.
dampak  Tb harus menunjukkan alamat email dan cara lain yang memungkinkan akses mudah dan cepat ke informasi yang tersisa.

Seni. 14 RE:
1 . Ketika data pribadi belum diperoleh dari pihak yang berkepentingan, pengontrol data akan memberikan informasi berikut
a) identitas dan perincian kontak penanggung jawab dan, jika sesuai, perwakilan mereka;
b) perincian kontak petugas perlindungan data, jika berlaku;
c) tujuan perlakuan yang ditujukan untuk data pribadi tersebut, serta dasar hukum perlakuan tersebut;
d) kategori data pribadi yang bersangkutan;
e) penerima atau kategori penerima data pribadi, jika berlaku;
f) jika berlaku, niat pengontrol untuk mentransfer data pribadi ke penerima di negara ketiga atau organisasi internasional dan ada atau

4
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

tidaknya keputusan yang memadai oleh Komisi, atau, dalam hal transfer yang disebutkan dalam pasal 46 atau 47 atau pasal 49, ayat 1, sub-
paragraf kedua, mengacu pada jaminan yang memadai atau layak dan sarana untuk memperoleh salinannya atau fakta bahwa jaminan itu
telah diberikan.

2. Selain informasi yang disebutkan di bagian 1, pengontrol data akan memberikan pihak yang berkepentingan informasi berikut yang
diperlukan untuk menjamin pemrosesan data yang adil dan transparan sehubungan dengan pihak yang berkepentingan:
a) periode penyimpanan data pribadi atau, jika tidak memungkinkan, kriteria yang digunakan untuk menentukan periode ini;
b) ketika perlakuan didasarkan pada pasal 6, ayat 1, huruf f), kepentingan sah dari pengontrol atau pihak ketiga
c) adanya hak untuk meminta pengontrol data mengakses data pribadi yang berkaitan dengan pihak yang berkepentingan, dan perbaikan atau
penghapusannya, atau pembatasan perlakuannya, dan untuk menentang perlakuan tersebut, serta hak atas portabilitas data ;
d) dalam hal perlakuan berdasarkan pasal 6 ayat 1 huruf a), atau pasal 9 ayat 2 huruf a), adanya hak untuk menarik persetujuan sewaktu-
waktu, tanpa mempengaruhi keabsahan perlakuan berdasarkan persetujuan sebelum penarikannya;
e) hak untuk mengajukan klaim kepada otoritas kontrol;
f) sumber dari mana data pribadi berasal dan, jika sesuai, jika berasal dari sumber yang dapat diakses publik;
g) adanya keputusan otomatis, termasuk pembuatan profil, sebagaimana dimaksud dalam pasal 22, ayat 1 dan 4, dan, sekurang-kurangnya
dalam kasus seperti itu, informasi penting tentang logika yang diterapkan, serta konsekuensi penting dan yang diharapkan dari perlakuan
tersebut untuk pihak yang berkepentingan.

3. Pengontrol akan memberikan informasi yang ditunjukkan pada bagian 1 dan 2:

a) dalam jangka waktu yang wajar setelah data pribadi diperoleh, dan selambat-lambatnya satu bulan , dengan mempertimbangkan
keadaan khusus di mana data pribadi diproses
b) jika data pribadi akan digunakan untuk komunikasi dengan subjek data, selambat-lambatnya pada saat komunikasi pertama kali dengan
subjek data, atau
c) jika direncanakan untuk mengkomunikasikannya kepada penerima lain, paling lambat saat data pribadi dikomunikasikan untuk pertama
kali.

4. Ketika pengontrol data merencanakan pemrosesan lebih lanjut atas data pribadi untuk tujuan selain tujuan yang diperolehnya, pengontrol
data akan memberikan subjek data, sebelum pemrosesan lebih lanjut tersebut, informasi tentang tujuan lain tersebut dan informasi relevan
lainnya yang ditunjukkan dalam paragraf 2.

5. Ketentuan-ketentuan ayat 1 sampai 4 tidak berlaku jika dan sepanjang:

a) pihak yang berkepentingan telah memiliki informasi tersebut;
b) komunikasi informasi tersebut terbukti tidak mungkin atau melibatkan upaya yang tidak proporsional, khususnya untuk pemrosesan untuk
tujuan pengarsipan untuk kepentingan umum, tujuan penelitian ilmiah atau sejarah atau tujuan statistik, tunduk pada kondisi dan jaminan
yang disebutkan dalam pasal 89 , ayat 1, atau sejauh kewajiban yang disebutkan dalam ayat 1 pasal ini dapat membuat tidak mungkin atau
sangat menghambat pencapaian tujuan pemrosesan tersebut. Dalam kasus tersebut, pengontrol akan mengambil tindakan yang tepat untuk
melindungi hak, kebebasan, dan kepentingan sah subjek data, termasuk dengan membuat informasi menjadi publik.
c) perolehan atau komunikasi secara tegas ditetapkan oleh Hukum Perhimpunan atau Negara Anggota yang berlaku untuk pengontrol dan
yang menetapkan langkah-langkah yang memadai untuk melindungi kepentingan sah pihak yang berkepentingan, atau
d) ketika data pribadi harus tetap dirahasiakan berdasarkan kewajiban kerahasiaan profesional yang diatur oleh undang-undang Uni atau

5
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

Negara Anggota, termasuk kewajiban kerahasiaan menurut undang-undang.

 Hak-hak yang diakui dalam pasal 15 sampai dengan 22 RE dapat dilaksanakan secara LANGSUNG ATAU MELALUI
PERWAKILAN HUKUM ATAU SUKARELA.
 Orang yang bertanggung jawab atas pengobatan wajib memberi tahu pihak yang terkena dampak tentang CARA PEMBUANGANNYA
untuk menggunakan hak-hak yang sesuai dengannya, yang harus mudah diakses.
 Pelaksanaan hak tidak boleh ditolak karena satu-satunya alasan bahwa pihak yang terkena dampak memilih cara lain.
 Penanggung jawab dapat memproses, atas nama penanggung jawab, permintaan untuk menggunakan hak mereka yang dibuat oleh
mereka yang terkena dampak jika ditetapkan dalam kontrak atau tindakan hukum yang mengikat mereka.
 Bukti kepatuhan terhadap kewajiban untuk menanggapi permintaan itu akan menjadi tanggung jawab orang yang bertanggung
jawab.
 Jika undang-undang yang berlaku untuk perlakuan tertentu menetapkan rezim khusus yang memengaruhi pelaksanaan hak yang
diatur dalam bab III RE (hak pihak yang berkepentingan), ketentuan tersebut akan diikuti.
 Dalam hal apa pun, pemegang otoritas orang tua dapat menggunakan atas nama dan atas nama ANAK-ANAK DIBAWAH UMUR 14
TAHUN hak akses, perbaikan, pembatalan, penentangan atau lainnya yang sesuai dengan mereka menurut undang-undang ini.
PELAKSANAAN HAK KETENTUAN  Tindakan yang dilakukan oleh penanggung jawab untuk memenuhi permintaan untuk menggunakan hak-hak ini akan GRATIS ,
Pasal 12 UMUM dengan tidak mengurangi ketentuan seni. 12.5 dan 15.3 RE dan bagian 3 dan 4 pasal 13 undang-undang ini

