Beruflich Dokumente
Kultur Dokumente
- Ini berlaku untuk pemrosesan data pribadi yang sepenuhnya atau sebagian otomatis, serta pemrosesan data pribadi yang tidak otomatis yang terkandung
atau dimaksudkan untuk disertakan dalam file .
a) Untuk perlakuan yang dikecualikan dari ruang lingkup penerapan Peraturan Perlindungan Data Umum berdasarkan pasal 2.2 (tidak berlaku
untuk pemrosesan data pribadi):
o a) dalam pelaksanaan kegiatan yang tidak termasuk dalam ruang lingkup penerapan hukum Serikat. Dalam hal ini, akan diatur oleh
undang-undang khusus dan tambahan oleh apa yang ditetapkan dalam ET dan LO ini. Perawatan yang dilakukan adalah dalam situasi
BIDANG ini:
PENERAPAN Di bawah LO rezim pemilihan umum
HUKUM I Di bidang lembaga pemasyarakatan
SAMPAI Mereka berasal dari Catatan Sipil, Properti dan Komersial
DENGAN IX o b) oleh Negara Anggota ketika mereka melakukan kegiatan yang termasuk dalam ruang lingkup penerapan Bab 2 Judul V TEU;
dan pasal 89 TIDAK o c) dilakukan oleh orang perseorangan dalam menjalankan kegiatan pribadi atau rumah tangga secara eksklusif;
sampai BERLAKU o d) oleh pihak yang berwenang untuk tujuan pencegahan, penyelidikan, pendeteksian atau penuntutan tindak pidana, atau
dengan 94 pelaksanaan sanksi pidana , termasuk perlindungan terhadap ancaman keamanan publik dan pencegahannya.
, dengan tidak mengurangi ketentuan bagian 3 dan 4 pasal ini.
Seni. 2 b) Pengolahan data orang yang meninggal , dengan tidak mengurangi ketentuan pasal 3.
c) Untuk perawatan tunduk pada peraturan tentang perlindungan bahan rahasia .
Catatan: perlakuan yang dilakukan oleh badan peradilan maupun yang dilakukan dalam kepengurusan Kejaksaan, diatur oleh:
Berdasarkan Peraturan (UE) 216/679
LO saat ini
Tanpa mengurangi ketentuan LO Kejaksaan yang berlaku untuknya
DATA MEREKA Orang-orang yang terkait dengan almarhum karena alasan keluarga atau de facto serta ahli warisnya KECUALI ketika almarhum secara
ORANG DAPAT tegas melarangnya atau begitu ditetapkan oleh undang-undang. Larangan tersebut tidak akan mempengaruhi hak ahli waris untuk
YANG MENGAKSES, mengakses data patrimonial almarhum.
MENINGGAL MEMPERBAIKI Orang atau lembaga yang secara tegas ditunjuk oleh almarhum untuk itu. Melalui Keputusan Kerajaan: persyaratan dan ketentuan untuk
Seni. 3 ATAU membuktikan validitas dan validitas mandat atau instruksi ini, dan, jika sesuai, pendaftarannya.
MENGHAPUS
MINOR Kekuasaan ini juga dapat dilaksanakan oleh perwakilan hukum mereka, atau dalam kerangka kekuasaan mereka, oleh Jaksa Penuntut
Umum, yang dapat bertindak ex officio atau atas permintaan orang perseorangan atau hukum yang berkepentingan.
1
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
Mereka tunduk pada kewajiban ini bahkan ketika hubungan obligor dengan penanggung jawab atau penanggung jawab pengobatan telah berakhir:
TUGAS o Pengontrol data
KERAHASIAAN
o Mereka yang bertanggung jawab atas pengobatan
Seni. 5
o Serta semua orang yang ikut campur dalam setiap fase itu.
Ini adalah setiap ekspresi dari kehendak BEBAS, KHUSUS, INFORMASI DAN INEQUIVOUS dimana pemrosesan data pribadi tentang Anda diterima, baik
PERSETUJUAN DARI
dengan pernyataan atau tindakan afirmatif yang jelas.
YANG
Jika untuk tujuan pluralitas, perlu untuk menyatakan secara khusus dan tegas bahwa itu diberikan untuk semuanya.
TERPENGARUH
Pelaksanaan kontrak tidak dapat dilakukan dengan tunduk pada fakta bahwa pihak yang terpengaruh menyetujui pemrosesan data pribadi untuk
Seni. 6
tujuan yang tidak terkait dengan pemeliharaan, pengembangan, atau kontrol hubungan kontraktual.
Jika anak di bawah umur UMUR DI ATAS 14 TAHUN, kecuali jika undang-undang mengharuskan bantuan dari pemegang kekuasaan orang tua atau
PERSETUJUAN DI
perwalian untuk merayakan perbuatan hukum atau bisnis di mana persetujuan untuk perawatan diperoleh.
BAWAH UMUR
Jika Anda BERUSIA DI BAWAH 14 TAHUN: persetujuan hanya akan sah jika pemegang otoritas orang tua atau perwalian dicatat, dengan ruang lingkup
Pasal 7
yang ditentukan.
Pemrosesan data Untuk kepatuhan terhadap aturan HUKUM ATAU PERATURAN DENGAN Pangkat HUKUM, yang juga dapat memberlakukan ketentuan khusus pada
karena kewajiban perlakuan, seperti tindakan keamanan tambahan atau lainnya yang ditetapkan dalam Peraturan (UE) 2016/769:
hukum, o nama samaran dan enkripsi data pribadi;
kepentingan publik, o kemampuan untuk menjamin kerahasiaan, integritas, ketersediaan, dan ketahanan permanen dari sistem dan layanan pengobatan;
atau pelaksanaan o kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi dengan cepat jika terjadi insiden fisik atau teknis;
kekuasaan publik o suatu proses verifikasi, evaluasi dan penilaian secara teratur terhadap keefektifan langkah-langkah teknis dan organisasional untuk menjamin
Seni. 8 keamanan pengobatan.
