GDPR: Apa Artinya untuk Pemasaran Afiliasi di APAC

Diterbitkan: 2022-07-06

GDPR telah menjadi topik hangat untuk beberapa waktu dan sekarang akhirnya ada pada kita. Tapi apa arti peraturan bagi kita di luar UE?

markus-spiske-357131-unsplash

Kita semua telah mendengar tentang GDPR sekarang dan jika tidak, itu adalah alasan mengapa Anda mendapatkan begitu banyak email tentang pembaruan kebijakan privasi - yang sebagian besar tidak diperlukan jika tidak ilegal. Tetapi dalam upaya untuk tetap patuh, perusahaan akan terus berusaha untuk memastikan mereka tidak mendapat masalah.

Sementara GDPR difokuskan pada warga negara UE, itu mungkin memiliki implikasi yang luas untuk pengecer, afiliasi, dan jaringan Australia. Jika Anda menjalankan bisnis di UE atau jika bisnis Anda memproses informasi pribadi individu di UE, maka Anda perlu memastikan bahwa bisnis Anda mematuhi peraturan baru.

Apa itu GDPR?

Peraturan Perlindungan Data Umum Uni Eropa (GPDR) berisi persyaratan perlindungan data baru yang akan berlaku pada 25 Mei 2018 dan memberlakukan kewajiban ketat pada bisnis terkait tata kelola, persetujuan, pembuatan profil, dan portabilitas data.

GDPR mencakup persyaratan yang mirip dengan yang ada di Australian Privacy Act 1988 , dan langkah-langkah tambahan yang juga bertujuan untuk mendorong praktik penanganan informasi yang transparan dan akuntabilitas bisnis seputar penanganan data. Pengenalan undang-undang perlindungan data yang jelas dan seragam dimaksudkan untuk membangun kepastian hukum bagi pelaku usaha dan meningkatkan kepercayaan konsumen terhadap layanan online.

GDPR dirancang untuk memberdayakan konsumen UE dan hak-hak mereka tentang bagaimana data mereka dapat digunakan. Untuk industri digital seperti kita sendiri dan pengecer online, hal ini menjadi semakin penting karena definisi tentang apa yang dianggap sebagai data pribadi telah diperluas untuk mencakup apa pun yang dapat memilih individu tetapi tidak harus secara terbuka mengidentifikasi pribadi. Jadi, meskipun alamat email jelas merupakan data pribadi, cakupannya juga mencakup pengenal nama samaran seperti alamat IP atau ID pesanan.

Untuk memproses data ini, bisnis perlu memilih dasar hukum, yang ada enam.

  1. Izin
  2. Kontrak
  3. Kewajiban Hukum
  4. Minat Vital
  5. Tugas Umum
  6. Bunga yang Sah

Untuk beberapa perusahaan, ini akan menjadi jelas, tetapi bagi banyak perusahaan pemasaran digital, mereka biasanya harus memilih 'persetujuan' atau 'kepentingan yang sah' .

Commission Factory menggunakan kepentingan yang sah sebagai dasar hukum untuk memproses data.

Apakah GDPR Mempengaruhi Bisnis Saya?

Beberapa bisnis Australia yang tercakup dalam Australian Privacy Act 1988 (Cth) (Privacy Act) (dikenal sebagai entitas APP), mungkin perlu mematuhi GDPR jika mereka:

  • memiliki pendirian di UE (terlepas dari apakah mereka memproses data pribadi di UE), atau
  • tidak memiliki pendirian di UE, tetapi menawarkan barang dan jasa atau memantau perilaku individu di UE.

GDPR berlaku untuk aktivitas pemrosesan data bisnis, terlepas dari ukurannya, yang merupakan pemroses atau pengontrol data yang didirikan di UE. Secara umum, pengontrol mengatakan bagaimana dan mengapa data pribadi diproses dan prosesor bertindak atas nama pengontrol.

Jika bisnis memiliki 'perusahaan' di UE, aktivitas bisnis yang melibatkan pemrosesan data pribadi harus mematuhi GDPR, terlepas dari apakah data tersebut benar-benar diproses di UE.

