Apa Itu Peraturan Perlindungan Data Umum (GDPR) UE & Bagaimana Pengaruhnya Terhadap Bisnis Online Anda?
Diterbitkan: 2018-06-04Apakah kotak masuk Anda dibanjiri email yang memperbarui kebijakan privasi? Ada alasan untuk itu — dan alasan itu adalah Peraturan Perlindungan Data Umum, atau GDPR.
Sepertinya semua orang membicarakan GDPR akhir-akhir ini. Tapi kenapa sekarang?
Masalahnya, GDPR telah bekerja selama tujuh tahun terakhir. Namun baru-baru ini, ada kesepakatan tentang apa yang sebenarnya akan diperlukan oleh reformasi perlindungan data ini.
Pada dasarnya, GDPR adalah seperangkat peraturan yang dirancang untuk memberikan kontrol lebih besar atas data pribadi bagi warga negara Eropa. Selain itu, reformasi ini juga akan mengatur persetujuan umum dan undang-undang privasi di dunia online, menciptakan standar baru untuk pemrosesan dan penyimpanan data secara keseluruhan.
Setidaknya 50 persen organisasi telah menyatakan bahwa mereka akan berjuang untuk mematuhi GDPR kecuali jika mereka mengubah operasi mereka secara signifikan. Dan ini mungkin peraturan Eropa, tetapi tidak hanya mempengaruhi Eropa.
Bisnis online di seluruh dunia disarankan untuk mematuhi peraturan GDPR baru — GDPR berlaku untuk setiap perusahaan di dalam Uni Eropa, DAN organisasi apa pun di luar UE yang menyediakan produk atau layanan kepada klien atau bisnis di dalam UE. Kemungkinan besar, sebagian besar perusahaan di seluruh dunia harus mematuhi GDPR... termasuk Anda, jika perusahaan Anda berada di bawah Undang-Undang Perlindungan Data Inggris Raya.
Anggap saja seperti ini – kantor pusat utama Facebook berada di Amerika, tetapi orang-orang yang tinggal di Eropa dan di seluruh dunia dapat mendaftar ke Facebook. Jadi, karena Facebook menawarkan layanan kepada orang Eropa dan mengumpulkan data mereka, Facebook harus mematuhi GDPR, meskipun sebagian besar berlokasi di Amerika.
Namun, jangan takut untuk mematuhi GDPR. Bahkan jika Anda tidak harus secara teknis .
Kepatuhan GDPR hanya dapat membantu Anda. Anda akan menggunakan sistem yang akan memproses informasi pribadi dan sensitif tentang pelanggan Anda (atau pelanggan email) sambil menjaga semua data tetap aman. Pada kenyataannya, semua orang dapat memperoleh manfaat dari GDPR.
Hal yang baik tentang GDPR adalah ia hadir dengan aturan dan pedoman yang ketat terkait pengumpulan data. Itu berarti tidak ada lagi garis buram dan lebih banyak regulasi. Tetapi itu juga berarti bahwa mereka yang harus mematuhi GDPR akan menghadapi hukuman jika mereka tidak mematuhi peraturan baru.
Ada dua jenis penanganan data yang berbeda – orang (atau lembaga, otoritas, dll.) yang bertanggung jawab atas pemrosesan data, dan orang yang bertanggung jawab atas pengendalian. Dengan pengaturan ini, masing-masing dari kedua belah pihak bertanggung jawab penuh jika terjadi penyalahgunaan, tetapi jika semua orang mengikuti aturan tentang perlindungan data, kemungkinan pelanggaran akan lebih kecil. Sebelum GDPR, tidak ada solusi nyata jika terjadi sesuatu pada data.
Bagaimana Bisnis Anda Dapat Menjadi Sesuai dengan GDPR
Langkah pertama untuk mematuhi GDPR adalah dengan memperhatikan data yang Anda kumpulkan. Apakah itu data pribadi? Jika ya, maka Anda harus menerapkan aturan dan regulasi GDPR.