Untuk pemenuhan misi yang dilakukan untuk kepentingan umum atau dalam pelaksanaan kekuasaan publik menurut RE, bila berasal dari kompetensi
dikaitkan dengan norma dengan kekuatan hukum.
2
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
Sekadar persetujuan dari pihak yang terkena dampak tidak akan cukup untuk mencabut larangan pemrosesan data yang tujuan utamanya
adalah untuk mengidentifikasi ideologi, afiliasi serikat pekerja, agama, orientasi seksual, kepercayaan, dan asal ras atau etnis KECUALI,
menurut pasal. 9.2 RE:
a) subjek data memberikan persetujuan eksplisitnya untuk pemrosesan data pribadi tersebut untuk satu atau lebih tujuan yang ditentukan, kecuali
jika Undang-Undang Persatuan atau Negara Anggota menyatakan bahwa larangan tersebut tidak dapat dicabut oleh subjek data;
b) perlakuan tersebut diperlukan untuk pemenuhan kewajiban dan pelaksanaan hak-hak tertentu dari penanggung jawab perlakuan atau pihak
yang berkepentingan di bidang hukum ketenagakerjaan dan jaminan sosial serta perlindungan, sepanjang diperbolehkan oleh Undang-Undang
Persatuan Negara Anggota atau perjanjian bersama sesuai dengan hukum Negara Anggota yang menetapkan jaminan yang memadai untuk
menghormati hak dan kepentingan dasar subjek data;
c) perlakuan tersebut diperlukan untuk melindungi kepentingan vital pihak yang berkepentingan atau orang perseorangan lainnya , dalam hal pihak
yang berkepentingan secara fisik atau hukum tidak mampu memberikan persetujuannya;
d) perlakuan tersebut dilakukan , dalam ruang lingkup kegiatannya yang sah dan dengan jaminan yang semestinya, oleh suatu yayasan, asosiasi atau
organisasi nirlaba lainnya , yang tujuannya adalah politik, filosofis, agama atau serikat pekerja, asalkan perlakuan tersebut merujuk secara
eksklusif kepada anggota saat ini atau sebelumnya dari badan tersebut atau kepada orang yang memelihara kontak rutin dengan mereka
sehubungan dengan tujuan mereka dan asalkan data pribadi tidak dikomunikasikan di luar mereka tanpa persetujuan dari subjek data;
e) perlakuan mengacu pada data pribadi yang secara nyata telah dipublikasikan oleh pihak yang berkepentingan;
f) perlakuan tersebut diperlukan untuk perumusan, pelaksanaan atau pembelaan klaim atau ketika pengadilan bertindak dalam menjalankan fungsi
yudisialnya;
KATEGORI DATA
g) pemrosesan diperlukan untuk alasan kepentingan publik yang esensial , berdasarkan undang-undang Persatuan atau Negara Anggota, yang harus
KHUSUS
proporsional dengan tujuan yang ingin dicapai, pada dasarnya menghormati hak atas perlindungan data dan menetapkan langkah-langkah yang
Seni. 9
memadai dan tepat khusus untuk melindungi kepentingan dan hak dasar pihak yang berkepentingan;
h) perawatan diperlukan untuk tujuan pengobatan pencegahan atau pekerjaan, evaluasi kapasitas kerja pekerja, diagnosis medis, penyediaan
perawatan atau perawatan kesehatan atau sosial, atau pengelolaan sistem dan layanan perawatan kesehatan dan sosial, atas dasar Serikat atau
Negara Anggota hukum atau berdasarkan kontrak dengan profesional perawatan kesehatan ketika perawatan dilakukan oleh subjek profesional
dengan kewajiban kerahasiaan profesional.
i) pemrosesan diperlukan untuk alasan kepentingan publik di bidang kesehatan masyarakat, seperti perlindungan terhadap ancaman kesehatan
lintas batas yang serius, atau untuk memastikan tingkat kualitas dan keamanan yang tinggi dari perawatan kesehatan dan obat-obatan atau alat
kesehatan, atas dasar Persatuan atau undang-undang Negara Anggota yang menetapkan langkah-langkah yang sesuai dan spesifik untuk
melindungi hak dan kebebasan subjek data, khususnya kerahasiaan profesional,
j) pemrosesan diperlukan untuk tujuan pengarsipan untuk kepentingan umum, tujuan penelitian ilmiah atau sejarah atau tujuan statistik , sesuai
dengan Pasal 89(1), berdasarkan undang-undang Negara Kesatuan atau Negara Anggota, yang harus proporsional dengan tujuan yang dikejar,
pada dasarnya menghormati hak atas perlindungan data dan menetapkan tindakan yang sesuai dan spesifik untuk melindungi kepentingan dan
hak dasar pihak yang berkepentingan
CATATAN : perlakuan yang dimaksud dalam huruf g), h) dan i ) art. 9.2. RE berdasarkan Hukum Spanyol harus dilindungi oleh norma dengan kekuatan
hukum, yang dapat menetapkan persyaratan keamanan dan kerahasiaan tambahan. Standar tersebut dapat mencakup pemrosesan data di bidang
KESEHATAN, jika diperlukan oleh pengelolaan sistem dan layanan perawatan kesehatan publik dan swasta, atau pelaksanaan kontrak asuransi di mana
pihak yang terkena dampak adalah salah satu pihak.
