Persetujuan vs. Bunga Sah: Mana yang Harus Anda Pilih untuk Pemasaran?

Pasal 6 GDPR memungkinkan Anda untuk memproses data pribadi pengguna Anda berdasarkan enam dasar yang sah termasuk Persetujuan dan Kepentingan yang Sah:

Pasal 6(1)(a) GDPR – Persetujuan sebagai dasar yang sah untuk memproses data: Subjek data telah memberikan persetujuan untuk pemrosesan data pribadinya untuk satu atau beberapa tujuan tertentu;

Pasal 6(1)(f) GDPR – Pemrosesan diperlukan untuk tujuan kepentingan sah yang dikejar oleh pengontrol atau oleh pihak ketiga, kecuali jika kepentingan tersebut ditimpa oleh kepentingan atau hak dasar dan kebebasan subjek data yang memerlukan perlindungan data pribadi, khususnya jika subjek datanya adalah anak-anak.

Keduanya juga merupakan dasar hukum yang paling banyak dibicarakan untuk memproses data pribadi untuk tujuan pemasaran.

Dari jumlah tersebut, dasar persetujuan bekerja cukup mudah … karena pengguna telah “menyetujui” pemrosesan data Anda.

Masalahnya, bagaimanapun, dengan persetujuan adalah bahwa itu tidak selalu cocok untuk proses pemasaran.

Yang kemudian meninggalkan pemasar dengan ketentuan Kepentingan yang Sah.

Sekilas, Kepentingan yang Sah terlihat seperti istilah umum yang memungkinkan banyak pemrosesan data pribadi. Tetapi menggunakan Kepentingan yang Sah sebagai dasar hukum perlu pertimbangan yang cermat karena Kepentingan tersebut hanya dapat dianggap sebagai Dasar yang Sah untuk memproses data JIKA pengolahan data tersebut benar-benar DIPERLUKAN.

Memilih Antara Persetujuan dan Kepentingan yang Sah untuk Tujuan Pemasaran

Memproses data pribadi menggunakan persetujuan sebagai dasar hukum dianggap cukup aman karena persetujuan adalah “standar emas”.

Ini juga merupakan dasar yang jauh lebih kuat untuk memproses data daripada dasar Kepentingan yang Sah karena tidak ambigu. Anda bertanya kepada pengguna, dan mereka berkata "Ya!".

Tetapi mendapatkan persetujuan setiap kali Anda ingin memproses jenis data pribadi tertentu berarti membuat pengguna Anda ikut serta ke sejumlah formulir persetujuan yang berbeda.

GDPR, pada kenyataannya, menawarkan beberapa arahan yang sangat jelas dan ketat tentang bagaimana Anda dapat meminta persetujuan secara sah:

[...] indikasi persetujuan harus jelas dan melibatkan tindakan afirmatif yang jelas (sebuah opt-in). Ini secara khusus melarang kotak opt-in yang telah dicentang sebelumnya. Ini juga memerlukan opsi persetujuan ('granular') yang berbeda untuk operasi pemrosesan yang berbeda. Persetujuan harus terpisah dari syarat dan ketentuan lain dan secara umum tidak boleh menjadi prasyarat untuk mendaftar ke suatu layanan.

Dasar hukum Kepentingan yang Sah, di sisi lain, cukup fleksibel.

Pertama dan terpenting, GDPR memungkinkan pemasar untuk membuat kasus pemrosesan data pribadi untuk tujuan pemasaran langsung di bawah dasar Kepentingan yang Sah:

…Pemrosesan data pribadi untuk tujuan pemasaran langsung dapat dianggap dilakukan untuk kepentingan yang sah.

Selanjutnya, ICO (Information Commissioner's Office, otoritas independen yang berbasis di Inggris Raya yang memandu bisnis tentang cara menerapkan undang-undang privasi data Inggris seperti GDPR) menjelaskan bagaimana minat yang sah dalam pemasaran (seperti untuk "meningkatkan penjualan") dapat membuat tujuan asli untuk memproses data:

[Kami] memiliki kepentingan yang sah dalam memasarkan barang-barang kami kepada pelanggan yang sudah ada untuk meningkatkan penjualan.

