Apa itu kepatuhan GDPR? Inilah yang paling perlu Anda ketahui

GDPR , atau Peraturan Perlindungan Data Umum untuk siapa saja yang memiliki pengguna di Eropa, mulai berlaku hari ini. Ini memiliki kombinasi disayangkan menjadi SANGAT PENTING sementara SULIT UNTUK DIPAHAMI.

Sebagian besar pakar konversi, pemasar email, dan pemasar online umum tidak akan punya waktu untuk mengarungi hukum, tetapi masih harus keluar dari zona ledakan.

Artikel ini dimaksudkan untuk menjadi titik awal bagi para pemasar tersebut.

Ini tidak akan menggantikan nasihat tim hukum Anda – Anda pasti harus berkumpul dengan tim keamanan informasi dan hukum Anda untuk menyelesaikan strategi. Tetapi ini akan mengarahkan Anda ke arah yang benar, dan membantu Anda jika Anda ingin mendapatkan detail tentang GDPR dalam bahasa sederhana.

Minimisasi data – tidak ada sindrom “pemasar serakah”

Salah satu alasan utama UE menerapkan GDPR adalah bagaimana data dikumpulkan oleh pemasar. Ketika Anda meminta informasi hampir di mana saja di dunia, Anda dapat meminta jumlah informasi yang tidak proporsional sebagai balasannya. Tingkat konversi Anda mungkin akan menurun karena itu, tetapi tidak ada alasan hukum Anda tidak dapat melakukannya.

GDPR mengubah itu.

Inilah bagian yang relevan dari pasal 5 , tentang prinsip yang berkaitan dengan pemrosesan data pribadi .

Data pribadi harus:

• diproses secara sah, adil, dan transparan terkait subjek data ('keabsahan, keadilan, dan transparansi');
• dikumpulkan untuk tujuan tertentu, eksplisit dan sah dan tidak diproses lebih lanjut dengan cara yang tidak sesuai dengan tujuan tersebut; pemrosesan lebih lanjut untuk tujuan pengarsipan untuk kepentingan umum, tujuan penelitian ilmiah atau sejarah atau tujuan statistik, sesuai dengan Pasal 89(1), tidak boleh dianggap tidak sesuai dengan tujuan awal ('pembatasan tujuan');
• memadai, relevan, dan terbatas pada apa yang diperlukan sehubungan dengan tujuan pemrosesannya ('minimalisasi data');

Artinya, Anda memiliki lebih banyak alasan untuk hanya mengumpulkan data yang Anda butuhkan .

• Anda memerlukan alamat email itu untuk meneruskan PDF yang dia minta kepada pengguna
• Anda ingin nomor telepon, perusahaan tempat mereka bekerja, ukuran perusahaan, dan alamat fisik untuk membangun profil mereka dalam sistem otomasi pemasaran Anda

Hal-hal ekstra yang Anda inginkan? Mereka bukan permainan yang adil lagi jika Anda memiliki pengguna di Eropa.

Anda harus eksplisit tentang apa yang akan Anda gunakan untuk data tersebut, dan hanya mengumpulkan data yang Anda butuhkan dari pengguna.

Persetujuan keikutsertaan – tidak ada langganan default

Beberapa pemasar memainkan permainan persetujuan ini dengan pengunjung:

• Pengguna dapat memilih keluar saat mengisi formulir, tetapi kotak centang untuk ikut serta sudah dicentang sebelumnya
• Pengguna secara otomatis ikut serta, dan pengguna harus memberi tahu perusahaan secara manual bahwa mereka tidak ingin ikut serta dalam program tertentu
• Bahasa dalam program keikutsertaan cukup kabur sehingga pengguna mungkin mendaftar untuk banyak hal tanpa menyadarinya

Semua permainan ini akan menempatkan organisasi pada risiko ketidakpatuhan. Berikut adalah bagian yang relevan dari pasal 7, kondisi untuk persetujuan :

Jika pemrosesan didasarkan pada persetujuan, pengontrol harus dapat menunjukkan bahwa subjek data telah menyetujui pemrosesan data pribadinya.

Jika persetujuan subjek data diberikan dalam rangka pernyataan tertulis yang juga menyangkut hal-hal lain, maka permintaan persetujuan harus disampaikan dengan cara yang dapat dibedakan dengan jelas dari hal-hal lain, dalam bentuk yang dapat dimengerti dan mudah diakses, dengan menggunakan bahasa yang jelas dan bahasa sederhana. Setiap bagian dari pernyataan tersebut yang merupakan pelanggaran Peraturan ini tidak mengikat.

Artinya bagi Anda adalah jika Anda memiliki pengguna di Eropa, game persetujuan tersebut tidak lagi dapat dijalankan.