PENGOLAHAN DATA Hal itu hanya dapat dilakukan apabila dicakup oleh suatu norma DU, dalam undang-undang ini atau dalam norma lain yang setingkat dengan hukum, di
SIFAT PIDANA bawah pengawasan otoritas publik, kecuali untuk tujuan selain pencegahan, penyidikan, pendeteksian, atau penuntutan. tindak pidana atau
3
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
Seni. 14 RE:
1 . Ketika data pribadi belum diperoleh dari pihak yang berkepentingan, pengontrol data akan memberikan informasi berikut
a) identitas dan perincian kontak penanggung jawab dan, jika sesuai, perwakilan mereka;
b) perincian kontak petugas perlindungan data, jika berlaku;
c) tujuan perlakuan yang ditujukan untuk data pribadi tersebut, serta dasar hukum perlakuan tersebut;
d) kategori data pribadi yang bersangkutan;
e) penerima atau kategori penerima data pribadi, jika berlaku;
f) jika berlaku, niat pengontrol untuk mentransfer data pribadi ke penerima di negara ketiga atau organisasi internasional dan ada atau
4
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
tidaknya keputusan yang memadai oleh Komisi, atau, dalam hal transfer yang disebutkan dalam pasal 46 atau 47 atau pasal 49, ayat 1, sub-
paragraf kedua, mengacu pada jaminan yang memadai atau layak dan sarana untuk memperoleh salinannya atau fakta bahwa jaminan itu
telah diberikan.
2. Selain informasi yang disebutkan di bagian 1, pengontrol data akan memberikan pihak yang berkepentingan informasi berikut yang
diperlukan untuk menjamin pemrosesan data yang adil dan transparan sehubungan dengan pihak yang berkepentingan:
a) periode penyimpanan data pribadi atau, jika tidak memungkinkan, kriteria yang digunakan untuk menentukan periode ini;
b) ketika perlakuan didasarkan pada pasal 6, ayat 1, huruf f), kepentingan sah dari pengontrol atau pihak ketiga
c) adanya hak untuk meminta pengontrol data mengakses data pribadi yang berkaitan dengan pihak yang berkepentingan, dan perbaikan atau
penghapusannya, atau pembatasan perlakuannya, dan untuk menentang perlakuan tersebut, serta hak atas portabilitas data ;
d) dalam hal perlakuan berdasarkan pasal 6 ayat 1 huruf a), atau pasal 9 ayat 2 huruf a), adanya hak untuk menarik persetujuan sewaktu-
waktu, tanpa mempengaruhi keabsahan perlakuan berdasarkan persetujuan sebelum penarikannya;
e) hak untuk mengajukan klaim kepada otoritas kontrol;
f) sumber dari mana data pribadi berasal dan, jika sesuai, jika berasal dari sumber yang dapat diakses publik;
g) adanya keputusan otomatis, termasuk pembuatan profil, sebagaimana dimaksud dalam pasal 22, ayat 1 dan 4, dan, sekurang-kurangnya
dalam kasus seperti itu, informasi penting tentang logika yang diterapkan, serta konsekuensi penting dan yang diharapkan dari perlakuan
tersebut untuk pihak yang berkepentingan.
4. Ketika pengontrol data merencanakan pemrosesan lebih lanjut atas data pribadi untuk tujuan selain tujuan yang diperolehnya, pengontrol
data akan memberikan subjek data, sebelum pemrosesan lebih lanjut tersebut, informasi tentang tujuan lain tersebut dan informasi relevan
lainnya yang ditunjukkan dalam paragraf 2.
5
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
Hak-hak yang diakui dalam pasal 15 sampai dengan 22 RE dapat dilaksanakan secara LANGSUNG ATAU MELALUI
PERWAKILAN HUKUM ATAU SUKARELA.
Orang yang bertanggung jawab atas pengobatan wajib memberi tahu pihak yang terkena dampak tentang CARA PEMBUANGANNYA
untuk menggunakan hak-hak yang sesuai dengannya, yang harus mudah diakses.
Pelaksanaan hak tidak boleh ditolak karena satu-satunya alasan bahwa pihak yang terkena dampak memilih cara lain.
Penanggung jawab dapat memproses, atas nama penanggung jawab, permintaan untuk menggunakan hak mereka yang dibuat oleh
mereka yang terkena dampak jika ditetapkan dalam kontrak atau tindakan hukum yang mengikat mereka.
Bukti kepatuhan terhadap kewajiban untuk menanggapi permintaan itu akan menjadi tanggung jawab orang yang bertanggung
jawab.
Jika undang-undang yang berlaku untuk perlakuan tertentu menetapkan rezim khusus yang memengaruhi pelaksanaan hak yang
diatur dalam bab III RE (hak pihak yang berkepentingan), ketentuan tersebut akan diikuti.
Dalam hal apa pun, pemegang otoritas orang tua dapat menggunakan atas nama dan atas nama ANAK-ANAK DIBAWAH UMUR 14
TAHUN hak akses, perbaikan, pembatalan, penentangan atau lainnya yang sesuai dengan mereka menurut undang-undang ini.
PELAKSANAAN HAK KETENTUAN Tindakan yang dilakukan oleh penanggung jawab untuk memenuhi permintaan untuk menggunakan hak-hak ini akan GRATIS ,
Pasal 12 UMUM dengan tidak mengurangi ketentuan seni. 12.5 dan 15.3 RE dan bagian 3 dan 4 pasal 13 undang-undang ini
Pasal 12.5. Ketika permintaan secara nyata tidak berdasar atau berlebihan , terutama karena sifatnya yang berulang, pengontrol data
dapat:
a) membebankan biaya yang wajar berdasarkan biaya administrasi yang dikeluarkan untuk memberikan informasi atau komunikasi atau
melakukan tindakan yang diminta, atau
b) menolak untuk bertindak atas permintaan tersebut.
Pengontrol data akan menanggung beban untuk membuktikan permintaan yang secara nyata tidak berdasar atau berlebihan.
Pasal 15.3. Pengontrol akan memberikan salinan data pribadi yang sedang diproses. Penanggung jawab dapat menerima biaya yang wajar
berdasarkan biaya administrasi untuk salinan lain yang diminta oleh pihak yang berkepentingan. Ketika pihak yang berkepentingan
mengajukan permintaan melalui sarana elektronik, dan kecuali pihak yang berkepentingan meminta agar disediakan dengan cara lain,
informasi akan diberikan dalam format elektronik yang biasa digunakan.
