Cara Membuat Situs Web Anda Sesuai dengan GDPR

Banyak pengguna kami bertanya kepada kami tentang GDPR: apa artinya? Untuk siapa dan untuk apa itu berlaku? Bagaimana pengaruhnya terhadap saya sebagai bisnis? Kami tahu bahwa meskipun banyak informasi beredar di internet, sebagian dari informasi ini mungkin tidak lengkap, tidak benar, atau menyesatkan.

Inilah sebabnya mengapa kami menghubungi salah satu firma hukum terkemuka Inggris, Fladgate, sebuah firma yang berspesialisasi dalam kekayaan intelektual. Mereka cukup baik untuk menawarkan jawaban yang lengkap dan profesional tentang masalah ini, termasuk dalam posting ini.

Di bawah ini Anda akan menemukan panduan GDPR yang dapat dibaca dan mudah dipahami, yang berkaitan dengan topik yang relevan untuk pembuat situs Elementor. Ini dirancang dalam tulisan hukum, jadi sedikit berbeda dari istilah blog kami yang biasa, tetapi kami percaya ini adalah cara terbaik (dan satu-satunya) untuk memahami aturan GDPR dengan jelas. Kami ingin mengucapkan terima kasih kepada Eddie Powell dari Fladgate, karena telah menyusun dan mengklarifikasi pedoman yang rumit dan komprehensif ini untuk komunitas kami.

Pertanyaan yang dijawab dalam posting ini meliputi:

Apa itu GDPR dan mengapa itu penting?

Apa aturan dasar GDPR?

Data pribadi mana yang dapat saya gunakan dan bagaimana cara menggunakannya?

Dapatkah saya mentransfer data pribadi ke pihak ketiga?

Hak apa yang dimiliki individu terhadap bisnis?

Bagaimana saya, sebagai pemilik bisnis, harus melindungi data pribadi di situs web saya?

GDPR adalah singkatan dari Peraturan Perlindungan Data Umum. Ini adalah seperangkat aturan baru yang dirumuskan oleh UE yang mengatur cara bisnis menyimpan dan menggunakan data pribadi individu.

Kebanyakan orang telah mendengar tentang denda yang dapat dikenakan pada bisnis yang melanggar aturan. Ini bisa mencapai €20 juta atau untuk grup perusahaan besar, 4% dari omset global grup, yang bisa menjadi jumlah uang yang sangat besar.

Lebih penting lagi, publisitas yang terkait dengan kegagalan untuk mematuhi aturan Perlindungan Data dapat secara signifikan merusak reputasi bisnis, dan menyebabkan pelanggan dan pemasok tidak mempercayainya. Selain itu, bisnis baru akan terpengaruh jika pelanggan tidak memercayai bisnis dengan informasi tersebut, dan hal itu akan mempertahankan standar privasi yang tinggi. Pelanggan ingin merasa memegang kendali atas informasi pribadi mereka.

Aturan berlaku untuk "data pribadi". Data pribadi mencakup hal-hal yang jelas seperti nama orang, alamat dan detail kontak, dll. Ini juga akan mencakup daftar alamat email tempat Anda dapat mengidentifikasi individu dari alamat mereka (misalnya [dilindungi email] – Anda dapat mengetahui bahwa Bob Smith bekerja di Universal Widget) dan alamat IP. Informasi akan berhenti menjadi data pribadi jika Anda menganonimkannya sehingga Anda tidak akan pernah bisa mengetahui siapa seseorang dari kumpulan informasi tersebut.

GDPR mengatakan Anda tidak bisa hanya mengumpulkan, menyimpan, menggunakan, dan mentransfer data pribadi ini (semua ini disebut "pemrosesan") hanya karena data tersebut disimpan di sistem bisnis Anda. Anda harus memikirkan apa yang ingin Anda lakukan dan menerapkan aturan.

