ArtikelGDPR untuk Situs Web AS: Semua yang Perlu Anda Ketahui

Diterbitkan: 2022-08-12

Sebagian besar dari kita dapat mengingat hiruk-pikuk GDPR tahun 2018. Ada kemungkinan besar Anda kewalahan dengan informasi tentang Uni Eropa (UE) dan Peraturan Perlindungan Data Umum (GDPR) yang baru. Aturan sweeping ini mulai berlaku pada 25 Mei 2018.

Ketika saya pertama kali mulai meneliti artikel ini, saya terkejut dengan banyaknya sumber "ahli" di luar sana. Banyak tautan yang muncul di bagian atas halaman hasil mesin pencari Google tampaknya merupakan situs "resmi".

Mereka hanya memasarkan situs mikro untuk konsultan untuk menghasilkan uang. Meskipun ini berlaku untuk iklan, itu sama-sama memperhitungkan hasil organik. Beberapa informasi di situs-situs ini cukup bagus, tetapi hampir semua kasus tidak lengkap dan motif penulisnya tidak jelas.

Untuk menghindari semua kebingungan dan penyesatan itu, saya memutuskan untuk pergi ke satu sumber resmi: Situs Web Komisi Eropa. Fakta dan rekomendasi saya didasarkan langsung pada teks Peraturan 2016/679 (GDPR) dan saya mengutipnya secara bebas di seluruh artikel ini.

Di samping teks peraturan, saya meneliti pernyataan dari penyedia layanan pihak ketiga seperti Google dan Pardot di bagian "Komplikasi Pihak Ketiga" di bawah ini, tetapi hanya terkait dengan layanan perusahaan yang digunakan oleh banyak klien kami.

Target audiens saya terdiri dari perwakilan perusahaan (publik dan swasta) yang berbasis di AS yang menjalankan bisnis di UE dalam kapasitas tertentu. Tujuan saya adalah membantu mereka memahami apa yang perlu mereka lakukan di situs web perusahaan mereka untuk mematuhi peraturan baru.

Jika perusahaan Anda berbasis di luar AS, perusahaan Anda berurusan dengan data sensitif (yaitu catatan medis), mengumpulkan data tentang anak-anak, adalah lembaga pemerintah atau penyedia layanan untuk lembaga pemerintah maka berhentilah membaca sekarang... Ini bukan untuk Anda.

Untuk menjadi jelas, saya bukan seorang pengacara dan tidak ada di sini yang harus ditafsirkan sebagai nasihat hukum.

Apa itu GDPR?

Hak atas privasi di negara-negara anggota UE dipegang dengan standar yang sangat tinggi dan beban yang ditanggung oleh mereka yang mengumpulkan data lebih besar daripada di sini di Amerika. Ini bukan situasi baru. Sebelum GDPR, UE memiliki Data Protection Directive (DPD) yang dibuat pada tahun 1995 dan mengajukan banyak prinsip yang sama dengan yang kami temukan di GDPR. Baik DPD dan GDPR didasarkan pada Piagam Hak-hak Dasar Uni Eropa, yang menyatakan dengan cukup sederhana:

Setiap orang berhak atas perlindungan data pribadi mengenai dirinya – Piagam Hak-Hak Dasar Uni Eropa, Pasal 8(1)

Semangat mendasar GDPR adalah bahwa semua "orang perseorangan" (lebih lanjut tentang istilah itu nanti) memiliki hak untuk mengetahui kapan data mereka dikumpulkan dan hak untuk menolak pengumpulan data tersebut. Jika mereka setuju untuk koleksi , mereka memiliki hak untuk mengelola bagaimana data tersebut digunakan, mencabut persetujuan mereka, dan bahkan memilih di kemudian hari untuk menghapus semua data saat ini dan data historis mereka.