6
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
2. Ketika data pribadi dipindahkan ke negara ketiga atau ke organisasi internasional, subjek data berhak untuk diberi tahu tentang jaminan yang sesuai
berdasarkan Pasal 46 tentang pemindahan tersebut.
3. Pengontrol akan memberikan salinan data pribadi yang sedang diproses. Penanggung jawab dapat menerima biaya yang wajar berdasarkan biaya administrasi
untuk salinan lain yang diminta oleh pihak yang berkepentingan. Ketika pihak yang berkepentingan mengajukan permintaan melalui sarana elektronik, dan
kecuali pihak yang berkepentingan meminta agar disediakan dengan cara lain, informasi akan diberikan dalam format elektronik yang umum digunakan.
4. Hak untuk memperoleh salinan yang disebutkan dalam bagian 3 tidak boleh merugikan hak dan kebebasan orang lain.
Ketika penanggung jawab memproses sejumlah besar data yang terkait dengan pihak yang terpengaruh dan yang terakhir tidak menentukan data apa
itu, mereka dapat meminta informasi yang mengindikasikannya sebelum memberikannya.
Ini akan dipahami sebagai dikabulkan jika orang yang bertanggung jawab memberi pihak yang terkena dampak sistem akses jarak jauh, langsung dan
aman ke data pribadi yang menjamin, secara permanen, akses ke keseluruhannya. Komunikasi tentang cara mengakses akan cukup untuk menjawab
permintaan. Namun, pihak yang berkepentingan dapat meminta informasi dasar yang tidak disertakan dalam sistem akses jarak jauh.
Pelaksanaan hak lebih dari satu kali selama jangka waktu 6 bulan akan dianggap BERULANG . Dalam kasus ini, biaya dapat dibebankan atau
penolakan untuk bertindak atas permintaan tersebut.
Permintaan akan dianggap BERLEBIHAN ketika pihak yang terkena dampak memilih cara selain dari yang ditawarkan yang memerlukan biaya yang
tidak proporsional . Pihak yang terkena dampak akan menanggung kelebihan biaya yang harus dikeluarkan. Dalam hal ini, orang yang bertanggung
jawab hanya akan diminta untuk melakukannya tanpa penundaan yang tidak semestinya .
Pihak yang terpengaruh harus menunjukkan data apa yang dimaksud dan koreksi yang harus dilakukan.
HAK REKTIFIKASI Itu harus menyertai, bila perlu, dokumentasi pendukung tentang ketidakakuratan atau ketidaklengkapan data.
Seni. 14 Art.16 RE: tanpa penundaan yang tidak semestinya. Dengan mempertimbangkan tujuan pemrosesan, subjek data berhak untuk melengkapi data pribadi
yang tidak lengkap, termasuk melalui deklarasi tambahan.
HAK SUPPRESI Ini akan dilaksanakan sebagaimana ditetapkan dalam seni. 17 RE:
("hak untuk 1. Pihak yang berkepentingan berhak untuk mendapatkan tanpa penundaan yang tidak semestinya dari orang yang bertanggung jawab untuk memproses
dilupakan") penghapusan data pribadi yang menjadi perhatiannya, yang berkewajiban untuk menghapus data pribadi tanpa penundaan yang tidak semestinya ketika salah
Seni. 15 satu dari keadaan berikut terjadi :
a) data pribadi tidak lagi diperlukan sehubungan dengan tujuan pengumpulan atau pemrosesannya;
b) subjek data mencabut persetujuan yang menjadi dasar pemrosesan sesuai dengan Pasal 6 ayat 1 huruf a) atau Pasal 9 ayat 2 huruf a), dan ini tidak didasarkan
pada dasar hukum lain;
c) pihak yang berkepentingan menentang perlakuan tersebut sesuai dengan:
pasal 21, bagian 1: pihak yang berkepentingan akan memiliki hak untuk menentang setiap saat, untuk alasan yang berkaitan dengan situasi khusus
mereka, yang mana data pribadi mengenai mereka tunduk pada ketentuan pasal 6.1 paragraf
e) pemrosesan diperlukan untuk pemenuhan tugas yang dilakukan untuk kepentingan umum atau dalam pelaksanaan kekuasaan publik yang
berada di tangan pengawas
7
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
f) perlakuan tersebut diperlukan untuk memenuhi kepentingan yang sah yang dilakukan oleh penanggung jawab atau oleh pihak ketiga, dengan
ketentuan bahwa kepentingan atau hak dan kebebasan mendasar dari pihak yang berkepentingan yang memerlukan perlindungan data pribadi
tidak berlaku, khususnya, ketika pihak yang berkepentingan adalah anak. Kecuali bila perlakuan tersebut dilakukan oleh otoritas publik dalam
menjalankan fungsinya
termasuk pembuatan profil berdasarkan ketentuan tersebut.
Penanggung jawab akan berhenti memproses data KECUALI jika terbukti alasan sah yang meyakinkan yang mengalahkan kepentingan, hak, dan
kebebasan pihak yang berkepentingan, atau untuk perumusan, pelaksanaan, atau pembelaan klaim.
Pasal 21 ayat 2: bila pengolahan untuk tujuan pemasaran langsung, pihak yang berkepentingan berhak untuk menolak setiap saat, termasuk pembuatan
profil. Dalam kasus ini, penanggung jawab dapat menyimpan data identifikasi pihak yang terkena dampak yang diperlukan untuk mencegah perawatan di masa
mendatang untuk tujuan pemasaran langsung .
d) data pribadi telah diproses secara tidak sah ;
e) data pribadi harus dihapus untuk mematuhi kewajiban hukum yang ditetapkan dalam Hukum Perhimpunan atau Negara Anggota yang berlaku untuk
pengontrol data;
f) data pribadi telah diperoleh sehubungan dengan penawaran layanan masyarakat informasi yang disebutkan dalam pasal 8 ayat 1 (pemrosesan data pribadi
seorang anak dianggap sah ketika anak tersebut berusia sekurang-kurangnya 16 tahun . Jika anak itu belum berumur 16 tahun, maka baru dianggap sah bila
persetujuan itu diberikan atau disahkan oleh pemegang kekuasaan orang tua atau perwalian atas anak itu, dan hanya sebatas itu diberikan atau disahkan .