Anda harus jelas tentang apa yang dipilih pengguna. Jika Anda ingin mereka ikut serta dalam buletin Anda DAN Anda ingin menunjukkan kepada mereka promo produk, Anda ingin mereka menyetujui kedua hal tersebut secara terpisah, dan Anda harus menyatakannya secara eksplisit.

Ingatlah empat hal ini:

• Persetujuan harus diberikan secara aktif
• Pengguna harus diberi tahu tentang apa yang mereka daftarkan dalam bahasa yang jelas
• Diam dan kotak yang dicentang sebelumnya tidak dihitung sebagai persetujuan
• Persetujuan untuk satu aktivitas tidak berlaku sebagai persetujuan untuk aktivitas lain

Penarikan persetujuan – tidak membuat pengunjung melompati rintangan

Hal lain yang perlu Anda kerjakan adalah memberi pengguna opsi untuk keluar dari program Anda. Pasal 7 melanjutkan:

Subjek data berhak untuk menarik persetujuannya setiap saat. Penarikan persetujuan tidak akan mempengaruhi keabsahan pemrosesan berdasarkan persetujuan sebelum penarikannya. Sebelum memberikan persetujuan, subjek data harus diberitahu tentangnya. Penarikan diri semudah memberikan persetujuan.

Jika Anda memiliki ledakan email dalam bentuk promosi produk atau buletin, itu harus selalu memiliki cara yang jelas bagi orang untuk memilih keluar dari program Anda. Dan itu harus terlihat jelas.

Dulu lebih baik dari sudut pandang konversi untuk hanya memiliki orang-orang di database Anda yang INGIN berada di sana. Nah, itu juga lebih baik dari perspektif hukum.

Tumpukan teknologi – tanpa keamanan, tanpa nama

Jika Anda telah bermain cepat dan lepas dengan apa pun yang berisi informasi yang dapat diidentifikasi secara pribadi, Anda sebaiknya meningkatkan tumpukan teknologi Anda dengan cepat. Itu berarti Anda tidak dapat memiliki informasi pelanggan yang sensitif dan pembuatan profil tanpa ketentuan untuk nama samaran atau teknologi terkait.

File Excel yang beredar di perusahaan dengan nama sebenarnya dan informasi sensitif seharusnya selalu tidak boleh, tetapi sekarang Anda memiliki lebih banyak alasan untuk mencegah hal itu terjadi.

Pasal 25, perlindungan data berdasarkan desain dan default , memiliki ketentuan yang cukup ketat pada perusahaan dengan keamanan ringan:

Dengan mempertimbangkan keadaan seni, biaya implementasi dan sifat, ruang lingkup, konteks dan tujuan pemrosesan serta risiko berbagai kemungkinan dan tingkat keparahan untuk hak dan kebebasan orang-orang yang ditimbulkan oleh pemrosesan, pengontrol harus, baik pada saat penentuan sarana untuk pemrosesan dan pada saat pemrosesan itu sendiri, menerapkan langkah-langkah teknis dan organisasi yang sesuai, seperti nama samaran, yang dirancang untuk menerapkan prinsip-prinsip perlindungan data, seperti minimalisasi data, secara efektif cara dan untuk mengintegrasikan perlindungan yang diperlukan ke dalam pemrosesan untuk memenuhi persyaratan Peraturan ini dan melindungi hak-hak subjek data.

Pengendali harus menerapkan langkah-langkah teknis dan organisasi yang sesuai untuk memastikan bahwa, secara default, hanya data pribadi yang diperlukan untuk setiap tujuan khusus pemrosesan yang diproses. Kewajiban itu berlaku untuk jumlah data pribadi yang dikumpulkan, tingkat pemrosesannya, periode penyimpanannya, dan aksesibilitasnya. Secara khusus, langkah-langkah tersebut harus memastikan bahwa secara default data pribadi tidak dapat diakses tanpa campur tangan individu kepada sejumlah individu yang tidak terbatas.

Intinya, jika Anda ingin menyimpan informasi pengenal pribadi, Anda perlu meningkatkannya untuk menjaga keamanan informasi itu.

Kepatuhan GDPR: Binatang yang Kompleks

Hindari terkena penalti. Jika Anda tertinggal dalam pekerjaan kepatuhan GDPR, Anda harus, minimal, melakukan …

• audit tentang berapa banyak data yang Anda kumpulkan dan apakah Anda perlu melakukan minimalisasi data,
• penjelasan tentang cara Anda mengubah data pribadi menjadi data anonim, dan
• ulasan tentang seberapa eksplisit Anda tentang mendapatkan persetujuan untuk menggunakan data pengunjung