Meneliti Dampak GDPR Satu Tahun Dalam

Pada 25 Mei 2018, Peraturan Perlindungan Data Umum Eropa (GDPR) yang sangat dinanti mulai berlaku. Sekarang setelah pemasar digital memiliki cukup waktu untuk menyesuaikan diri dengan undang-undang baru ini, kita akan melihat lebih dekat bagaimana GDPR memengaruhi konsumen dan bisnis — serta bagaimana dan mengapa menerapkan beberapa praktik terbaik untuk kepatuhan GDPR.

Apa itu GDPR dan Mengapa Dibuat?

Undang-undang Peraturan Perlindungan Data Umum Eropa disahkan untuk menciptakan perlindungan privasi data yang lebih seragam dan lebih besar bagi semua penduduk Uni Eropa. Undang-undang menetapkan hukuman keras untuk ketidakpatuhan untuk pemasaran bisnis apa pun dan pengumpulan data perilaku individu di UE. Denda untuk ketidakpatuhan dapat mencapai 4% dari pendapatan global, sehingga perusahaan sangat didorong untuk mengikuti peraturan GDPR.

Untuk meringkas, tujuan GDPR meliputi:

• Memberikan wawasan yang lebih luas kepada warga tentang bagaimana data mereka dikumpulkan dan lebih banyak kontrol atas bagaimana data mereka digunakan.
• Mengklarifikasi dan menyederhanakan ekspektasi hukum untuk bisnis dari semua ukuran.
• Mengkonsolidasikan peraturan privasi data regional yang terputus-putus menjadi satu set yang kohesif dan terkodifikasi.
• Meningkatkan kepatuhan terhadap peraturan dari semua transaksi digital — baik yang terlihat maupun yang tersembunyi dari konsumen.

Untuk mencapai tujuan ini, GDPR memerlukan protokol yang berbeda bagi bisnis untuk mendapatkan dan mempertahankan persetujuan di seluruh aktivitas dan saluran pemasaran mereka.

Mendapatkan Persetujuan Pengguna

GDPR telah secara signifikan mempersempit konsep persetujuan pengguna dan sekarang mengharuskan pengguna untuk mengambil "tindakan afirmatif yang jelas" sebelum perusahaan dapat mulai memasarkan kepada mereka. Persetujuan ini harus “diberikan secara bebas, spesifik, diinformasikan, dan tidak ambigu.” Misalnya, kotak persetujuan yang telah dicentang sebelumnya pada formulir pengiriman tidak lagi diizinkan, karena tidak memerlukan tindakan nyata dari pihak pengguna dan tidak selalu menyiratkan bahwa mereka telah memberikan persetujuan untuk menerima materi pemasaran.

Lebih lanjut, GDPR menetapkan bahwa bisnis harus menerima “pilihan ganda” dari pengguna mereka sebelum mereka dapat memasarkan kepada mereka, yang berarti memberikan persetujuan pada setidaknya dua contoh terpisah. Misalnya, Anda harus membuat formulir dengan kotak persetujuan yang jelas dan tidak dicentang, lalu juga mengirim email konfirmasi tempat pengguna dapat mengonfirmasi persetujuan mereka dengan mengeklik tautan. GDPR juga mewajibkan semua organisasi untuk memberikan bukti persetujuan untuk setiap kontak mereka, dan jika tidak melakukannya dapat mengakibatkan hukuman berat dan denda.

Terakhir, konsumen dapat memanfaatkan GDPR untuk mengirimkan “permintaan akses subjek” yang memungkinkan mereka mengakses data pribadi yang dimiliki setiap organisasi, mengapa organisasi tersebut memiliki informasi tersebut, dan bagaimana mereka menggunakannya. Hampir setengah dari 18.000 keluhan terkait perlindungan data yang diterima oleh Information Commissioner's Office (ICO) pada tahun 2016 terkait dengan permintaan akses subjek yang salah penanganan (1). Informasi pribadi ini sangat penting bagi pengguna, dan GDPR berusaha mempermudah mereka untuk mengumpulkannya.

Memberikan Peluang yang Jelas dan Sederhana untuk Memilih Keluar

GDPR juga berkomitmen untuk mempermudah pengguna memilih tidak menerima komunikasi dari bisnis. Seperti CASL di Kanada dan CAN-SPAM di Amerika Serikat, organisasi sekarang diminta untuk memudahkan pengguna memperbarui preferensi mereka, menarik persetujuan mereka, atau dihapus dari database perusahaan.

Yang kami maksud dengan “mudah” adalah:

• Pengguna tidak perlu mengunjungi lebih dari satu halaman untuk memilih keluar
• Pengguna tidak perlu masuk untuk memilih keluar
• Pengguna hanya diminta untuk memberikan alamat email mereka untuk memilih keluar
• Pengguna tidak akan dikenakan biaya untuk memilih keluar

Sekali lagi, kegagalan untuk mengikuti undang-undang ini dapat menyebabkan hukuman berat.