ICO juga menjelaskan bagaimana Kepentingan yang Sah dapat menjadi dasar yang paling tepat dalam beberapa kasus seperti ketika:

• pemrosesan tidak diwajibkan oleh hukum tetapi jelas bermanfaat bagi Anda atau orang lain;
• ada dampak privasi terbatas pada individu;
• individu tersebut secara wajar mengharapkan Anda untuk menggunakan data mereka dengan cara itu; dan
• Anda tidak dapat, atau tidak ingin, memberikan kontrol penuh di muka kepada individu tersebut (yaitu persetujuan) atau mengganggu mereka dengan permintaan persetujuan yang mengganggu ketika mereka tidak mungkin menolak pemrosesan.

Untuk setiap kebutuhan (atau tujuan) pemasaran yang ada, pemasar perlu memutuskan dengan hati-hati berbagai dasar hukum yang akan digunakan (dari antara enam dasar hukum yang memungkinkan pemrosesan data oleh GDPR). Dari enam ini, persetujuan dan Kepentingan Sah adalah dua dasar hukum yang sering digunakan untuk personalisasi situs web untuk pengunjung umum (atau tidak masuk). (Artikel ini berfokus pada bagaimana Anda dapat menggunakan dasar hukum Kepentingan yang Sah untuk mempersonalisasi pengalaman situs web Anda.)

Secara umum, memasukkan kasus di bawah ketentuan Kepentingan Sah membutuhkan banyak pemikiran. Untuk membuatnya agak mudah, ICO telah merancang tes tiga bagian untuk membantu Anda mengidentifikasi apakah tujuan yang Anda miliki benar-benar berkualitas untuk menjadi dasar yang sah menurut ketentuan Kepentingan yang Sah.

Inilah tes tiga bagian ICO untuk menentukan Kepentingan Sah di bawah GDPR:

1. Uji tujuan – apakah ada kepentingan yang sah di balik pemrosesan?
   Untuk menggunakan Kepentingan yang Sah sebagai dasar yang sah untuk memproses data pribadi, Anda harus terlebih dahulu menjelaskan kebutuhan Anda untuk memproses data pribadi yang bersangkutan. Anda membutuhkan tujuan yang diartikulasikan dengan jelas di balik keinginan untuk memprosesnya.
2. Uji kebutuhan – apakah pemrosesan diperlukan untuk tujuan itu?
   Untuk menggunakan Kepentingan yang Sah sebagai dasar yang sah untuk memproses data pribadi, Anda perlu menunjukkan bahwa tidak ada cara lain yang kurang invasif untuk mencapai tujuan Anda, dan bahwa pemrosesan Anda ” proporsional dan ditargetkan secara memadai untuk memenuhi tujuannya… ”
3. Uji keseimbangan – apakah kepentingan yang sah ditimpakan oleh kepentingan, hak, atau kebebasan individu?
   Setelah kasus Anda memenuhi syarat dalam dua tes pertama, Anda perlu memastikan bahwa pemrosesan data pribadi yang bersangkutan tidak melanggar hak dan kebebasan individu yang data pribadinya akan diproses.

Dengan itu, sekarang mari kita lihat beberapa contoh pemrosesan data pribadi yang sangat umum yang dapat termasuk dalam ketentuan Kepentingan Sah GDPR.

10 Contoh Alasan Pemrosesan Data Pribadi Menggunakan Kepentingan yang Sah

Sebelum kita melihat contoh sebenarnya, harap dipahami bahwa setiap contoh yang tercantum di bawah ini memiliki daftar peringatan yang besar. Contoh-contoh ini hanya dimaksudkan untuk memberi Anda beberapa saran tentang tujuan pemasaran yang dapat dieksplorasi di bawah ketentuan Kepentingan yang Sah.

Ini dia…

1. Pemrosesan data alamat IP

Bergantung pada seberapa banyak data yang Anda ambil, alamat IP dapat memberi tahu banyak hal. Misalnya, Anda dapat menggunakannya untuk menemukan lokasi pengunjung, atau Anda juga dapat menggunakannya untuk mengetahui perusahaan tempat mereka bekerja (baca selengkapnya tentang itu di artikel ABM 101 kami).

Kepentingan Sah adalah salah satu dasar hukum yang dapat digunakan untuk memproses data alamat IP pengguna (diklasifikasikan sebagai data pribadi). Contoh tujuan pemasaran berdasarkan ketentuan Kepentingan Sah yang menggunakan alamat IP dapat berupa menawarkan penawaran yang dilokalkan.

Misalnya, toko eCommerce dapat mempromosikan jas hujan kepada seseorang yang menjelajah dari area yang sedang musim hujan. Sebagai alternatif, toko online mungkin menggunakan data lokasi pengunjung untuk menawarkan penawaran pengiriman gratis waktu terbatas ke area pengunjung.

