Apakah Anda Siap untuk Peraturan Perlindungan Data Baru UE?

Apa Itu Peraturan Perlindungan Data Baru?

Uni Eropa akan segera memberlakukan peraturan baru yang mengatur data apa yang dapat Anda kumpulkan tentang pelanggan Anda dan bagaimana Anda dapat menggunakannya. Undang-undang ini disebut Peraturan Perlindungan Data Umum atau GDPR . Tentu saja, seperti namanya, GDPR bersifat umum dan mencakup organisasi mana pun yang mengumpulkan data tentang orang. Untuk tujuan kami di sini, kami hanya akan fokus pada hubungan antara bisnis Anda dan (calon) pelanggan Anda secara online.

GDPR akan mulai berlaku pada ^tanggal 25 Mei 2018 yang meninggalkan Anda satu tahun untuk bersiap-siap untuk mematuhi. Seiring dengan GDPR, mungkin akan ada pembaruan baru untuk Peraturan e-Privasi UE . Peraturan ini masuk ke detail yang lebih spesifik untuk pengumpulan, penyimpanan, dan penggunaan data online. Peraturan e-Privasi masih dalam tahap proposal dan masih dapat berubah tetapi legislator menargetkan tanggal pemberlakuan yang sama dengan GDPR.

Mengapa Penting bagi Bisnis Anda untuk Dipatuhi

Untuk bisnis Eropa, kebutuhan untuk mematuhi mungkin sudah jelas, tetapi sebenarnya ini adalah sesuatu yang harus diperhatikan oleh bisnis di seluruh dunia. Ini terutama berlaku untuk situs web dan bisnis online karena GDPR berlaku untuk bisnis apa pun secara global yang mengumpulkan data tentang warga negara Uni Eropa. Jika Anda mengumpulkan data di situs web Anda dan situs web Anda dikunjungi oleh warga negara Uni Eropa, maka GDPR akan meminta pertanggungjawaban bisnis Anda atas apa yang Anda lakukan dengan data tersebut di mana pun bisnis Anda berada. Hukuman untuk bisnis yang melanggar GDPR bisa sangat berat dengan denda terbesar sebesar 20 juta Euro atau 4% dari omset tahunan global – mana yang lebih tinggi.

Aspek Paling Penting untuk Pemasaran Digital Anda

Untuk pemasar digital ada sejumlah bagian penting dari undang-undang yang perlu Anda ketahui. Empat poin berikut adalah yang paling penting untuk dilakukan dengan benar dalam memastikan bahwa program data online Anda sesuai.

1. Data Pribadi

Yang pertama adalah memahami apa yang dicakup oleh GDPR dan peraturan e-Privacy. Saya telah menyebutkan bahwa undang-undang tersebut berlaku untuk data semua warga negara Uni Eropa tetapi ini sedikit lebih spesifik; itu berlaku untuk data pribadi mereka.

Data pribadi adalah setiap data khusus untuk pengguna yang memungkinkan mereka untuk diidentifikasi atau dipilih. Ini mencakup informasi seperti nama, alamat, lokasi geografis, nomor telepon, alamat email, atau nomor identitas. Namun, ini juga mencakup pengidentifikasi online yang dapat berupa nama pengguna atau alamat IP.

2. Persetujuan

Mungkin perubahan terbesar yang akan dilakukan GDPR pada lanskap saat ini adalah gagasan persetujuannya. Persetujuan harus eksplisit, diinformasikan dan diberikan secara bebas.

Ini berarti bahwa berdasarkan GDPR, pemberitahuan cookie standar yang terlihat di sebagian besar situs web tidak lagi memadai. Undang-undang mengharuskan pengguna memberikan persetujuan melalui 'tindakan afirmatif'. Pengguna perlu mengambil langkah aktif untuk menyetujui. Diam dan persetujuan implisit tidak akan cukup. Data pengguna tidak dapat dikumpulkan sampai persetujuan diberikan.