Ada juga harapan tertentu yang diberikan pada "pengontrol" dan "pemroses" data (lebih lanjut tentang istilah itu nanti juga) sehubungan dengan tata kelola dan proses yang dimaksudkan untuk melindungi data pengguna. Dan terakhir, ada beberapa hal yang harus dilakukan pengontrol jika terjadi pelanggaran data.

Salah satu sumber daya terbaik untuk memahami semangat GDPR adalah pembukaannya. Itu ditulis dalam bahasa yang sederhana dan lugas yang membuatnya lebih mudah dicerna daripada kebanyakan dokumen hukum. Namun, bahasa sederhana ini tidak sepenuhnya menyampaikan huruf mutlak dari undang-undang dan bukan merupakan pengganti peraturan yang sebenarnya.

Tidak seperti DPD, aturan GDPR berlaku untuk semua negara anggota. Tidak ada persyaratan bagi negara-negara anggota untuk menerapkan peraturan sebelum dianggap berlaku. Tetapi GDPR tidak mengecualikan undang-undang tambahan dari negara-negara anggota yang mungkin melangkah lebih jauh dalam melindungi jenis data pribadi sensitif tertentu seperti catatan medis.

GDPR berlaku untuk semua perusahaan yang menjalankan bisnis di UE di mana pun lokasinya. Memiliki pengguna yang mengakses situs web Anda dari UE tidak menetapkan niat Anda untuk melakukan bisnis di UE. Namun, jika Anda secara aktif mencari bisnis di UE, Anda harus mengikuti GDPR.

Satu catatan lagi: GDPR tidak menggantikan atau menggantikan Undang-Undang Cookie UE. Peraturan itu masih berlaku.

Siapa Dan Apa Yang Dilindungi?

Orang Asli yang tinggal di UE dilindungi oleh GDPR. Peraturan tersebut berlaku sebelum Brexit sehingga GDPR termasuk Inggris untuk saat ini. Seorang Pribadi Alami hanya dapat dianggap sebagai manusia individu. Sebuah Badan Hukum, sebaliknya, mungkin hanya sebuah badan hukum. Perlindungan GDPR tidak mencakup orang-orang di luar Uni Eropa.

Informasi apa pun yang dapat dikaitkan dengan satu individu terlepas dari apakah identitasnya diketahui saat ini dianggap sebagai "Data Pribadi".

'data pribadi' berarti setiap informasi yang berkaitan dengan orang alami yang teridentifikasi atau dapat diidentifikasi ('subjek data'); orang alami yang dapat diidentifikasi adalah orang yang dapat diidentifikasi, secara langsung atau tidak langsung, khususnya dengan mengacu pada pengenal seperti nama, nomor identifikasi, data lokasi, pengenal online atau satu atau lebih faktor khusus untuk fisik, fisiologis, identitas genetik, mental, ekonomi, budaya atau sosial dari orang tersebut; – GDPR Pasal 4(1)

"Dapat diidentifikasi" adalah istilah yang perlu kita bahas. Saat ini kita tidak perlu mengetahui identitas individu tersebut. Memiliki sarana (cookie, alamat IP, dan sebagainya) untuk mengaitkan data dengan seseorang di lain waktu membuat datanya dilindungi menurut kriteria GDPR.

Peraturan tersebut menghindari penanganan teknik pengumpulan data tertentu (kecuali untuk penggunaan dalam contoh) sehingga bersifat agnostik teknologi. Mengingat kecepatan inovasi seputar pengumpulan data, ini diperlukan agar GDPR dapat tetap relatif tahan di masa depan. Cookie, alamat IP, profil browser, API RESTful dengan data pengguna di jalurnya, dan teknik cerdas lainnya yang mungkin muncul di masa mendatang tercakup dalam GDPR.

Siapa yang Bertanggung Jawab Untuk Kepatuhan?

