GDPR dan Pemasaran

Konsumen yang cerdas sadar bahwa aktivitas dan data mereka dilacak secara online. Itulah mengapa menjadi sangat penting untuk memiliki peraturan yang menawarkan privasi (terutama di media sosial) dan memungkinkan pelanggan untuk memilih informasi pribadi apa yang mereka bagikan.

Peraturan Perlindungan Data Umum (GDPR) adalah undang-undang yang diperkenalkan oleh Uni Eropa pada tanggal 25 Mei 2018. Undang-undang ini menggantikan Petunjuk Perlindungan Data 95/46/EC dan dirancang untuk:

• Menyelaraskan hukum privasi data di seluruh Eropa
• Lindungi dan berdayakan semua privasi data warga negara Uni Eropa
• Bentuk ulang cara organisasi di seluruh wilayah mendekati privasi data

Apa arti GDPR bagi perusahaan?

Sebagai peraturan yang dapat ditegakkan oleh hukum, GDPR bukanlah pilihan. Jika seseorang atau organisasi ingin berbisnis di dalam Uni Eropa, atau dengan warga negara UE, ia harus mematuhi peraturan.

Dengan undang-undang GDPR, perusahaan harus secara eksplisit tentang cara mereka mengumpulkan data pribadi untuk tujuan pemasaran. Ini berarti meminta izin eksplisit khusus saat mereka mengumpulkannya, serta menawarkan alasan yang sah kepada konsumen untuk memiliki informasi tersebut.

Intinya, GDPR:

• Memberi individu lebih banyak kontrol atas penggunaan data pribadi mereka
• Memberikan kejelasan di seluruh wilayah tentang bagaimana data dapat digunakan dari satu negara UE ke negara berikutnya (dan seterusnya)
• Tuntutan agar bisnis menetapkan lebih banyak sumber daya untuk privasi data, serta mengambil lebih banyak tanggung jawab untuk itu

Dasar hukum untuk memproses data

Untuk mematuhi peraturan, GDPR menyediakan enam dasar hukum untuk memproses dan menyimpan data pribadi. Dalam perlindungan data, dasar hukum mengacu pada pembenaran untuk pemrosesan data pribadi.

Keenam dasar hukum untuk memproses data berdasarkan peraturan GDPR adalah:

1. Persetujuan dari individu yang berkepentingan - Data diberikan secara bebas oleh individu dalam keadaan yang jelas dan tidak ambigu.
2. Kewajiban kontraktual antara organisasi dan individu - Organisasi memerlukan data tertentu untuk menyediakan layanan bagi mereka – misalnya, alamat untuk pengiriman e-niaga.
3. Kewajiban hukum organisasi - Organisasi mungkin memerlukan informasi tertentu untuk mematuhi persyaratan hukum atau undang-undang.
4. Kepentingan vital individu - Organisasi mungkin perlu memproses data tertentu untuk melindungi nyawa seseorang
5. Kepentingan publik/tugas publik - Organisasi dapat memproses informasi untuk menjalankan fungsi publik yang diatur dalam undang-undang
6. Kepentingan yang sah - Organisasi memiliki kepentingan dalam memproses data seperti detail kontak, karena memiliki kepentingan komersial yang sah dalam mengirim email atau menelepon individu untuk alasan penjualan.

Tanggung jawab pemasar data

Pemasar digital harus memahami tanggung jawab khusus mereka sehubungan dengan enam dasar hukum dan aturan yang terkait dengan pemrosesan dan penyimpanan data.

Ini termasuk:

• Aturan persetujuan data : Persetujuan data mengacu pada pengumpulan data pribadi tentang prospek dan prospek melalui berbagai saluran pemasaran digital organisasi, dan mendapatkan persetujuan eksplisit dan tegas mereka untuk ikut serta mendengar dari organisasi.
• Aturan pemrosesan data : Pemrosesan data mengacu pada bagaimana organisasi menggunakan data yang dikumpulkannya, dan apakah prospek, prospek, dan pelanggan memahami mengapa data tersebut perlu diproses dengan cara tersebut.
• Aturan retensi data : Retensi data mengacu pada berapa lama organisasi menyimpan data pribadi dan alasan bisnis untuk melakukannya.
• Aturan transfer data : Transfer data mengacu pada transfer data pribadi warga negara Uni Eropa di luar UE untuk tujuan bisnis yang sah.
• Aturan penghapusan data : Penghapusan data mengacu pada kapan dan bagaimana data pribadi dihapus secara permanen dari sistem organisasi

Peran departemen Pemasaran dalam kepatuhan GDPR

Departemen Pemasaran – dan, secara default, Kepala Pemasaran – memainkan peran kunci dalam memungkinkan, mendukung, dan mengomunikasikan GDPR dan dampaknya terhadap bisnis kepada manajemen senior.