Negara-negara Anggota dapat menetapkan berdasarkan undang-undang usia yang lebih rendah untuk tujuan tersebut, asalkan tidak kurang dari 13 tahun .
PENTING.
2. Ketika Anda telah mempublikasikan data pribadi dan diwajibkan, berdasarkan ketentuan ayat 1, untuk menghapus data tersebut , pengontrol data,
dengan mempertimbangkan teknologi yang tersedia dan biaya penerapannya, akan mengambil langkah-langkah yang wajar, termasuk langkah-langkah teknis,
dengan maksud untuk memberi tahu mereka yang bertanggung jawab untuk memproses data pribadi tentang permintaan pihak yang berkepentingan untuk
menghapus tautan apa pun ke data pribadi tersebut, atau salinan atau replikanya.
3. Bagian 1 dan 2 TIDAK AKAN BERLAKU jika pengobatan diperlukan :
a) untuk menggunakan hak atas kebebasan berekspresi dan informasi ;
b) untuk kepatuhan dengan kewajiban hukum yang memerlukan pemrosesan data yang diberlakukan oleh Persatuan atau Hukum Negara Anggota yang berlaku
untuk pengontrol data, atau untuk pemenuhan misi yang dilakukan untuk kepentingan publik atau dalam pelaksanaan kekuasaan publik yang diberikan kepada
orang tersebut bertanggung jawab;
c) karena alasan kepentingan umum di bidang kesehatan masyarakat sesuai dengan Pasal 9 ayat 2 huruf h) dan i) dan ayat 3;
d) untuk tujuan pengarsipan untuk kepentingan umum , untuk tujuan penelitian ilmiah atau sejarah atau untuk tujuan statistik, sesuai dengan pasal 89, ayat 1,
sejauh hak yang disebutkan dalam ayat 1 dapat membuat tidak mungkin atau secara serius menghambat pencapaian tujuan dari pengolahan tersebut, atau
e) untuk perumusan, pelaksanaan atau pembelaan klaim .
8
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
penggunaannya ;
c) penanggung jawab tidak lagi membutuhkan data pribadi untuk tujuan perawatan, tetapi pihak yang berkepentingan membutuhkannya untuk perumusan,
pelaksanaan atau pembelaan klaim;
d) pihak yang berkepentingan telah menentang pemrosesan berdasarkan pasal 21, ayat 1, sementara diverifikasi apakah alasan yang sah dari pengontrol berlaku
atas alasan pihak yang berkepentingan.
2. Ketika pemrosesan data pribadi telah dibatasi berdasarkan bagian 1, data tersebut hanya dapat diproses, dengan pengecualian penyimpanannya,
dengan persetujuan pihak yang berkepentingan atau untuk perumusan, pelaksanaan atau pembelaan klaim, atau dengan maksud untuk melindungi
hak-hak perseorangan atau badan hukum lain atau untuk alasan kepentingan publik yang penting dari Perhimpunan atau Negara Anggota tertentu.
3. Setiap pihak yang berkepentingan yang telah memperoleh pembatasan perlakuan sesuai dengan bagian 1 akan diberitahukan oleh penanggung
jawab sebelum pencabutan pembatasan tersebut.
Fakta bahwa perawatan terbatas harus dinyatakan dengan jelas dalam sistem informasi penanggung jawab.
1. Pihak yang berkepentingan memiliki hak untuk menerima data pribadi yang berkaitan dengan mereka , yang telah mereka berikan kepada pengontrol
data, dalam format terstruktur, umum digunakan dan dapat dibaca mesin, dan mengirimkannya ke pengontrol data lain tanpa pengontrol data mencegah
mereka melakukannya, yang akan memberi mereka, ketika:
a) pemrosesan didasarkan pada persetujuan atau kontrak
b) perawatan dilakukan dengan cara otomatis.
HAK ATAS
2. Saat menggunakan hak mereka atas portabilitas data, pihak yang berkepentingan akan memiliki hak untuk mengirimkan data pribadi secara langsung
PORTABILITAS
dari penanggung jawab ke penanggung jawab jika memungkinkan secara teknis.
Seni. 17
3. Pelaksanaan hak yang disebutkan dalam bagian 1 pasal ini tidak akan mengurangi pasal 17. Hak tersebut tidak berlaku untuk pemrosesan yang diperlukan
untuk pemenuhan misi yang dilakukan demi kepentingan publik atau dalam pelaksanaan kekuasaan publik yang berada di tangan pengawas.
4. Hak yang disebutkan dalam ayat 1 tidak boleh merugikan hak dan kebebasan orang lain.
HAK OPOSISI Ini akan dilaksanakan sesuai dengan pasal 21 dan 22 RE.
Seni. 18
Pasal 21 Hak menentang
1. Pihak yang berkepentingan berhak untuk setiap saat menolak, karena alasan yang berkaitan dengan situasi khusus mereka, terhadap pemrosesan data
pribadi mengenai mereka, termasuk pembuatan profil berdasarkan ketentuan tersebut. Orang yang bertanggung jawab atas perlakuan akan berhenti
memproses data pribadi, kecuali jika hal itu membuktikan alasan sah yang meyakinkan untuk perlakuan yang mengalahkan kepentingan, hak, dan kebebasan
pihak yang berkepentingan, atau untuk perumusan, pelaksanaan, atau pembelaan klaim.
2. Apabila pemrosesan data pribadi ditujukan untuk pemasaran langsung , pihak yang berkepentingan berhak untuk setiap saat menentang pemrosesan data
9
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
pribadi mengenai dirinya, termasuk pembuatan profil sejauh terkait dengan pemasaran tersebut. .