Anda . Organisasi Anda adalah "pengontrol" untuk situs web Anda dan pada akhirnya bertanggung jawab untuk memastikan data pribadi ditangani dengan cara yang sesuai dengan GDPR. Ketika Anda memilih untuk menggunakan layanan pihak ketiga di situs web Anda yang tidak memenuhi kepatuhan, Anda salah.

'Pengendali' berarti orang atau badan hukum, otoritas publik, badan atau badan lain yang, sendiri atau bersama-sama dengan orang lain, menentukan tujuan dan sarana pemrosesan data pribadi; – GDPR Pasal 4(7)

Layanan apa pun yang ditambahkan ke situs web Anda (yaitu Google Analytics, Pardot, dll.) juga harus mematuhi GDPR. Bahkan jika menurut Anda layanan yang Anda tambahkan tidak mengumpulkan data pribadi, Anda harus waspada.

Banyak layanan gratis akan menyertakan beberapa bentuk pengambilan data yang nantinya digunakan untuk jaringan periklanan. Pada tahun 2011 saya menjalankan beberapa pengujian dan menemukan widget berbagi sosial "gratis" seperti komponen pelacakan tersemat ShareThis atau AddToAny untuk beberapa jaringan iklan. Dalam satu kasus, satu widget berbagi mengaktifkan pelacakan oleh setengah lusin jaringan iklan.

Anda harus benar-benar memeriksa setiap aplikasi dan layanan yang Anda sertakan di situs web Anda. Jika bagian dari situs web Anda dihosting oleh pihak ketiga (yaitu Karir/SDM atau Hubungan Investor), Anda harus memastikan vendor tersebut dan pihak ketiga mana pun yang mereka gunakan mematuhi GDPR.

Anda juga harus memeriksa pihak ketiga mana pun yang belum tentu mengumpulkan data di situs web Anda tetapi dalam beberapa hal dipercayakan dengan data yang telah dikumpulkan. Konsultan analitik mungkin termasuk dalam kategori ini.

Semua pihak ketiga ini adalah "pemroses" data pengguna Anda.

'pemroses' berarti orang atau badan hukum, otoritas publik, lembaga atau badan lain yang memproses data pribadi atas nama pengontrol; – GDPR Pasal 4(8)

Jika perusahaan Anda mempekerjakan kurang dari 250 orang dan Anda tidak mengumpulkan data pribadi sensitif yang dapat mengakibatkan risiko hak dan kebebasan individu, maka ada beberapa keringanan terkait catatan aktivitas pemrosesan yang mengurangi beban Anda. Anda tidak dibebaskan dari kepatuhan terhadap GDPR, tetapi Anda tidak memiliki standar yang sama dengan organisasi yang lebih besar.

Dasar Hukum Pemrosesan

Agar pengumpulan data pribadi apa pun dapat diterima menurut GDPR, data tersebut harus memenuhi setidaknya satu dari enam kriteria. GDPR menyatakan dalam Pasal 6(1):

  1. Pemrosesan akan sah hanya jika dan sejauh setidaknya salah satu dari yang berikut ini berlaku:

    (a) subjek data telah memberikan persetujuan untuk pemrosesan data pribadinya untuk satu atau lebih tujuan tertentu;

    (b) pemrosesan diperlukan untuk pelaksanaan kontrak yang menjadi subjek datanya berpesta atau untuk mengambil langkah-langkah atas permintaan subjek data sebelum menandatangani kontrak;

    (c) pemrosesan diperlukan untuk memenuhi kewajiban hukum yang menjadi tanggung jawab pengontrol;

    (d) pemrosesan diperlukan untuk melindungi kepentingan vital subjek data atau orang lain;

    (e) pemrosesan diperlukan untuk pelaksanaan tugas yang dilakukan untuk kepentingan umum atau dalam pelaksanaan wewenang resmi yang diberikan kepada pengontrol;

    (f) pemrosesan diperlukan untuk tujuan kepentingan sah yang dikejar oleh pengontrol atau oleh pihak ketiga, kecuali jika kepentingan tersebut dikesampingkan oleh kepentingan atau hak dasar dan kebebasan subjek data yang memerlukan perlindungan data pribadi, khususnya dimana subjek datanya adalah seorang anak.