Jika ada data (satu bagian saja, atau seluruh grup) dapat mengidentifikasi orang tersebut, maka itu adalah data pribadi. Dalam hal ini, Anda harus mendapatkan persetujuan dari orang-orang ini, memberi tahu mereka bagaimana data mereka akan digunakan, dan untuk berapa lama. Selain itu, Anda harus memberi mereka wawasan tentang data yang Anda miliki, dan mengizinkan mereka untuk menghapusnya jika mereka mau.
Beberapa contoh khas data pribadi termasuk nama, alamat, foto, dan bahkan alamat IP dianggap sebagai data pribadi.
Selanjutnya, jika mereka tidak ingin menghapus data, Anda harus melakukan aktivitas tertentu untuk melindungi data tersebut. Salah satu caranya adalah dengan menggunakan nama samaran.
Apa itu Pseudonimisasi?
Meskipun namanya rumit, idenya cukup sederhana. Pseudonymization adalah teknik manajemen data di mana tujuan utamanya adalah untuk mendepersonalisasi data sehingga tidak dapat dilacak kembali ke seseorang, kecuali jika Anda menggunakan data tambahan — ini seperti kunci. Tanpa kunci itu, Anda tidak dapat menemukan bagian data asli yang membuatnya terenkripsi.
GDPR juga memiliki daftar aturan tentang penyimpanan semua kunci terenkripsi tersebut sehingga proses dan informasi depersonalisasi tetap aman.
Data pribadi dan terenkripsi mewakili potongan teka-teki yang berbeda, di mana jika Anda mengambil satu dari persamaan, Anda tidak dapat melihat keseluruhan gambar.
Perbedaan Antara Pseudonimisasi Dan Enkripsi
Meskipun ada kesamaan, perbedaan utamanya jelas. Enkripsi tidak diatur dalam batu dan ada beberapa cara untuk mencapainya. Hasil akhirnya sama – data dilindungi dan dienkripsi.
Perbedaan antara enkripsi dan pseudonimisasi terletak pada kenyataan bahwa Anda tidak dapat memproses data terenkripsi kecuali Anda mengembalikannya ke keadaan semula yang tidak terenkripsi. Dengan pseudonimisasi, Anda hanya sementara menganonimkan data pribadi sehingga selama pemrosesan data, tidak ada yang dapat menghubungkannya dengan orang yang sebenarnya.
Pada dasarnya, meskipun enkripsi jauh lebih aman dan lengkap, secara teknis juga sangat rumit untuk dicapai, dan nama samaran memungkinkan Anda mengenkripsi hanya bagian data yang sensitif. Ini bisa diterjemahkan secara kasar ke situasi kehidupan nyata di mana Anda melakukan kuesioner publik, dan jawabannya anonim, tetapi hasil akhirnya sama – Anda mendapatkan data yang Anda cari.
GDPR Dan Perlindungan Data Efektif
Untuk memproses data, perusahaan perlu menggunakan nama samaran jika ingin mematuhi GDPR. Mereka dapat memilih untuk tidak melakukannya, tetapi mereka akan menghadapi beberapa denda yang bisa mencapai jutaan dolar.
Dengan pseudonimisasi, data dapat digunakan dalam penelitian analitis, eksplorasi, dan statistik, tetapi juga dengan persetujuan pemilik data. Dan perusahaan juga harus memiliki persetujuan yang tersedia.
Selain nama samaran, ada beberapa solusi teknis yang dapat diterapkan oleh perusahaan untuk memastikan data ini dilindungi. Yang terbaik adalah mencapai enkripsi penuh jika memungkinkan, tetapi selain itu, perusahaan dapat memastikan bahwa sistem mereka saat ini dapat mempertahankan perubahan kebijakan.
Cara lain untuk melindungi data adalah dengan memperkuat sistem yang ada. Membangun perlindungan yang diperlukan dalam sistem, tetapi juga memastikan bahwa mereka dibangun ke dalam produk dan layanan dari tahap awal pengembangan.
Aturan GDPR akan mulai berlaku pada 25 Mei 2018. Mulai tanggal ini, semua organisasi dan perusahaan UE harus mematuhi GDPR.
