Kali ini kita akan berbicara tentang Gdpr, sebuah peraturan baru yang mungkin akan mempengaruhi bisnis Anda, bila bisnis Anda bergerak secara global.

Apa itu GDPR? Apa pengaruhnya terhadap bisnis Anda? Dan bagaimana cara menyiasatinya? Berlakukah di Indonesia?

Situs kami kali ini akan mencoba membahasnya.

Apa itu GDPR?

GDPR, atau General Data Protection Legislation, adalah sebuah peraturan Dari Uni Eropa yang berfungsi menetapkan kerangka kerja baru dalam menangani dan melindungi data pribadi penduduk yang tinggal dan warga dari UE.

Salah satu tujuan dari GDPR adalah menyelaraskan dan menyebarkan undang-undang kerahasiaan data di seluruh Eropa dengan segera, untuk mengimbangi kecepatan perubahan teknologi.

GDPR ini disusun berdasarkan kerangka hukum yang berlaku di negara-negara Uni Eropa, termasuk Arahan Perlindungan Data UE yang telah ada sejak 1995.

GDPR sendiri akan mulai berlaku pada 25 Mei 2018.

Data pribadi memainkan peran yang krusial di masyarakat dan dalam bidang ekonomi. Satu hal yang penting adalah bahwa masyarakat memiliki—serta menyadari bahwa Mereka memiliki—kendali dan transparansi mengenai bagaimana data pribadi mereka digunakan dan dilindungi oleh setiap organisasi profit dan nonprofit yang pernah berinteraksi dengan mereka, dan organisasi tersebut harus memiliki pedoman yang jelas dalam melindungi data pribadi mereka.

Untuk mengantisipasi Legislasi Perlindungan Data Umum (GDPR) yang mulai berlaku pada 25 Mei 2018, kami di Undercover ingin memberi Anda informasi, sumber daya, dan keyakinan untuk mempersiapkan dan tetap berhasil di bawah aturan baru GDPR.

Dalam artikel ini, Anda akan menemukan informasi latar belakang umum GDPR, FAQ, dan daftar referensi yang bermanfaat untuk mendapatkan informasi lebih lanjut terkait hal ini.

Kami mengerti bahwa perubahan tidak pernah mudah, jadi kami mengharapkan bahwa sumber daya ini bisa membantu Anda tetap berbisnis secara online di bawah aturan hukum yang berlaku.

Tapi perlu diingat bahwa GDPR tidak berlaku bila subjek data Anda hanya berada di dalam Indonesia.

Jika Anda adalah sebuah bisnis di Indonesia dengan subjek data Indonesia, Anda tidak perlu khawatir. Tetapi, bila bisnis atau startup Anda berada di Indonesia, audiens Anda berada di Uni Eropa, dan Anda menginginkan data pribadi pada warga Uni Eropa, Anda perlu mengikuti GDPR.

Prinsip-prinsip Penting dalam GDPR

Perhatikan beberapa prinsip berikut selagi Anda dan tim Anda bersiap menghadapi GDPR:

• Data pribadi pelanggan dan audiens berwarga negara Uni Eropa yang Anda kumpulkan harus diproses secara adil, legal, dan transparan. Data tidak boleh digunakan untuk tujuan yang menyimpang dari persetujuan semula.

• Data pribadi hanya boleh dikumpulkan untuk sebuah tujuan yang disepakati bersama dan tidak boleh digunakan lebih lanjut dengan cara yang menyimpang dari tujuan awal.
• Anda selaku pihak Organisasi harus menjelaskan dengan spesifik mengapa Anda membutuhkan data pribadi pada audiens saat Anda memintanya.
• Data pribadi yang disimpan harus terus diperbarui dan harus tetap akurat. Data hanya boleh disimpan selama proses pemenuhan tujuan, dan bila tujuan sudah terpenuhi, data pribadi yang disimpan harus dihapus.
• Warga UE berhak mengakses data pribadi mereka sendiri. Mereka juga perlu dimudahkan saat meminta salinan data, dan mendapat informasi bahwa data mereka diperbarui, dihapus, dibatasi, atau dipindahkan ke organisasi lain tanpa hambatan.
• Semua data pribadi perlu dijaga agar aman dan terjamin, dan perusahaan yang melakukan jenis kegiatan tertentu sekarang diperlukan untuk menunjuk petugas perlindungan data (DPO).

Langkah-langkah Persiapan

Berikut adalah sejumlah persiapan yang harus dilakukan agar bisnis dan organisasi Anda, bila bersinggungan dengan data dari warga negara-negara dari Uni Eropa, tetap berjalan di bawah GDPR.