Pasal 12.5. Ketika permintaan secara nyata tidak berdasar atau berlebihan , terutama karena sifatnya yang berulang, pengontrol data
dapat:
a) membebankan biaya yang wajar berdasarkan biaya administrasi yang dikeluarkan untuk memberikan informasi atau komunikasi atau
melakukan tindakan yang diminta, atau
b) menolak untuk bertindak atas permintaan tersebut.
Pengontrol data akan menanggung beban untuk membuktikan permintaan yang secara nyata tidak berdasar atau berlebihan.
Pasal 15.3. Pengontrol akan memberikan salinan data pribadi yang sedang diproses. Penanggung jawab dapat menerima biaya yang wajar
berdasarkan biaya administrasi untuk salinan lain yang diminta oleh pihak yang berkepentingan. Ketika pihak yang berkepentingan
mengajukan permintaan melalui sarana elektronik, dan kecuali pihak yang berkepentingan meminta agar disediakan dengan cara lain,
informasi akan diberikan dalam format elektronik yang biasa digunakan.

HAK AKSES  Ini akan dilaksanakan sebagaimana diatur dalam pasal 15 RE

Seni. 13 1. Pihak yang berkepentingan memiliki hak untuk memperoleh dari pengontrol data konfirmasi apakah data pribadi tentang dirinya sedang diproses
atau tidak dan, dalam kasus seperti itu, hak akses ke data pribadi dan informasi berikut :
a) tujuan pemrosesan;
b) kategori data pribadi yang bersangkutan;
c) penerima atau kategori penerima kepada siapa data pribadi dikomunikasikan atau akan dikomunikasikan, khususnya penerima di pihak ketiga atau organisasi
internasional;
d) jika memungkinkan, jangka waktu penyimpanan data pribadi yang direncanakan atau, jika tidak memungkinkan, kriteria yang digunakan untuk menentukan
jangka waktu tersebut;
e) adanya hak untuk meminta dari pengontrol perbaikan atau penghapusan data pribadi atau pembatasan pemrosesan data pribadi yang berkaitan dengan pihak

6
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

yang berkepentingan, atau untuk menentang pemrosesan tersebut;

f) hak untuk mengajukan klaim dengan otoritas kontrol;
g) ketika data pribadi belum diperoleh dari pihak yang berkepentingan, setiap informasi tersedia tentang asalnya;
h) adanya keputusan otomatis, termasuk pembuatan profil, sebagaimana dimaksud dalam pasal 22, ayat 1 dan 4, dan, sekurang-kurangnya dalam kasus seperti itu,
informasi penting tentang logika yang diterapkan, serta konsekuensi penting dan yang diharapkan dari perlakuan tersebut untuk pihak yang berkepentingan.

2. Ketika data pribadi dipindahkan ke negara ketiga atau ke organisasi internasional, subjek data berhak untuk diberi tahu tentang jaminan yang sesuai
berdasarkan Pasal 46 tentang pemindahan tersebut.
3. Pengontrol akan memberikan salinan data pribadi yang sedang diproses. Penanggung jawab dapat menerima biaya yang wajar berdasarkan biaya administrasi
untuk salinan lain yang diminta oleh pihak yang berkepentingan. Ketika pihak yang berkepentingan mengajukan permintaan melalui sarana elektronik, dan
kecuali pihak yang berkepentingan meminta agar disediakan dengan cara lain, informasi akan diberikan dalam format elektronik yang umum digunakan.
4. Hak untuk memperoleh salinan yang disebutkan dalam bagian 3 tidak boleh merugikan hak dan kebebasan orang lain.

 Ketika penanggung jawab memproses sejumlah besar data yang terkait dengan pihak yang terpengaruh dan yang terakhir tidak menentukan data apa
itu, mereka dapat meminta informasi yang mengindikasikannya sebelum memberikannya.
 Ini akan dipahami sebagai dikabulkan jika orang yang bertanggung jawab memberi pihak yang terkena dampak sistem akses jarak jauh, langsung dan
aman ke data pribadi yang menjamin, secara permanen, akses ke keseluruhannya. Komunikasi tentang cara mengakses akan cukup untuk menjawab
permintaan. Namun, pihak yang berkepentingan dapat meminta informasi dasar yang tidak disertakan dalam sistem akses jarak jauh.
 Pelaksanaan hak lebih dari satu kali selama jangka waktu 6 bulan akan dianggap BERULANG . Dalam kasus ini, biaya dapat dibebankan atau
penolakan untuk bertindak atas permintaan tersebut.
 Permintaan akan dianggap BERLEBIHAN ketika pihak yang terkena dampak memilih cara selain dari yang ditawarkan yang memerlukan biaya yang
tidak proporsional . Pihak yang terkena dampak akan menanggung kelebihan biaya yang harus dikeluarkan. Dalam hal ini, orang yang bertanggung
jawab hanya akan diminta untuk melakukannya tanpa penundaan yang tidak semestinya .