GDPR dan Kebijakan Privasi

Salah satu tujuan utama GDPR adalah untuk mendorong transparansi, yang berarti perusahaan sekarang diharuskan untuk mengungkapkan bagaimana mereka menggunakan informasi pelanggan dan pengunjung situs web mereka — dan mereka harus melakukannya dengan cara yang jelas dan sederhana. Menurut sebuah penelitian terkenal, dibutuhkan kira-kira 76 hari kerja untuk membaca semua kebijakan privasi yang kami temui dalam setahun (2), jadi tujuannya adalah untuk mengurangi jumlah itu secara drastis.

Di bawah GDPR, setiap kebijakan privasi organisasi harus mudah diakses, ringkas, transparan, dapat dipahami, dan gratis untuk diakses. Itu harus ditulis dalam bahasa yang jelas dan mudah dimengerti, jadi Anda juga harus mendefinisikan dengan jelas terminologi yang ambigu atau membingungkan yang akan Anda gunakan dan hindari bahasa legal sedapat mungkin. Selanjutnya, setiap formulir online juga harus menyertakan tautan yang jelas ke kebijakan privasi perusahaan.

Terakhir, jika organisasi akan mengumpulkan data dari sumber pihak ketiga, mereka diharuskan memberikan informasi tambahan tentang data dan sumbernya.

Apakah GDPR Berfungsi?

Awalnya, para pemimpin bisnis dan pakar dari berbagai bidang sangat antusias dengan GDPR. Berbicara dengan Putusan tentang dampak potensial GDPR, Giles Pratt (IP dan mitra teknologi di Freshfields) mengatakan:

“Regulator UE telah memperkenalkan undang-undang perintis yang tampaknya akan menetapkan standar privasi data di seluruh dunia, dan menawarkan peluang untuk praktik kerja yang lebih dekat di antara profesional privasi internasional dalam bisnis dan regulator yang terlibat dengan mereka.”

Namun sementara jalan menuju kepatuhan GDPR perlahan-lahan diaspal dengan niat baik, pengembalian awal menunjukkan banyak perusahaan masih memiliki perjalanan panjang di depan mereka dalam perjalanan menuju kepatuhan. Sejak undang-undang tersebut mulai berlaku pada Mei 2018, ada lebih dari 200.000 laporan pelanggaran GDPR kecil dan besar di lebih dari 30 negara menurut laporan yang diterbitkan oleh European Data Protection Board — yang terdiri dari banyak regulator dari seluruh kawasan. Secara keseluruhan, sekitar $56 juta denda telah dibagikan oleh berbagai kelompok pengawas, tetapi $50 juta di antaranya berasal dari satu denda untuk Google (3).

Menurut Mathias Moulin, anggota panel CNIL (kelompok pengawas Prancis yang menjatuhkan denda ke Google), denda didasarkan pada pelanggaran "besar dan sangat mengganggu" dan didasarkan pada beberapa faktor berbeda - termasuk "skala … dan ukuran perusahaan.” Sementara denda itu hanya setetes ember untuk perusahaan seperti Google, yang membanggakan pendapatan $ 137 miliar pada tahun 2018, Moulin menyarankan bahwa tahun lalu "harus dianggap sebagai tahun transisi."

Pernyataan itu menunjukkan bahwa kita dapat mengharapkan adanya pemantauan dan penegakan GDPR yang lebih kuat, yang berfungsi sebagai peringatan bagi organisasi yang belum memprioritaskan kepatuhan GDPR dalam upaya pemasaran mereka. Tampaknya adil untuk memberi bisnis (terutama bisnis kecil hingga menengah) lebih banyak waktu untuk menerapkan prosedur yang lebih baik untuk kepatuhan GDPR sebelum memberikan denda besar, tetapi waktu itu bisa cepat habis saat GDPR memasuki tahun kedua. Oleh karena itu, penting bagi Anda untuk melakukan yang terbaik agar mematuhi GDPR sesegera mungkin — baik untuk kesehatan bisnis Anda maupun kepercayaan diri dan keamanan pelanggan Anda.

Praktik Terbaik Kepatuhan GDPR

Persepsi publik adalah bahwa banyak perusahaan sengaja mempersulit pelanggan web untuk memilih keluar dari langganan mereka, dan berdasarkan jumlah pelanggaran yang dilaporkan di atas, sulit untuk membantah hal itu. Dan itulah mengapa GDPR diciptakan pertama kali: untuk meningkatkan privasi dan keamanan data serta memungkinkan konsumen menjelajahi internet dengan lebih bebas dan lebih percaya diri.

Sejauh ini, GDPR belum mencapai tujuan itu, tetapi dengan apa yang disebut "tahun transisi" di belakang kita, waktu untuk berdalih telah berakhir. Sekarang, saatnya untuk mempelajari dan mengikuti praktik terbaik GDPR dasar untuk memasuki kepatuhan, meningkatkan kepercayaan konsumen, dan meningkatkan pendapatan perusahaan Anda.