Pemetaan Data

Menentukan (dan mendokumentasikan) hal-hal berikut:

• Data pribadi apa yang Anda miliki atau kumpulkan?
• Apa tujuan dari pengumpulan data pribadi ini?
• Dari mana data ini berasal, dan pihak-pihak mana saja yang bisa mengakses data ini?
• Di mana data ini sekarang berada?
• Berapa lama data disimpan?
• Bagaimana data ini akan dihapus atau diubah jika subjek data mengajukan permintaan?

Hak

Periksa prosedur Anda saat ini untuk memastikan bahwa Anda dapat mematuhi hak-hak dari subyek data.

Warga UE memiliki hak untuk mengakses data pribadi mereka sendiri.

Mereka juga dapat meminta salinan data mereka, dan mengetahui bahwa data mereka diperbarui, dihapus, dibatasi, atau dipindahkan ke organisasi lain tanpa hambatan, dalam keadaan tertentu.

Persetujuan

Saat Anda mengandalkan persetujuan bersama sebagai dasar dalam memproses data pribadi, sampaikan bagaimana Anda mengajukan, mendapatkan, dan mendokumentasikan persetujuan ini.

Pada jenis aktivitas tertentu (namun tidak semua), sebuah persetujuan harus secara umum diperoleh dari seorang individu dalam menggunakan data mereka — misalnya, saat memproses kategori khusus data pribadi.

GDPR menyebut bahwa sepakat harus digambarkan melalui sebuah tindakan afirmatif yang jelas – diam, kotak yang sudah dicentangkan (tanpa perlu dicentang lagi oleh subyek data), atau kepasifan tidak dianggap sebagai persetujuan.

Persetujuan juga harus diinformasikan. Organisasi harus memberikan informasi tentang mengapa mereka mengumpulkan data pribadi dan apa yang akan digunakan.

Anda juga akan diminta untuk menyimpan catatan semua persetujuan yang diperoleh, termasuk siapa yang menyetujui, kapan, dan pernyataan khusus apa yang mereka setujui.

Individu Uni Eropa akan memiliki hak untuk menarik kembali persetujuan ini kapan saja.

Kebijakan Privasi

Tinjau kebijakan privasi Anda saat ini dan tentukan apakah pembaruan diperlukan.

• Desain produk – Anda harus sudah memastikan privasi pengguna secara otomatis sejak pengguna pertama kali menggunakan produk Anda dan pertimbangkan bagaimana Anda dapat meminimalkan dampak produk Anda terhadap privasi pengguna. Coba berikan fasilitas pseudonym, anonymitas, dan enkripsi jika diperlukan. Informasi lebih rinci tentang privasi secara default, bisa ditemukan di Pasal 25 dari GDPR.
• Prosedur Pelanggaran Data – Pastikan Anda memiliki prosedur untuk mendeteksi, melaporkan, dan menyelidiki setiap pelanggaran data. GDPR mengharuskan organisasi melaporkan pelanggaran terhadap otoritas perlindungan data secara umum dalam waktu 72 jam setelah deteksi, kecuali jika pelanggaran tersebut tidak mungkin mengakibatkan risiko terhadap hak privasi individu.
• Petugas Perlindungan Data – Tentukan apakah Anda harus menunjuk Data Protection Officer atau petugas perlindungan data (DPO). GDPR menyatakan bahwa DPO harus ditunjuk ketika kegiatan inti organisasi melibatkan “pemantauan reguler dan sistematis dari subyek data dalam skala besar” atau saat organisasi melakukan pemrosesan ” data pribadi skala besar ” dalam skala besar. DPO juga bertanggung jawab mengawasi kepatuhan organisasi terhadap persyaratan GDPR dan berfungsi sebagai titik temu antara organisasi dan otoritas pengawasan.
• Provider Pihak Ketiga – Buat daftar semua jasa dan tools pihak ketiga yang Anda gunakan saat ini, yang memiliki akses atau mampu memproses data pribadi subyek data. Anda harus meninjau semua kontrak Anda dengan penyedia pihak ketiga. Sertakan kerahasiaan dan klausul privasi data dalam kontrak Anda yang, jika diperlukan, sesuai dengan GDPR. Mintalah penyedia pihak ketiga yang telah Anda tentukan berada dalam lingkup apakah mereka mematuhi peraturan GDPR.
• Kesadaran – Didik karyawan Anda tentang GDPR dan dampaknya pada pengumpulan dan penanganan data pribadi pelanggan.

Bagaimana Ini Mempengaruhi Marketing Email?

GDPR akan berdampak pada praktik marketing kita.

