Apa yang dapat dipelajari oleh merek dari tahun GDPR dalam mempersiapkan Undang-Undang Privasi Konsumen California

Berikut ini adalah posting tamu dari Jack Carvel, penasihat umum di Qubit.

Mei 2019 menandai peringatan satu tahun penerapan Peraturan Perlindungan Data Umum (GDPR), perubahan paling substansial dalam peraturan privasi data dalam beberapa dekade. Sementara GDPR telah melakukan kebaikan yang signifikan dalam meningkatkan kesadaran tentang hak-hak individu dalam hal data, kisah penegakannya sama sekali berbeda.

Kurangnya denda besar yang mengejutkan dan penyalahgunaan data pihak ketiga yang terus berlanjut, yang menurut banyak orang akan hilang sama sekali, telah mencolok tahun lalu. Namun, ini masih dapat berubah dengan penerapan undang-undang baru, seperti komponen ePrivacy yang diantisipasi — elemen berikutnya dari rezim perlindungan data UE yang diperkirakan akan segera berlaku — dan pengembangan privasi data utama yang akan datang ke AS pada bulan Januari. 2020: Undang-Undang Privasi Konsumen California (CCPA). Dalam posting ini, saya akan membahas pelajaran yang dipetik dari GDPR setelah satu tahun dan tips tentang cara terbaik untuk mempersiapkan CCPA dan undang-undang lain yang lebih ketat yang diantisipasi dalam waktu dekat.

GDPR: "A+" untuk kesadaran, "D" untuk penegakan

Pertama, mari kita beri kredit di tempat yang seharusnya: GDPR sangat bagus untuk bisnis yang menganggapnya serius. Ini telah menghasilkan database pelanggan yang lebih sehat dengan pemahaman yang lebih jelas tentang pelanggan dan wawasan yang lebih baik tentang perilaku mereka.

Musim semi lalu sedikit seperti menerapkan Metode Kondo atau pembersihan musim semi ke data karena bisnis di seluruh dunia sedang menjalani proses pemahaman di mana data mereka disimpan dan apa yang terjadi dengannya. Semua orang fokus pada perlindungan data hanya untuk beberapa bulan, membuat dunia online lebih aman dan terlindungi. Dan, pengawasan telah meningkat pesat. Ada beberapa denda, dan di antaranya yang signifikan untuk Google sebesar 50 juta euro. Pada awalnya, banyak orang di industri berasumsi bahwa denda seperti itu akan menjadi norma, tetapi kita belum melihatnya.

Area di mana GDPR sangat tidak bersemangat adalah dalam berurusan dengan pialang data pihak ketiga. Ada banyak praktik buruk di luar sana dengan perusahaan yang seluruh model bisnisnya bergantung pada penjualan data bekas atau ketiga. Data ini dapat dengan mudah disalin, diungkapkan, dan diberikan kepada pihak-pihak tanpa sepengetahuan konsumen — dan mungkin diperoleh tanpa persetujuan atau pemahaman tentang data apa yang dikumpulkan dan mengapa. Dengan GDPR, banyak yang berharap itu akan berakhir, tetapi regulator belum mengikuti praktik data yang kasar ini.

Ada juga perusahaan kecil di AS (dan di yurisdiksi lain di luar UE) yang tidak mematuhi standar. Mereka tidak memiliki sumber daya untuk mematuhi rezim data yang berbeda dan mereka tidak memiliki penasihat internal untuk memantau kepatuhan, jadi mereka hanya menanggung risikonya. Dengan perusahaan-perusahaan ini, ketika ada pelanggaran, hanya ada sedikit transparansi, karena regulator tidak dapat memverifikasi keakuratan pernyataan tersebut. Namun, ketidakpatuhan adalah strategi yang sangat berisiko. Konsumen menjadi jauh lebih sadar akan hak data mereka dan nilai data mereka, jadi meskipun perusahaan dapat menghindari denda, mereka mempertaruhkan ekuitas merek dan reputasi mereka jika mereka mengalami pelanggaran data — dan itu mungkin lebih buruk daripada denda.

Penegakan yang lebih ketat bisa datang

Ada peraturan privasi data yang diantisipasi yang dapat mengubah permainan dengan penegakan. Salah satu perkembangan signifikan yang akan datang adalah Peraturan ePrivasi, yang mendefinisikan kebijakan tentang cookie, persetujuan apa yang diperlukan, siapa perusahaan yang dapat mengirim email dan untuk alasan apa, pelacakan dan sebagainya, menambahkan lapisan yang lebih definitif pada konsep data pribadi yang lebih luas. Ini kemungkinan akan memicu lebih banyak penegakan karena regulator akan menggunakan regulasi GDPR dan ePrivacy secara bersama-sama, meskipun masih beberapa bulan lagi.