 Pihak yang terpengaruh harus menunjukkan data apa yang dimaksud dan koreksi yang harus dilakukan.
HAK REKTIFIKASI  Itu harus menyertai, bila perlu, dokumentasi pendukung tentang ketidakakuratan atau ketidaklengkapan data.
Seni. 14 Art.16 RE: tanpa penundaan yang tidak semestinya. Dengan mempertimbangkan tujuan pemrosesan, subjek data berhak untuk melengkapi data pribadi
yang tidak lengkap, termasuk melalui deklarasi tambahan.
HAK SUPPRESI  Ini akan dilaksanakan sebagaimana ditetapkan dalam seni. 17 RE:
("hak untuk 1. Pihak yang berkepentingan berhak untuk mendapatkan tanpa penundaan yang tidak semestinya dari orang yang bertanggung jawab untuk memproses
dilupakan") penghapusan data pribadi yang menjadi perhatiannya, yang berkewajiban untuk menghapus data pribadi tanpa penundaan yang tidak semestinya ketika salah
Seni. 15 satu dari keadaan berikut terjadi :
a) data pribadi tidak lagi diperlukan sehubungan dengan tujuan pengumpulan atau pemrosesannya;
b) subjek data mencabut persetujuan yang menjadi dasar pemrosesan sesuai dengan Pasal 6 ayat 1 huruf a) atau Pasal 9 ayat 2 huruf a), dan ini tidak didasarkan
pada dasar hukum lain;
c) pihak yang berkepentingan menentang perlakuan tersebut sesuai dengan:
pasal 21, bagian 1: pihak yang berkepentingan akan memiliki hak untuk menentang setiap saat, untuk alasan yang berkaitan dengan situasi khusus
mereka, yang mana data pribadi mengenai mereka tunduk pada ketentuan pasal 6.1 paragraf
e) pemrosesan diperlukan untuk pemenuhan tugas yang dilakukan untuk kepentingan umum atau dalam pelaksanaan kekuasaan publik yang
berada di tangan pengawas

7
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

f) perlakuan tersebut diperlukan untuk memenuhi kepentingan yang sah yang dilakukan oleh penanggung jawab atau oleh pihak ketiga, dengan
ketentuan bahwa kepentingan atau hak dan kebebasan mendasar dari pihak yang berkepentingan yang memerlukan perlindungan data pribadi
tidak berlaku, khususnya, ketika pihak yang berkepentingan adalah anak. Kecuali bila perlakuan tersebut dilakukan oleh otoritas publik dalam
menjalankan fungsinya
termasuk pembuatan profil berdasarkan ketentuan tersebut.
Penanggung jawab akan berhenti memproses data KECUALI jika terbukti alasan sah yang meyakinkan yang mengalahkan kepentingan, hak, dan
kebebasan pihak yang berkepentingan, atau untuk perumusan, pelaksanaan, atau pembelaan klaim.
Pasal 21 ayat 2: bila pengolahan untuk tujuan pemasaran langsung, pihak yang berkepentingan berhak untuk menolak setiap saat, termasuk pembuatan
profil. Dalam kasus ini, penanggung jawab dapat menyimpan data identifikasi pihak yang terkena dampak yang diperlukan untuk mencegah perawatan di masa
mendatang untuk tujuan pemasaran langsung .
d) data pribadi telah diproses secara tidak sah ;
e) data pribadi harus dihapus untuk mematuhi kewajiban hukum yang ditetapkan dalam Hukum Perhimpunan atau Negara Anggota yang berlaku untuk
pengontrol data;
f) data pribadi telah diperoleh sehubungan dengan penawaran layanan masyarakat informasi yang disebutkan dalam pasal 8 ayat 1 (pemrosesan data pribadi
seorang anak dianggap sah ketika anak tersebut berusia sekurang-kurangnya 16 tahun . Jika anak itu belum berumur 16 tahun, maka baru dianggap sah bila
persetujuan itu diberikan atau disahkan oleh pemegang kekuasaan orang tua atau perwalian atas anak itu, dan hanya sebatas itu diberikan atau disahkan .
Negara-negara Anggota dapat menetapkan berdasarkan undang-undang usia yang lebih rendah untuk tujuan tersebut, asalkan tidak kurang dari 13 tahun .
PENTING.

2. Ketika Anda telah mempublikasikan data pribadi dan diwajibkan, berdasarkan ketentuan ayat 1, untuk menghapus data tersebut , pengontrol data,
dengan mempertimbangkan teknologi yang tersedia dan biaya penerapannya, akan mengambil langkah-langkah yang wajar, termasuk langkah-langkah teknis,
dengan maksud untuk memberi tahu mereka yang bertanggung jawab untuk memproses data pribadi tentang permintaan pihak yang berkepentingan untuk
menghapus tautan apa pun ke data pribadi tersebut, atau salinan atau replikanya.
3. Bagian 1 dan 2 TIDAK AKAN BERLAKU jika pengobatan diperlukan :
a) untuk menggunakan hak atas kebebasan berekspresi dan informasi ;
b) untuk kepatuhan dengan kewajiban hukum yang memerlukan pemrosesan data yang diberlakukan oleh Persatuan atau Hukum Negara Anggota yang berlaku
untuk pengontrol data, atau untuk pemenuhan misi yang dilakukan untuk kepentingan publik atau dalam pelaksanaan kekuasaan publik yang diberikan kepada
orang tersebut bertanggung jawab;
c) karena alasan kepentingan umum di bidang kesehatan masyarakat sesuai dengan Pasal 9 ayat 2 huruf h) dan i) dan ayat 3;
d) untuk tujuan pengarsipan untuk kepentingan umum , untuk tujuan penelitian ilmiah atau sejarah atau untuk tujuan statistik, sesuai dengan pasal 89, ayat 1,
sejauh hak yang disebutkan dalam ayat 1 dapat membuat tidak mungkin atau secara serius menghambat pencapaian tujuan dari pengolahan tersebut, atau
e) untuk perumusan, pelaksanaan atau pembelaan klaim .

HAK UNTUK  Ini akan dilaksanakan sesuai dengan seni. 18 RE:

PEMBATASAN
PENGOLAHAN 1. Pihak yang berkepentingan berhak untuk mendapatkan dari pengontrol data batasan pemrosesan data ketika salah satu dari kondisi berikut
Seni. 16 terpenuhi :
a) pihak yang berkepentingan menantang keakuratan data pribadi , selama periode yang memungkinkan penanggung jawab untuk memverifikasi keakuratannya;
b) perlakuan tersebut melanggar hukum dan pihak yang berkepentingan menentang penghapusan data pribadi tersebut dan justru meminta pembatasan

8
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

penggunaannya ;
c) penanggung jawab tidak lagi membutuhkan data pribadi untuk tujuan perawatan, tetapi pihak yang berkepentingan membutuhkannya untuk perumusan,
pelaksanaan atau pembelaan klaim;
d) pihak yang berkepentingan telah menentang pemrosesan berdasarkan pasal 21, ayat 1, sementara diverifikasi apakah alasan yang sah dari pengontrol berlaku
atas alasan pihak yang berkepentingan.