Demikian pula, perusahaan B2B dapat menggunakan perusahaan pengunjung (diidentifikasi dari alamat IP mereka) untuk menunjukkan kepada mereka beberapa personalisasi dinamis dalam bentuk gambar atau konten yang dipersonalisasi dengan, katakanlah, nama perusahaan atau industri.

Catatan: Jika Anda menggunakan alamat IP pengunjung untuk mempersonalisasi pengalaman situs web mereka, sebaiknya jangan pernah menyimpannya di database jika Anda menggunakannya untuk layanan cuaca atau lokasi. Dengan cara ini, data ini tidak akan menimbulkan masalah saat mengumpulkan beberapa titik data tentang seseorang di tempat yang sama.

2. Pemrosesan data analitik situs web

Sebagian besar situs web mengumpulkan data penjelajahan pengunjung mereka untuk tujuan pengoptimalan kinerja. Hal ini biasanya tercakup dalam ketentuan Kepentingan yang Sah. Umumnya, data tersebut tidak menunjukkan masalah karena sering kali dianonimkan dan sebagian besar alat analitik seperti Google Analytics melarang pemrosesan/penyimpanan PII (Informasi Identifikasi Pribadi).

Tren dari pemrosesan data tersebut dapat digunakan untuk membentuk dasar dari berbagai pengalaman situs web yang dipersonalisasi.

Misalnya, menggunakan Google Analytics, Anda dapat mengidentifikasi halaman di situs web tempat Anda kehilangan sebagian besar prospek. Anda juga dapat menggunakan beberapa opsi segmentasi lanjutan di Google Analytics untuk mengidentifikasi segmen pemirsa yang berhenti. Pemrosesan data semacam itu dapat menghasilkan banyak wawasan untuk Anda tentang demografi dan lebih banyak lagi tentang lalu lintas yang hilang.

Dengan menggunakan wawasan ini, Anda juga dapat menguji menawarkan segmen ini pengalaman situs web yang lebih dipersonalisasi.

Misalnya, jika toko eCommerce menemukan bahwa halaman produk tertentu memiliki tingkat drop-off yang tinggi, ia dapat menggunakan informasi demografi audiensnya untuk menyempurnakan pesan halaman produknya.

Personalisasi semacam itu tidak hanya halus dan bermakna, tetapi data pribadi yang diproses juga tidak terasa mengganggu.

3. Pemrosesan data komunikasi

Menjalankan komunikasi pemasaran yang dipersonalisasi melalui email atau SMS selalu membutuhkan persetujuan eksplisit.

Juga, posting GDPR, menambahkan email seseorang ke CRM Anda dan mengirim mereka email pemasaran hanya karena mereka menghubungi Anda melalui formulir kontak Anda dengan email mereka tidak sah. Anda perlu menggunakan kotak persetujuan di bawah formulir kontak Anda yang secara eksplisit meminta izin pengunjung untuk melakukannya.

Selain itu, GDPR tidak bekerja secara terpisah. Jadi kampanye pemasaran email (atau SMS) Anda harus mematuhi peraturan hukum yang relevan seperti menawarkan tautan berhenti berlangganan kepada pengguna dan banyak lagi.

Karena itu, jika Anda telah memperoleh persetujuan untuk komunikasi semacam itu dari pelanggan, maka Anda dapat mempersonalisasi pengalaman situs web Anda untuk pelanggan tersebut berdasarkan interaksi mereka dengan email pemasaran atau SMS Anda. Ini harus secara wajar tercakup dalam ketentuan Kepentingan yang Sah.

Misalnya, perusahaan perjalanan dapat menggunakan riwayat komunikasinya dengan pelanggannya untuk menunjukkan halaman yang dipersonalisasi kepada mereka. Misalnya, pelanggan yang telah menunjukkan minat (katakanlah dengan mengeklik tautan) dalam perjalanan mewah mungkin diperlihatkan laman yang mempromosikan paket menginap di hotel mewah. Atau, wisatawan hemat mungkin akan diperlihatkan beberapa penawaran pilihan untuk hotel hemat.

4. Pemrosesan data perilaku melalui cookie, web beacon, dll.

Pemrosesan data perilaku sangat mirip dengan pemrosesan data analitik situs web. Sama seperti data analitik situs web, data pribadi yang digunakan untuk mendukung kampanye berbasis wawasan perilaku juga dianonimkan. Dan GDPR cukup fleksibel dengan pemrosesan data yang dianonimkan.