Selain itu, karena undang-undang bersikeras agar persetujuan diinformasikan, bisnis perlu memberi tahu pengguna dengan tepat data apa yang dikumpulkan, bagaimana data itu disimpan, dan untuk apa bisnis menggunakan data tersebut.

Undang-undang juga menekankan pada metode yang selalu tersedia untuk memilih keluar dari pelacakan. Ini berarti bahwa kapan pun pengguna situs web harus dapat mencabut persetujuan.

3. Keamanan Data

Keamanan data pribadi orang menjadi tanggung jawab pengontrol data. Pengontrol data didefinisikan sebagai entitas yang memutuskan tujuan dan metode pengumpulan data. Jadi, misalnya, sebagai pemilik situs web Anda adalah pengontrol data. Anda harus memastikan bahwa alat dan penyedia yang Anda gunakan untuk mengumpulkan, menyimpan, dan memvisualisasikan data Anda memiliki keamanan yang sesuai untuk melindungi pelanggan Anda.

4. Lokasi Data

Bagian dari upaya GDPR untuk melindungi data warga negara Uni Eropa meluas ke tempat data tersebut diproses dan disimpan. GDPR menegaskan bahwa data disimpan dan diproses di UE atau setidaknya di negara yang memiliki perlindungan data serupa dengan UE. Anda dapat menemukan daftar negara-negara ini di sini .

Ini menimbulkan masalah saat menggunakan alat dengan server dan pusat data yang berlokasi di negara-negara, seperti Amerika Serikat, yang tidak memiliki perlindungan data yang setara. US-EU Privacy Shield memungkinkan perusahaan di AS untuk menandatangani pernyataan bahwa mereka akan menjunjung tinggi standar yang sama dengan data yang mereka simpan seperti yang disyaratkan GDPR.

Namun, validitasnya masih diperdebatkan karena legislator UE khawatir bahwa tanpa hukum yang mengaturnya, kekuatan pasar akan menyebabkan perusahaan menggunakan data dengan cara yang bertentangan dengan hukum. Kekhawatiran lain adalah bahwa meskipun perusahaan mematuhi persyaratan Perlindungan Privasi, mereka masih beroperasi di bawah undang-undang yang mungkin mengharuskan mereka untuk mengungkapkan data pribadi warga negara Uni Eropa kepada pemerintah mereka.

Perhatian terakhir yang perlu ditangani ketika datang ke lokasi data adalah persetujuan. Jika data sedang dipindahkan dari UE, ini perlu dibuat secara eksplisit kepada pengguna saat memberikan persetujuan untuk pengumpulan data mereka.

Apa yang Harus Anda Lakukan untuk Siap menghadapi GDPR?

1. Anonimkan Alamat IP

Jika Anda menggunakan alat, seperti Google Analytics , untuk melihat pola perilaku dalam data anonim di situs web Anda tanpa mengidentifikasi pengguna individual, Anda menggunakan pelacakan situs web gabungan. Untuk jenis pelacakan ini, hanya ada dua titik data yang harus diperhatikan oleh semua situs web. Dua poin utama ini adalah alamat IP pengguna dan cookie pelacakan alat.

Untuk alamat IP ada cara yang relatif sederhana untuk memastikan Anda patuh dan tidak memerlukan persetujuan pengguna. Sebagian besar alat yang digunakan untuk pelacakan situs web agregat memungkinkan Anda untuk menganonimkan alamat IP pengguna. Dengan memastikan bahwa pengaturan ini diaktifkan, tidak ada cara untuk mengidentifikasi pengguna satu per satu.

2. Tentukan apakah Anda Memerlukan Persetujuan Pengguna

Dengan alamat IP yang dianonimkan, sekarang kita dapat melihat cookie pelacakan. Peraturan e-Privasi yang diusulkan memberikan pengecualian terhadap persetujuan pengguna untuk cookie untuk alat situs web agregat. Namun, pada saat ini tidak jelas apakah pengecualian ini hanya untuk alat yang dioperasikan oleh situs web atau apakah itu akan mencakup alat pihak ketiga seperti Google Analytics. Ini akan menjadi lebih jelas ketika peraturan e-Privacy yang baru diselesaikan dan diratifikasi.