Dari enam basis ini, hanya yang pertama yang akan berlaku untuk sebagian besar situs web klien kami. Untuk bagian karier dan e-niaga, atau layanan apa pun yang memerlukan login, dasar (B) juga dapat diterapkan.

Identifikasi

Ini adalah konsep yang sangat penting ketika menentukan jenis pengumpulan data apa yang tidak memerlukan dasar hukum menurut GDPR. Di satu sisi identifikasi mudah dipahami... Apakah kita dapat mengaitkan data ini dengan orang biasa? Jika demikian, maka jelas bahwa individu tersebut dilindungi oleh GDPR.

Apa yang terjadi jika kami melacak orang yang tidak dikenal melalui penggunaan cookie atau teknologi pelacakan lainnya? Bahkan jika orang itu anonim, adalah mungkin untuk kemudian mengidentifikasi dia melalui pengumpulan data tambahan. Oleh karena itu, orang tersebut dilindungi.

Orang perseorangan dapat dikaitkan dengan pengidentifikasi online yang disediakan oleh perangkat, aplikasi, alat, dan protokol mereka, seperti alamat protokol internet, pengidentifikasi cookie, atau pengidentifikasi lain seperti tag identifikasi frekuensi radio. Ini dapat meninggalkan jejak yang, khususnya ketika digabungkan dengan pengidentifikasi unik dan informasi lain yang diterima oleh server, dapat digunakan untuk membuat profil orang-orang dan mengidentifikasi mereka. – Pembukaan GDPR (30)

Alasannya adalah bahwa kami tidak boleh mengumpulkan data tentang pengguna individu tanpa menerima persetujuan untuk melakukannya sebelumnya. Jika kami mengumpulkan data dan kemudian mengaitkannya dengan orang alami di lain waktu, kami akan melanggar prinsip itu.

Hak Pengguna

Persetujuan harus diamankan sebelum mengumpulkan data pribadi. Dan semua data yang berkaitan dengan persetujuan tersebut harus disimpan, termasuk secara spesifik kapan persetujuan diberikan dan bentuk pemrosesan apa yang telah disetujui oleh pengguna. Sebaliknya, jika pengguna mencabut izin untuk beberapa atau semua pengumpulan data pribadi, pencabutan itu juga harus dicatat.

'persetujuan' dari subjek data berarti setiap indikasi yang diberikan secara bebas, spesifik, diinformasikan, dan tidak ambigu tentang keinginan subjek data yang dengannya dia, dengan suatu pernyataan atau dengan tindakan afirmatif yang jelas, menandakan persetujuan untuk pemrosesan data pribadi yang berkaitan dengannya atau dia; – GDPR Pasal 4(11)

Perhatikan bahwa beberapa pihak ketiga mungkin memiliki mekanisme mereka sendiri untuk mendapatkan persetujuan, tetapi mengizinkan layanan tersebut untuk menyuntikkan diri ke dalam pengalaman pengguna Anda akan membingungkan orang. Kecuali Anda menggunakan satu penyedia pihak ketiga untuk menyimpan informasi tentang pengguna Anda, sebaiknya buat mekanisme izin tunggal dan sederhana Anda sendiri yang jelas dan ringkas. Ini harus digunakan untuk mengelola semua berbagai cara pengumpulan data di situs web Anda, termasuk pihak ketiga.