3. Ketika pihak yang berkepentingan menentang pemrosesan untuk tujuan pemasaran langsung, data pribadi tidak akan lagi diproses untuk tujuan tersebut.
4. Selambat-lambatnya pada saat komunikasi pertama dengan pihak yang berkepentingan, hak yang disebutkan dalam ayat 1 dan 2 akan disebutkan secara
tegas kepada pihak yang berkepentingan dan akan disampaikan secara jelas dan terpisah dari informasi lainnya.
5. Dalam konteks penggunaan layanan masyarakat informasi, dan terlepas dari ketentuan Petunjuk 2002/58/EC, pihak yang berkepentingan dapat
menggunakan haknya untuk menentang dengan cara otomatis yang menerapkan spesifikasi teknis.
6. Ketika data pribadi diproses untuk tujuan penelitian ilmiah atau sejarah atau tujuan statistik sesuai dengan Pasal 89, ayat 1, subjek data berhak, karena
alasan yang berkaitan dengan situasi khususnya, untuk menolak pemrosesan data pribadi yang diberikan kepadanya, yang mereka pedulikan, kecuali jika
diperlukan untuk pemenuhan misi yang dilakukan karena alasan kepentingan publik.
Pasal 22 Keputusan individu otomatis, termasuk pembuatan profil
1. Setiap pihak yang berkepentingan berhak untuk tidak tunduk pada keputusan yang semata-mata didasarkan pada pemrosesan otomatis, termasuk
pembuatan profil, yang menghasilkan efek hukum padanya atau secara signifikan memengaruhinya dengan cara serupa.
2. Ayat 1 tidak berlaku jika keputusan:
a) diperlukan untuk kesimpulan atau pelaksanaan kontrak antara subjek data dan pengontrol data;
b) disahkan oleh undang-undang Persatuan atau Negara Anggota yang berlaku untuk pengontrol dan yang juga menetapkan tindakan yang tepat untuk
melindungi hak dan kebebasan serta kepentingan sah subjek data, atau
c) didasarkan pada persetujuan eksplisit dari pihak yang berkepentingan.
3. Dalam kasus sebagaimana dimaksud dalam ayat 2 huruf a) dan c), pengontrol data harus mengambil tindakan yang tepat untuk melindungi hak dan
kebebasan serta kepentingan sah pihak yang berkepentingan, setidaknya hak untuk mendapatkan campur tangan manusia atas bagian dari subjek
data.bertanggung jawab, untuk mengungkapkan sudut pandang mereka dan menantang keputusan.
4. Keputusan sebagaimana dimaksud dalam ayat 2 tidak boleh didasarkan pada kategori khusus data pribadi sebagaimana dimaksud dalam Pasal 9 ayat 1,
kecuali Pasal 9 ayat 2 huruf a) atau g) berlaku dan telah diambil tindakan yang tepat untuk melindungi hak dan kebebasan serta kepentingan sah subjek data.
10
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
PELANGGARAN Dari Untuk persetujuan anak di bawah umur sehubungan dengan layanan masyarakat informasi. Seni. 8
SERIUS- kewajiban Pengobatan yang tidak lagi memerlukan identifikasi. Seni. 11
PRESCRIB penanggung Perlindungan data dengan desain dan secara default. Seni. 25
SETELAH 2 jawab dan Fungsi Petugas Perlindungan Data: Pasal 39
TAHUN penanggung o Menginformasikan dan menasihati penanggung jawab atau penanggung jawab pengobatan dan karyawan yang
11
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
Seni. 73 menanganinya.
o Awasi kepatuhan terhadap ketentuan RE ini dan ketentuan perlindungan data UE lainnya
DENDA o Memberi saran tentang penilaian dampak perlindungan data dan memantau penerapannya
ADMINISTRATIF o Bekerja sama dengan otoritas kontrol.
maksimal o Bertindak sebagai titik kontak otoritas kontrol untuk masalah yang terkait dengan perlakuan, termasuk konsultasi
10.000.000 atau
sebelum penerapan perlakuan yang akan dilakukan oleh penanggung jawab kepada CA ketika penilaian dampak
jika perusahaan
menunjukkan bahwa perlakuan akan menimbulkan risiko tinggi jika langkah-langkah tidak diambil untuk
dengan jumlah
yang setara dengan menguranginya.
maksimal 2% dari Untuk Sertifikasi. Pasal 42
total volume bisnis o Ini akan bersifat sukarela dan tersedia melalui proses yang transparan
global tahunan o Ini akan dikeluarkan oleh:
tahun sebelumnya, jawab disebut Oleh badan sertifikasi. Seni. 43. Mereka akan diakreditasi oleh:
MEMILIH JUMLAH - Otoritas pengawas
TERTINGGI - Atau badan akreditasi nasional
Bagian 4 - atau untuk keduanya
Atau oleh otoritas kontrol yang kompeten
Atau oleh Panitia. Jika kriteria disetujui oleh Komite, ini dapat menghasilkan sertifikasi umum: SEAL
PERLINDUNGAN DATA EROPA.
o Ini akan dikeluarkan untuk manajer atau manajer untuk PERIODE MAKSIMUM 3 TAHUN dan dapat diperbarui dalam
kondisi yang sama jika kriteria yang relevan masih terpenuhi.
o COMMITTEE akan memasukkan ke dalam register semua mekanisme sertifikasi dan segel dan tanda perlindungan
data dan akan membuatnya tersedia untuk umum dengan cara yang sesuai.
