Apa itu GDPR dan bagaimana pengaruhnya terhadap bisnis Anda?

Melihat GDPR dan bagaimana platform manajemen izin dapat memengaruhi bisnis Anda adalah sesuatu yang harus kita semua lakukan. Medan pertempuran seputar persetujuan pelanggan versus kepentingan yang sah adalah medan pertempuran yang sengit. Ketika Inggris meloloskan standar GDPR tentang bagaimana perusahaan dapat mengumpulkan dan memproses data konsumen, hal itu mengirimkan gelombang kejutan ke seluruh dunia. Namun, itu hanya standar pertama. Kanada telah mengeluarkan standarnya sendiri, seperti halnya negara bagian California .

Apa itu GDPR?

GDPR didefinisikan: GDPR adalah singkatan dari General Data Protection Regulation. Ini adalah undang-undang privasi dan keamanan data terberat di dunia. Meskipun dirancang dan ditandatangani menjadi undang-undang oleh Uni Eropa (UE), GDPR memikul tanggung jawab hukum yang berat bagi organisasi di seluruh dunia jika mereka mengumpulkan data yang terkait dengan warga negara UE. GDPR mulai berlaku pada 25 Mei 2018.

Segera, pembaruan untuk sistem operasi Apple dan Google akan semakin menganonimkan data, sehingga mempersulit perusahaan untuk memahami bagaimana pengguna menemukan situs mereka untuk memulai. Hal ini membuat Facebook sangat prihatin , mengingat pendorong pendapatan utamanya adalah produk iklannya – dan tanpa atribusi yang tepat, perusahaan tidak akan dapat mengetahui seberapa efektif iklan di Facebook, atau properti lainnya seperti Instagram, sebenarnya. Ini akan segera menjadi dasar bahwa semua perusahaan menggunakan platform manajemen persetujuan.

Dampak Peraturan Perlindungan Data Umum (GDPR) untuk bisnis online

Namun untuk saat ini, mari kita lihat GDPR, kebijakan privasi data konsumen yang asli. Semua yang lain menggunakan bahasa dan kasus penggunaan yang serupa, menjadikan GDPR sebagai kebijakan standar. Ada dua bagian khusus yang perlu diketahui pemasar dengan dokumentasi GDPR:

• Pasal 6(1)(a) GDPR – Persetujuan sebagai dasar yang sah untuk memproses data: Subjek data telah memberikan persetujuan untuk pemrosesan data pribadinya untuk satu atau beberapa tujuan tertentu;
• Pasal 6(1)(f) GDPR – Pemrosesan diperlukan untuk tujuan kepentingan sah yang dikejar oleh pengontrol atau oleh pihak ketiga, kecuali jika kepentingan tersebut ditimpa oleh kepentingan atau hak dan kebebasan dasar subjek data yang memerlukan perlindungan data pribadi, khususnya jika subjek datanya adalah anak-anak.

Kedua artikel tersebut menguraikan apa yang dikenal sebagai pengumpulan persetujuan dan pengumpulan kepentingan yang sah. Mari kita pastikan Anda mendapatkan pemahaman yang baik tentang keduanya.

Bagaimana organisasi Anda dapat mematuhi GDPR: Memilah persetujuan pelanggan sekali dan untuk semua

Menjadi patuh GDPR bergantung pada persetujuan pelanggan.

Persetujuan pelanggan dianggap sebagai standar emas pengumpulan data: Seorang konsumen harus mengklik tombol (yang tidak dapat diisi sebelumnya) untuk mengatakan bahwa mereka setuju untuk memberikan informasi mereka kepada perusahaan. Platform manajemen persetujuan menyederhanakan proses mengamankan persetujuan.

Anda pasti pernah melihat ini di berbagai situs yang baru saja Anda kunjungi. Berikut ini contoh dari situs web Future of Commerce SAP:

Persetujuan pelanggan mengharuskan pelanggan – masing-masing dan setiap individu – untuk secara fisik menyetujui pengumpulan dan pemrosesan data mereka.

Memang, kebijakan SMS TCPA memerlukan sesuatu yang serupa untuk pemasaran pesan teks.

Sama seperti persyaratan persetujuan pelanggan untuk tidak mencentang kotak dan meminta persetujuan fisik, kebijakan TCPA juga memerlukan persetujuan fisik untuk mengirim pesan teks, dan persetujuan tersebut tidak dapat dicentang sebelumnya. Selanjutnya, bahasa untuk perjanjian harus menyertakan informasi tentang seberapa sering pengguna akan menerima pesan terkirim, dan cara berhenti berlangganan dan menghentikan semua pesan.

