ETFFIN Finance >> Kursus keuangan >  >> Manajemen keuangan >> Pengelolaan hubungan pelanggan

Bagaimana GDPR Akan Mempengaruhi Anda

Ada banyak keributan tentang undang-undang Peraturan Perlindungan Data Umum (GDPR) mendatang yang mulai berlaku pada tanggal 25 Mei 2018. CEO kami, John Paterson, melihat fakta dan menawarkan tips praktis untuk pemilik bisnis dalam mempersiapkan perubahan.

Apa itu GDPR?

GDPR adalah peraturan EC yang dirancang untuk melindungi privasi warga EC, memastikan data mereka tidak diekspor keluar EC ke negara-negara yang tidak memiliki undang-undang privasi yang memadai, dan memastikan bahwa warga memiliki kontrol atas bagaimana data mereka digunakan.

Privasi – Privasi Apa?

Bagi pembaca di luar KE, sepertinya kita terpaku pada “privacy”. Memang, konsep tersebut baru muncul dengan perubahan yang dibuat oleh teknologi terhadap masyarakat.

Hak atas privasi dari pengawasan pemerintah diabadikan dalam banyak dokumen termasuk Deklarasi Hak Asasi Manusia PBB (1948), Konvensi Eropa tentang Hak Asasi Manusia dan Amandemen Keempat terhadap Konstitusi AS. Baru setelah munculnya Internet, perusahaan besar juga dapat melakukan, yang pada dasarnya, pengawasan massal. Pada tahun 1999, Scott McNealy, saat itu CEO Sun Microsystems, (di) dengan terkenal mengatakan “Privasi sudah mati. Lupakan saja!" dan ketua Google saat itu, Eric Schmidt, membuat beberapa pernyataan publik bahwa privasi adalah ide yang buruk.

Di AS hampir tidak ada undang-undang privasi, HIPAA sebagai pengecualian, hal itu diserahkan kepada dewa pasar bebas. Jika Anda menginginkan privasi maka jangan gunakan layanan gratis seperti Facebook atau Google Search. Itu masalahnya, layanannya gratis dan Anda membayar dengan memberi mereka data Anda sehingga mereka dapat menjualnya kepada pengiklan. Ada juga sejumlah undang-undang yang memungkinkan lembaga pemerintah mengakses data tanpa batas dengan pengawasan yudisial yang sangat terbatas, terutama di AS.

Di luar EC hanya beberapa negara yang menganggap serius privasi, yaitu Australia, Kanada, dan Selandia Baru. Negara-negara lain seperti Rusia dan China juga berusaha untuk menegakkan bahwa data tentang warganya hanya disimpan dalam yurisdiksi hukum mereka, tetapi itu bukan tentang hak warga negara dan lebih banyak tentang pengawasan pemerintah. Saya diberi tahu bahwa dalam bahasa Mandarin, piktogram yang paling dekat dengan "privasi" adalah "kesepian".

GDPR secara efektif mengekspor gagasan Eropa tentang hak atas privasi ke bisnis apa pun yang mengumpulkan data pribadi tentang warga negara Uni Eropa, yang didukung oleh hukuman berat untuk ketidakpatuhan.

Apa yang Dibutuhkan GDPR untuk Bisnis

    • Persetujuan:Anda tidak dapat menghubungi orang lain kecuali mereka telah memberikan izin secara eksplisit
    • Pelanggaran Data:aturan pelaporan yang ketat untuk pelanggaran data
    • Denda &Sanksi:Denda besar karena melanggar aturan
    • Hak untuk Dihapus:pembaruan dari Hak untuk Dilupakan
    • Portabilitas Data:Data pribadi harus tersedia bagi warga negara jika mereka memintanya
    • Perlindungan Data:Data harus disimpan dengan aman

    Data Pribadi

    Data pribadi adalah data apa pun yang memungkinkan seseorang yang masih hidup dapat diidentifikasi. Ini secara khusus mencakup cookie, Alamat IP serta nama jelas, alamat, alamat email, tanah dan nomor ponsel/ponsel.