12
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
diperlukan untuk setiap tujuan spesifik dari perlakuan yang akan diproses.
f) Kurangnya penerapan langkah-langkah teknis dan organisasional yang sesuai untuk menjamin tingkat keamanan yang sesuai dengan risiko
perlakuan, dalam ketentuan yang disyaratkan oleh pasal 32.1 Regulasi (UE) 2016/679 .
g) Pelanggaran, sebagai akibat dari kurangnya uji tuntas, tindakan teknis dan organisasi yang telah dilaksanakan.
h) Kegagalan untuk memenuhi kewajiban untuk menunjuk perwakilan pengontrol atau pemroses yang tidak didirikan di wilayah Uni Eropa.
i) Kurangnya perhatian oleh perwakilan di Uni terhadap penanggung jawab atau penanggung jawab atas perlakuan atas permintaan yang dibuat oleh
otoritas perlindungan data atau oleh pihak yang terkena dampak.
j) Kontrak oleh penanggung jawab perawatan terhadap penanggung jawab perawatan yang tidak menawarkan jaminan yang memadai untuk
menerapkan langkah-langkah teknis dan organisasi yang tepat sesuai dengan ketentuan Bab IV Regulasi (UE) 2016/679 .
k) Mempercayakan pemrosesan data kepada pihak ketiga tanpa formalisasi kontrak atau tindakan hukum tertulis lainnya dengan konten yang
diperlukan.
l) Kontrak oleh orang yang bertanggung jawab atas perlakuan manajer lain tanpa izin sebelumnya dari orang yang bertanggung jawab, atau tanpa
memberi tahu dia tentang perubahan yang dihasilkan dalam subkontrak ketika mereka diharuskan secara hukum.
m) Pelanggaran oleh orang yang bertanggung jawab atas perawatan, saat menentukan tujuan dan cara perawatan.
n) Tidak memiliki catatan kegiatan pengolahan.
ñ) Jangan memberikan kepada otoritas perlindungan data yang telah memintanya, catatan aktivitas pemrosesan.
o) Tidak bekerja sama dengan otoritas kontrol dalam pelaksanaan fungsinya.
p) Pengolahan data pribadi tanpa melakukan penilaian terlebih dahulu terhadap unsur-unsur yang disebutkan dalam pasal 28 undang-undang organik
ini.
q) Pelanggaran kewajiban penanggung jawab perawatan untuk memberi tahu penanggung jawab perawatan tentang pelanggaran keamanan yang
diketahuinya.
r) Kegagalan untuk memberi tahu otoritas perlindungan data tentang pelanggaran keamanan data pribadi.
s) Kegagalan untuk memberi tahu subjek data tentang pelanggaran keamanan data jika pengontrol data telah diminta oleh otoritas perlindungan data
untuk melaksanakan pemberitahuan tersebut
t) Pemrosesan data pribadi tanpa melakukan evaluasi dampak operasi pemrosesan terhadap perlindungan data pribadi.
u) Pemrosesan data pribadi tanpa sebelumnya berkonsultasi dengan otoritas perlindungan data dalam kasus di mana konsultasi tersebut bersifat
wajib.
v) Kegagalan untuk memenuhi kewajiban untuk menunjuk petugas perlindungan data ketika pengangkatannya diperlukan.
w) Tidak memungkinkan partisipasi efektif petugas perlindungan data dalam semua hal yang berkaitan dengan perlindungan data pribadi, tidak
mendukungnya atau mengganggu pelaksanaan tugasnya.
x) Penggunaan segel atau sertifikasi perlindungan data yang belum diberikan oleh lembaga sertifikasi yang terakreditasi atau dalam hal validitasnya
telah berakhir.
y) Memperoleh akreditasi sebagai lembaga sertifikasi dengan menyampaikan informasi yang tidak akurat tentang pemenuhan persyaratan yang
dipersyaratkan.
z) Pelaksanaan fungsi-fungsi yang dicadangkan untuk lembaga sertifikasi, tanpa harus terakreditasi sebagaimana mestinya.
aa) Ketidakpatuhan oleh badan sertifikasi terhadap prinsip dan kewajiban.
ab) Pelaksanaan fungsi-fungsi yang diperuntukkan bagi badan-badan untuk pengawasan kode etik tanpa sebelumnya diakreditasi oleh otoritas
perlindungan data yang kompeten.
ac) Kurangnya adopsi oleh badan pengawas terakreditasi dari kode etik tindakan yang tepat dalam hal telah terjadi pelanggaran kode etik
13
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
PELANGGARAN
KECIL Pelanggaran-pelanggaran lainnya yang bersifat HANYA FORMAL dari pasal-pasal yang disebutkan dalam bagian 4 dan 5 Seni. 83 RE dan,
RESEP SATU khususnya, berikut ini:
TAHUN
a) Kegagalan untuk memberikan semua informasi yang diperlukan.
Seni. 74 b) Persyaratan untuk membayar biaya untuk memberikan subjek data informasi yang diperlukan atau untuk memenuhi permintaan pelaksanaan hak subjek
data, jika diizinkan oleh pasal 12.5, jika jumlahnya melebihi jumlah biaya yang dikeluarkan untuk memfasilitasi informasi atau melakukan tindakan yang
diminta
c) Kegagalan untuk menanggapi permintaan untuk menggunakan hak yang ditetapkan dalam pasal 15 sampai 22 Peraturan (EU) 2016/679 , kecuali
ketentuan pasal 72.1.k) hukum organik ini berlaku.
d) Tidak membahas hak akses, perbaikan, penghapusan, pembatasan perlakuan atau portabilitas data dalam perlakuan yang tidak memerlukan identifikasi
pihak yang terkena dampak, ketika yang terakhir, untuk pelaksanaan hak tersebut, telah memberikan informasi tambahan yang mengizinkan identifikasi
mereka, kecuali berlaku ketentuan pasal 73 c) hukum organik ini.
e) Kegagalan untuk memenuhi kewajiban pemberitahuan mengenai pembetulan atau penghapusan data pribadi atau pembatasan perlakuan yang diperlukan.
f) Kegagalan untuk memenuhi kewajiban untuk menginformasikan subjek data, ketika diminta, dari penerima yang kepadanya data pribadi yang diperbaiki
atau dihapus atau yang pemrosesannya telah dibatasi telah dikomunikasikan.
g) Kegagalan untuk memenuhi kewajiban untuk menghapus data yang merujuk pada orang yang telah meninggal bila diperlukan.