Apa Manfaat GDPR?
- Lebih sedikit pelanggaran data, peretasan, dan penyalahgunaan.
- Perlindungan data akan dibangun ke dalam setiap produk atau layanan sejak awal.
- Bisnis masih akan memiliki akses ke data yang diperlukan jika mereka menggunakan mekanisme perlindungan data seperti nama samaran.
- Pekerjaan baru akan tercipta.
- Orang akan memiliki kontrol penuh atas data mereka.
- Bisnis harus memberi tahu konsumen jika data mereka telah diretas, membatasi penutupan.
Apakah Anda khawatir tentang bagaimana undang-undang akan mempengaruhi bisnis Anda? Tetap tahu dengan mendaftar untuk Dosis Harian DesignRush!
Penalti dan Denda GDPR
Sementara banyak bisnis berpikir bahwa GDPR hanyalah gangguan, mereka diberi insentif untuk mematuhi aturan GDPR baru karena dendanya sangat besar. Hukuman dapat berkisar dari 10 juta euro (lebih dari 11,5 juta dolar) hingga 20 juta euro (23 juta dolar), atau dua hingga empat persen dari omset global tahunan perusahaan, yang dapat bernilai miliaran dolar untuk beberapa perusahaan.
Bisnis dapat didenda jika mereka mentransfer data tanpa otorisasi, mengabaikan permintaan orang untuk wawasan data dan penghapusan data. Denda juga dapat berdampak pada perusahaan yang tidak memberi tahu pengguna dan otoritas dalam 72 jam pertama setelah pelanggaran terjadi. Contoh lain yang dapat dikenakan denda adalah dengan tidak menunjuk orang yang bertanggung jawab atas aturan dan kepatuhan GDPR — orang yang bertanggung jawab atas perlindungan data dalam organisasi.
Menunjuk Pengontrol Data
Setiap organisasi yang menangani data sensitif, termasuk pemrosesan, pemantauan, dan pelacakan perilaku, harus menunjuk Petugas Perlindungan Data. Itu berarti bahwa perusahaan yang menggunakan strategi pemasaran digital mungkin harus mematuhi GDPR.
Menjadi DPO tidak memerlukan sertifikat, dan hanya ada seperangkat pedoman, bukan undang-undang yang sebenarnya, tentang siapa yang harus menjadi Petugas Perlindungan Data. Terutama, orang tersebut harus memiliki pengalaman dan pemahaman tentang undang-undang perlindungan data dan harus melakukan aktivitas untuk memastikan bahwa perusahaan mematuhinya. Orang itu juga bertanggung jawab jika perusahaan tidak patuh.
Juga, tergantung pada ukuran perusahaan, mungkin hanya ada satu DPO atau seluruh departemen yang didedikasikan untuk meminimalkan risiko dan memaksimalkan perlindungan data.
Menjadikan GDPR Nilai Inti
Ada beberapa cara perusahaan dapat memastikan bahwa GDPR ditanggapi dengan serius dan dijalankan oleh perusahaan.
- Pelatihan staf
- Tinjauan Kebijakan
- regulasi SDM
- Audit internal
- Mendokumentasikan semua proses dan aktivitas yang melibatkan penggunaan data
- Meminimalkan penggunaan data
- Menggunakan taktik seperti nama samaran
Bagaimana Perusahaan Dapat Mempersiapkan Perundang-undangan GDPR
Departemen pemasaran di dalam perusahaan adalah orang-orang yang umumnya menggunakan data sensitif dari pengguna, tetapi tidak masalah siapa yang menangani data di dalam perusahaan. Perusahaan secara keseluruhan harus patuh, dan inilah daftar periksa untuk membantu menyederhanakan prosesnya.
Langkah 1 – Tunjuk Petugas Perlindungan Data
Anda perlu memiliki seseorang yang akan mengawasi dan merevisi semua proses internal dan memastikan bahwa perusahaan Anda mematuhi pedoman. Jika Anda yakin tidak ada orang di dalam perusahaan Anda yang dapat melakukan peran seperti itu, maka Anda harus mempertimbangkan untuk mempekerjakan seseorang yang dapat melakukannya. Selain itu, sekarang ada pelatihan GDPR yang dapat diikuti oleh staf Anda saat ini untuk mempelajari lebih lanjut tentang GDPR.