    Persetujuan

    Mulai 25 Mei 2018, tidak ada organisasi, di negara mana pun mereka berada, yang dapat mengirim email pemasaran atau pesan SMS ke warga EC kecuali jika warga tersebut telah memberikan persetujuan eksplisit untuk dihubungi oleh organisasi tersebut tentang topik tertentu.

    Tidak ada lagi kotak penerimaan yang dicentang sebelumnya, tidak ada teks yang mengatakan "lihat kebijakan privasi kami"; itu harus berupa kotak centang yang tidak dicentang yang menjelaskan apa yang akan terjadi jika Anda mencentangnya. Atau, Anda perlu memberikan pilihan ganda melalui email konfirmasi di mana orang tersebut harus mengeklik tautan untuk menyetujui.

    Anda juga harus dapat mencatat bagaimana dan kapan persetujuan diberikan untuk memberikan bukti jika badan pengatur (di Inggris, ini Kantor Komisaris Informasi) menerima keluhan.

    Mendapatkan Persetujuan

    Persetujuan dapat diperoleh dengan kotak centang khusus pada formulir, atau dengan mengklik tautan khusus dari email. Menyerahkan kartu nama atau menelepon tidak memberikan persetujuan!

    Tidak perlu dikatakan lagi, membeli data pribadi dalam bentuk milis sudah tidak berlaku lagi karena persetujuan "bundel" secara khusus dilarang.

    Pelanggaran Data

    Anda memiliki waktu 72 jam untuk melaporkan pelanggaran data apa pun kepada otoritas pengawas. Anda kemudian harus memberi tahu subjek data "tanpa penundaan yang tidak semestinya", waktunya tergantung pada kemungkinan risiko kerusakan pada individu tersebut.

    Pelanggaran didefinisikan sebagai “pelanggaran keamanan yang mengarah pada penghancuran, kehilangan, perubahan, pengungkapan yang tidak sah, atau akses ke, data pribadi yang dikirimkan, disimpan, atau diproses secara tidak sengaja atau melanggar hukum”.

    Denda &Sanksi

    Banyak berita utama yang menakutkan telah ditulis tentang hukuman kejam karena melanggar GDPR. Denda maksimum adalah €20 juta atau hingga 4% dari pendapatan global, mana saja yang lebih tinggi.

    Namun, ini adalah hukuman maksimum dengan cara yang sama seperti Anda, secara teori, dapat dijatuhi hukuman penjara karena tidak membeli tiket kereta api. Dalam praktiknya, badan pengawas kemungkinan tidak akan berbuat apa-apa jika salah satu pihak mengadu selain mungkin mengirimkan surat peringatan. Hukumannya ada untuk menghentikan perusahaan-perusahaan yang terang-terangan dan berulang kali menyalahgunakan GDPR, seperti spammer dan perusahaan yang membuat panggilan dingin yang mengganggu. Dan, tentu saja, whipping boys favorit EC, Google dan Facebook.

    Hak untuk Menghapus

    Individu dapat meminta agar data yang Anda simpan pada mereka dihapus. Ada beberapa pengecualian untuk ini, tetapi dalam praktiknya untuk sebagian besar bisnis, Anda harus mematuhinya. Anda harus mematuhinya tanpa penundaan, dan tentunya dalam waktu satu bulan.

    Portabilitas Data

    Individu dapat meminta salinan data mereka dalam format yang dapat dibaca mesin. Ini berlaku untuk data yang mereka berikan kepada Anda, dan juga data pribadi mereka termasuk email yang disimpan dari mereka, serta riwayat pembelian dan pembayaran mereka.

    Perlindungan Data

    Jika Anda menyimpan data pribadi maka Anda memiliki kewajiban untuk menjaga keamanan data tersebut. Ini termasuk membatasi akses hanya untuk mereka yang membutuhkan akses untuk melakukan pekerjaan mereka, memastikan bahwa data disimpan dengan aman. Anda juga perlu menunjukkan kepatuhan terhadap GDPR.