h) Kurangnya formalisasi oleh penanggung jawab bersama untuk perlakuan perjanjian yang menentukan kewajiban, fungsi dan tanggung jawab masing-
masing sehubungan dengan pemrosesan data pribadi dan hubungannya dengan pihak yang terkena dampak atau ketidaktepatan dalam menentukannya.
i) Tidak menyediakan bagi mereka yang terkena dampak aspek-aspek penting dari kesepakatan yang diformalkan antara pihak yang bertanggung jawab atas
pengobatan.
j) Kegagalan untuk mematuhi kewajiban penanggung jawab perawatan untuk memberi tahu penanggung jawab perawatan tentang kemungkinan pelanggaran
karena instruksi yang diterima darinya.
k) Pelanggaran oleh penanggung jawab atas ketentuan yang ditentukan dalam kontrak atau tindakan hukum yang mengatur perlakuan atau perintah dari
penanggung jawab perlakuan, kecuali ia diwajibkan secara hukum untuk melakukannya atau dalam hal di mana hal itu diperlukan untuk menghindari
pelanggaran undang-undang tentang perlindungan data dan penanggung jawab atau penanggung jawab perawatan telah diberitahu tentang hal ini.
l) Memiliki catatan kegiatan pemrosesan yang tidak mencakup semua informasi yang diperlukan.
m) Pemberitahuan yang tidak lengkap, terlambat atau cacat kepada otoritas perlindungan data atas informasi yang terkait dengan pelanggaran keamanan
data pribadi.
n) Kegagalan untuk mematuhi kewajiban untuk mendokumentasikan setiap pelanggaran keamanan.
ñ) Kegagalan untuk memberi tahu pihak yang terkena dampak tentang pelanggaran keamanan data yang menimbulkan risiko tinggi terhadap hak dan
kebebasan mereka yang terkena dampak.
o) Memberikan informasi yang tidak akurat kepada Otoritas Perlindungan Data, dalam kasus di mana pengontrol data harus mengajukan konsultasi
sebelumnya.
p) Tidak memublikasikan detail kontak petugas perlindungan data, atau tidak mengomunikasikannya kepada otoritas perlindungan data, saat penunjukan
mereka diperlukan.
q) Ketidakpatuhan oleh lembaga sertifikasi terhadap kewajiban untuk menginformasikan otoritas perlindungan data tentang penerbitan, pembaruan, atau
pencabutan sertifikasi.
r) Ketidakpatuhan oleh badan pengawas terakreditasi dari kode etik kewajiban untuk memberi tahu otoritas perlindungan data tentang langkah-langkah yang
14
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
15
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
CATATAN: jika otoritas yang berwenang adalah otoritas regional, peraturan yang berlaku akan diikuti.
Berlaku untuk:
a) Badan-badan konstitusional atau badan-badan dengan relevansi konstitusional dan lembaga-lembaga komunitas otonom yang serupa dengannya.
b) Pengadilan.
c) Administrasi Negara Umum, Administrasi komunitas otonom dan entitas yang membentuk Administrasi Lokal.
d) Badan publik dan badan hukum publik terkait atau bergantung pada Administrasi Publik.
e) Otoritas administrasi independen.
f) Bank Spanyol.
g) Korporasi hukum publik ketika tujuan perlakuan terkait dengan pelaksanaan kekuasaan hukum publik.
h) Yayasan sektor publik.
i) Universitas Negeri.
j) Konsorsium.
k) Kelompok parlementer Cortes Generales dan Majelis Legislatif otonom, serta kelompok politik Korporasi Lokal.
Rezim yang Ketika salah satu dari yang di atas melakukan salah satu pelanggaran, otoritas perlindungan data yang kompeten akan mengeluarkan resolusi yang
berlaku untuk memberi sanksi kepada mereka dengan peringatan, yang akan menetapkan langkah-langkah yang harus diambil untuk menghentikan tindakan tersebut
kategori atau memperbaiki efek dari pelanggaran tersebut.
pengendali atau Keputusan tersebut akan diberitahukan kepada:
pemroses o Kepada penanggung jawab atau penanggung jawab pengobatan
tertentu o Ke badan yang melapor secara hierarkis, jika berlaku
Seni. 77
o Dan mereka yang terkena dampak yang berstatus pihak yang berkepentingan, jika perlu.
Sekalipun demikian, APD juga akan mengusulkan dimulainya proses disipliner bila ada cukup bukti untuk melakukannya. Prosedur ini dan sanksinya
akan diterapkan sesuai dengan rezim disipliner atau sanksi yang sesuai.
Ketika pelanggaran disebabkan oleh OTORITAS DAN MANAJER dan adanya laporan teknis atau rekomendasi untuk perawatan yang belum diakreditasi,
keputusan yang menunjukkan sanksi akan mencakup PERINGATAN dengan judul JABATAN PENGENDALIAN DAN PENANGGUNG JAWAB AKAN DIPESAN
PUBLIKASI DI BOE ATAU LEMBARAN OTONOM YANG SESUAI.
Keputusan yang dijatuhkan sehubungan dengan langkah-langkah dan tindakan yang disebutkan dalam bagian sebelumnya harus dikomunikasikan
kepada APD.
Tindakan yang dilakukan dan resolusi akan dikomunikasikan ke OMBUDSMAN atau, jika perlu, ke lembaga serupa dari CCAA.
Ketika APD adalah AEPD, itu akan menerbitkan resolusi di SITUS WEB-nya dengan pemisahan yang jelas, yang secara tegas menunjukkan identitas orang
yang bertanggung jawab atau bertanggung jawab atas perlakuan yang melanggar.
Ketika kompetisi sesuai dengan OTORITAS OTONOM: periklanan akan sesuai dengan peraturan spesifiknya.
16
DIA 3/2018, 5 DESEMBER TENTANG PERLINDUNGAN DATA PRIBADI
lumpuh lebih dari 6 BULAN karena alasan yang TIDAK DIANGGAP KEPADA PELANGGARAN.
17