3. Gunakan Alat Analisis yang Dihosting Sendiri

Dengan adanya ketidakpastian apakah alat pihak ketiga akan memerlukan persetujuan, opsi teraman adalah menerapkan alat analisis web yang dihosting sendiri. Alat-alat ini memungkinkan Anda untuk meng-host seluruh contoh alat pada infrastruktur Anda sendiri. Ini berarti bahwa hanya bisnis Anda yang memiliki akses ke data dan Anda dapat yakin bahwa Anda tidak memerlukan persetujuan untuk pelacakan situs web agregat Anda.

4. Dapatkan Keikutsertaan

Jika Anda tidak dapat menggunakan alat yang dihosting sendiri, Anda harus membuat pengguna ikut serta. Ada dua kemungkinan solusi untuk ini.

Yang pertama adalah pendekatan Soft Opt-In. Dengan pendekatan ini, Anda harus memberi tahu pengunjung ketika mereka pertama kali tiba di situs Anda bahwa tindakan lebih lanjut yang diambil di situs akan dilacak. Anda harus memberi mereka pilihan untuk tidak ikut dilacak pada saat ini. Metode ini umumnya digunakan di negara-negara Eropa dengan undang-undang privasi data yang ketat seperti Jerman. Tidak jelas pada titik ini apakah itu masih dapat diterima dengan peraturan e-Privacy yang baru.

Pendekatan kedua adalah Opt-In yang sulit. Ini adalah pendekatan yang lebih aman karena pasti akan sesuai ketika undang-undang diterbitkan tetapi lebih mengganggu pengguna. Dengan pendekatan ini, Anda akan meminta persetujuan pengguna sebelum mereka dapat mulai menjelajahi situs web. Ini dapat dilakukan dengan kotak pop up di halaman pertama kunjungan pertama mereka.

5. Berikan Kemungkinan Opt-Out

Jika Anda diminta untuk mendapatkan persetujuan pengguna untuk mengambil data mereka di bawah peraturan baru, Anda harus memberi mereka cara untuk berubah pikiran dan memilih keluar kapan saja. Undang-undang mengatakan bahwa ini harus selalu tersedia bagi pengguna. Cara terbaik untuk melakukannya adalah dengan memiliki halaman khusus yang merinci pelacakan Anda yang memungkinkan pengguna untuk menyisih. Halaman ini kemudian dapat ditautkan di footer Anda sehingga selalu ada di situs Anda.

6. Hati-hati dengan Profil Pengguna dan Otomatisasi Pemasaran

Jika program data bisnis Anda melampaui agregasi dan Anda menyiapkan profil pengguna , Anda perlu lebih memikirkan untuk mempersiapkan diri Anda untuk GDPR. Ini terutama benar jika Anda menjalankan program otomatisasi pemasaran, penargetan ulang, atau bahkan pemasaran yang ditargetkan secara manual. Semua aktivitas pembuatan profil pengguna dan setiap jenis komunikasi pemasaran yang Anda kirimkan berdasarkan profil ini memerlukan persetujuan pengguna. Semua data pribadi atau data profil yang akan Anda ambil dan semua pemasaran langsung yang akan Anda kirimkan harus ditentukan pada saat Anda meminta persetujuan pengguna. Selain itu, metode untuk mencabut persetujuan mereka – memilih keluar – harus disediakan.

Beri tahu kami jika Anda memiliki pertanyaan tentang GDPR mendatang dan Peraturan e-privasi yang diusulkan. Lihat audit kepatuhan dan GDPR kami jika Anda ingin memastikan bahwa pemasaran digital Anda sesuai.