Peraturan Perlindungan Data Umum (GDPR): Semua yang Perlu Anda Ketahui
Diterbitkan: 2018-04-02Tujuan utama dari Peraturan Perlindungan Data Umum (GDPR) yang baru adalah untuk memperkuat dan menggabungkan penanganan data pribadi dari berbagai negara anggota dan menyesuaikannya di bawah satu peraturan Uni Eropa (UE).
Saat ini, 28 negara anggota UE masing-masing memiliki peraturan perlindungan data mereka sendiri dan menerapkan undang-undang tersebut pada perdagangan internasional mereka, yang membuat pelaksanaan hak perlindungan data pribadi menjadi cukup sulit.
GDPR baru hadir dengan berbagai aturan yang berdampak pada semua perusahaan, terlepas dari ukuran atau sektornya, dan seringkali perlu dipersiapkan untuk fokus pada berbagai bidang bisnis mereka.
Peraturan baru tentang perlindungan individu sehubungan dengan pemrosesan dan sirkulasi gratis data pribadi mulai berlaku pada 25 Mei 2018, dua tahun setelah Peraturan 2016/679 disahkan oleh Parlemen Eropa dan Dewan. Dalam artikel ini, kami ingin membantu Anda memahami apa yang dapat dan tidak dapat Anda lakukan untuk memenuhi persyaratan peraturan baru ini dan meyakinkan Anda bahwa Benchmark, alat pemasaran email Anda, juga memenuhi persyaratan peraturan baru ini.
GDPR baru tidak menghilangkan undang-undang Perlindungan Data masing-masing negara anggota yang saat ini berlaku. Sebaliknya, ini membantu untuk menyinkronkan semua negara anggota UE. Beberapa keputusan masih akan dibuat di tingkat nasional untuk masing-masing negara anggota, namun perlu diingat bahwa pihak yang bertanggung jawab sekarang harus merujuk GDPR sebagai norma dan bukan peraturan Perlindungan Data negaranya sendiri .
Jika saat ini Anda memenuhi persyaratan Perlindungan Data untuk negara Anda, maka Anda sudah memiliki dasar yang baik. Namun, Anda masih perlu merevisi dan mengubah beberapa aspek untuk mematuhi peraturan baru.
Ada tiga poin utama yang perlu Anda ingat dengan strategi pemasaran email Anda, yaitu: persetujuan, akses, dan pengumpulan data.
Izin
Menurut pasal 4 (11), 'persetujuan' dari subjek data Sebagaimana dinyatakan dalam definisi, persetujuan pengguna harus tegas dan juga eksplisit. Kedua kata ini menghilangkan keraguan atau ambiguitas.
(32) Persetujuan harus diberikan dengan tindakan afirmatif yang jelas yang menetapkan indikasi persetujuan subjek data yang diberikan secara bebas, spesifik, terinformasi dan tidak ambigu untuk pemrosesan data pribadi yang berkaitan dengannya, seperti dengan pernyataan tertulis, termasuk melalui elektronik berarti, atau pernyataan lisan. Ini dapat mencakup mencentang kotak ketika mengunjungi situs web internet, memilih pengaturan teknis untuk layanan masyarakat informasi atau pernyataan atau perilaku lain yang secara jelas menunjukkan dalam konteks ini penerimaan subjek data atas pemrosesan yang diusulkan atas data pribadinya. Diam, kotak pra-centang atau tidak aktif karena itu tidak boleh merupakan persetujuan. Persetujuan harus mencakup semua aktivitas pemrosesan yang dilakukan untuk maksud atau tujuan yang sama. Ketika pemrosesan memiliki banyak tujuan, persetujuan harus diberikan untuk semuanya. Jika persetujuan subjek data akan diberikan setelah permintaan melalui sarana elektronik, permintaan tersebut harus jelas, singkat, dan tidak mengganggu penggunaan layanan yang disediakan.
Contoh:
Saya baru-baru ini mengambil bagian dalam pameran dagang dan sepanjang hari saya mengumpulkan beberapa kartu nama, yang akan saya gunakan untuk membuat database yang kemudian akan saya unggah ke akun Benchmark saya dengan tujuan mengirim buletin.
Dengan Peraturan baru, apakah ini legal?
Tidak. Jaringan yang dicapai antara Anda dan individu di pameran dagang tidak memberi Anda hak untuk menggunakan data pribadi mereka, bahkan dengan konfirmasi lisan dari individu tersebut. GDPR sekarang mensyaratkan bahwa bukti perjanjian antara kedua belah pihak ini ada.
GDPR menyatakan bahwa harus ada persetujuan tegas dan eksplisit dari individu yang dapat didukung dengan bukti jika terjadi audit. Perlu ada bukti bahwa individu tersebut memberikan persetujuan mereka untuk data pribadi mereka untuk digunakan.
REKOMENDASI:
- Tinjau metode pengumpulan data Anda dan hilangkan ambiguitas yang mungkin ada.
- Analisis database Anda dan hanya data yang dapat Anda berikan bukti bahwa persetujuan diberikan kepada Anda oleh individu tersebut.
