Panduan Pakar eCommerce untuk Mempersiapkan GDPR
Diterbitkan: 2018-05-15Hari-hari ini, sepertinya setiap percakapan kembali ke privasi online dan penyalahgunaan data. Kami baru-baru ini menyaksikan CEO Facebook Mark Zuckerberg bersaksi di depan Senat AS mengenai penggunaan data pribadi di Facebook — dan upaya perusahaan berikutnya untuk membangun kembali reputasinya karena keterlibatan menurun pasca-skandal. Setiap hari sepertinya ada kontroversi terkait data baru yang harus diurai.
Dengan keinginan publik untuk internet yang lebih anonim dan pengakuan sektor swasta bahwa pengumpulan data pengguna baik untuk bisnis, perdebatan terus berlanjut. Sementara itu, negara-negara Eropa bekerja untuk melindungi warganya dari kesalahan pengelolaan data, dan konsekuensinya bisa sangat besar bagi bisnis di seluruh dunia.
Pada 25 Mei 2018, bisnis Eropa akan dipaksa untuk mengatasi cara mereka menangani data konsumen. Sebagai bagian dari General Data Protection Regulation (GDPR), bisnis harus memberi pelanggan lebih banyak kontrol atas cara data mereka dikumpulkan, disimpan, dan akhirnya digunakan.
Peraturan tersebut bertujuan untuk memperkuat perlindungan data dan privasi bagi warga negara di Uni Eropa, di mana pun perusahaan pengumpul data berada. Dengan kata lain, jika Anda memiliki bisnis yang terbuka untuk pelanggan Eropa, Anda harus memperhatikan GDPR sebelum akhirnya berlaku. Jika perusahaan Anda memproses data dari pengguna UE, Anda harus meluangkan waktu untuk memahami peraturan baru ini.
Apa itu GDPR? Pertanyaan dan Jawaban Umum
GDPR secara resmi diadopsi pada 27 April 2016, tetapi tidak akan berlaku hingga 25 Mei 2018, karena periode transisi dua tahun yang dirancang untuk membantu perusahaan menyesuaikan diri dengan aturan baru. Singkatnya, peraturan tersebut dimaksudkan untuk memberi konsumen kendali penuh tentang bagaimana data mereka dikumpulkan dan digunakan. UE mendefinisikan data pribadi sebagai “informasi apa pun yang berkaitan dengan orang alami yang teridentifikasi atau dapat diidentifikasi,” termasuk tanggal lahir, alamat, nomor telepon, gaji, sewa, dan alamat IP.
Berikut adalah beberapa pertanyaan umum terkait dengan peraturan penting ini sehingga Anda dapat lebih memahami apakah Anda perlu mengeluarkan sumber daya tambahan untuk mempersiapkan perubahan industri ini.
Bisakah saya didenda jika saya tidak mematuhinya?
Ya, organisasi yang tidak mematuhi peraturan baru akan menghadapi denda berat. Peraturan tersebut menyatakan bahwa setiap pelanggaran GDPR dapat mengakibatkan penalti hingga empat persen dari omset global tahunan atau €20 juta (kira-kira $24 juta), mana yang lebih besar.
Apakah itu berlaku untuk bisnis saya?
Cakupan GDPR jelas sangat besar. Ini berlaku untuk perusahaan mana pun yang memproses data penduduk Uni Eropa. Dengan demikian, peraturan tidak berlaku jika Anda menggunakan data secara eksklusif untuk penggunaan pribadi atau rumah tangga, dan mungkin tidak terlalu ketat untuk perusahaan dengan kurang dari 250 karyawan. Terlepas dari ukuran bisnis Anda, Anda masih harus menyimpan catatan internal yang terperinci dan mematuhi GDPR, tetapi persyaratan penyimpanannya berbeda.
Bisakah perusahaan AS didenda?
Perusahaan AS akan bertanggung jawab atas ketidakpatuhan, dan mereka dapat didenda dengan standar yang sama di bawah hukum internasional. Bahkan bisnis tanpa kehadiran fisik di Uni Eropa harus mematuhi peraturan baru, kata para ahli.
Apa yang dilindungi GDPR?
Tujuan utama undang-undang ini adalah untuk memberikan bahasa pilihan yang jelas dan tidak membingungkan kepada konsumen tentang pengumpulan data. Ini menawarkan konsumen delapan hak individu: untuk diberi tahu, untuk mengakses, untuk memperbaiki, untuk menghapus, untuk membatasi pemrosesan, untuk memiliki portabilitas data, untuk menolak dan untuk membuat keputusan mengenai pengambilan keputusan dan pembuatan profil otomatis.
Bagaimana GDPR menguntungkan konsumen?
Manfaat utama dari peraturan baru ini adalah menjaga kerahasiaan data konsumen, yang berarti perlindungan yang lebih baik bagi mereka yang memilih untuk tetap menjadi pribadi. Seperti yang akan kita bahas di bawah, aturan baru mungkin memiliki beberapa manfaat terukur untuk bisnis.
