Apa Arti GDPR untuk Bisnis Anda

Hari ini adalah hari yang baik untuk mempelajari lebih lanjut tentang arti GDPR bagi bisnis Anda.

Peraturan Perlindungan Data Umum Uni Eropa, atau GDPR, mulai berlaku pada 25 Mei 2018. Dan meskipun itu hampir setahun lagi, secara operasional, ada banyak hal yang perlu Anda lakukan untuk mematuhinya. (Ya, “metric butt-load” adalah istilah teknis.)

Dalam episode Rethink Podcast ini, kami berbicara dengan David Fowler, yang merupakan kepala privasi, kepatuhan, dan keterkiriman Act-On. Seperti yang dikatakan David, GDPR menandai perubahan terbesar pada undang-undang perlindungan data UE dalam satu generasi. Dan itu berlaku untuk 510 juta warga Uni Eropa, serta bisnis apa pun yang berbisnis dengan mereka, di mana pun mereka berada.

Nikmati percakapannya, dan kami harap Anda bisa mendapatkan satu atau dua hal berguna yang dapat Anda bawa ke bisnis Anda.

Nathan Isaacs : David, dapatkah Anda ceritakan lebih banyak tentang apa yang Anda lakukan di Act-On?

David Fowler : Saya membantu klien kami menavigasi peta jalan digital dalam hal kewajiban mereka berdasarkan undang-undang lokal, negara bagian, federal, dan internasional yang berkaitan dengan pemasaran digital. Saya juga memastikan bahwa ketika klien kami menekan tombol "kirim" untuk email mereka, pesan tersebut memiliki setiap kesempatan untuk masuk ke kotak masuk. Kepatuhan digital pada tahun 2017 adalah bidang yang sangat dalam dan luas. Jika Anda seorang pemasar di AS yang mengirim surat ke UE, misalnya, kewajiban Anda akan berbeda dengan jika Anda seorang pemasar di AS yang mengirim surat ke Kanada. Merupakan tugas kami untuk memberi tahu pelanggan kami tentang kewajiban mereka berdasarkan peta jalan legislatif tersebut.

Nathan : Salah satu hal yang kita bicarakan hari ini adalah Peraturan Perlindungan Data Umum, atau GDPR. Bisakah Anda memberi tahu saya apa itu dan tentang apa semua itu?

David : GDPR adalah undang-undang yang akan berlaku di Eropa pada tahun 2018, tepatnya tanggal 25 Mei. Dan apa itu, pada dasarnya, adalah penulisan ulang lengkap dari arahan data UE tahun 1995. Dan bagi Anda yang mendengarkan podcast, tidak ada hukum universal di Eropa dalam hal kepatuhan digital. Ada interpretasi dari arahan data, dan setiap negara dapat menentukan apa interpretasi mereka terhadap undang-undang itu. Jadi, seperti yang Anda lihat, efeknya sendiri menciptakan potensi kebingungan yang sangat besar.

GDPR adalah hukum universal yang akan berlaku untuk semua perusahaan yang memiliki warga negara Eropa di database mereka. Itu akan berlaku untuk setiap negara di UE. Itu satu hukum untuk 500 juta orang.

Nathan : Untuk bisnis yang berbasis di AS atau di tempat lain di dunia yang melakukan bisnis dengan individu di Eropa, ini berlaku untuk mereka. Apakah itu benar?

David : Itu benar. Dan ada beberapa denda berat jika Anda tidak patuh - hingga 4 persen dari total pendapatan perusahaan. Jika Anda Google misalnya, berapa 4 persen dari satu triliun dolar?

Tanggung Jawab Anda Berdasarkan GDPR

Nathan : Undang-undang baru berlaku untuk cara saya berbisnis dengan individu. Apa yang harus saya lakukan sebagai bisnis agar patuh?

David : Penting untuk memahami tanggung jawab berdasarkan GDPR. Dan di Eropa, Anda memiliki dua rasa. Anda memiliki pengontrol dan pemroses data. Misalnya, Anda adalah klien Act-On. Anda akan menjadi pengontrol di bawah roadmap GDPR. Dan kami [Act-On] akan menjadi pemroses data Anda. Kewajiban kami berdasarkan GDPR adalah, A, mematuhi hukum, tentunya. Tetapi juga B, bangun produk dan layanan kami yang memungkinkan Anda mematuhi kewajiban Anda berdasarkan GDPR.