2. Ketika pemrosesan data pribadi telah dibatasi berdasarkan bagian 1, data tersebut hanya dapat diproses, dengan pengecualian penyimpanannya,
dengan persetujuan pihak yang berkepentingan atau untuk perumusan, pelaksanaan atau pembelaan klaim, atau dengan maksud untuk melindungi
hak-hak perseorangan atau badan hukum lain atau untuk alasan kepentingan publik yang penting dari Perhimpunan atau Negara Anggota tertentu.
3. Setiap pihak yang berkepentingan yang telah memperoleh pembatasan perlakuan sesuai dengan bagian 1 akan diberitahukan oleh penanggung
jawab sebelum pencabutan pembatasan tersebut.
 Fakta bahwa perawatan terbatas harus dinyatakan dengan jelas dalam sistem informasi penanggung jawab.

 Ini akan dilaksanakan sesuai dengan seni. 20 RE:

1. Pihak yang berkepentingan memiliki hak untuk menerima data pribadi yang berkaitan dengan mereka , yang telah mereka berikan kepada pengontrol
data, dalam format terstruktur, umum digunakan dan dapat dibaca mesin, dan mengirimkannya ke pengontrol data lain tanpa pengontrol data mencegah
mereka melakukannya, yang akan memberi mereka, ketika:
a) pemrosesan didasarkan pada persetujuan atau kontrak
b) perawatan dilakukan dengan cara otomatis.
HAK ATAS
2. Saat menggunakan hak mereka atas portabilitas data, pihak yang berkepentingan akan memiliki hak untuk mengirimkan data pribadi secara langsung
PORTABILITAS
dari penanggung jawab ke penanggung jawab jika memungkinkan secara teknis.
Seni. 17
3. Pelaksanaan hak yang disebutkan dalam bagian 1 pasal ini tidak akan mengurangi pasal 17. Hak tersebut tidak berlaku untuk pemrosesan yang diperlukan
untuk pemenuhan misi yang dilakukan demi kepentingan publik atau dalam pelaksanaan kekuasaan publik yang berada di tangan pengawas.
4. Hak yang disebutkan dalam ayat 1 tidak boleh merugikan hak dan kebebasan orang lain.

HAK OPOSISI  Ini akan dilaksanakan sesuai dengan pasal 21 dan 22 RE.
Seni. 18
Pasal 21 Hak menentang

1. Pihak yang berkepentingan berhak untuk setiap saat menolak, karena alasan yang berkaitan dengan situasi khusus mereka, terhadap pemrosesan data
pribadi mengenai mereka, termasuk pembuatan profil berdasarkan ketentuan tersebut. Orang yang bertanggung jawab atas perlakuan akan berhenti
memproses data pribadi, kecuali jika hal itu membuktikan alasan sah yang meyakinkan untuk perlakuan yang mengalahkan kepentingan, hak, dan kebebasan
pihak yang berkepentingan, atau untuk perumusan, pelaksanaan, atau pembelaan klaim.
2. Apabila pemrosesan data pribadi ditujukan untuk pemasaran langsung , pihak yang berkepentingan berhak untuk setiap saat menentang pemrosesan data

9
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

pribadi mengenai dirinya, termasuk pembuatan profil sejauh terkait dengan pemasaran tersebut. .
3. Ketika pihak yang berkepentingan menentang pemrosesan untuk tujuan pemasaran langsung, data pribadi tidak akan lagi diproses untuk tujuan tersebut.
4. Selambat-lambatnya pada saat komunikasi pertama dengan pihak yang berkepentingan, hak yang disebutkan dalam ayat 1 dan 2 akan disebutkan secara
tegas kepada pihak yang berkepentingan dan akan disampaikan secara jelas dan terpisah dari informasi lainnya.
5. Dalam konteks penggunaan layanan masyarakat informasi, dan terlepas dari ketentuan Petunjuk 2002/58/EC, pihak yang berkepentingan dapat
menggunakan haknya untuk menentang dengan cara otomatis yang menerapkan spesifikasi teknis.
6. Ketika data pribadi diproses untuk tujuan penelitian ilmiah atau sejarah atau tujuan statistik sesuai dengan Pasal 89, ayat 1, subjek data berhak, karena
alasan yang berkaitan dengan situasi khususnya, untuk menolak pemrosesan data pribadi yang diberikan kepadanya, yang mereka pedulikan, kecuali jika
diperlukan untuk pemenuhan misi yang dilakukan karena alasan kepentingan publik.
Pasal 22 Keputusan individu otomatis, termasuk pembuatan profil
1. Setiap pihak yang berkepentingan berhak untuk tidak tunduk pada keputusan yang semata-mata didasarkan pada pemrosesan otomatis, termasuk
pembuatan profil, yang menghasilkan efek hukum padanya atau secara signifikan memengaruhinya dengan cara serupa.
2. Ayat 1 tidak berlaku jika keputusan:

 a) diperlukan untuk kesimpulan atau pelaksanaan kontrak antara subjek data dan pengontrol data;
 b) disahkan oleh undang-undang Persatuan atau Negara Anggota yang berlaku untuk pengontrol dan yang juga menetapkan tindakan yang tepat untuk
melindungi hak dan kebebasan serta kepentingan sah subjek data, atau
 c) didasarkan pada persetujuan eksplisit dari pihak yang berkepentingan.

3. Dalam kasus sebagaimana dimaksud dalam ayat 2 huruf a) dan c), pengontrol data harus mengambil tindakan yang tepat untuk melindungi hak dan
kebebasan serta kepentingan sah pihak yang berkepentingan, setidaknya hak untuk mendapatkan campur tangan manusia atas bagian dari subjek
data.bertanggung jawab, untuk mengungkapkan sudut pandang mereka dan menantang keputusan.
4. Keputusan sebagaimana dimaksud dalam ayat 2 tidak boleh didasarkan pada kategori khusus data pribadi sebagaimana dimaksud dalam Pasal 9 ayat 1,
kecuali Pasal 9 ayat 2 huruf a) atau g) berlaku dan telah diambil tindakan yang tepat untuk melindungi hak dan kebebasan serta kepentingan sah subjek data.