Mengakses
Pihak yang bertanggung jawab untuk menangani data pribadi harus memberi setiap pengguna akses sederhana dan langsung untuk mengubah detail pribadi mereka sendiri. Pihak yang bertanggung jawab juga harus menyediakan outlet di mana individu dapat mengonfirmasi bahwa mereka memberikan persetujuan mereka melalui sarana elektronik, baik melalui situs web mereka sendiri, formulir pendaftaran, atau konfirmasi email.
Pihak yang bertanggung jawab akan memiliki waktu satu bulan untuk memberikan jawaban kepada klien, dengan kemungkinan memperpanjangnya menjadi dua bulan jika itu merupakan permintaan yang kompleks, di mana langkah-langkah yang diperlukan sedang diambil untuk menyelesaikan permintaan individu.
Dalam hal alat Pemasaran Email kami, opsi Kelola Langganan memungkinkan individu untuk mengakses data pribadi mereka dan mengubah data jika diperlukan atau membatalkan langganan secara langsung.
Dalam poin ini, ada hak baru, yaitu HAK UNTUK MENGHAPUS (Pasal 17), pengguna dapat menggunakan “hak untuk dilupakan” dan data pribadinya dihapus dari database secara permanen. Kami telah memilih dua dari enam alasan yang termasuk dalam sub-poin 1, yang memberikan individu kemampuan untuk menggunakan haknya:
a) data pribadi tidak lagi diperlukan sehubungan dengan tujuan pengumpulan atau pemrosesannya;
d) data pribadi telah diproses secara tidak sah;
Kompilasi:
GDPR menganjurkan kesederhanaan dalam pengumpulan data pribadi. Sebagai pemasar, kami cenderung meminta lebih banyak detail daripada yang diperlukan ketika semua yang kami lakukan hanyalah mengirimkan buletin mingguan. Oleh karena itu, peraturan baru ini mendorong agar hanya sedikit data pribadi yang dikumpulkan dan disusun untuk strategi kami saat ini dan bukan pengumpulan data tambahan yang menurut Anda mungkin berguna di masa mendatang.
Jika tujuan Anda adalah untuk menginformasikan database Anda tentang promosi yang akan datang, kompilasi nama individu dan alamat email lebih dari cukup untuk memenuhi tujuan Anda.
Brexit
Inggris secara resmi akan keluar dan tidak lagi menjadi bagian dari UE pada 2019. Dengan keluarnya ini, peraturan tidak akan berlaku bagi mereka. Saat ini kami tidak tahu bagaimana Inggris Raya, atau perusahaan di Inggris Raya, akan menangani perlindungan data, tetapi kami yakin bahwa mereka akan meloloskan peraturan serupa yang akan sebanding dengan UE.
Apa yang terjadi jika saya tidak memenuhi persyaratan GDPR yang baru?
Peraturan Perlindungan Data Umum menetapkan seperangkat alat untuk mematuhi peraturan baru, termasuk sanksi dan denda. Sejumlah faktor akan dipertimbangkan dan dievaluasi dengan cermat ketika denda dikenakan karena ketidakpatuhan terhadap GDPR baru seperti:
- berat/lama pelanggaran;
- jumlah subyek data yang terkena dampak dan tingkat kerusakan yang dideritanya;
- sifat pelanggaran yang disengaja;
- setiap tindakan yang diambil untuk mengurangi kerusakan;
- tingkat kerjasama dengan otoritas pengawas.
Peraturan menetapkan dua plafon untuk denda jika aturan tidak dipatuhi. Plafon pertama menetapkan denda hingga maksimum €10 juta atau, dalam kasus usaha, hingga 2% dari omset tahunan di seluruh dunia. Kategori denda pertama ini akan diterapkan misalnya jika pengontrol tidak melakukan penilaian dampak, seperti yang disyaratkan oleh Peraturan. Plafon denda yang lebih tinggi mencapai hingga maksimum €20 juta atau 4% dari omset tahunan di seluruh dunia. Contohnya adalah pelanggaran hak subyek data di bawah Regulasi. Denda disesuaikan dengan keadaan masing-masing kasus.
Anda perlu mengingat poin-poin utama di atas (Persetujuan, Akses, dan Kompilasi) ketika saatnya tiba untuk merencanakan strategi pemasaran email Anda.
Tolok ukur
Di Benchmark, kami bekerja keras untuk memperbarui Kebijakan Privasi kami untuk mematuhi persyaratan peraturan. Dalam hal GDPR, tidak ada sertifikasi yang diberikan kepada kami yang menyatakan bahwa kami mematuhi peraturan baru seperti Kerangka Kerja Perlindungan Privasi.
Kami di Benchmark ingin meyakinkan Anda bahwa data pribadi Anda ditangani sesuai dengan GDPR baru.
Untuk pertama kalinya, UE menunjukkan kepemimpinan dan persatuan dalam bagaimana data pribadi perlu diperlakukan dan memaksa seluruh dunia tanpa kecuali bagi negara mana pun untuk mengikuti peraturan ini jika mereka ingin menangani data pribadi Eropa.
Jangan lupa untuk membagikan artikel ini kepada audiens Anda dan tinggalkan komentar Anda. Terima kasih sudah membaca!