Anda harus memiliki salah satu dari 6 alasan yang ditentukan oleh GDPR. Yang utama untuk tujuan kami adalah:

• melakukan kontrak dengan individu atau menggunakan informasi untuk membuat kontrak;
• mematuhi kewajiban hukum (bukan kontrak dengan perusahaan lain) yang menjadi tujuan bisnis – seperti kepatuhan terhadap aturan anti pencucian uang atau pencegahan kejahatan;
• di mana individu telah memberikan persetujuan mereka (yang harus spesifik, terinformasi dan tidak ambigu) untuk apa yang ingin Anda lakukan dengan informasi mereka; dan
• di mana pemrosesan yang ingin Anda lakukan diperlukan untuk kepentingan sah bisnis, tetapi seimbang dengan hak dan kepentingan individu yang bersangkutan, yang akan tertarik dengan privasi mereka.

Ada aturan khusus di mana Anda berurusan dengan anak-anak di mana Anda harus memverifikasi persetujuan mereka dengan orang tua mereka. Ada juga aturan khusus untuk menangani informasi tentang hukuman pidana orang dan untuk apa yang disebut undang-undang "kategori khusus" yang mencakup informasi tentang:

• Kesehatan
• etnis
• Orientasi seksual
• Keyakinan politik
• Agama
• Keanggotaan serikat pekerja
• Data genetik dan biometrik.

Perlu juga diingat bahwa ada aturan khusus (bukan bagian dari GDPR) untuk pemasaran email dan SMS – jangan berasumsi bahwa karena Anda memiliki alamat email atau detail kontak seseorang, Anda boleh mengirim komunikasi pemasaran melalui saluran ini kepada mereka. Anda harus memberi mereka kemampuan untuk memilih keluar dari komunikasi ini saat Anda mengumpulkan informasi, dan selalu menyertakan kemampuan bagi mereka untuk ingin berhenti berlangganan komunikasi pemasaran di masa mendatang.

Jika Anda ingin menggunakan data pribadi untuk sesuatu, seperti implementasi perangkat lunak baru, proyek basis data baru, atau untuk memberikan layanan yang lebih personal kepada pelanggan, sangatlah penting untuk tidak hanya berasumsi bahwa boleh saja mengambil data pribadi yang ada yang mungkin pada sistem bisnis dan menggunakannya. Anda perlu memikirkan dasar-dasar yang telah dibahas di atas dan, khususnya, memikirkan apakah mungkin ada data kategori khusus yang mungkin disertakan, karena aturan tentang ini jauh lebih ketat.

Jika Anda mengumpulkan informasi lebih lanjut untuk tujuan yang Anda nyatakan, maka pastikan Anda hanya mengumpulkan apa yang benar-benar Anda butuhkan. Jangan meminta individu untuk memberikan lebih dari yang dibutuhkan bagi Anda untuk mencapai tujuan yang telah diberitahukan kepada mereka.

Individu perlu diberitahu dalam istilah yang sangat jelas tentang apa yang terjadi dengan informasi pribadi mereka. Ini termasuk:

• rincian perusahaan Anda dan rincian kontak;
• apa tujuan dari pengolahan data;
• kepada siapa Anda akan mengirim data;
• apakah Anda bermaksud mengekspor data ke negara lain;
• berapa lama Anda akan menyimpan data; dan
• informasi tentang hak untuk menarik persetujuan dan hak lain yang timbul berdasarkan GDPR.

Informasi ini harus diberikan berdasarkan GDPR saat informasi dikumpulkan atau (jika informasi diterima secara tidak langsung) dalam waktu satu bulan setelah diterima. Bisnis Anda harus memiliki formulir standar yang memungkinkan Anda memberikan informasi ini – formulir tersebut harus selalu digunakan saat data pribadi baru dikumpulkan.

Setelah Anda memenuhi hal di atas, maka jalankan proyek yang Anda rencanakan, tetapi patuhi itu dan pastikan Anda menghapus data pribadi apa pun yang tidak diperlukan atau tidak dapat disimpan secara sah. Ingatlah bahwa jika Anda mengubah rencana atau memutuskan untuk melakukan sesuatu yang lain dengan data pribadi, Anda harus kembali ke langkah-langkah tersebut dan mengulang latihan.