JUDUL IX – REZIM PENALTI

SUBYEK YANG Ini berlaku untuk  Mereka yang bertanggung jawab atas perawatan.
BERTANGGUNG  Mereka yang bertanggung jawab atas perawatan.
JAWAB  Perwakilan dari mereka yang bertanggung jawab atau bertanggung jawab atas perawatan yang tidak ditetapkan di wilayah
Seni. 70 UE.
 entitas sertifikasi

10
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

 Entitas terakreditasi untuk pengawasan kode etik

Tidak berlaku untuk  Petugas Perlindungan Data
 Untuk pelanggaran ketentuan berikut: (Bagian 5)

a) prinsip-prinsip dasar untuk pengobatan, termasuk syarat-syarat persetujuan

b) hak-hak pihak yang berkepentingan
c) transfer data pribadi ke penerima di negara ketiga atau organisasi internasional
PELANGGARAN d) setiap kewajiban berdasarkan hukum Negara-negara Anggota yang diadopsi berdasarkan Bab IX;
SANGAT SERIUS e) Kegagalan untuk mematuhi resolusi atau pembatasan pemrosesan sementara atau permanen atau penangguhan aliran data oleh otoritas kontrol,
DIPRESCRIBE atau kegagalan untuk menyediakan akses.
SETELAH 3
TAHUN  Untuk ketidakpatuhan terhadap resolusi otoritas kontrol ( Bagian 6)
Seni. 72 a) Pemrosesan data pribadi yang melanggar prinsip dan jaminan.
b) Pemrosesan data pribadi tanpa pemenuhan salah satu syarat legalitas pemrosesan.
DENDA c) Kegagalan untuk memenuhi persyaratan untuk validitas persetujuan.
ADMINISTRATIF
d) Penggunaan data untuk tujuan yang tidak sesuai dengan tujuan pengumpulannya, tanpa persetujuan dari pihak yang terpengaruh atau dasar
maksimal
20.000.000 atau
hukum untuk itu.
jika merupakan e) Pemrosesan data pribadi dari kategori, tanpa terjadinya keadaan apa pun yang diatur dalam aturan tersebut.
perusahaan dengan f) Pemrosesan data pribadi terkait dengan hukuman dan pelanggaran pidana atau tindakan keamanan terkait di luar kasus yang diizinkan.
jumlah yang setara g) Pemrosesan data pribadi terkait pelanggaran dan sanksi administratif di luar kasus yang diizinkan.
dengan maksimal h) Kelalaian kewajiban untuk memberi tahu pihak yang terkena dampak tentang pemrosesan data pribadi mereka
4% dari total i) Pelanggaran kewajiban kerahasiaan.
volume bisnis j) Persyaratan untuk membayar biaya, di luar asumsi yang ditetapkan.
global tahunan k) Rintangan atau halangan atau ketidakpedulian yang berulang-ulang terhadap pelaksanaan hak.
tahun sebelumnya, l) Transfer data pribadi secara internasional ke penerima yang berada di negara ketiga atau ke organisasi internasional, ketika jaminan,
MEMILIH JUMLAH
persyaratan, atau pengecualian yang ditetapkan tidak ada.
TERTINGGI
m) Kegagalan untuk mematuhi resolusi yang dikeluarkan oleh otoritas perlindungan data
Bagian 5 –
SANGAT SERIUS n) Kegagalan untuk memenuhi kewajiban untuk memblokir data yang ditetapkan dalam pasal 32 undang-undang organik ini jika diperlukan.
ñ) Tidak memfasilitasi akses personel otoritas perlindungan data yang kompeten ke data pribadi, informasi, bangunan, peralatan, dan sarana
perawatan yang diperlukan oleh otoritas perlindungan data untuk pelaksanaan kewenangan investigasinya.
o) Penolakan atau penghalang pelaksanaan fungsi inspeksi oleh otoritas perlindungan data yang kompeten.
p) Pembalikan yang disengaja dari prosedur anonimisasi untuk memungkinkan identifikasi ulang dari mereka yang terkena dampak.

PELANGGARAN Dari  Untuk persetujuan anak di bawah umur sehubungan dengan layanan masyarakat informasi. Seni. 8
SERIUS- kewajiban  Pengobatan yang tidak lagi memerlukan identifikasi. Seni. 11
PRESCRIB penanggung  Perlindungan data dengan desain dan secara default. Seni. 25
SETELAH 2 jawab dan  Fungsi Petugas Perlindungan Data: Pasal 39
TAHUN penanggung o Menginformasikan dan menasihati penanggung jawab atau penanggung jawab pengobatan dan karyawan yang

11
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

Seni. 73 menanganinya.
o Awasi kepatuhan terhadap ketentuan RE ini dan ketentuan perlindungan data UE lainnya
DENDA o Memberi saran tentang penilaian dampak perlindungan data dan memantau penerapannya
ADMINISTRATIF o Bekerja sama dengan otoritas kontrol.
maksimal o Bertindak sebagai titik kontak otoritas kontrol untuk masalah yang terkait dengan perlakuan, termasuk konsultasi
10.000.000 atau
sebelum penerapan perlakuan yang akan dilakukan oleh penanggung jawab kepada CA ketika penilaian dampak
jika perusahaan
menunjukkan bahwa perlakuan akan menimbulkan risiko tinggi jika langkah-langkah tidak diambil untuk
dengan jumlah
yang setara dengan menguranginya.
maksimal 2% dari  Untuk Sertifikasi. Pasal 42
total volume bisnis o Ini akan bersifat sukarela dan tersedia melalui proses yang transparan
global tahunan o Ini akan dikeluarkan oleh:
tahun sebelumnya, jawab disebut  Oleh badan sertifikasi. Seni. 43. Mereka akan diakreditasi oleh:
MEMILIH JUMLAH - Otoritas pengawas
TERTINGGI - Atau badan akreditasi nasional
Bagian 4 - atau untuk keduanya
 Atau oleh otoritas kontrol yang kompeten
 Atau oleh Panitia. Jika kriteria disetujui oleh Komite, ini dapat menghasilkan sertifikasi umum: SEAL
PERLINDUNGAN DATA EROPA.
o Ini akan dikeluarkan untuk manajer atau manajer untuk PERIODE MAKSIMUM 3 TAHUN dan dapat diperbarui dalam
kondisi yang sama jika kriteria yang relevan masih terpenuhi.
o COMMITTEE akan memasukkan ke dalam register semua mekanisme sertifikasi dan segel dan tanda perlindungan
data dan akan membuatnya tersedia untuk umum dengan cara yang sesuai.