'persetujuan' harus diberikan dengan tindakan afirmatif yang jelas yang menetapkan indikasi yang diberikan secara bebas, spesifik, terinformasi, dan tidak ambigu tentang persetujuan subjek data untuk pemrosesan data pribadi yang berkaitan dengannya, seperti dengan pernyataan tertulis, termasuk melalui sarana elektronik , atau pernyataan lisan. – Pembukaan GDPR(32)

Pengguna memiliki hak untuk mengakses data mereka, memperbaiki data mereka dan, ketika tidak ada lagi dasar hukum untuk pemrosesan data (misalnya, pengguna mencabut persetujuan atau tidak lagi menjadi pelanggan) subjek data berhak untuk terlupakan. Ini termasuk pengontrol yang memberi tahu pemroses yang mungkin juga menyimpan data pengguna yang dikumpulkan.

Selain itu, data pribadi harus dilupakan jika tidak lagi diperlukan untuk dasar hukum pengumpulannya atau untuk tujuan pemberian persetujuan.

Perlindungan dan Sertifikasi Data

GDPR mengharuskan pengontrol data (yaitu Anda) dan pemroses untuk mengambil langkah yang tepat (baik teknis maupun organisasional) untuk melindungi data pribadi.

Agar dapat menunjukkan kepatuhan terhadap Peraturan ini, pengontrol harus mengadopsi kebijakan internal dan menerapkan langkah-langkah yang secara khusus memenuhi prinsip-prinsip perlindungan data berdasarkan desain dan perlindungan data secara default. Tindakan tersebut dapat terdiri, antara lain, meminimalkan pemrosesan data pribadi, menamai data pribadi sesegera mungkin, transparansi terkait dengan fungsi dan pemrosesan data pribadi, memungkinkan subjek data untuk memantau pemrosesan data, memungkinkan pengontrol untuk membuat dan meningkatkan fitur keamanan. – Pembukaan GDPR(78)

Langkah-langkah tersebut juga harus mencakup akses terbatas, enkripsi, dan praktik terbaik mendasar lainnya untuk keamanan data. Penulis GDPR mendorong pengontrol dan pemroses untuk mengidentifikasi dan mematuhi sertifikasi perlindungan data seperti Kode praktik ISO/IEC 27018 untuk perlindungan informasi identitas pribadi.

Untuk meningkatkan transparansi dan kepatuhan terhadap Peraturan ini, pembentukan mekanisme sertifikasi dan segel dan tanda perlindungan data harus didorong, yang memungkinkan subjek data untuk dengan cepat menilai tingkat perlindungan data dari produk dan layanan yang relevan. – Pembukaan GDPR(100)

Pseudonimisasi

Dalam penelitian saya, saya menemukan bahwa Pseudonymization adalah konsep yang paling disalahpahami di GDPR. Pseudonimisasi tidak sama dengan anonimisasi; itu hanyalah tindakan menghapus properti dari kumpulan data yang membuat catatan pengguna dapat diidentifikasi dan menyimpan properti tersebut dalam sumber data terpisah menggunakan beberapa bentuk pengenal unik. Data pseudonim dapat direkonsiliasi dengan sumber data terpisah untuk mengidentifikasi pengguna individu.

'pseudonymization' berarti pemrosesan data pribadi sedemikian rupa sehingga data pribadi tidak dapat lagi dikaitkan dengan subjek data tertentu tanpa menggunakan informasi tambahan, asalkan informasi tambahan tersebut disimpan secara terpisah dan tunduk pada tindakan teknis dan organisasi untuk memastikan bahwa data pribadi tidak dikaitkan dengan orang alami yang teridentifikasi atau dapat diidentifikasi; - GDPR Pasal 4(5)

Menyamarkan data yang dikumpulkan tidak menciptakan dasar hukum untuk memproses data pengguna. Namun, ini adalah praktik terbaik untuk menyimpan data pengguna dengan aman, terutama bila data tersebut disimpan dengan prosesor atau pihak ketiga lainnya. Misalnya, Anda dapat menggunakan pengidentifikasi unik dalam kumpulan data prosesor yang dapat digabungkan dengan kumpulan data Anda sendiri untuk mengidentifikasi pengguna.