Semua email marketer yang peduli dengan GDPR dan bersinggungan dengan warga negara Uni Eropa perlu membahas bagaimana mereka meminta, memperoleh, dan mendokumentasikan persetujuan di mana dibutuhkan. Marketer juga perlu memastikan bahwa mereka dapat memperbarui, menghapus, membatasi, atau memindahkan data individu jika diminta.

Untuk memastikan kepatuhan terhadap GDPR, marketer harus memberikan pilihan kepada individu terkait (mis. memperoleh opt-in dan mempertahankan halaman preferensi di akun mereka) dan tentukan apa yang akan dihadapi oleh individu tersebut.

Filter email semakin baik dalam mendeteksi pesan yang “diinginkan” oleh penerima. Indikator utama dari hal ini adalah keluhan spam (ketika pengguna menandai pesan sebagai spam di kotak masuk mereka).

Dan, faktor yang berkontribusi besar bagi seorang marketer dalam mendapatkan banyak keluhan spam adalah karena penerima tidak mengerti mengapa mereka menerima pesan tersebut.

Marketer  juga harus menghapus data dari penerima yang telah menarik persetujuan mereka,  dan harus mempertimbangkan untuk menghapus penerima yang tampaknya telah berhenti terlibat dengan merek Anda untuk waktu yang lama.

Persetujuan untuk mengirim pesan tidak berlaku selamanya. Jika penerima setuju untuk menerima pesan dari Anda pada titik tertentu, marketer harus tetap mempertimbangkan untuk menghentikan pengiriman komunikasi marketing setelah titik tertentu, bahkan meskipun tidak ada permintaan untuk berhenti berlangganan.

Ini adalah salah satu cara termudah untuk menjaga reputasi baik di provider email seperti Yahoo dan Google.

Marketer juga harus menyimpan dokumentasi dari persetujuan antara pengirim dan audiens selaku penerima, karena GDPR bukan hanya mengumpulkan persetujuan, tetapi juga tentang menyimpan catatan persetujuan ini.

GDPR mengharuskan perusahaan untuk menyimpan catatan rinci dari persetujuan yang diperoleh dan memberikan hak kepada individu di Uni Eropa untuk menanyakan kapan dan bagaimana persetujuan mereka diberikan, dan boleh menariknya secara bebas kapan saja.

Jika orang itu tidak ingin alamat email mereka digunakan, mereka dapat meminta untuk dihapus dari daftar email Anda.

Apa Lagi yang Baru di Bawah GDPR?

• Identifier Online: GDPR memperluas definisi data pribadi untuk menyertakan pengenal online seperti ID perangkat, alamat IP, ID iklan, dan pengenal cookie.
• Batasan usia: Ketika Anda hendak memperoleh persetujuan dari seseorang di bawah usia 16, Anda membutuhkan izin orang tua pengguna tersebut, termasuk membuat “upaya yang wajar” untuk memverifikasi bahwa persetujuan tersebut dari orang tua, bukan anak. Selain itu, negara anggota UE ada juga yang menetapkan persyaratan yang lebih rendah dari 13.
• Pengolahan: Untuk pertama kalinya, GDPR membebankan kewajiban hukum langsung pada pengolah data. Ini dimaksudkan untuk memastikan bahwa pengolah melindungi data dengan tepat, membantu permintaan data dari subjek, dan menyediakan pemberitahuan dan hak untuk menolak penggunaan sub-prosesor.
• Pembuatan Keputusan Otomatis: Pembuatan keputusan otomatis adalah pemrosesan (termasuk pembuatan profil) yang menghasilkan keputusan yang secara hukum atau signifikan mempengaruhi individu tanpa campur tangan manusia. Tanpa persetujuan eksplisit, individu tidak harus tunduk pada pembuatan keputusan otomatis.
• Pelaksanaan: Kegagalan untuk memenuhi GDPR bisa berarti denda € 20 juta atau 4% dari omset global organisasi Anda. Denda dipilih pada mana yang lebih besar. Pihak berwenang juga memiliki kekuatan untuk melakukan audit, mendapatkan akses ke tempat organisasi, dan menyelesaikan keluhan individu.

Bagaimana dengan Perlindungan Privasi?

Organisasi hanya diperbolehkan untuk mentransfer data pribadi di luar Area Ekonomi Eropa jika mereka memiliki perlindungan data di luar negeri yang tepat.

Mekanisme transfer yang diterima termasuk sertifikasinya sendiri ke Perisai Privasi Kerangka (jika organisasi berasal dari AS), menggunakan Klausul Kontrak Standar Komisi Uni Eropa, mentransfer data ke negara yang telah diakui oleh Komisi Eropa sebagai penyedia tingkat perlindungan data yang “memadai”, serta memperoleh persetujuan Mengikat Peraturan Perusahaan, dan mekanisme lain yang seperti sertifikasi dan kode etik.