GDPR tidak sendirian dalam persyaratan ini untuk proses persetujuan yang lebih manual. Organisasi dapat memilih untuk menunggu, tetapi kebutuhan akan platform manajemen persetujuan adalah tulisan di dinding GDPR.

Cara membuat kebijakan privasi yang sesuai dengan GDPR dan menentukan kepentingan yang sah

Minat yang sah lebih merupakan area abu-abu dalam GDPR, dan akibatnya, banyak pemasar lebih menyukainya. Menambahkan persyaratan untuk perjanjian manual untuk pengumpulan data menambah gesekan ke situs web, dan gesekan dapat sangat mengurangi konversi. Dapat dimengerti bahwa mungkin ada penolakan untuk menerapkan platform manajemen persetujuan, namun, pada akhirnya, itu akan menjadi sesuatu yang menambah nilai bagi konsumen dan perusahaan.

Information Commissioner's Office (ICO), otoritas independen berbasis di Inggris Raya yang memandu bisnis tentang cara menerapkan undang-undang privasi data Inggris seperti GDPR , telah menawarkan panduan bagi perusahaan tentang cara membuat kebijakan privasi yang sesuai dengan GDPR dan menafsirkan kepentingan yang sah. ICO menjelaskan :

1. Pemrosesan tidak diwajibkan oleh hukum tetapi jelas bermanfaat bagi Anda atau orang lain;
2. Ada dampak privasi yang terbatas pada individu;
3. Individu tersebut seharusnya mengharapkan Anda untuk menggunakan data mereka dengan cara itu; dan
4. Anda tidak dapat, atau tidak ingin, memberikan kontrol penuh di muka kepada individu tersebut (yaitu persetujuan) atau mengganggu mereka dengan permintaan persetujuan yang mengganggu ketika mereka tidak mungkin menolak pemrosesan.

Hal ini membuat kepentingan yang sah jauh lebih fleksibel daripada persetujuan pelanggan.

Kapan harus menggunakan persetujuan vs. kepentingan yang sah: Penilaian kepentingan yang sah dan praktis

Berdasarkan rincian persetujuan versus kepentingan yang sah sejauh ini, Anda mungkin berpikir bahwa lebih mudah menggunakan kepentingan yang sah dalam semua kasus. Itu belum tentu benar. Faktanya, ICO telah menjelaskan bahwa Anda tidak dapat menggunakan bunga yang sah sebagai metode pengumpulan default untuk perusahaan Anda.

Meskipun minat yang sah adalah konsep yang fleksibel dan sering kali relevan, itu tidak berlaku untuk semua hal dan Anda tidak dapat menggunakannya sebagai dasar default untuk semua pemrosesan Anda.

Inilah sebabnya mengapa sebagian besar situs web meminta persetujuan setelah Anda mendarat di situs tersebut. Platform manajemen izin membuat proses itu mulus.

Jadi, kapan Anda bisa menggunakan bunga yang sah? Untungnya, ICO menawarkan tes tiga bagian untuk menentukan apakah minat yang sah dapat diterapkan untuk proyek, situs web, dll.

1. Uji tujuan – apakah ada kepentingan yang sah di balik pemrosesan? Di bawah uji tujuan, Anda perlu bertanya pada diri sendiri apakah pengumpulan data itu etis, legal, dan untuk kepentingan perusahaan Anda dan konsumen. Dan kemudian, Anda perlu menyatakan dengan jelas tujuan di balik keinginan untuk memproses data tersebut tanpa persetujuan (atau berdasarkan kepentingan yang sah).
2. Uji kebutuhan – apakah pemrosesan diperlukan untuk tujuan itu? Dengan menggunakan uji kebutuhan, Anda perlu menunjukkan bahwa tidak ada cara lain yang kurang invasif untuk mencapai tujuan Anda, dan memastikan bahwa pemrosesannya proporsional untuk mencapai tujuan Anda.
3. Uji keseimbangan – apakah kepentingan yang sah ditimpakan oleh kepentingan, hak, atau kebebasan individu? Terakhir, di bawah uji keseimbangan, Anda perlu memastikan bahwa pemrosesan data tidak melanggar hak dan kebebasan individu.

Baiklah – jadi, tes tiga bagian ini tidak terlalu membantu. Mari kita lihat beberapa contoh saja.

Menerapkan tes tiga bagian: Contoh minat yang sah GDPR

Skenario berikut ditawarkan oleh ICO dalam dokumentasi mereka untuk membantu perusahaan lebih memahami bagaimana menerapkan tes tiga bagian dan pada akhirnya pengumpulan data dan praktik informasi mana yang digunakan.

Kasus amal.

Sebuah badan amal ingin mengirim materi penggalangan dana melalui pos kepada individu yang telah menyumbang kepada mereka di masa lalu tetapi sebelumnya tidak keberatan menerima materi pemasaran dari mereka.