Pengungkapan Pelanggaran Data

Jika terjadi pelanggaran data pribadi, pengontrol diwajibkan untuk memberi tahu otoritas pengawas mereka dalam waktu 72 jam setelah mengetahuinya. Karena Anda adalah bagian dari perusahaan yang berbasis di AS, otoritas pengawasan adalah negara anggota tempat subjek data berada.

'pelanggaran data pribadi' berarti pelanggaran keamanan yang mengarah pada penghancuran, kehilangan, perubahan, pengungkapan yang tidak sah, atau akses ke, data pribadi yang dikirimkan, disimpan, atau diproses secara tidak sengaja atau melanggar hukum; – GDPR Pasal 4(12)

Pengontrol juga diharuskan untuk memberi tahu subjek data yang terpengaruh jika terjadi pelanggaran, meskipun garis waktu untuk pemberitahuan tersebut dapat bergantung pada langkah-langkah yang diperlukan untuk mencegah pelanggaran data yang berkelanjutan atau serupa. Pedoman hanya menyatakan bahwa subjek data harus dihubungi tanpa penundaan yang tidak semestinya.

Hukuman

Hukuman pelanggaran GDPR dapat dibagi menjadi dua kategori:

  1. Denda yang dikenakan oleh otoritas pengawas
  2. Kompensasi untuk subjek data yang haknya dilanggar

Sebagian besar artikel yang saya baca cenderung berfokus pada denda yang dapat dikenakan oleh otoritas pengawas.

Dan mudah untuk melihat alasannya.

Denda bisa mencapai €20.000.000 atau hingga 4% dari total omset tahunan di seluruh dunia pada tahun keuangan sebelumnya. Itu adalah angka yang menakutkan.

Tetapi penting untuk dipahami bahwa denda ini adalah batas atas, disediakan untuk situasi yang paling mengerikan dan merusak. Banyak faktor yang diperhitungkan saat menentukan jumlah denda.

Ketika memutuskan apakah akan mengenakan denda administrasi dan memutuskan jumlah denda administrasi dalam setiap kasus individu, hal-hal berikut harus diperhatikan:

  1. sifat, berat dan lamanya pelanggaran dengan mempertimbangkan sifat ruang lingkup atau tujuan pemrosesan yang bersangkutan serta jumlah subjek data yang terpengaruh dan tingkat kerusakan yang dideritanya;
  2. karakter pelanggaran yang disengaja atau lalai;
  3. setiap tindakan yang diambil oleh pengontrol atau pemroses untuk mengurangi kerusakan yang diderita oleh subjek data;
  4. tingkat tanggung jawab pengontrol atau pengolah dengan mempertimbangkan langkah-langkah teknis dan organisasional yang dilaksanakan oleh mereka sesuai dengan Pasal 25 dan 32;
  5. pelanggaran sebelumnya yang relevan oleh pengontrol atau prosesor;
  6. tingkat kerjasama dengan otoritas pengawas, untuk memperbaiki pelanggaran dan mengurangi kemungkinan dampak merugikan dari pelanggaran;
  7. kategori data pribadi yang terkena dampak pelanggaran
  8. cara pelanggaran diketahui oleh otoritas pengawas, khususnya apakah, dan jika demikian sejauh mana, pengontrol atau pemroses memberi tahu pelanggaran tersebut;
  9. dimana tindakan-tindakan sebagaimana dimaksud dalam Pasal 58(2) sebelumnya telah diperintahkan terhadap pengontrol atau pengolah yang bersangkutan berkenaan dengan pokok bahasan yang sama, kepatuhan terhadap tindakan-tindakan tersebut;
  10. kepatuhan terhadap kode etik yang disetujui menurut Pasal 40 atau mekanisme sertifikasi yang disetujui menurut Pasal 42; dan
  11. faktor lain yang memberatkan atau meringankan yang berlaku untuk keadaan kasus tersebut, seperti keuntungan finansial yang diperoleh, atau kerugian yang dihindari, secara langsung atau tidak langsung, dari pelanggaran tersebut.