GDPR juga berlaku untuk aktivitas pemrosesan data pemroses dan pengontrol di luar UE, terlepas dari ukurannya, di mana aktivitas pemrosesan terkait dengan:

  • menawarkan barang atau jasa kepada individu di UE (terlepas dari apakah pembayaran diperlukan)
  • memantau perilaku individu di UE, di mana perilaku itu terjadi di UE

Bisnis Australia yang mungkin dicakup oleh GDPR meliputi:

  • bisnis Australia dengan kantor di UE
  • bisnis Australia yang situs webnya menargetkan pelanggan UE misalnya dengan memungkinkan mereka memesan barang atau jasa dalam bahasa Eropa (selain bahasa Inggris) atau memungkinkan pembayaran dalam euro
  • bisnis Australia yang situs webnya menyebutkan pelanggan atau pengguna di UE
  • bisnis Australia yang melacak individu di UE di internet dan menggunakan teknik pemrosesan data untuk membuat profil individu guna menganalisis dan memprediksi preferensi, perilaku, dan sikap pribadi.

Tabel perbandingan

GDPR UE Undang-Undang Privasi Australia
Ini berlaku untuk siapa? Aktivitas pemrosesan data bisnis, terlepas dari ukurannya, yang merupakan pemroses atau pengontrol data Sebagian besar lembaga Pemerintah Australia, semua sektor swasta dan organisasi nirlaba dengan omset tahunan lebih dari $3 juta, semua penyedia layanan kesehatan swasta dan beberapa usaha kecil.
Apa itu berlaku untuk? Data pribadi – informasi apa pun yang berkaitan dengan orang alami yang teridentifikasi atau dapat diidentifikasi: Pasal 4(1) Informasi pribadi (PI) – informasi atau pendapat tentang individu yang teridentifikasi, atau individu yang dapat diidentifikasi secara wajar: s 6(1)
Tautan yurisdiksi Berlaku untuk pemroses atau pengontrol data:
  • dengan pendirian di UE, atau
  • di luar UE, yang menawarkan barang atau jasa kepada individu di UE atau memantau perilaku individu di UE: Pasal 3
 Berlaku untuk bisnis:
  • tergabung dalam Australia, atau
  • yang 'melanjutkan bisnis' di Australia dan mengumpulkan PI dari Australia atau menahan PI di Australia: s 5B
Akuntabilitas dan tata kelola Pengendali umumnya harus:
  • menerapkan langkah-langkah teknis dan organisasi yang sesuai untuk menunjukkan kepatuhan GDPR dan membangun privasi secara default dan desain: Pasal 5, 24, 25
  • melakukan penilaian dampak perlindungan data wajib: Pasal 35
  • menunjuk petugas perlindungan data: Pasal 37
 Entitas APP harus mengambil langkah-langkah yang wajar untuk menerapkan praktik, prosedur, dan sistem untuk memastikan kepatuhan terhadap APP dan untuk memungkinkan pengaduan: APP 1.2