Bukan tanggung jawab kami untuk memastikan bahwa Anda patuh. Namun merupakan tanggung jawab kami untuk menunjukkan bahwa produk kami memungkinkan Anda untuk patuh, yang berarti hal-hal seperti memberikan mekanisme izin, cadangan izin, ikut serta ganda, semua jenis hal yang kami terima begitu saja dalam hal izin, produk kami harus ke titik di mana mereka melakukan itu.

Menggunakan platform otomasi pemasaran dalam lingkup GDPR adalah sesuatu yang Anda sebagai pengontrol data Anda dan data pelanggan Anda tidak hanya harus mematuhi, tetapi juga memahami bagaimana Anda menggunakan teknologi untuk melakukan itu. Sekarang hak asasi manusia, dalam hal data dan informasi pribadi dan hal semacam itu, ada lebih banyak masalah yang muncul di bawah GDPR jika Anda adalah penerima pelanggan dari hubungan digital. Secara operasional, ada banyak hal yang perlu Anda pikirkan untuk mempersiapkan diri Anda menghadapinya. Namun pada akhirnya, saat karet bertemu dengan jalan, jika Anda memiliki pelanggan yang tidak dapat Anda buktikan bagaimana mereka masuk ke dalam daftar Anda, atau Anda tidak dapat membuktikan dari mana asalnya, atau Anda tidak dapat membuktikan mekanisme persetujuan yang ada. digunakan untuk mulai memasarkan kepada mereka, maka, pada dasarnya, Anda tidak mematuhi GDPR.

Dampak Operasional GDPR

Nathan : Apa dampak operasional dari GDPR?

David : Pertanyaan bagus. Ada 10 area yang perlu Anda pikirkan dari sudut pandang perusahaan Anda dalam hal mempersiapkan sisi operasional GDPR. Nomor satu adalah keamanan data dan pemberitahuan pelanggaran.

Jadi, jika Anda mengalami pelanggaran data, kewajiban Anda adalah memberi tahu DPA ‒ otoritas perlindungan data ‒ dalam jangka waktu 72 jam sejak pelanggaran tersebut benar-benar terjadi atau Anda mengetahui bahwa hal itu terjadi. DPO wajib, atau petugas perlindungan data, adalah sesuatu yang diterapkan di bawah GDPR, artinya jika Anda adalah perusahaan dengan ukuran tertentu, Anda sebenarnya harus memiliki karyawan staf yang menjaga upaya perlindungan data Anda.

Persetujuan subjek data adalah masalah besar ‒ bagaimana Anda mendapatkan persetujuan dari subjek data. Di bawah GDPR, subjek data adalah individu yang sebenarnya dan bukan anomali. Transfer data lintas batas adalah yang besar. Jika Anda memindahkan data ke seluruh Eropa atau dari Eropa kembali ke AS atau ke mana pun perginya, itu sesuatu yang perlu dipikirkan. Dalam hal bagaimana hal itu dilakukan dari perspektif kecukupan, di bawah lingkungan saat ini, mekanisme transfer data lintas batas antara Eropa dan AS diatur oleh program yang disebut pelindung privasi, dan kami bersertifikat pelindung privasi sebagai sebuah perusahaan. Tetapi akan ada entitas lain yang datang untuk bermain untuk membantu itu.

Membuat profil dan hak untuk menolak akan menjadi masalah besar dalam hal bagaimana individu diprofilkan dan bagaimana mereka memiliki hak untuk menolak diprofilkan; artinya, jika saya tahu Anda mengenakan kemeja putih hari ini, saya akan membuat profil preferensi kemeja Anda, dan mungkin mengirimi Anda beberapa celana putih untuk melengkapinya. Sebagai individu, masalahnya adalah bagaimana Anda dapat mengaturnya agar dapat menyisih dari pembuatan profil itu di masa mendatang.