Langkah 2 - Tinjau Milis Anda
Lakukan revisi lengkap dari seluruh milis Anda. Kirim email yang diperlukan mengenai pembaruan kebijakan privasi baru dan tanyakan kepada orang-orang apakah mereka masih ingin berbagi data dengan Anda. Jika mereka tidak memberi Anda persetujuan, hapus mereka dari daftar. Jika Anda menggunakan otomatisasi pemasaran email, cukup gunakan daftar baru tempat Anda akan mengelompokkan pengguna Eropa sehingga Anda dapat mengamankan persetujuan mereka.
Langkah 3 - Setujui Kampanye Pemasaran Melalui Petugas Perlindungan Data
Sampai staf pemasaran Anda mempelajari seluk beluknya, DPO harus mengawasi kampanye pemasaran Anda dan menyetujuinya sebelum diluncurkan. Dengan cara ini, Anda dapat yakin bahwa semuanya beres dan Anda tetap mematuhi GDPR.
Langkah 4 – Alur dan Proses Data Dokumen
Kemungkinan daftar email Anda akan dimusnahkan, tetapi seperti yang Anda ketahui sekarang, itu adalah suatu keharusan. Namun, Anda tetap harus memastikan bahwa semua pengumpulan data di masa mendatang juga mematuhi GDPR. Titik entri data Anda juga harus tetap aman. Ini termasuk pendaftaran buletin, semua pendaftaran akun, berbagai acara, daftar pembelian, mengamankan data yang ditransfer ke mitra dan, yah, semua jenis penggunaan dan pengumpulan data. Pengguna harus memberi Anda persetujuan untuk semua operasi data Anda dan Anda harus secara eksplisit menunjukkan semua aktivitas yang akan Anda lakukan dengan data mereka.
Langkah 5 – Perbarui Kebijakan Privasi Anda
Pastikan situs web Anda memiliki halaman kebijakan privasi yang mudah diakses, tempat Anda dapat menguraikan secara publik bagaimana Anda mengumpulkan dan menangani data, dan tindakan apa yang Anda ambil untuk melindunginya.
Langkah 6 – Terapkan Pelatihan Staf Dan Manajemen Tentang GDPR
Ajari semua pembuat keputusan dan staf pemasaran tentang perlindungan data dan protokol yang ada. Anda bahkan dapat menskalakan ini untuk mendidik semua karyawan Anda tentang aturan dan proses baru. Ini dapat dilakukan melalui seminar, pelatihan, membagikan buklet atau manual online — apa pun yang sesuai untuk bisnis Anda.
Langkah 7 – Hapus Data yang Tidak Digunakan Perusahaan Anda
Salah satu langkah untuk mematuhi GDPR adalah meminimalkan data yang Anda gunakan dalam proses sehari-hari, jika memungkinkan, dan menghapus data saat Anda tidak lagi membutuhkannya.
Langkah 8 – Verifikasi Ulang
Kirim email ke semua penduduk Eropa dan minta mereka memperbarui persetujuan mereka jika mereka ingin berada di daftar Anda. Ini dapat dilakukan melalui email, aplikasi seluler, atau bahkan surat langsung. Kebijakan GDPR melarang keras mengirim email baru ke individu yang sebelumnya telah berhenti berlangganan dari daftar Anda.
Privasi Secara Default dan Privasi Berdasarkan Desain — Apa Perbedaannya?
Ada dua istilah baru yang harus dikenali dan dicermati di era GDPR baru ini. Pada dasarnya, kami telah mengatakan bahwa produk dan layanan baru harus dilengkapi dengan mekanisme bawaan yang akan mematuhi aturan GDPR. Privasi berdasarkan desain berarti bahwa perusahaan harus memikirkan, dan merencanakan sebelumnya, bagaimana memasukkan kebijakan perlindungan data, bahkan di tahap awal proyek, serta di sisa siklus hidup proyek.