Perbarui Kontak Lama

GDPR memungkinkan organisasi untuk berkomunikasi dengan pengguna yang ada, tetapi hanya jika Anda sebelumnya telah menerima persetujuan aktif. Namun, jika daftar pengiriman Anda menyertakan pengguna yang kami ikut sertakan secara otomatis, Anda harus menghubungi untuk meminta persetujuan eksplisit mereka untuk melanjutkan pemasaran kepada mereka.

Tinjau daftar Anda untuk menentukan kontak mana yang telah aktif memilih dan kontak mana yang tidak. Kemudian, kirimkan email ke daftar kontak Anda yang masih perlu aktif memilih untuk meminta izin mereka untuk melanjutkan pengiriman pesan kepada mereka. Pastikan bahasa email Anda jujur, ramah, dan langsung dengan tombol CTA menonjol yang mengundang mereka untuk ikut serta. Jika pelanggan tidak merespons dalam 10 hari setelah email Anda, kirim email tindak lanjut terakhir yang memberi tahu mereka bahwa mereka akan dihapus dari daftar Anda jika mereka gagal untuk ikut serta. Jika mereka masih belum mengambil tindakan setelah lima hari, Anda harus menghapus mereka dari daftar Anda sepenuhnya.

Memerlukan Kotak Persetujuan Tambahan

Sebelumnya, ketika pengguna akan mendaftar untuk uji coba, mengunduh eBuku, atau menyelesaikan tindakan apa pun yang memberi bisnis informasi kontak mereka, bisnis tersebut dapat terus menindaklanjuti dengan kampanye email, buletin, blog, dll. berikutnya tanpa menerima persetujuan tambahan. Hari ini, GDPR melarang perusahaan melakukan ini tanpa menambahkan kotak centang keikutsertaan tambahan di bawah formulir digital.

Misalnya, jika pengguna di situs Anda melengkapi formulir untuk melihat webinar sesuai permintaan tetapi tidak melengkapi kotak centang pada formulir yang memberi Anda persetujuan eksplisit untuk memasarkan mereka dengan cara tambahan, Anda dilarang melakukannya. Pastikan semua formulir Anda memiliki bahasa yang jelas yang meminta persetujuan eksplisit untuk memberikan materi pemasaran tambahan, dan pastikan Anda hanya mengirim ke pengguna yang telah mencentang kotak itu.

Permudah Pengguna untuk Memilih Keluar

Gagal memberikan opsi opt-out yang jelas dan sederhana adalah salah satu larangan GDPR yang paling umum. Ini juga dapat menyebabkan pengguna frustrasi, yang sering mengakibatkan orang-orang tersebut mengajukan keluhan GDPR.

Pelanggan Anda tidak berutang kesetiaan kepada Anda dan harus memiliki "hak untuk dilupakan" kapan pun mereka mau. Jika mereka tidak ingin mendengar kabar dari Anda lagi (mungkin mereka pergi dengan penyedia asuransi lain atau memutuskan untuk membeli tiket konser melalui vendor lain), maka mereka seharusnya dapat berhenti berlangganan dari daftar Anda dengan mudah.

Jadi, Anda perlu memastikan semua komunikasi Anda memiliki tautan "berhenti berlangganan" yang menonjol di footer yang dapat diklik oleh penerima untuk dihapus dari daftar Anda secara permanen atau sampai mereka memutuskan untuk ikut serta kembali.

Selanjutnya, Anda harus menawarkan opsi kepada pengguna untuk mengelola langganan mereka. Buat tautan "Kelola Langganan Anda" di footer Anda atau tawarkan opsi sebagai tautan di dalam salinan email Anda, halaman konfirmasi, dan komunikasi pemasaran digital lainnya. Tautan ini harus mengarah ke halaman terpisah yang memberi pengguna beberapa opsi tentang jenis komunikasi yang ingin mereka terima — seperti buletin, blog, penawaran khusus, atau undangan acara.

Perangkat Lunak Act-On Membantu Bisnis untuk Mematuhi GDPR

Di Act-On, perangkat lunak otomatisasi pemasaran kami dirancang untuk membantu pemasar dari perusahaan dari segala bentuk dan ukuran meningkatkan pengiriman email mereka, melindungi data pelanggan mereka, dan menghasilkan lebih banyak pendapatan melalui platform omnichannel all-in-one. Tim Layanan Profesional kelas dunia kami hadir untuk membantu klien kami mengambil tindakan kepatuhan tambahan dan menyelaraskan strategi mereka dengan perangkat lunak kami.

Jika Anda tertarik untuk mempelajari lebih lanjut tentang bagaimana Anda dapat menyelesaikan masalah GDPR Anda dengan platform otomatisasi pemasaran yang kuat dari Act-On, silakan unduh eBuku gratis kami di bawah ini atau hubungi kami langsung untuk berbicara dengan profesional penjualan yang berpengalaman.