Bisnis diharapkan untuk menunjuk peran dan tanggung jawab utama untuk manajemen privasi dan untuk melakukan penilaian dampak privasi untuk banyak proyek baru dan yang diperbarui
Izin Persetujuan harus berupa:
  • diberikan secara bebas, spesifik dan diinformasikan, dan
  • indikasi yang jelas dari keinginan subjek data yang, dengan pernyataan atau tindakan afirmatif yang jelas, menandakan persetujuan untuk diproses: Pasal 4(11)
 Elemen kunci:
  • individu diberi informasi yang memadai sebelum memberikan persetujuan, dan memiliki kapasitas untuk memahami dan mengomunikasikan persetujuan
  • persetujuan diberikan secara sukarela
  • persetujuan saat ini dan spesifik: OAIC's APP GLs
Pemberitahuan Pelanggaran Data DBN wajib oleh pengontrol dan pemroses (pengecualian berlaku): Pasal 33-34 Mulai 22 Februari 2018, pelaporan wajib untuk pelanggaran yang mungkin mengakibatkan risiko bahaya serius yang nyata
Hak individu Hak individu meliputi:
  • hak untuk menghapus: Pasal 17
  • hak atas portabilitas data: Pasal 20
  • hak untuk menolak: Pasal 21
 Tidak ada yang setara dengan hak-hak ini.
Namun, bisnis harus mengambil langkah-langkah yang wajar untuk menghancurkan atau menghilangkan identitas PI yang tidak lagi diperlukan untuk tujuan yang diizinkan: APP 11.2. Jika akses diberikan kepada PI individu, akses tersebut harus diberikan secara umum dengan cara yang diminta: APP 12.5
Transfer luar negeri Data pribadi dapat ditransfer ke luar UE dalam keadaan terbatas termasuk:
  • ke negara-negara yang memberikan tingkat perlindungan data yang 'memadai'
  • di mana 'klausul perlindungan data standar' atau 'aturan perusahaan yang mengikat' berlaku
  • kode etik atau sertifikasi yang disetujui: Chp V
 Sebelum mengungkapkan PI di luar negeri, bisnis harus mengambil langkah-langkah yang wajar untuk memastikan bahwa penerima tidak melanggar APP terkait dengan informasi: APP 8 (pengecualian berlaku). Entitas bertanggung jawab atas pelanggaran APP oleh penerima di luar negeri terkait dengan informasi: s 16C (pengecualian berlaku)
Sanksi Denda administratif hingga €20 juta atau 4% dari omset tahunan di seluruh dunia (mana yang lebih tinggi): Pasal 83 Wewenang untuk bekerja dengan entitas untuk memfasilitasi kepatuhan dan praktik terbaik, serta wewenang investigasi dan penegakan: Bagian IV dan V

Bagaimana ini akan mempengaruhi industri afiliasi?

Kami tidak mengantisipasi pembaruan GDPR ini akan mempengaruhi pemasar afiliasi atau pengecer online secara negatif dan sebagian besar merupakan langkah untuk merumuskan dan mengatur undang-undang perlindungan data yang telah ada selama beberapa tahun.

Untuk Commission Factory dan afiliasi kami, sifat data pribadi yang diproses tidak sensitif dan sebagian besar bersifat teknis dan tidak seperti saluran lain yang menggunakan data pribadi untuk membangun profil dan perilaku konsumen yang ditargetkan melalui iklan.

Dengan menyatakan dasar hukum pengumpulan data kami sebagai "Kepentingan Sah" , kami berusaha meminimalkan beban kepatuhan bagi penerbit kami dan kami tidak perlu meminta penerbit untuk mendapatkan Persetujuan Data apa pun untuk kami.

Untuk afiliasi yang tidak mengoperasikan, memasarkan, atau mengumpulkan informasi di UE atau penduduknya, tidak memungkinkan untuk meminta persetujuan. Penduduk UE yang mengakses situs web di luar UE tidak berada di bawah kendali Anda. Hanya dapat mengakses situs Anda dari UE tidak cukup untuk memastikan bahwa situs tersebut melakukan bisnis di UE dan tingkat keterlibatan merupakan faktornya.

Pastikan Anda memiliki detail kontak di mana individu dapat menghubungi Anda dengan pertanyaan terkait privasi. Pengontrol dan pemroses harus, dalam keadaan tertentu, menunjuk petugas perlindungan data untuk memantau dan memberi nasihat tentang kepatuhan terhadap GDPR serta kebijakan dan prosedur privasi internal. Ini telah digambarkan sebagai peran 'pejuang privasi' yang mencakup peran penasihat bisnis dalam penggunaan data pribadi yang bertanggung jawab dan inovatif. Ini sudah menjadi persyaratan di bawah undang-undang Perlindungan Privasi Australia dan harus diterapkan terlepas dari itu.

Apakah Pabrik Komisi Pengendali atau Prosesor?

Pabrik Komisi seperti mitra kami Awin dan setelah penasihat hukum telah memilih diri kami sebagai pengontrol data bersama dengan Pengiklan dan Penerbit. Ini bukan untuk mengatakan bahwa posisi ini sama dengan semua jaringan afiliasi karena beberapa memilih posisi prosesor dan setiap bisnis yang menangani data harus memutuskan peran apa yang mereka mainkan dalam pemrosesan data tersebut.