Apa Artinya Ini untuk Bisnis eCommerce?
Tidak ada keraguan tentang itu. Memahami konsumen Anda melalui alat analitik eCommerce seperti Springbot — yang secara efisien dapat mengumpulkan data berharga tentang konsumen Anda untuk hal-hal seperti penargetan ulang iklan, upaya pemasaran email, dan personalisasi iklan — umumnya merupakan investasi besar bagi sebagian besar toko online. Anda tidak harus berhenti mengandalkan alat berharga ini dalam menghadapi GDPR dan peraturan serupa, selama Anda mengumpulkan data secara bertanggung jawab . Intinya adalah bahwa penambangan data pribadi sangat tidak jelas, dan sebagian besar konsumen hanya mendukungnya ketika mereka memegang kendali.
Apa yang ditunjukkan oleh perubahan aturan adalah dorongan untuk pengumpulan data yang lebih terstandarisasi, yang sebenarnya bisa berarti hal yang lebih baik untuk bisnis Anda. Dalam praktiknya, ini berarti bahwa kapan pun Anda memproses data seseorang — apakah mereka mendaftar ke daftar email Anda atau melakukan pembelian — Anda harus memberi mereka hak untuk meninjau, menyesuaikan, menghapus, dan membatasi akses.
Dalam gambaran yang lebih besar, ini berarti Anda mengutamakan konsumen, meningkatkan keamanan siber bisnis Anda, dan bahkan menjaga reputasinya. Saat Anda mengumpulkan data dari orang-orang yang bersedia membagikannya, Anda masih dapat menggabungkan analitik kunci, dan meminimalkan ketidakpuasan pelanggan dari orang-orang yang tidak ingin informasi mereka disimpan.
Lima Hal Utama yang Harus Anda Lakukan untuk Mempersiapkan
Hal terpenting yang dapat Anda lakukan untuk menyiapkan bisnis Anda untuk penerapan GDPR resmi adalah mempelajari hukumnya. Peraturan formal panjang dan penuh dengan jargon hukum, tetapi ada sumber daya online berkualitas yang memberikan ringkasan yang sangat baik dari peraturan baru seputar pengumpulan data. Misalnya, undang-undang baru menyatakan bahwa Anda harus memberi tahu konsumen tentang pelanggaran data dalam waktu 72 jam, bahwa Anda harus memberi konsumen hak untuk mengakses bagaimana data mereka digunakan dan bahwa Anda harus mengizinkan mereka untuk menjadi "dilupakan", atau dihapus dari sistem Anda, berdasarkan permintaan.
Selanjutnya, penting bagi Anda untuk menentukan bagaimana undang-undang tersebut akan secara khusus memengaruhi bisnis Anda. Seperti disebutkan, aspek pelaporan dan aturan pencatatan berbeda untuk usaha kecil dan menengah (UKM) dibandingkan dengan perusahaan skala besar, jadi Anda harus menyadari tanggung jawab perusahaan Anda.
Secara alami, ada banyak hal bermanfaat yang dapat Anda lakukan agar bisnis Anda siap untuk mematuhinya. Selain tips yang disarankan di bawah ini, kami menyarankan untuk berkonsultasi dengan penasihat hukum untuk memastikan bahwa proses Anda tidak mengandung kerentanan apa pun.
1. Pergeseran ke Proses Transparan
Pengambilan kunci dari bagian peraturan ini adalah bahwa orang menginginkan — dan hukum akan menegakkan — hak konsumen untuk mengetahui segala sesuatu tentang bagaimana data mereka digunakan. Artinya, setiap komunikasi dengan konsumen mengenai data harus setransparan mungkin. Memahami bagaimana perusahaan Anda memproses data akan membantu Anda menentukan apakah data tersebut sesuai — jadi ketahuilah di mana data Anda disimpan dan bagaimana data itu digunakan.
- Tulis ulang formulir persetujuan dengan bahasa yang jelas.
- Dapatkan persetujuan yang jelas dari pengguna saat Anda mengumpulkan data mereka.
- Beralih dari bahasa "opt-out" ke "opt-in".
- Nyatakan mengapa Anda memproses data tertentu.
- Jalankan penilaian dampak perlindungan data (DPIA).
2. Tunjuk Pemimpin dan Bagikan Informasi
Aspek penting lainnya dari peraturan ini adalah bahwa beberapa perusahaan akan diminta untuk menunjuk Petugas Perlindungan Data (DPO), yang akan bertanggung jawab untuk mengawasi proses perlindungan data di dalam perusahaan. Tidak semua perusahaan memerlukan DPO — hanya mereka yang memproses data pribadi dalam jumlah besar — tetapi setiap perusahaan harus menunjuk pemimpin kepatuhan yang dapat membantu memastikan bahwa semua undang-undang dipatuhi dengan benar.