 Dari kewajiban lembaga sertifikasi

Dari
 Dalam pengawasan kode etik oleh suatu badan yang memiliki tingkat keahlian yang sesuai sehubungan dengan objek kode dan
kewajiban
yang telah diakreditasi untuk tujuan ini oleh otoritas kontrol yang kompeten. Jika badan ini mengambil tindakan yang tepat
otoritas
jika terjadi pelanggaran kode etik, badan ini harus memberi tahu pihak berwenang yang berwenang.
kontrol
a) Pemrosesan data pribadi anak di bawah umur tanpa mendapatkan persetujuan mereka, ketika mereka memiliki kapasitas untuk melakukannya, atau dari
pemegang otoritas atau perwalian orang tua mereka.
b) Tidak mengakreditasi upaya yang wajar untuk memverifikasi keabsahan persetujuan yang diberikan oleh anak di bawah umur atau oleh pemegang otoritas
orang tua atau perwalian atasnya
c) Rintangan atau halangan atau pengabaian berulang kali atas hak akses, perbaikan, penghapusan, pembatasan perlakuan atau terhadap portabilitas data
dalam perlakuan di mana identifikasi yang terpengaruh tidak diperlukan, jika hal ini, untuk pelaksanaan hak tersebut, Anda telah memberikan informasi
tambahan yang memungkinkan identifikasi Anda.
d) Kurangnya penerapan langkah-langkah teknis dan organisasi yang sesuai untuk secara efektif menerapkan prinsip-prinsip perlindungan data dari desain,
serta tidak terintegrasinya jaminan yang diperlukan dalam perawatan.
e) Kurangnya penerapan langkah-langkah teknis dan organisasional yang sesuai untuk menjamin bahwa, secara default, hanya data pribadi yang

12
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

diperlukan untuk setiap tujuan spesifik dari perlakuan yang akan diproses.
f) Kurangnya penerapan langkah-langkah teknis dan organisasional yang sesuai untuk menjamin tingkat keamanan yang sesuai dengan risiko
perlakuan, dalam ketentuan yang disyaratkan oleh pasal 32.1 Regulasi (UE) 2016/679 .
g) Pelanggaran, sebagai akibat dari kurangnya uji tuntas, tindakan teknis dan organisasi yang telah dilaksanakan.
h) Kegagalan untuk memenuhi kewajiban untuk menunjuk perwakilan pengontrol atau pemroses yang tidak didirikan di wilayah Uni Eropa.
i) Kurangnya perhatian oleh perwakilan di Uni terhadap penanggung jawab atau penanggung jawab atas perlakuan atas permintaan yang dibuat oleh
otoritas perlindungan data atau oleh pihak yang terkena dampak.
j) Kontrak oleh penanggung jawab perawatan terhadap penanggung jawab perawatan yang tidak menawarkan jaminan yang memadai untuk
menerapkan langkah-langkah teknis dan organisasi yang tepat sesuai dengan ketentuan Bab IV Regulasi (UE) 2016/679 .
k) Mempercayakan pemrosesan data kepada pihak ketiga tanpa formalisasi kontrak atau tindakan hukum tertulis lainnya dengan konten yang
diperlukan.
l) Kontrak oleh orang yang bertanggung jawab atas perlakuan manajer lain tanpa izin sebelumnya dari orang yang bertanggung jawab, atau tanpa
memberi tahu dia tentang perubahan yang dihasilkan dalam subkontrak ketika mereka diharuskan secara hukum.
m) Pelanggaran oleh orang yang bertanggung jawab atas perawatan, saat menentukan tujuan dan cara perawatan.
n) Tidak memiliki catatan kegiatan pengolahan.
ñ) Jangan memberikan kepada otoritas perlindungan data yang telah memintanya, catatan aktivitas pemrosesan.
o) Tidak bekerja sama dengan otoritas kontrol dalam pelaksanaan fungsinya.
p) Pengolahan data pribadi tanpa melakukan penilaian terlebih dahulu terhadap unsur-unsur yang disebutkan dalam pasal 28 undang-undang organik
ini.
q) Pelanggaran kewajiban penanggung jawab perawatan untuk memberi tahu penanggung jawab perawatan tentang pelanggaran keamanan yang
diketahuinya.
r) Kegagalan untuk memberi tahu otoritas perlindungan data tentang pelanggaran keamanan data pribadi.
s) Kegagalan untuk memberi tahu subjek data tentang pelanggaran keamanan data jika pengontrol data telah diminta oleh otoritas perlindungan data
untuk melaksanakan pemberitahuan tersebut
t) Pemrosesan data pribadi tanpa melakukan evaluasi dampak operasi pemrosesan terhadap perlindungan data pribadi.
u) Pemrosesan data pribadi tanpa sebelumnya berkonsultasi dengan otoritas perlindungan data dalam kasus di mana konsultasi tersebut bersifat
wajib.
v) Kegagalan untuk memenuhi kewajiban untuk menunjuk petugas perlindungan data ketika pengangkatannya diperlukan.
w) Tidak memungkinkan partisipasi efektif petugas perlindungan data dalam semua hal yang berkaitan dengan perlindungan data pribadi, tidak
mendukungnya atau mengganggu pelaksanaan tugasnya.
x) Penggunaan segel atau sertifikasi perlindungan data yang belum diberikan oleh lembaga sertifikasi yang terakreditasi atau dalam hal validitasnya
telah berakhir.
y) Memperoleh akreditasi sebagai lembaga sertifikasi dengan menyampaikan informasi yang tidak akurat tentang pemenuhan persyaratan yang
dipersyaratkan.
z) Pelaksanaan fungsi-fungsi yang dicadangkan untuk lembaga sertifikasi, tanpa harus terakreditasi sebagaimana mestinya.
aa) Ketidakpatuhan oleh badan sertifikasi terhadap prinsip dan kewajiban.
ab) Pelaksanaan fungsi-fungsi yang diperuntukkan bagi badan-badan untuk pengawasan kode etik tanpa sebelumnya diakreditasi oleh otoritas
perlindungan data yang kompeten.
ac) Kurangnya adopsi oleh badan pengawas terakreditasi dari kode etik tindakan yang tepat dalam hal telah terjadi pelanggaran kode etik