    Dalam keadaan tertentu, seperti pemrosesan data sensitif (misalnya catatan kriminal, data kesehatan) dan jika pemrosesan data akan memiliki konsekuensi hukum, Anda perlu melakukan Penilaian Dampak Privasi.

    Anda hanya dapat mentransfer data pribadi ke negara-negara dalam EC, atau negara-negara di mana Komisi telah menetapkan bahwa negara tersebut memiliki tingkat perlindungan data yang memadai. Daftar itu saat ini terdiri dari Andorra, Argentina, Kanada, Swiss, Kepulauan Faroe, Guernsey, Israel, Isle of Man, Jersey, Uruguay, dan Selandia Baru. Perhatikan bahwa daftar tersebut tidak termasuk AS.

    Memisahkan fakta dari fiksi

    Ada banyak informasi yang salah tentang GDPR. Di sini saya telah melihat kesalahpahaman yang paling umum.

    Perusahaan AS Dapat Mematuhi GDPR

    Perusahaan AS dapat mungkin mematuhi GDPR tetapi hanya jika mereka menyimpan data pribadi di server yang berbasis di dalam EC. Jika mereka menyimpan data pribadi di AS maka mereka tidak melakukannya, terlepas dari apa yang mereka klaim. Ini adalah subjek yang kompleks dan diperdebatkan tetapi logikanya seperti ini:

      • Jika data pribadi akan ditransfer keluar dari EC, individu tersebut harus diberitahu sebelumnya
      • Pengaturan Safe Harbor yang dinegosiasikan antara tahun 1998 dan 2000 antara UE dan AS dirancang untuk memungkinkan perusahaan AS mematuhi undang-undang privasi data EC. Namun, pada Oktober 2015 Pengadilan Eropa (ECJ) memutuskan bahwa Safe Harbor tidak valid karena tidak menawarkan perlindungan yang memadai
      • Pada Juli 2016 AS – EC Data Privacy Shield dinegosiasikan sebagai upaya untuk mengatasi keberatan ECJ. Namun sekali lagi, GDPR jauh lebih ketat daripada arahan data sebelumnya dan masalah yang sama tetap ada di AS, dibandingkan dengan kemampuan Pemerintah AS untuk mengakses data siapa pun. Ada sedikit pengamanan untuk data warga AS, dan semua orang tidak mendapatkan apapun
      • Pada 12 April 2017 Article 29 Working Party tentang perlindungan data menyimpulkan bahwa EU – US Privacy Shield tidak memenuhi standar EU karena, antara lain, “Posisi pengumpulan data secara besar-besaran dan sembarangan untuk tujuan keamanan nasional tidak jelas .” Dalam iklim politik saat ini di AS, sulit untuk membayangkan bahwa pemerintah akan menawarkan perlindungan yang lebih baik kepada warga negara UE daripada miliknya sendiri.
      • Ini adalah poin diperdebatkan apakah data benar-benar aman saat dipegang oleh perusahaan AS di EC. Secara teori memang seharusnya begitu, tetapi pengadilan AS masih berusaha memaksa perusahaan seperti Microsoft untuk menyerahkan data yang disimpan di EC

        Pemasaran B2B Tidak Dicakup oleh GDPR

        Ada beberapa artikel yang beredar yang mengklaim bahwa komunikasi B2B akan diizinkan oleh GDPR karena undang-undang privasi elektronik yang akan datang yang akan diberlakukan pada saat yang sama dengan GDPR akan membuat perbedaan itu dan mengizinkan opt-out daripada opt-in consent. Dengan kata lain tautan berhenti berlangganan.

        Peraturan e-Privasi baru menggantikan Pedoman e-Privasi yang ada dan dirancang untuk menawarkan kejelasan untuk komunikasi elektronik, yaitu email dan pesan SMS. Ini adalah Peraturan dan bukan Arahan, yang berarti bahwa meskipun GDPR akan secara otomatis menjadi undang-undang di seluruh EC, setiap negara anggota harus memberlakukan undang-undang untuk mengaktifkan e-Privacy. Ini memberi masing-masing negara beberapa kebebasan untuk kata-kata yang tepat sehingga dapat menarik perbedaan antara B2B dan B2C.