– GDPR Pasal 83(2)

Yang lebih besar tidak diketahui adalah apa kompensasi untuk subjek data yang haknya telah dilanggar. Kecil kemungkinan pelanggaran GDPR akan memengaruhi hanya satu individu, jadi masuk akal untuk mengharapkan beberapa bentuk litigasi kelompok.

Aturan nasional negara-negara anggota UE sangat bervariasi sehubungan dengan masalah litigasi kelompok (class action). Jadi memperkirakan konsekuensi sebelum peraturan tersebut berlaku adalah latihan yang sebaiknya diserahkan kepada para profesional hukum. Mungkin lebih baik lagi, peramal menatap bola kristal.

Beberapa Skenario Umum

Intinya adalah kepatuhan GDPR tidak harus terlalu sulit. Meskipun ada beberapa langkah dasar yang perlu Anda ambil, pedomannya jelas dan terukur. Jika Anda telah melakukan bisnis di UE tetapi mengabaikan Arahan Perlindungan Data, Anda harus mengejar ketinggalan. Tapi izinkan saya menekankan bahwa itu tidak terlalu buruk.

Ada beberapa skenario umum yang dibagikan di hampir semua bisnis yang layanan BrandExtract. Umumnya, kami mencoba untuk menjauhkan klien kami dari situasi yang memerlukan persetujuan pengumpulan atau pengelolaan data pribadi kecuali benar-benar diperlukan. Tetapi ada situasi di mana itu masuk akal. Berikut adalah beberapa situasi khusus dengan rekomendasi:

Google Analytics

BrandExtract berpendapat bahwa pengumpulan dan penyimpanan alamat IP lengkap pengguna tidak diperlukan untuk melakukan analisis kualitas. Dan menganonimkan alamat IP dengan menghapus oktet terakhir dari alamat IPv4 dan 80 bit terakhir dari alamat IPv6 sudah cukup untuk menghilangkan kemungkinan identifikasi pengguna di pihak Google.

Ini dapat dengan mudah dilakukan di Google Analytics dengan menggunakan fitur anonimisasi alamat IP yang ada di dalam pustaka javascript GA. Itu dapat dengan mudah dipanggil untuk semua pengguna terlepas dari apakah mereka mengakses situs Anda dari dalam UE atau tidak. Saat anonimisasi alamat IP digunakan, tidak ada data pribadi yang dapat diidentifikasi yang dicatat di server Google.

Selanjutnya, dimungkinkan untuk menonaktifkan penggunaan cookie Google Analytics di situs web Anda. Ini akan mengakibatkan hilangnya beberapa data analitik (kami sedang dalam proses menguji ini untuk melihat apa yang hilang). Namun dengan menganonimkan alamat IP dan menghapus cookie, kami tidak perlu lagi mengumpulkan persetujuan untuk Google Analytics karena pengguna tidak dapat lagi diidentifikasi.

Masih dimungkinkan untuk menggunakan Google Analytics dengan cookie, tetapi Anda harus mengumpulkan persetujuan sebelum melakukannya. Juga perhatikan bahwa Google telah menjanjikan alat untuk menghapus data pengguna individu dari analitik untuk memastikan kepatuhan. Itu harus sudah ada pada 25 Mei.

File Log Server Web

Secara default, semua permintaan ke server web Anda dicatat dalam file log. Setiap catatan menyertakan alamat IP pengguna, yang dihitung sebagai data pribadi karena dapat digunakan nanti untuk melacak aktivitas pengguna secara surut jika dia kemudian diidentifikasi. Perekaman alamat IP harus dinonaktifkan, atau alamat IP harus dianonimkan.

Pardot

Seperti Google, ini adalah posisi Pardot bahwa Anda adalah pengontrol dan prosesor. Penawaran layanan Pardot bergantung pada kemampuan mengidentifikasi pengguna. Jadi jika Anda berniat menggunakan layanan Pardot di situs web Anda, Anda harus memiliki dasar hukum untuk memproses data pengguna.