Pemroses data harus mengamankan privasi data secara default, yang berarti bahwa data pribadi tidak tersedia untuk siapa pun kecuali pemilik data. Selain itu, pemroses hanya boleh mengumpulkan data pribadi minimum yang diperlukan untuk tujuan pemrosesan, tanpa menyimpan data ini setelah selesai.
Apa yang Dapat Anda Lakukan Untuk Mengotomatiskan Proses
Cobalah untuk mendapatkan solusi teknis yang akan memecahkan banyak masalah ini untuk Anda. Itu bisa, misalnya, menjadi perangkat lunak yang secara otomatis akan menghapus data pribadi tertentu.
Evaluasi Ulang Dan Pengujian
Untuk menghentikan kemungkinan pelanggaran, dan untuk mematuhi GDPR, sebaiknya perusahaan melakukan berbagai pengujian, studi kasus, dan proses evaluasi ulang.
Buat daftar periksa kepatuhan GDPR untuk setiap sistem baru, kampanye media, tindakan perencanaan proyek, atau yang serupa. Dengan begitu, karyawan Anda dapat mengevaluasi proses dengan cepat, dan memberi tahu orang yang bertanggung jawab jika proyek gagal mematuhi dan menyalahgunakan data dengan cara apa pun. Tentu, perusahaan atau karyawan mungkin menganggap langkah tambahan ini sebagai beban, tetapi lebih baik aman daripada menyesal.
Ingat saja denda jutaan dolar itu.
Kebijakan Pengumpulan Data Baru
Selain mengamankan data yang dikumpulkan sebelumnya, Anda harus memastikan bahwa pengumpulan data di masa mendatang aman sejak awal. Anda dapat menggunakan bahasa yang sederhana dan alami saat Anda meminta persetujuan.
Menyembunyikannya di balik istilah yang rumit bisa sangat menyesatkan. Persetujuan yang diberikan orang harus jelas dan tidak ambigu. Pastikan bahwa Anda dengan jelas menguraikan bagaimana Anda akan menggunakan informasi yang baru dikumpulkan.
Ini juga saatnya untuk persetujuan kebijakan cookie lain di situs web Anda. Anda harus memastikan bahwa orang yang berlangganan sudah cukup umur, karena menurut aturan GDPR yang baru, hanya orang yang berusia 16 tahun ke atas yang dapat memberikan data pribadi mereka. Anak-anak di bawah 16 tahun harus memiliki izin orang tua.
Perusahaan harus memahami bahwa mereka tidak dapat meminta informasi pribadi tanpa alasan yang tepat. Bahkan jika penyimpanan informasi tersebut sejalan dengan aturan GDPR. Perusahaan harus meminta bantuan hukum untuk menyiapkan dasar hukum untuk setiap kegiatan pengumpulan dan pengolahan data.
Formulir baru dapat mencakup usia pengguna dan bahkan negara tempat tinggal untuk menentukan apakah aturan GDPR berlaku atau tidak. Selain itu, pelanggan Anda memiliki hak untuk mengetahui apakah data mereka akan ditransfer lintas batas. Setiap saat Anda harus memastikan ada mekanisme yang memungkinkan pengguna untuk menarik persetujuan mereka, atau bahkan mengajukan keluhan.
Jika orang meminta wawasan tentang informasi mereka, perusahaan harus mematuhi dan memberikan tanggapan yang tidak ditunda tanpa alasan, dan paling lambat dikirim dalam waktu satu bulan setelah menerima permintaan.
Hukum e-Privasi Baru
Komite Eropa telah menerbitkan proposal hukum baru tentang Peraturan ePrivasi. Ini dimaksudkan sebagai pembaruan untuk "Undang-Undang Cookie" yang ada, yang juga akan sesuai dengan undang-undang GDPR yang sudah digunakan.