Hak besar lainnya adalah hak portabilitas data dan hak untuk dilupakan. Di bawah GDPR, konsepnya adalah bahwa Anda sebagai individu memiliki hak untuk mengambil data Anda dari perusahaan A dan memindahkannya ke perusahaan B dalam format pembacaan mesin yang dapat diterima, dan Anda juga memiliki hak untuk mendapatkan fakta bahwa Anda benar-benar pernah memilikinya. hubungan digital dengan merek tertentu itu terlupakan. Jadi itu masalah besar dalam hal bagaimana perusahaan akan dapat mematuhinya dan benar-benar menerapkan jenis strategi tersebut di sekitar konsep tersebut. Kami masih berusaha mengatasinya.

Area ketujuh adalah tugas dan tanggung jawab pengendali dan pengolah. Apa tanggung jawab Anda berdasarkan GDPR sebagai pemroses, yaitu Act-On, dan apa tanggung jawab Anda berdasarkan GDPR sebagai pengontrol, yang merupakan pelanggan Act-On. Dan mereka adalah dua masalah yang berbeda dalam hal beberapa hal yang muncul bersamaan dengan itu.

Masalah lain yang perlu dipikirkan adalah nama samaran data pribadi ‒ bagaimana saya dapat mengambil data Anda dan membuat profil yang lebih besar berdasarkan entitas jenis pihak ketiga lainnya yang dapat menghubungkannya, ke peta jalan khusus Anda. Kode etik, bagaimana dan mengapa Anda harus bertindak dengan cara tertentu. Dan terakhir, denda dan prosedur adalah masalah besar; Anda dapat didenda 4 persen dari pendapatan global perusahaan Anda jika Anda tidak patuh.

Jadi, ada banyak hal dari perspektif operasional. Dan saya jamin, jika Anda memiliki orang privasi, jika Anda memiliki orang kepatuhan, dan orang-orang itu tidak berbicara dengan ops teknologi Anda atau orang-orang teknik Anda, maka Anda harus mulai berpikir untuk menyatukan orang-orang itu, karena itu akan terjadi. mengambil desa untuk menyelesaikan hal ini dari perspektif organisasi.

Hak Individu Berdasarkan GDPR

Nathan : Apa hak individu dalam semua ini?

David : Ya, itu pertanyaan yang bagus. Karena di bawah GDPR, individu memiliki hak untuk diberi tahu, diberi tahu, 'Saya mendapatkan informasi Anda dari sini, dan inilah yang akan saya lakukan dengannya, dan inilah yang tidak akan saya lakukan. dengan itu.' Hak akses, sehingga Anda sebagai individu dapat menghubungi kami dan berkata, 'Hai, informasi saya tidak benar, salah, tidak akurat, dan saya ingin Anda mengubahnya, berdasarkan profil yang Anda miliki tentang saya .' Hak atas sertifikasi ulang, artinya sama – Anda sebenarnya dapat mengubah atau menyesuaikan berdasarkan apa yang Anda ketahui. Hak untuk menghapus: 'Hei, Act-On tolong hapus semua informasi tentang saya ini,' atau, 'Mr. dan Ibu Pelanggan, tolong hapus semua informasi tentang saya ini,' dan bagaimana Anda akan melakukannya?

Anda berhak membatasi pemrosesan, artinya 'Hai, saya ingin menerima email dari Anda, tetapi saya tidak ingin menerima SMS.' Atau, 'Saya ingin menerima email, tetapi saya tidak ingin menerima SMS'… atau apa pun masalahnya. Dan kemudian hak untuk membatasi portabilitas data, artinya saya pergi dan mengambil data saya dari perusahaan A dan memindahkannya ke perusahaan B. Secara teori, Anda dapat memiliki pelanggan yang berangkat pada hari Jumat pukul 5 sore dan kemudian pergi ke perusahaan lain pada hari Senin pukul 8 pagi Dan, secara teknis, mereka harus aktif dan berjalan dalam lingkungan itu.