Tujuan amal pemasaran langsung untuk mencari dana untuk memajukan tujuannya adalah kepentingan yang sah.

Badan amal kemudian melihat apakah pengiriman surat diperlukan untuk tujuan penggalangan dana. Ini memutuskan bahwa perlu untuk memproses rincian kontak untuk tujuan ini dan bahwa pengiriman adalah cara yang proporsional untuk mendekati individu untuk sumbangan.

Badan amal tersebut mempertimbangkan uji keseimbangan dan mempertimbangkan bahwa sifat data yang sedang diproses adalah nama dan alamat saja dan bahwa masuk akal bagi individu-individu ini untuk berharap bahwa mereka dapat menerima materi pemasaran melalui pos mengingat hubungan mereka sebelumnya.

Badan amal menentukan bahwa dampak pengiriman penggalangan dana pada orang-orang ini kemungkinan kecil, tetapi itu mencakup perincian dalam pengiriman (dan setiap pengiriman berikutnya) tentang bagaimana individu dapat memilih untuk tidak menerima pemasaran pos di masa mendatang.

Kasus seminar bisnis GDPR.

Individu menghadiri seminar bisnis dan penyelenggara mengumpulkan kartu nama dari beberapa delegasi.

Penyelenggara menentukan bahwa mereka memiliki kepentingan yang sah dalam jaringan dan pertumbuhan bisnis mereka. Mereka juga memutuskan bahwa pengumpulan rincian kontak delegasi dari kartu nama diperlukan untuk tujuan ini.

Setelah mempertimbangkan tujuan dan kebutuhan, penyelenggara kemudian menilai bahwa saldo mendukung pemrosesan mereka karena masuk akal bagi delegasi yang menyerahkan kartu nama untuk mengharapkan detail kontak bisnis mereka akan diproses, dan dampaknya terhadap mereka akan rendah. Penyelenggara juga memastikan bahwa itu akan memberikan informasi privasi kepada delegasi termasuk rincian hak mereka untuk menolak. Penyelenggara kemudian menyusun detail kontak delegasi dan menambahkannya ke database kontak bisnis mereka.

Tidak ada celah kepentingan yang sah: Ini tentang praktik data etis

Di pagar tentang apa yang harus digunakan? Mulailah dengan standar persetujuan emas. Dari sana, kembangkan ke minat yang sah tetapi selalu lakukan yang terbaik untuk menjelaskan di muka data apa yang akan dikumpulkan dan untuk tujuan apa. Terakhir, selalu izinkan penerima materi pemasaran untuk memilih keluar dari daftar informasi yang dikirim – bahkan jika informasi tersebut didasarkan pada persetujuan atau kepentingan yang sah. Mulailah membangun platform manajemen izin dengan menetapkan bagaimana perusahaan Anda akan memperlakukan izin dan data sebagai praktik.

Dengan kata lain, perlakukan data konsumen seperti Anda ingin data Anda diperlakukan. GDPR mengharuskan perusahaan untuk berpikir lebih keras tentang data apa yang mereka kumpulkan, jika perlu, dan bagaimana melakukannya dengan cara yang etis.

Beberapa perusahaan membawa standar ini ke tingkat yang baru dan menggunakan pengumpulan data etis dan transparansi sebagai taktik pemasaran dengan hak mereka sendiri. Mari kita lihat Lush misalnya. Mereka telah menjadikan Etika Data sebagai pilar nilai-nilai perusahaan mereka.

“Sekarang, lebih dari sebelumnya, orang-orang menyadari betapa berharganya data pribadi mereka. Dalam bentuknya yang paling ringan, itu adalah tweet yang Anda posting, foto yang Anda unggah, orang-orang yang Anda DM. Dalam bentuknya yang paling gelap, ini adalah pelacak identitas Anda, sebuah algoritme yang memutuskan apakah Anda harus berada dalam daftar pembunuhan. Kami percaya bahwa Privasi Data adalah hak asasi manusia yang mendasar. Kebijakan data etis adalah tentang memastikan bahwa semua staf Lush dan data pelanggan aman dan transparan. Pelanggan dan staf kami memiliki hak untuk mengetahui apa yang kami pegang tentang mereka.”

Karena semakin banyak negara, negara bagian, dan sejenisnya mengadopsi standar tipe GDPR, kemungkinan besar kita akan melihat semakin banyak perusahaan yang mengadopsi praktik terbaik etika digital sebagai nilai internal, dan kemudian menggunakannya sebagai pakan pemasaran. Ini adalah tujuan ideal dari kebijakan privasi dan perlindungan data konsumen. Mengintegrasikan platform manajemen persetujuan adalah investasi transparan dalam menghormati pelanggan Anda.