FAQs

Apakah GDPR menginginkan data pribadi di Uni Eropa untuk tidak dipindah ke luar UE?

Tidak, GDPR bukan berarti data pribadi Uni Eropa tidak boleh diakses dari dan ke luar Eropa. Namun, GDPR memang mengharuskan adanya sebuah mekanisme transfer yang valid dan aman untuk melindungi sebuah data pribadi sebelum ia meninggalkan Uni Eropa.

Apakah memproses data personal UE selalu membutuhkan persetujuan dari subjek?

Tidak juga. Persetujuan hanyalah salah satu dari dasar hukum yang dapat digunakan untuk pemrosesan data pribadi. Misalnya, data pribadi juga dapat diproses:

• Ketika diperlukan untuk kinerja kontrak di mana subjek data adalah pihak;
• Ketika suatu organisasi memiliki kewajiban hukum untuk melakukannya (seperti pengajuan data karyawan ke otoritas pajak); dan
• Di bawah kepentingan sah dari organisasi yang mungkin termasuk tujuan komersial dan marketing. Namun, kepentingan yang sah ini tidak boleh melanggar hak dan kepentingan dari subjek data.

Apakah denda GDPR juga berlaku pada UKM?

Denda untuk pelanggaran atau ketidakpatuhan terhadap GDPR akan berlaku terlepas dari ukuran perusahaannya. Jika organisasi Anda adalah sebuah UKM, Anda, pada prinsipnya, tunduk pada tingkat denda yang sama dengan organisasi multinasional besar.

Akankah Brexit membuat GDPR tidak berlaku pada bisnis di Britania Raya?

GDPR akan berlaku sebelum Inggris secara resmi meninggalkan Uni Eropa, yang telah diumumkan oleh pemerintah Inggris akan berlangsung pada 29 Maret 2019. Jika Anda berbasis di Inggris atau akan memproses data pribadi dari warga negara Inggris, ini berarti bahwa organisasi Anda harus mengikuti GDPR sebelum tanggal 25 Mei 2018.

Apakah subyek data Uni Eropa memiliki hak mutlak untuk menghapus data pribadi mereka?

Hak yang dimiliki oleh subjek suatu data dalam menghapus data miliknya sering disebut sebagai “hak untuk dilupakan.”

Namun, hak untuk dilupakan bukanlah hak mutlak. Ini hanya berlaku dalam keadaan tertentu dan tunduk pada batasan tertentu pula. Hak ini tidak akan berlaku, misalnya, jika lebih lanjut memproses untuk mematuhi kewajiban hukum atau diproses untuk kepentingan umum yang berkaitan dengan kesehatan.

Jika kami sudah memiliki daftar pengguna, apa yang harus kami lakukan untuk memastikan kami mematuhi regulasi GDPR?

Anda perlu memastikan bahwa Anda memiliki persetujuan yang jelas dari kontak pada daftar distribusi Anda dan catatan yang jelas dari persetujuan yang telah diperoleh atau yang telah ditarik. Aturan baru tidak hanya berlaku untuk alamat email yang ditambahkan ke database Anda dari 25 Mei 2018, tetapi juga akan berlaku untuk semua data yang sudah dikumpulkan sebelum tanggal tersebut.

Bisakah kami mengirim email kepada penerima yang meminta mereka untuk ikut serta ke buletin dan email marketing kami?

Ya, untuk individu Uni Eropa yang sudah ada dalam daftar marketing Anda, Anda bisa menghubungi mereka melalui email, yang meminta mereka untuk mengonfirmasi persetujuan agar hubungan Anda dan subjek data terus berlanjut.

Anda harus melakukan ini sesegera mungkin. Jika tidak, Anda harus menghapus semua kontak yang belum sempat menyetujui persetujuan lanjutan sebelum jatuh tempo, yakni 25 Mei 2018.

Apakah “double opt-in” wajib dilakukan di bawah GDPR?

Tidak. GDPR tidak secara khusus menyinggung persetujuan “double-opt-in”.

”Double-opt-in” adalah mekanisme dua langkah saat seseorang setuju memilih untuk menggunakan rincian kontak mereka untuk tujuan marketing dan kemudian mengirim email untuk mengkonfirmasi kesepakatan mereka, sebelum ada email promosi atau marketing yang dikirimkan kepada mereka.

Sebaliknya, GDPR menetapkan bahwa persetujuan harus dilandasi oleh tindakan afirmatif yang jelas, yang menetapkan indikasi yang diberikan secara bebas, spesifik, terinformasi, dan tidak ambigu tentang kesepakatan subjek data untuk memproses data pribadi mereka.