Perbedaan Antara GDPR Dan Hukum e-Privasi
Sementara GDPR berkaitan dengan perlindungan data data pribadi, undang-undang ePrivacy ingin mengatur privasi kehidupan pribadi pengguna. Dengan cara ini, komunikasi online dapat melindungi pengguna. Ada banyak sektor dan industri yang terpengaruh oleh undang-undang ini. Komite Eropa percaya bahwa harus ada dua perangkat aturan yang berbeda yang didasarkan pada hak asasi manusia yang berbeda.
Undang-undang ePrivacy baru ini dapat berdampak sedikit pada industri pemasaran. Lebih dari 92% orang khawatir tentang privasi online mereka dan bagaimana data mereka digunakan untuk tujuan pemasaran. Mereka sangat khawatir tentang wawasan yang dimiliki perusahaan tentang kehidupan mereka, terutama saat memantau aktivitas online, konten email, dan pesan mereka. Itulah sebabnya gagasan ini berkembang dari GDPR, dan perlindungan data pribadi, ke undang-undang ePrivasi, dan data lainnya.
Pada dasarnya, akan ada lebih banyak aturan dan kebijakan yang diatur mengenai perolehan persetujuan untuk semua tujuan pemasaran. Ini termasuk strategi pemasaran perilaku juga. Dengan undang-undang ePrivasi yang baru, perusahaan tidak akan dapat menggunakan data apa pun dari komunikasi elektronik, informasi yang disimpan dalam perangkat yang digunakan oleh konsumen, atau informasi lainnya, tanpa persetujuan pengguna, kecuali jika diperlukan untuk pemrosesan data segera.
Kata Kata Bijak — Waspada Penipuan
Karena perusahaan telah mengirimkan email yang menawarkan orang untuk memilih keluar dari milis mereka, scammers telah menemukan cara untuk menggunakan seluruh kepatuhan GDPR untuk penipuan phishing mereka. Anda tidak dapat benar-benar lepas dari ironi bahwa peretas sengaja menargetkan orang-orang yang mencoba menjaga keamanan data mereka dengan aturan GDPR baru.
Berikut cara mengenali penipuan phishing GDPR:
Jika perusahaan bertanya apakah Anda ingin tetap berada di database mereka, itu mungkin bukan penipuan phishing. Namun, jika suatu saat Anda menerima pesan di mana Anda seharusnya mengirim data atau informasi pribadi lagi — seperti nama, alamat, nama pengguna, kata sandi, dan bahkan informasi pembayaran — hindari. Perusahaan nyata tidak akan pernah melakukannya melalui email.
Masa Depan Perlindungan Data Dan Bagaimana Bisnis Anda Dapat Menggunakan Informasi Itu
Sekali lagi, seperti GDPR, kekuatan kontrol privasi kembali ke pemilik data. Dengan undang-undang baru ini, pengguna akan dapat memberikan persetujuan untuk menggunakan cookie atau mencabutnya, langsung di browser internet mereka.
Dengan melakukan ini, dianggap bahwa tidak harus ada kebijakan cookie untuk setiap situs web, tetapi lebih seperti buku besar perangkat lunak yang akan menanganinya. Itu juga berarti bahwa situs web tidak perlu menggunakan pop-up yang membosankan untuk meminta persetujuan jika situs web hanya menggunakan pengumpulan data anonim.
Undang-undang privasi baru ini akan berlaku untuk semua layanan perpesanan, termasuk aplikasi Messenger Facebook, Viber, WhatsApp, dan Gmail.
Banyak dari langkah-langkah ini akan secara langsung berdampak pada masa depan pemasaran digital, tetapi masih terlalu dini untuk mengatakan atau bahkan memprediksi bagaimana ini akan berjalan. Kami hanya harus menunggu dan melihat, sementara itu mengawasi data kami.
Apakah bisnis Anda memerlukan bantuan untuk tetap mengetahui semua peraturan data baru ini? Lihat daftar DesignRush tentang keamanan siber terbaik dan perusahaan manajemen risiko yang dapat membantu merampingkan proses ketika peraturan GDPR berlaku.
Ingin lebih banyak wawasan bisnis? Mendaftar untuk buletin kami!