- Cari tahu apakah bisnis Anda memerlukan DPO.
- Bahkan jika Anda tidak memerlukan DPO, tunjuk pemimpin privasi data.
- Beri tahu setiap departemen tentang aturan baru.
- Putuskan bagaimana menangani permintaan akses data.
3. Periksa Semua Layanan Anda
Perusahaan diharuskan hanya menggunakan pemroses data yang membantu menerapkan penyimpanan data yang sah, yang berarti Anda harus melakukan audit yang kuat untuk memastikan Anda tidak memiliki alat apa pun yang mungkin mengabaikan peraturan baru. Misalnya, jika Anda menggunakan plugin analitik apa pun, pastikan plugin tersebut menyimpan dan mengelola data konsumen dengan cara yang sesuai dengan GDPR. Springbot berkomitmen untuk membantu pelanggan memperoleh data dengan cara yang legal dan etis.
- Pastikan layanan pihak ketiga sesuai.
- Cari tahu apakah alat yang Anda gunakan memerlukan persetujuan dari pengguna.
- Cari alat dari mitra untuk mempercepat proses Anda.
4. Ubah Pencatatan Anda
Salah satu aspek paling menakutkan dari GDPR adalah pencatatan. Karena konsumen sekarang memiliki hak untuk diberi tahu, mengakses, dan menghapus data pribadi mereka, Anda harus yakin bahwa proses Anda dicatat dengan cermat. Anda juga harus memiliki akses sesuai permintaan ke data pelanggan, jika konsumen memintanya dari Anda.
Anda harus dapat mengidentifikasi dan melaporkan data pribadi, terlepas dari apakah Anda membagikannya dengan pihak ketiga. Salah satu tujuan utama dari aturan penyimpanan catatan yang lebih ketat adalah untuk memastikan bahwa data pribadi akurat. Terserah Anda untuk mencatat data pribadi yang benar dan memperbarui organisasi lain yang sesuai.
- Mengenal Pasal 30, yang meliputi pencatatan.
- Catat tujuan dari setiap pemrosesan data.
- Simpan catatan pada kategori subjek dan penerima data.
- Catat semuanya, di luar apa yang disyaratkan oleh Pasal 30.
5. Manfaatkan Data dengan Cara yang Benar
Terakhir, hal terakhir yang dapat Anda lakukan untuk bersiap menghadapi transisi adalah mencari cara yang paling bertanggung jawab untuk memanfaatkan data pelanggan berdasarkan peraturan baru ini. GDPR menyatakan bahwa data pribadi harus "disimpan dalam bentuk yang memungkinkan identifikasi subjek data tidak lebih lama dari yang diperlukan untuk tujuan pemrosesan data pribadi." Oleh karena itu, Anda masih dapat menggunakan data untuk hal-hal seperti penargetan ulang dan upaya pemasaran jangka panjang lainnya, selama Anda memberi tahu konsumen bahwa Anda berencana menggunakannya untuk tujuan yang disebutkan.
- Pahami berapa lama Anda diizinkan menyimpan data pribadi.
- Kembangkan rencana kapan dan bagaimana memusnahkan data setelah jangka waktu tersebut.
- Cobalah untuk "menganonimkan" data sebanyak mungkin sehingga Anda dapat menyimpannya lebih lama.
- Identifikasi jenis data pribadi mana yang menghadirkan risiko tertinggi.
Mengapa itu Penting?
Ini semua tampak seperti banyak pekerjaan, bukan? Tapi ada satu hal: GDPR bagus untuk pengalaman pelanggan seperti halnya mengumpulkan data pribadi. Itu karena, meskipun konsumen sangat menyukai pengalaman yang dipersonalisasi dan menyadari bahwa agregasi data dapat menghasilkan pengalaman online yang lebih pribadi, mereka juga ingin sepenuhnya mengendalikan data mereka sendiri. Dan, karena 92 persen pembeli online menyebutkan keamanan dan privasi sebagai perhatian, langkah-langkah tersebut harus diambil untuk membuat belanja online lebih pribadi.
Dengan mengingat semua ini, penting bagi kita semua untuk bekerja membuat penyesuaian baru yang akan membantu kita melayani pelanggan dengan lebih baik tanpa melewati batasan privasi yang penting. Dalam hal pemasaran, penjualan, dan pertumbuhan bisnis Anda, GDPR seharusnya tidak membuat Anda mundur.
Sebaliknya, itu harus mengubah cara Anda melakukan sesuatu menjadi lebih baik sehingga Anda menumbuhkan pelanggan yang bahagia, percaya dan setia. Dengan demikian, menghabiskan sedikit waktu dan uang ekstra untuk mempersiapkan bisnis Anda untuk GDPR akan sepadan dengan usaha Anda.