Hukum lain di cakrawala yang akan mengubah cara bisnis beroperasi adalah CCPA. Apa kuncinya di sini adalah bahwa ini adalah yang pertama dari jenis undang-undang ini yang berakar di AS Kita mungkin tidak melihat banyak buzz seputar peraturan yang akan datang ini, mungkin karena ini bukan undang-undang federal, tetapi perusahaan yang tidak mempersiapkannya mungkin akan sangat terkejut dengan hukuman, seperti hingga $7.500 per pelanggaran CCPA dan $750 per setiap catatan yang disusupi — yang dapat menambah jumlah yang cukup besar dan dapat menghancurkan bisnis yang lebih kecil.

Beberapa saran untuk pengecer

Peritel, terutama yang berada di AS yang belum melalui proses persiapan yang ketat untuk GDPR yang dimiliki perusahaan global, harus mempertimbangkan persiapan awal yang signifikan yang diperlukan untuk mematuhi kebijakan yang akan datang. California kemungkinan akan lebih ketat dalam mengenakan denda ketidakpatuhan yang besar daripada yang kami amati dengan GDPR. Merek global besar mungkin sudah siap untuk CCPA sebagian karena persiapan mereka untuk GDPR dan pengawasan data yang cermat yang telah ada di Eropa selama beberapa waktu sekarang. Namun, bisnis yang lebih kecil mungkin lengah oleh privasi data yang ketat dan investigasi kepatuhan yang akan datang. Berikut adalah beberapa tip yang dapat membantu perusahaan AS, dan mereka yang ingin terus berbisnis di California membantu mempersiapkan undang-undang yang akan datang:

1. Meskipun ini bukan persyaratan tegas CCPA, membuat "catatan pemrosesan" harus menjadi langkah pertama: mengidentifikasi data apa yang Anda kumpulkan dan apa yang Anda lakukan dengannya. Dengan menjalani proses ini, Anda akan memahami ruang lingkup apa yang Anda masuki dalam CCPA. Anda harus berjalan ke dalam proses dengan pemahaman menyeluruh tentang semua ini.
2. Tentu saja data itu berharga, tetapi lebih banyak data tidak selalu berarti lebih banyak nilai. Jika Anda tidak tahu mengapa Anda mengumpulkannya, singkirkan. Data yang tidak berguna bagi perusahaan Anda hanya membebani Anda dengan biaya penyimpanan, dan meningkatkan eksposur Anda terhadap pelanggaran data. Menghapus data bisa terasa menakutkan, tetapi ini adalah langkah yang sangat memberdayakan untuk diambil, dan pada akhirnya akan membuat pengambilan keputusan berdasarkan data Anda lebih efisien. Banyak perusahaan telah melihat peningkatan rasio konversi dan penargetan yang lebih efektif saat menggunakan kumpulan data yang bersih.
3. Di bawah GDPR, ada persyaratan untuk petugas perlindungan data dalam beberapa kasus. Ini adalah ide yang bagus secara umum: membuat seseorang bertanggung jawab atas privasi data dan untuk mempersiapkan perusahaan memenuhi kewajibannya di bawah rezim hukum yang berlaku. Selanjutnya, pastikan individu ini memiliki visibilitas tinggi. Dengan CCPA, tidak ada persyaratan bahwa orang ini melapor ke manajemen senior, seperti dalam GDPR; namun, merupakan ide yang sangat baik untuk memastikan bahwa manajemen senior mengetahui dengan baik apa yang ditemukan oleh auditor internal.
4. Jangkau vendor dan mitra Anda secara proaktif untuk memahami apa yang terjadi dalam skenario tertentu; apakah mereka dapat membantu Anda dengan persyaratan dalam kerangka waktu tertentu? Bicara tentang prosesnya. Saat Anda memulai percakapan ini dengan pihak lain yang bekerja sama dengan bisnis Anda, akan segera terlihat jelas apakah mereka dapat membantu dan mematuhinya.
5. Pahami manfaat positif undang-undang privasi data bagi bisnis Anda. Kebijakan ini memberdayakan perusahaan untuk membuat basis data pelanggan mereka lebih sehat dan aktif, mengurangi biaya yang terkait dengan penyimpanan data, dan mengembangkan komunikasi yang lebih pribadi kepada individu yang ingin menerimanya.
6. Buat itu menyenangkan. Pengguna akhir jauh lebih mungkin untuk memahami dan menyetujui praktik penanganan data Anda jika Anda menggunakan bahasa yang sederhana dan sederhana, dan menunjukkan manfaat kepada mereka dari apa yang Anda lakukan. Jika Anda tidak dapat membenarkan koleksi tersebut, mungkin ada baiknya mempertimbangkan kembali apakah Anda benar-benar membutuhkannya!

Mungkin tidak mudah untuk mengembangkan dan menjalankan proses kepatuhan, tetapi ketika ini dilakukan, itu akan membuat dunia menjadi tempat yang lebih baik. Dan untuk perusahaan yang dipersiapkan dengan baik, itu bahkan bisa berarti dorongan untuk bisnis mereka.