Karena peran unik Pemasaran dalam mengumpulkan, memproses, menyimpan, mentransfer, dan menghapus data milik publik dan milik pengguna dan pelanggan organisasi, orang atau orang-orang dalam tim yang dinominasikan untuk meluncurkan kepatuhan GDPR harus sepenuhnya menyadari cakupannya dan tanggung jawab proyek.

Ini biasanya merupakan upaya tim lintas fungsi, karena pemasar digital yang memimpin aktivitas terkait GDPR perlu bekerja dengan TI, Penjualan, Dukungan, Teknik, Kesuksesan Pelanggan, dan Produk, misalnya, untuk memastikan bahwa proses privasi data dan ketergantungan apa pun dipahami dan didukung di seluruh organisasi.

Petugas Perlindungan Data

Penunjukan DPO, atau Petugas Perlindungan Data, akan membantu mengarahkan sumber daya untuk kepatuhan GDPR:

[The] GDPR menyerukan penunjukan wajib DPO untuk organisasi mana pun yang memproses atau menyimpan data pribadi dalam jumlah besar, baik untuk karyawan, individu di luar organisasi, atau keduanya. DPO harus “ditunjuk untuk semua otoritas publik, dan jika aktivitas inti pengontrol atau pemroses melibatkan 'pemantauan subjek data secara teratur dan sistematis dalam skala besar' atau jika entitas melakukan pemrosesan skala besar atas 'kategori khusus data pribadi data,'” seperti yang merinci ras atau etnis atau keyakinan agama.

Pengontrol Data dan Pengolah Data

Anggota tim pemasaran digital juga harus terbiasa dengan peran Pengontrol Data dan Pemroses Data. Sangat penting untuk memahami dalam skenario mana mereka adalah Pengontrol Data, atau Pemroses Data.

Pengontrol Data dapat didefinisikan sebagai:

Orang atau badan yang menentukan tujuan dan cara pemrosesan data pribadi. Dalam bahasa Inggris biasa, Anda memutuskan untuk apa data itu – dan apa yang akan terjadi padanya.

Pemroses Data dapat didefinisikan sebagai:

Seseorang atau badan yang terpisah dari pengontrol data (yaitu bukan karyawan) dan yang memproses data pribadi atas nama pengontrol data tersebut. Dengan kata lain, pengontrol memberi prosesor tugas khusus untuk dilakukan – dan prosesor melakukannya.

Penting bagi pemasar digital untuk mengetahui kapan mereka memainkan salah satu atau kedua peran ini setiap kali mereka berurusan dengan data dalam peran mereka.

Kepentingan bisnis yang sah

“Kepentingan bisnis yang sah” berarti harus ada alasan yang jelas bagi bisnis untuk mengumpulkan dan memproses data tertentu tentang subjek data. Misalnya, ini bisa berupa nama dan alamat rumah pelanggan untuk bisnis pengiriman pizza. Hanya karena seseorang memesan pizza tidak secara otomatis berarti bahwa informasi ini sah digunakan untuk tujuan pemasaran langsung – misalnya, mengirimkan selebaran kepada mereka. Meneruskan informasi ini kepada pihak ketiga tanpa kepentingan yang sah juga kemungkinan akan dianggap sebagai pelanggaran terhadap GDPR.

Alasan pengumpulan dan pemrosesan tidak boleh melanggar hak apa pun dari orang perseorangan. Sebagai pemasar digital, Anda harus mempertimbangkan dengan cermat: data apa yang dikumpulkan, dan mengapa?

Karena alasan ini, persetujuan rekaman merupakan persyaratan yang sangat penting dari GDPR. Persetujuan harus diberikan secara bebas, tidak ambigu, jelas, dan transparan kepada subjek data. Tidak boleh ada tumpukan legalese yang panjang dan membingungkan untuk mereka baca. Persetujuan harus dicatat dengan benar. Juga, rute untuk berhenti berlangganan harus sesederhana – dan jelas – untuk subjek data.

GDPR dan peran pemasaran

Manajer lini dan manajemen senior juga diharapkan mengetahui cara kerja lengkap dan dampak GDPR pada tim mereka secara keseluruhan, dan kontributor individu.

Mempertimbangkan tim pemasaran digital rata-rata, apa saja peran dan tugas utama yang harus disadari oleh kontributor individu, dan manajer mereka:

Pengembang

• Formulir situs web disiapkan dengan benar.
• Plugin situs web sesuai.
• Platform situs web aman.
• CMS terintegrasi dengan benar.
  