Dan akhirnya hak untuk menolak: 'Ini benar, ini salah, ini acuh tak acuh.' Dan hak untuk berhubungan dengan pengambilan keputusan dan pembuatan profil otomatis, artinya, karena kita berada di saluran digital sekarang dengan hal-hal seperti kecerdasan buatan, Anda dapat mulai membuat profil tentang orang dan subjek terlepas dari apakah mereka mengetahuinya atau tidak. Anda harus sangat terbuka dalam hal bagaimana Anda mengungkapkan informasi tersebut dan bagaimana Anda membangun profil tersebut.

Apa yang saya bayangkan adalah perusahaan akan memberikan kompensasi yang berlebihan untuk persetujuan. Anda berpikir tentang bagaimana Anda terlibat dalam hubungan digital saat ini – pengungkapan, persetujuan, dan semua hal yang kami anggap remeh ini. Tapi intinya adalah saya pikir Anda akan melihat banyak halaman profil dan halaman orientasi, di mana Anda tidak akan memiliki kotak yang dicentang sebelumnya, tetapi Anda akan mengizinkan orang untuk mengatakan, 'Saya ingin untuk pilih ini atau batal pilih itu.' Kotak yang telah dicentang sebelumnya di GDPR benar -benar tidak boleh. Ini benar-benar ilegal.

Dan apa yang akan saya lakukan sekarang sebagai pemasar adalah, dalam upaya persiapan Anda, ketika hal ini ditayangkan pada bulan Mei tahun depan, tidak akan ada masa tenggang. Setiap bagian data yang Anda miliki di file Anda pada bulan Mei 2018 harus sesuai pada saat data tersebut ditayangkan. Jadi, Anda harus mulai berpikir sekarang tentang bagaimana Anda memberikan izin ulang atau sampai pada titik di mana Anda mulai mengungkapkan berbagai hal tentang individu saat Anda bersiap untuk penerapan GDPR. Jadi, izinkan ulang daftar Anda, dapatkan persetujuan Anda secara berurutan, mulailah berbicara tentang pengungkapan, dan hal semacam itu. Dan itulah yang harus Anda mulai rangkul hari ini.

Mempelajari Lebih Lanjut Tentang GDPR

Nathan : Kita membicarakan hal ini sekarang hanya agar orang-orang memiliki kesempatan untuk mulai mematuhi atau menerapkan mekanisme tersebut untuk mematuhi, diri kita sendiri maupun orang lain. Apakah ada daftar periksa?

David : Pengungkapan penuh, kami tidak dalam posisi di mana kami dapat memberikan nasihat atau panduan hukum. Tetapi beberapa otoritas perlindungan data di UE lebih vokal dan lebih komunikatif daripada yang lain. Dan contoh bagus dari DPA yang telah menyebarkan banyak informasi adalah ICO, Kantor Komisi Informasi Inggris.

Jika Anda membuka situs web mereka, mereka memiliki banyak informasi tentang apa yang harus Anda pikirkan, bagaimana Anda mempersiapkan diri, dan apa kewajiban Anda tahun depan.

Nathan : Jadi, ini adalah sesuatu yang harus didiskusikan oleh seluruh tim, mulai dari pemasaran hingga kepatuhan, hingga hukum dan teknik, benar?

David : Tentu saja. Karena setiap orang akan menafsirkannya secara berbeda. Maksud saya dokumentasinya ratusan halaman. Ini sangat rumit. Tapi itu benar-benar pendekatan yang masuk akal untuk hubungan digital. Dan ini bukan hanya tentang individu sekarang. Ini juga tentang bagaimana Anda berbisnis dengan vendor Anda dan bagaimana Anda meminta pertanggungjawaban mereka atas berbagai hal. Dalam beberapa hal, ini adalah kerangka kerja untuk pendekatan digital yang masuk akal tidak hanya untuk pemasaran, tetapi juga untuk menyisih dari hal-hal tertentu. Ini pasti sesuatu yang harus Anda pikirkan sekarang. Dan jika belum, maka Anda sedikit di belakang bola 8.

Ringkasan

Act-On akan memproduksi webinar dan lembar data serta konten lain tentang GDPR sepanjang tahun depan. Anda juga dapat mengirim email kepada David jika memiliki pertanyaan: [email protected] .