        Sampai setiap negara mengesahkan undang-undang tersebut, kami tidak akan tahu bagaimana komunikasi B2C akan diperlakukan, jika dibedakan sama sekali. Kami juga tidak tahu data apa yang akan dianggap sebagai data B2B, bukan data B2C. Akun Gmail pribadi, nomor telepon seluler, dan alamat IP semuanya bisa bersifat pribadi. Kami bahkan tidak tahu apakah undang-undang tersebut benar-benar akan disahkan menjadi undang-undang pada waktunya.

        Oleh karena itu, kesimpulan kami adalah jika dan hingga undang-undang e-Privasi membedakan antara B2B dan B2C, GDPR tidak membuat perbedaan tersebut dan tidak ada pengecualian untuk komunikasi B2B.

          Jika Saya Tidak Berdomisili di UE maka Peraturan Tidak Berlaku

          Jika Anda menyimpan data pribadi tentang warga EC dan Anda melakukan bisnis dengan pelanggan di EC, maka Anda akan terpengaruh oleh GDPR. Apakah EC dapat melakukan sesuatu tentang hal itu adalah masalah lain.

          Kepatuhan

          Anda memiliki waktu hingga 25 Mei 2018 untuk mematuhi dan sejak saat itu Anda tidak akan dapat mengirim komunikasi elektronik ke warga EC kecuali Anda memiliki persetujuan khusus dari mereka. Bagi sebagian besar perusahaan, itu berarti mereka tidak akan dapat mengirim email kepada siapa pun di basis data pemasaran mereka yang ada karena mereka tidak akan secara resmi mengumpulkan persetujuan yang dapat diaudit tersebut. Oleh karena itu, Anda harus mulai mengumpulkan persetujuan tersebut sekarang, baik dari prospek baru maupun dari database Anda yang sudah ada.

          Daftar Periksa Peraturan Perlindungan Data Umum

          1. Menunjuk Petugas Pemrosesan Data yang harus segera mengikuti undang-undang
          2. Buat daftar semua sistem Anda yang menyimpan data pribadi:CRM Anda, sistem akuntansi, sistem SDM, database kontak di klien email seperti Outlook, semua spreadsheet yang tersebar di sekitar laptop orang dengan data kontak di dalamnya
          3. Buat daftar semua Pemroses Data Anda, sistem eksternal yang Anda gunakan yang menyimpan data pribadi. Pastikan mereka hanya menyimpan data di EC dan, atau akan, mematuhi GDPR. Jika Anda berada di industri yang teregulasi, dapatkan sertifikat atau kontrak yang menjamin kepatuhan
          4. Mulai dapatkan persetujuan dari pertanyaan baru sekarang
          5. Cari tahu bagaimana Anda akan mendapatkan persetujuan dari kontak di database yang ada antara sekarang dan tanggal 25 Mei 2018
          6. Draf prosedur untuk mengelola pemberitahuan pelanggaran, baik untuk badan pengawas maupun kontak itu sendiri. Jika pelanggaran terjadi, Anda tidak akan punya waktu untuk mempertimbangkan cara terbaik untuk melakukannya, jadi buatlah petanya terlebih dahulu
          7. Tinjau dan perbarui pemberitahuan privasi serta syarat dan ketentuan di situs web Anda

          Baca Selengkapnya Tentang GDPR

          Kami telah menulis serangkaian blog untuk membantu Anda memahami GDPR dan apa yang perlu Anda lakukan untuk mematuhinya:

          Kepatuhan GDPR untuk Sistem yang Sangat Sederhana menjelaskan kepatuhan CRM kami
          Yang Baik, Yang Buruk dan… GDPR? melihat pro dan kontra GDPR
          Peluncuran Kepatuhan Pemasaran GDPR memperkenalkan fase pertama fitur kepatuhan GDPR kami