Analis data

• Alat analisis sesuai.
• Integrasi digunakan jika memungkinkan untuk mencegah ekspor data ke komputer.
  

Desainer grafis

• Informasi perusahaan khusus internal tidak digunakan pada grafik yang menghadap ke publik.
• Data pelanggan yang digunakan untuk konten yang dapat diakses publik harus telah menandatangani dan mencatat persetujuan eksplisit.
  

Copywriter

• Informasi perusahaan khusus internal tidak digunakan pada konten yang terbuka untuk publik.
• Data pelanggan yang digunakan untuk konten yang dapat diakses publik harus telah menandatangani dan mencatat persetujuan eksplisit.
• Kontraktor tidak boleh memiliki akses tidak sah ke data CMS.
  

PR

• Dapatkan, rekam, dan pertahankan persetujuan dari kontak media untuk mengirim materi.
• Mempersiapkan komunikasi pelanggaran data.
• Pertahankan merek yang dapat dipercaya terkait pengelolaan data.
  

Acara

• Dapatkan, catat, dan pertahankan persetujuan dari pengunjung stan sebelum menambahkannya ke CRM untuk pemasaran Anda.
• Periksa syarat dan ketentuan daftar peserta acara. (Apakah peserta mengetahui bahwa mereka mendaftar untuk menerima komunikasi dari organisasi Anda, dan komunikasi apa yang sesuai dengan harapan tersebut?)
• Tinjau kebijakan aplikasi dan layanan pihak ketiga mana pun yang Anda gunakan untuk menjalankan atau menghadiri acara. (Siapa yang memiliki data, dan apakah aman?)
  

Pemasaran digital

• Penilaian dampak privasi (PIA) pada semua proses dan proyek

Data sensitif

Bergantung pada industrinya, beberapa pemasar digital akan memiliki tuntutan yang lebih ketat daripada yang lain terkait regulasi GDPR.

Ini termasuk:

• Kesehatan
• Keuangan atau fintech
• Pelayanan publik
• Organisasi yang menangani data seseorang di bawah usia 16 tahun
• Organisasi yang mengumpulkan data PII yang sensitif dan rentan.

Semua organisasi ini memerlukan kepatuhan terhadap kebijakan privasi data dan perlindungan data yang paling ketat

Tanggung jawab bagian pemasaran

Jadi, apa tanggung jawab tim pemasaran digital untuk mencatat, memelihara, dan melaporkan data terkait GDPR?

Ini termasuk:

Menentukan dan merekam keikutsertaan dan keikutsertaan email
Rancang alur keikutsertaan dan keikutsertaan yang jelas di mana persetujuan dapat ditafsirkan secara jelas; pastikan bahwa memilih keluar semudah dan sejelas memilih ikut serta.

Standarisasi bagaimana kontak baru masuk ke CRM melalui semua jalur pemasaran
Pahami setiap proses penerimaan data CRM di bawah yurisdiksi tim pemasaran, dan pastikan bahwa dalam kasus warga negara UE, setiap proses memiliki pedoman yang jelas seputar persetujuan.

Menguraikan proses menghormati permintaan dan penghapusan subjek data
Lakukan uji coba permintaan subjek data dan permintaan penghapusan data; perbaiki dan dokumentasikan prosesnya, dan latih anggota tim yang relevan.

Mengkomunikasikan pelanggaran data
Pahami kerangka waktu di mana Anda harus menerbitkan pemberitahuan tentang pelanggaran data, dan miliki templat komunikasi yang telah disetujui sebelumnya untuk skenario krisis.

Menjaga agar Halaman Privasi dan Halaman Syarat & Ketentuan situs web selalu terbarui
Secara berkala, mintalah DPO, tim TI, dan pakar hukum untuk meninjau dokumentasi penggunaan data Anda yang dapat diakses publik.

Memeriksa dan menyetujui bagaimana data CRM digunakan untuk tujuan pemasaran secara internal dan eksternal
Pastikan bahwa anggota tim Anda memiliki izin yang sesuai untuk akses data dalam alat yang mereka gunakan dan bahwa mereka mengetahui apa yang dapat dan tidak dapat digunakan untuk data yang mereka akses dalam pemasaran. Memiliki kebijakan yang ditetapkan terkait pemasaran bersama atau pemasaran mitra, di mana subjek data dilindungi sesuai dengan peraturan GDPR.

Memahami peraturan GDPR, praktik terbaik, dan bagaimana Anda dapat mematuhinya secara etis sangat penting untuk peran Anda sebagai profesional pemasaran digital.