Pabrik Komisi adalah Pengendali karena kami telah memutuskan model ekonomi dan bersama-sama membuat keputusan dengan afiliasi kami tentang data apa yang akan diproses untuk menyampaikan kampanye pemasaran afiliasi pengiklan.

Rute mana yang Anda ambil dapat ditentukan dengan menanyakan "Bagaimana" dan "Mengapa" . Jika Anda sebagai perusahaan pemasaran digital memutuskan "Mengapa data harus diproses" dan "Bagaimana data harus diproses untuk mencapai tujuan yang diinginkan" , atau berpotensi keduanya, maka Anda termasuk dalam definisi "Pengendali".

Prosesor tidak menentukan Bagaimana dan Mengapa dan dapat membuat keputusan terbatas tentang bagaimana memproses data untuk tujuan yang ditentukan oleh pengontrol.

Dalam model pemasaran afiliasi, Pengiklan akan selalu berada di bawah status Pengendali. Ini karena hanya mereka yang dapat memutuskan 'mengapa' memproses data dan membuat keputusan seperti "Mari berpartisipasi dalam pemasaran afiliasi dan bayar penjualan yang dirujuk sebagai imbalan komisi" .

Alasan untuk tidak memilih rute Prosesor berasal dari ketidakpraktisan yang terkait dengannya. Misalnya jika Commission Factory atau afiliasi kami mencoba bekerja dalam batasan peran pemroses data, kami harus meminta pemrosesan data baru yang disetujui oleh masing-masing pengiklan terlebih dahulu setiap saat. Kami juga memerlukan instruksi tertulis dari Pengiklan setiap kali mereka ingin menggunakan perbaikan bug, pembaruan, peningkatan, atau fitur tambahan dari produk atau layanan kami. Ini akan memberatkan.

Karena Commission Factory adalah jaringan afiliasi pureplay, kami menggunakan data pribadi terbatas untuk melacak rujukan ke situs web pengiklan, transaksi yang diakibatkannya, dan pelaporan kami, tetapi kami tidak pernah menggunakan kembali data ini untuk membangun profil perilaku pengguna atau untuk tujuan pemasaran lainnya. Kami juga tidak mengumpulkan data lain untuk:

  1. Membangun profil pengguna perilaku
  2. Penargetan ulang perilaku
  3. Pemasaran untuk tujuan lain apa pun

Dengan menghindari jenis pemrosesan ini, kami dapat mengandalkan kepentingan yang sah untuk membenarkan pemrosesan dan menghindari persyaratan Izin Data dari penerbit atau pengiklan untuk melacak transaksi secara legal.

Apa sekarang?

Meskipun GDPR sebagian besar merupakan arahan UE dan tindakan perlindungan data, tetap bijaksana untuk memastikan bahwa Anda dilindungi dan mencari saran tentang apa kewajiban Anda.

Mengingat beberapa kesamaan dengan Privacy Act dan GDPR, bisnis Australia mungkin sudah memiliki beberapa tindakan yang disyaratkan oleh GDPR. Meskipun demikian, penting untuk memastikan Anda mengevaluasi semua praktik dan struktur tata kelola Anda sesuai dengan peraturan GDPR dan mencari nasihat hukum jika perlu untuk memastikan kepatuhan yang ketat.

Dari sudut pandang kami sebagai jaringan, kami akan meluncurkan alat persetujuan opsional dan menambahkan persetujuan cookie ke semua situs web kami untuk keringkasan data, tetapi Penerbit bebas untuk mendapatkan persetujuan dengan cara apa pun yang mereka inginkan.

Beberapa model remunerasi afiliasi seperti penerbit uang kembali dan hadiah, mungkin tidak memerlukan Persetujuan Cookie untuk cookie afiliasi karena cookie afiliasi diperlukan agar jenis layanan berbasis uang kembali atau hadiah berfungsi.