GDPR Akan Datang: Cara Mempersiapkan

Catatan: Ini hanya untuk tujuan informasi umum dan tidak dimaksudkan sebagai analisis hukum atau nasihat hukum. Anda harus menghubungi pengacara untuk mengetahui lebih lanjut tentang kewajiban khusus Anda berdasarkan GDPR.

Jika Anda adalah bagian dari organisasi yang melakukan bisnis dengan warga negara Uni Eropa, Anda mungkin pernah mendengar tentang perubahan mendatang yang melibatkan Peraturan Perlindungan Data Umum (GDPR). GDPR adalah undang-undang Uni Eropa yang dimaksudkan untuk memperkuat dan menyatukan aturan dan hak perlindungan data untuk kepentingan warga negara Uni Eropa. GDPR berlaku untuk organisasi UE dan untuk organisasi non-UE (dalam ukuran apa pun) yang menyediakan barang dan layanan ke UE atau yang menggunakan teknologi pelacakan (seperti cookie atau piksel pelacakan) untuk memantau perilaku pengguna UE.

GDPR akan diberlakukan mulai 25 Mei 2018.

Pada saat itu, setiap organisasi yang tidak patuh dapat dikenakan denda dan sanksi peraturan lainnya. Untuk ikhtisar GDPR, artikel ini adalah tempat yang bagus untuk memulai.

Prinsip Utama GDPR

Ingatlah prinsip-prinsip berikut saat Anda dan tim Anda bersiap untuk GDPR mendatang:

• Data pribadi yang dikumpulkan perlu diproses dengan cara yang adil, legal, dan transparan. Itu tidak boleh digunakan dengan cara apa pun yang tidak diharapkan seseorang secara wajar.
• Data pribadi hanya boleh dikumpulkan untuk memenuhi tujuan tertentu dan tidak digunakan lebih lanjut dengan cara yang tidak sesuai dengan tujuan tersebut. Organisasi harus menentukan mengapa mereka membutuhkan data pribadi saat mereka mengumpulkannya.
• Data pribadi yang disimpan harus selalu diperbarui dan akurat. Itu harus diadakan tidak lebih lama dari yang diperlukan untuk memenuhi tujuannya.
• Warga negara Uni Eropa memiliki hak untuk mengakses data pribadi mereka sendiri. Mereka juga dapat meminta salinan data mereka, dan agar data mereka diperbarui, dihapus, dibatasi, atau dipindahkan ke organisasi lain tanpa hambatan.
• Semua data pribadi perlu disimpan dengan aman, dan perusahaan yang melakukan jenis aktivitas tertentu sekarang diharuskan untuk menunjuk petugas perlindungan data.

Apa itu Data Pribadi?

Definisi GDPR tentang data pribadi mencakup apa yang biasanya kami anggap sebagai informasi pengenal pribadi (PII)—nama, nomor paspor, tanggal lahir, dll.—tetapi, ini juga mencakup data yang mungkin kami anggap non-PII, seperti alamat IP atau perangkat ID.

Data pribadi bahkan dapat mencakup data tentang individu yang telah di-hash atau dienkripsi.

Untuk daftar lengkap tentang apa yang dianggap GDPR sebagai data pribadi, harap baca Pasal 4(1) GDPR.

Selain itu, yang termasuk dalam definisi data pribadi adalah subset data yang dikenal sebagai “kategori khusus data pribadi”. Kategori khusus data pribadi adalah daftar data tertentu, yang secara tegas ditetapkan dalam GDPR, dan mencakup hal-hal seperti ras, agama, opini politik, data kesehatan, dll.

Langkah-langkah untuk Mempersiapkan GDPR

Pemetaan Data – Tentukan (dan dokumentasikan) hal-hal berikut:

• Data pribadi apa yang Anda miliki atau kumpulkan?
• Untuk tujuan apa data pribadi digunakan?
• Dari mana data ini berasal, dan dengan pihak mana data tersebut dibagikan?
• Di mana data ini saat ini berada?
• Berapa lama data disimpan?
• Bagaimana data ini akan dihapus atau diubah jika subjek data mengajukan permintaan?

Hak – Periksa prosedur Anda saat ini untuk memastikan bahwa Anda dapat mematuhi hak subjek data. Warga negara Uni Eropa memiliki hak untuk mengakses data pribadi mereka sendiri. Mereka juga dapat meminta salinan data mereka, dan agar data mereka diperbarui, dihapus, dibatasi, atau dipindahkan ke organisasi lain tanpa hambatan, dalam keadaan tertentu.

Persetujuan – Saat mengandalkan persetujuan sebagai dasar untuk memproses data pribadi, perhatikan cara Anda mengejar, memperoleh, dan mendokumentasikan persetujuan. Untuk jenis aktivitas tertentu (tetapi tidak semua), persetujuan umumnya harus diperoleh dari individu untuk menggunakan data mereka – misalnya, saat memproses kategori khusus data pribadi. GDPR menyatakan bahwa persetujuan harus diberikan dengan tindakan afirmatif yang jelas—diam, kotak yang dicentang sebelumnya, atau tidak aktif biasanya bukan merupakan persetujuan. Persetujuan juga harus diberitahukan.