Pardot belum memiliki alat untuk mengumpulkan atau menghapus data pengguna, dan mereka tidak berharap untuk memiliki alat tersebut pada tenggat waktu. Semua permintaan data dan permintaan untuk dilupakan harus dilakukan melalui service desk Pardot.

Hubspot

Bagian dari penawaran layanan Hubspot termasuk formulir asupan dan pelacakan pengguna. Jika Anda tidak menggunakan penyedia pihak ketiga lain untuk melacak pengguna, Anda dapat mempertimbangkan untuk menggunakan mekanisme pengumpulan izin Hubspot. Fitur baru ini akan tersedia pada 25 Mei.

Jika Anda menggunakan penyedia lain selain Hubspot, atau menyimpan data pengguna di sistem Anda sendiri, maka Anda harus membuat mekanisme Anda sendiri untuk mengumpulkan persetujuan untuk semua cara data pengguna disimpan.

Email Pemasaran

Jika Anda menggunakan penyedia layanan pemasaran email atau memiliki mekanisme sendiri untuk melacak tanggapan email oleh pengguna, maka Anda harus memiliki persetujuan atau dasar hukum sebelum Anda mengirim email. Untuk kampanye email, Anda memerlukan hubungan yang mapan dengan subjek data yang mencakup dasar hukum untuk pemrosesan.

Font yang Dihosting dan Aset Lainnya

Yang ini mudah... Jika Anda khawatir tentang GDPR, jangan gunakan pihak ketiga untuk meng-host font situs web Anda, pustaka javascript, atau aset lainnya. Jika font tertentu hanya tersedia melalui host pihak ketiga, gunakan saja font yang berbeda.

Semua penyedia akan memiliki persyaratan layanan dan tingkat kepatuhan mereka sendiri yang memerlukan pemantauan terus-menerus untuk memastikan kebijakan mereka tidak berubah. Cobalah untuk menghindari kerumitan dan risiko itu.

Layanan Berbagi (ShareThis, AddToAny, dll)

Mereka mengerikan, jangan menggunakannya. Bahkan sebelum perkembangan GDPR yang layak diberitakan, BrandExtract selalu menjauhkan pelanggan kami dari parasit yang menyamar sebagai layanan ini. Pengguna Anda tidak memerlukan kemampuan untuk membagikan halaman web Anda di 47 jejaring sosial yang belum pernah didengar oleh siapa pun. BrandExtract memiliki kode khusus untuk dibagikan di semua platform utama yang benar-benar penting bagi bisnis Anda.

Personalisasi

Yang ini juga mudah. Skenario personalisasi apa pun selain geolokasi luas menurut benua atau negara memerlukan identifikasi pengguna dan Anda harus memiliki persetujuan pengguna. Tidak ada jalan lain.

Sumber daya

  • Situs web Komisi Eropa
  • Teks GDPR
  • Anonimisasi IP di Analytics
  • Menonaktifkan Cookie Analytics

Peraturan GDPR bisa sangat banyak. Mudah-mudahan, kami telah membantu mengkonsolidasikan semua yang perlu Anda ketahui. Saat Anda mempertimbangkan untuk mengaudit situs Anda, kami akan dengan senang hati mengobrol. Kami membahas lebih detail tentang GDPR dengan tim ahli kami di episode podcast GDPR kami. Untuk wawasan lebih lanjut tentang pertimbangan web dan digital untuk merek Anda, berikut adalah beberapa kiat dan sumber daya untuk membantu:

  • Pelajari apa yang diperlukan untuk membuat situs Anda dapat diakses.
  • Cari tahu kunci keamanan situs web dan cara menjaga situs Anda tetap aman.
  • Lihatlah cara membuat situs web bisnis yang menarik (dan mengonversi).