Berhati-hatilah dalam menggunakan data pribadi yang dikumpulkan untuk digunakan oleh bisnis Anda dan sekarang Anda ingin meneruskannya ke pihak ketiga.

Anda perlu memikirkan langkah-langkah kepatuhan dasar di atas dan memastikan bahwa Anda telah memenuhi dasar hukum untuk pemrosesan dan individu tersebut telah diberikan semua informasi yang diperlukan tentangnya.

Jika penerima melakukan pekerjaan untuk Anda (seperti penyedia layanan penggajian) atas instruksi Anda, maka mereka akan menjadi "pemroses" Anda dan Anda harus memiliki kontrak tertulis dengan mereka yang mencakup jaminan tertentu tentang keamanan dan kepatuhan.

Sangat kecil kemungkinannya Anda akan dapat menerima atau mentransfer data “kategori khusus”, dan jika diperlukan, Anda harus memastikan bahwa Anda memeriksanya dengan tim kepatuhan bisnis Anda.

Ada juga aturan khusus jika Anda ingin memindahkan informasi ke negara yang berada di luar UE, di mana undang-undang tentang perlindungan data pribadi mungkin tidak seketat itu. Anda mungkin perlu menggunakan bentuk kontrak standar dengan bisnis atau organisasi yang akan menerima data pribadi atau membuat pengaturan lain yang akan memastikan bahwa hak individu dihormati.

GDPR memberi individu sejumlah hak terhadap bisnis yang menyimpan data pribadi mereka. Ini termasuk

• Rectification – setiap kesalahan atau ketidakakuratan harus diperbaiki;
• Akses – salinan data, dan rincian kegunaannya, harus disediakan;
• Penghentian pemrosesan – hentikan semua penggunaan data pribadi seseorang
• Penghapusan (hak untuk dilupakan) – penghapusan semua catatan tentang individu
• Portabilitas – transfer data pribadi yang disimpan dalam format yang dapat dibaca mesin ke individu atau ke penyedia lain.

GDPR tidak menentukan tingkat keamanan; itu hanya mengatakan bahwa bisnis harus memiliki tingkat keamanan teknologi dan organisasi yang memadai, sehingga perusahaan Anda akan memiliki prosedur keamanan yang dirancang untuk membantu Anda mematuhi persyaratan ini. Selalu patuhi mereka.

Ingat, bukan hanya serangan siber skala besar yang bisa menjadi pelanggaran keamanan data pribadi. Seringkali hal-hal kecil yang menyebabkan masalah terbesar seperti data pribadi yang tersimpan di perangkat seluler hilang, atau laptop tidak terenkripsi yang tertinggal di tempat umum. Salah satu penyebab terbesar hilangnya data pribadi adalah email tersesat karena pelengkapan otomatis memasukkan alamat email yang salah.

GDPR membebankan kewajiban pada bisnis untuk memberi tahu pihak berwenang tentang pelanggaran apa pun dalam keamanan, dan perusahaan Anda akan berkewajiban untuk menyimpan catatan pelanggaran apa pun, sekecil apa pun, sehingga manajemen dapat membuat keputusan tentang apa yang perlu diberitahukan . Pastikan bahwa setiap kehilangan yang melibatkan data pribadi, meskipun dengan cepat diperbaiki atau tidak mungkin menyebabkan kerusakan, dilaporkan sesuai dengan kebijakan perusahaan Anda.

Eddie Powell adalah partner dalam tim Commercial Sport and IP di Fladgate LLP solicitors di London. Untuk informasi lebih lanjut, lihat https://www.fladgate.com/lawyer/eddie-powell/

Langkah apa yang telah Anda ambil untuk membuat situs Anda mematuhi GDPR? Beri tahu kami di komentar di bawah.