13
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

PELANGGARAN
KECIL Pelanggaran-pelanggaran lainnya yang bersifat HANYA FORMAL dari pasal-pasal yang disebutkan dalam bagian 4 dan 5 Seni. 83 RE dan,
RESEP SATU khususnya, berikut ini:
TAHUN
a) Kegagalan untuk memberikan semua informasi yang diperlukan.
Seni. 74 b) Persyaratan untuk membayar biaya untuk memberikan subjek data informasi yang diperlukan atau untuk memenuhi permintaan pelaksanaan hak subjek
data, jika diizinkan oleh pasal 12.5, jika jumlahnya melebihi jumlah biaya yang dikeluarkan untuk memfasilitasi informasi atau melakukan tindakan yang
diminta
c) Kegagalan untuk menanggapi permintaan untuk menggunakan hak yang ditetapkan dalam pasal 15 sampai 22 Peraturan (EU) 2016/679 , kecuali
ketentuan pasal 72.1.k) hukum organik ini berlaku.
d) Tidak membahas hak akses, perbaikan, penghapusan, pembatasan perlakuan atau portabilitas data dalam perlakuan yang tidak memerlukan identifikasi
pihak yang terkena dampak, ketika yang terakhir, untuk pelaksanaan hak tersebut, telah memberikan informasi tambahan yang mengizinkan identifikasi
mereka, kecuali berlaku ketentuan pasal 73 c) hukum organik ini.
e) Kegagalan untuk memenuhi kewajiban pemberitahuan mengenai pembetulan atau penghapusan data pribadi atau pembatasan perlakuan yang diperlukan.
f) Kegagalan untuk memenuhi kewajiban untuk menginformasikan subjek data, ketika diminta, dari penerima yang kepadanya data pribadi yang diperbaiki
atau dihapus atau yang pemrosesannya telah dibatasi telah dikomunikasikan.
g) Kegagalan untuk memenuhi kewajiban untuk menghapus data yang merujuk pada orang yang telah meninggal bila diperlukan.
h) Kurangnya formalisasi oleh penanggung jawab bersama untuk perlakuan perjanjian yang menentukan kewajiban, fungsi dan tanggung jawab masing-
masing sehubungan dengan pemrosesan data pribadi dan hubungannya dengan pihak yang terkena dampak atau ketidaktepatan dalam menentukannya.
i) Tidak menyediakan bagi mereka yang terkena dampak aspek-aspek penting dari kesepakatan yang diformalkan antara pihak yang bertanggung jawab atas
pengobatan.
j) Kegagalan untuk mematuhi kewajiban penanggung jawab perawatan untuk memberi tahu penanggung jawab perawatan tentang kemungkinan pelanggaran
karena instruksi yang diterima darinya.
k) Pelanggaran oleh penanggung jawab atas ketentuan yang ditentukan dalam kontrak atau tindakan hukum yang mengatur perlakuan atau perintah dari
penanggung jawab perlakuan, kecuali ia diwajibkan secara hukum untuk melakukannya atau dalam hal di mana hal itu diperlukan untuk menghindari
pelanggaran undang-undang tentang perlindungan data dan penanggung jawab atau penanggung jawab perawatan telah diberitahu tentang hal ini.
l) Memiliki catatan kegiatan pemrosesan yang tidak mencakup semua informasi yang diperlukan.
m) Pemberitahuan yang tidak lengkap, terlambat atau cacat kepada otoritas perlindungan data atas informasi yang terkait dengan pelanggaran keamanan
data pribadi.
n) Kegagalan untuk mematuhi kewajiban untuk mendokumentasikan setiap pelanggaran keamanan.
ñ) Kegagalan untuk memberi tahu pihak yang terkena dampak tentang pelanggaran keamanan data yang menimbulkan risiko tinggi terhadap hak dan
kebebasan mereka yang terkena dampak.
o) Memberikan informasi yang tidak akurat kepada Otoritas Perlindungan Data, dalam kasus di mana pengontrol data harus mengajukan konsultasi
sebelumnya.
p) Tidak memublikasikan detail kontak petugas perlindungan data, atau tidak mengomunikasikannya kepada otoritas perlindungan data, saat penunjukan
mereka diperlukan.
q) Ketidakpatuhan oleh lembaga sertifikasi terhadap kewajiban untuk menginformasikan otoritas perlindungan data tentang penerbitan, pembaruan, atau
pencabutan sertifikasi.
r) Ketidakpatuhan oleh badan pengawas terakreditasi dari kode etik kewajiban untuk memberi tahu otoritas perlindungan data tentang langkah-langkah yang

14
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

tepat jika terjadi pelanggaran kode.