Organisasi harus memberikan informasi tentang mengapa mereka mengumpulkan data pribadi dan akan digunakan untuk apa.

Anda juga akan diminta untuk menyimpan catatan semua persetujuan yang diperoleh, termasuk siapa yang memberikan persetujuan, kapan, dan pernyataan spesifik apa yang mereka setujui. Individu UE akan memiliki hak untuk menarik persetujuan kapan saja.

Kebijakan Privasi – Tinjau kebijakan privasi Anda saat ini dan tentukan apakah ada pembaruan yang diperlukan.

Desain Produk – Anda harus membangun privasi dengan desain ke dalam proyek dan mempertimbangkan bagaimana Anda dapat meminimalkan dampak privasi produk Anda. Cobalah untuk menggunakan nama samaran, anonimisasi, dan enkripsi jika sesuai atau diperlukan. Informasi lebih rinci tentang privasi berdasarkan desain dapat ditemukan di Pasal 25 GDPR.

Prosedur Pelanggaran Data – Pastikan Anda memiliki prosedur untuk mendeteksi, melaporkan, dan menyelidiki pelanggaran data apa pun. GDPR mengharuskan organisasi untuk melaporkan pelanggaran kepada otoritas perlindungan data secara umum dalam waktu 72 jam setelah terdeteksi, kecuali jika pelanggaran tersebut tidak mungkin mengakibatkan risiko terhadap hak privasi individu.

Petugas Perlindungan Data – Tentukan apakah Anda harus menunjuk petugas perlindungan data (DPO). GDPR menyatakan bahwa DPO harus ditunjuk ketika aktivitas inti organisasi melibatkan "pemantauan subjek data secara teratur dan sistematis dalam skala besar" atau saat organisasi melakukan pemrosesan "kategori khusus data pribadi" skala besar. DPO bertanggung jawab untuk mengawasi kepatuhan terhadap persyaratan GDPR dan berfungsi sebagai titik kontak antara organisasi dan otoritas pengawas.

Penyedia Pihak Ketiga – Buat daftar semua solusi pihak ketiga yang saat ini Anda gunakan (termasuk cookie pelacakan situs web) yang memiliki akses ke atau memproses data pribadi subjek data. Anda harus meninjau semua kontrak Anda dengan penyedia pihak ketiga. Sertakan klausul kerahasiaan dan privasi data dalam kontrak Anda yang, jika perlu, sesuai dengan GDPR. Tanyakan kepada penyedia pihak ketiga yang telah Anda tentukan berada dalam cakupan apakah mereka mematuhi peraturan GDPR.

Kesadaran – Mendidik karyawan Anda tentang GDPR dan dampaknya terhadap pengumpulan dan penanganan data pribadi pelanggan.

Bagaimana dengan Perisai Privasi?

GDPR memiliki persyaratan khusus terkait transfer data pribadi di luar UE.

Misalnya, transfer data hanya boleh terjadi di negara-negara yang telah ditetapkan memiliki undang-undang perlindungan data yang memadai atau di mana Anda telah menerapkan mekanisme ekspor data yang sesuai.

UE tidak menganggap AS memiliki undang-undang perlindungan data yang memadai – namun, Privacy Shield adalah program sertifikasi mandiri sukarela yang dapat diikuti oleh organisasi AS untuk menunjukkan bahwa mereka memiliki praktik perlindungan data yang memadai untuk memenuhi persyaratan GDPR ini .

SendGrid bersertifikat Privacy Shield dan juga menawarkan Klausul Kontrak Standar kepada pelanggan sebagai mekanisme ekspor data alternatif.

Bagaimana Ini Mempengaruhi Email?

GDPR akan berdampak pada praktik pemasaran. Semua pemasar email yang terkait dengan GDPR perlu membahas cara mereka mengejar, memperoleh, dan mendokumentasikan persetujuan jika diperlukan. Pemasar juga ingin memastikan bahwa mereka dapat memperbarui, menghapus, membatasi, atau memindahkan data individu jika diminta. Dengan mematuhi GDPR dan menghapus alamat email subjek yang tidak diinginkan dari daftar Anda, Anda dapat meningkatkan kemampuan pengiriman Anda!

Apa selanjutnya?

Jika Anda yakin bahwa organisasi Anda akan terpengaruh oleh GDPR, hubungi pengacara untuk mengetahui lebih lanjut tentang kewajiban khusus Anda berdasarkan GDPR. Tujuan posting ini adalah untuk menyoroti beberapa perubahan yang mungkin terjadi pada organisasi sebagai akibat dari GDPR. Teks lengkap GDPR tersedia di sini. Anda juga dapat menemukan informasi lebih lanjut terkait penggunaan cookie, Peraturan E-Privasi, dan bagaimana kaitannya dengan GDPR di sini.