GANGGUAN
RESEP - Untuk inisiasi, dengan sepengetahuan pihak yang berkepentingan, tentang prosedur disipliner, memulai kembali jangka waktu jika file disipliner
PELANGGARAN. dilumpuhkan selama lebih dari 6 bulan karena alasan yang bukan disebabkan oleh tersangka pelaku.
Seni. 75
Seni. 83.2 dari RE . Ketika memutuskan untuk mengenakan denda administrasi dan jumlahnya dalam setiap kasus individu, pertimbangan yang tepat
harus diambil dari:
a) sifat, keseriusan, dan durasi pelanggaran, dengan mempertimbangkan sifat, ruang lingkup, atau tujuan operasi pemrosesan yang bersangkutan serta jumlah
subjek data yang terpengaruh dan tingkat kerusakan yang dideritanya;
b) kesengajaan atau kelalaian dalam pelanggaran;
c) setiap tindakan yang diambil oleh penanggung jawab atau penanggung jawab perawatan untuk meringankan kerugian yang diderita oleh pihak yang
berkepentingan;
d) tingkat tanggung jawab pengawas atau pemroses, dengan mempertimbangkan tindakan teknis atau organisasional yang telah mereka terapkan berdasarkan
pasal 25 dan 32;
e) setiap pelanggaran sebelumnya yang dilakukan oleh pengontrol atau pemroses;
f) tingkat kerja sama dengan otoritas kontrol untuk memulihkan pelanggaran dan mengurangi kemungkinan dampak merugikan dari pelanggaran tersebut;
g) kategori data pribadi yang terkena pelanggaran;
h) cara otoritas pengawas menyadari pelanggaran tersebut, khususnya apakah pengontrol atau pemroses memberitahukan pelanggaran tersebut dan, jika demikian,
sejauh mana;
KRITERIA i) ketika tindakan yang disebutkan dalam pasal 58, paragraf 2, sebelumnya telah diperintahkan terhadap pengontrol atau pemroses terkait dengan masalah yang
KELULUSAN sama, sesuai dengan tindakan tersebut;
Seni. 76 j) kepatuhan terhadap kode etik menurut Pasal 40 atau mekanisme sertifikasi yang disetujui menurut Pasal 42, dan
k) faktor lain yang memberatkan atau meringankan yang berlaku untuk keadaan kasus tersebut , seperti keuntungan finansial yang diperoleh atau kerugian yang
dihindari, secara langsung atau tidak langsung, melalui pelanggaran.
Sesuai dengan ketentuan pasal 83.2.k) Peraturan (UE) 2016/679, hal-hal berikut juga dapat dipertimbangkan:
a) Sifat pelanggaran yang berlanjut.
b) Menghubungkan aktivitas pelaku dengan pemrosesan data pribadi.
c) Manfaat yang diperoleh sebagai akibat dari dilakukannya pelanggaran.
d) Kemungkinan bahwa perilaku pihak yang terkena dampak dapat menyebabkan terjadinya pelanggaran.
e) Adanya proses penggabungan melalui penyerapan setelah dilakukannya pelanggaran, yang tidak dapat dikaitkan dengan entitas penyerap.
f) Mempengaruhi hak-hak anak di bawah umur.
g) Memiliki, jika tidak wajib, delegasi perlindungan data.
h) Penyerahan oleh orang yang bertanggung jawab atau bertanggung jawab, atas dasar sukarela, ke mekanisme penyelesaian sengketa alternatif, dalam kasus
di mana ada perselisihan antara mereka dan pihak yang berkepentingan.
 Dimungkinkan untuk mengadopsi tambahan atau sebagai alternatif, jika sesuai, tindakan korektif lainnya yang dirujuk dalam seni. 83.2.
PUBLIKASI  DI BOE .: Identifikasi pelaku dan pelanggaran yang dilakukan
 JIKA OTORITAS YANG BERKOMPETEN ADALAH AEPD
 DAN SANKSINYA LEBIH BESAR DARI €1.000.000
 DAN PELANGGAN ADALAH BADAN HUKUM

15
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

CATATAN: jika otoritas yang berwenang adalah otoritas regional, peraturan yang berlaku akan diikuti.
Berlaku untuk:
a) Badan-badan konstitusional atau badan-badan dengan relevansi konstitusional dan lembaga-lembaga komunitas otonom yang serupa dengannya.
b) Pengadilan.
c) Administrasi Negara Umum, Administrasi komunitas otonom dan entitas yang membentuk Administrasi Lokal.
d) Badan publik dan badan hukum publik terkait atau bergantung pada Administrasi Publik.
e) Otoritas administrasi independen.
f) Bank Spanyol.
g) Korporasi hukum publik ketika tujuan perlakuan terkait dengan pelaksanaan kekuasaan hukum publik.
h) Yayasan sektor publik.
i) Universitas Negeri.
j) Konsorsium.
k) Kelompok parlementer Cortes Generales dan Majelis Legislatif otonom, serta kelompok politik Korporasi Lokal.

Rezim yang  Ketika salah satu dari yang di atas melakukan salah satu pelanggaran, otoritas perlindungan data yang kompeten akan mengeluarkan resolusi yang
berlaku untuk memberi sanksi kepada mereka dengan peringatan, yang akan menetapkan langkah-langkah yang harus diambil untuk menghentikan tindakan tersebut
kategori atau memperbaiki efek dari pelanggaran tersebut.
pengendali atau  Keputusan tersebut akan diberitahukan kepada:
pemroses o Kepada penanggung jawab atau penanggung jawab pengobatan
tertentu o Ke badan yang melapor secara hierarkis, jika berlaku
Seni. 77
o Dan mereka yang terkena dampak yang berstatus pihak yang berkepentingan, jika perlu.
 Sekalipun demikian, APD juga akan mengusulkan dimulainya proses disipliner bila ada cukup bukti untuk melakukannya. Prosedur ini dan sanksinya
akan diterapkan sesuai dengan rezim disipliner atau sanksi yang sesuai.
 Ketika pelanggaran disebabkan oleh OTORITAS DAN MANAJER dan adanya laporan teknis atau rekomendasi untuk perawatan yang belum diakreditasi,
keputusan yang menunjukkan sanksi akan mencakup PERINGATAN dengan judul JABATAN PENGENDALIAN DAN PENANGGUNG JAWAB AKAN DIPESAN
PUBLIKASI DI BOE ATAU LEMBARAN OTONOM YANG SESUAI.
 Keputusan yang dijatuhkan sehubungan dengan langkah-langkah dan tindakan yang disebutkan dalam bagian sebelumnya harus dikomunikasikan
kepada APD.
 Tindakan yang dilakukan dan resolusi akan dikomunikasikan ke OMBUDSMAN atau, jika perlu, ke lembaga serupa dari CCAA.
 Ketika APD adalah AEPD, itu akan menerbitkan resolusi di SITUS WEB-nya dengan pemisahan yang jelas, yang secara tegas menunjukkan identitas orang
yang bertanggung jawab atau bertanggung jawab atas perlakuan yang melanggar.
 Ketika kompetisi sesuai dengan OTORITAS OTONOM: periklanan akan sesuai dengan peraturan spesifiknya.

PRESKRIPSI Jumlah sama dengan atau kurang dari

per tahun
SANKSI €40.000
Seni. 78 Antara €40.0001 dan €300.000 pada 2 tahun
Jumlah lebih besar dari €300.000 pada 3 tahun
 Jangka waktu tersebut akan mulai dihitung sejak hari berikutnya saat putusan yang menjatuhkan sanksi tersebut dapat dilaksanakan atau jangka waktu
untuk mengajukan banding telah lewat.
 Itu akan terganggu oleh inisiasi, dengan sepengetahuan pihak yang berkepentingan, tentang prosedur eksekusi, kembali ke berakhirnya jangka waktu jika

16
 DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI

lumpuh lebih dari 6 BULAN karena alasan yang TIDAK DIANGGAP KEPADA PELANGGARAN.

17