Wawasan dari interaksi pengunjung dengan situs web (misalnya laman yang mereka lihat dan data klik mereka) dapat digunakan untuk memberikan pengalaman situs web yang kaya kontekstual.

Misalnya, perusahaan perangkat lunak tingkat perusahaan dapat melacak data perilaku pengunjungnya dan menawarkan pengalaman yang lebih dipersonalisasi pada kunjungan mereka kembali. Misalnya, pengunjung yang tampaknya menjelajahi solusi tertentu mungkin diperlihatkan halaman percobaan solusi yang sama atau formulir pendaftaran pada kunjungan situs web berikutnya.

5. Pemrosesan data profil

Sama seperti analisis situs web dan pemrosesan data perilaku, perusahaan dapat menggunakan dasar Kepentingan yang Sah untuk menggunakan data pribadi yang dianonimkan untuk membuat profil pengguna (profiling).

Misalnya, situs web perbandingan gadget mungkin menggunakan data pribadi anonim penggunanya untuk mengidentifikasi jenis audiens utamanya. Kemudian dapat menayangkan penawaran yang dipersonalisasi dan kampanye promosi untuk masing-masing (misalnya menyarankan ponsel kelas atas ke segmen audiens kelas atas dan menunjukkan diskon ponsel murah ke segmen ramah anggaran).

Dokumen tentang panduan penggunaan Kepentingan yang Sah tidak hanya menyarankan dasar seperti itu sebagai dasar yang sah untuk memproses data pribadi berdasarkan Kepentingan yang Sah, tetapi juga mendukung pembuatan profil pengguna tersebut menggunakan data media sosial. Doc menyatakan bahwa perusahaan dapat menggunakan:

… [A]n algoritme yang disediakan oleh penyedia media sosial untuk menargetkan iklannya dengan lebih baik ke 'orang yang mirip' – yaitu individu lain yang memiliki karakteristik serupa dengan pelanggan bisnis itu sendiri. Bisnis mengunggah data pribadi minimum yang diperlukan pada pelanggannya untuk mengaktifkan penargetan media sosial, tetapi mengecualikan mereka yang keberatan dengan pemasaran. Pembuatan profil dilakukan dalam platform media sosial untuk memungkinkan penargetan, namun ini murni untuk tujuan pemasaran dan bisnis telah menilai bahwa hal itu tidak menghasilkan efek hukum atau efek signifikan serupa pada individu tersebut.

6. Pemrosesan data pihak kedua dan pihak ketiga

Selain data pihak pertama (yaitu data yang dikumpulkan perusahaan sendiri — misalnya, data dari akun Google Analytics), beberapa perusahaan juga menggunakan data pihak kedua dan pihak ketiga.

Data ini — bersumber dari mitra dan pertukaran data — memberdayakan pemasar dengan wawasan yang kuat tentang psikografis, teknografi, dan demografi audiens mereka. Biasanya digunakan untuk membangun profil pelanggan yang terperinci. Yang, pada gilirannya, digunakan untuk membuat konten dan pesan yang lebih relevan, dan untuk menyampaikannya ke segmen utama dari audiens umum.

Misalnya, bisnis B2B dapat menggunakan data tersebut untuk mengidentifikasi segmen utama audiensnya dan menargetkan setiap segmen dengan rekomendasi konten yang dipersonalisasi.

Jika Anda perlu menggunakan sumber data tersebut, pastikan Anda hanya bermitra dengan penyedia dan pertukaran data yang mengikuti praktik pengumpulan dan pemrosesan data yang adil dan sah.

7. Pemrosesan data riwayat pembelian

Toko eCommerce mungkin menawarkan rekomendasi produk yang dipersonalisasi kepada pengunjungnya berdasarkan riwayat transaksi mereka.

DPN (Data Protection Network, badan berbasis di Inggris yang menawarkan saran ahli tentang Perlindungan Data dan Privasi) menawarkan banyak panduan tentang penggunaan Kepentingan yang Sah. Ini menunjukkan bahwa penggunaan riwayat pembelian pengguna oleh toko online untuk membuat rekomendasi produk yang dipersonalisasi dapat menjadi dasar yang baik untuk dasar hukum pemrosesan data pribadi:

Pengecer dengan rangkaian produk yang luas melakukan pemrosesan otomatis yang didasarkan pada riwayat transaksi pelanggan, untuk tujuan memprediksi produk dan layanan lain apa yang mungkin mereka minati.

8. Pemrosesan data riwayat akun

Pemrosesan data akun dapat dianggap setara dengan pemrosesan data riwayat pembelian, tetapi untuk penyiapan B2B.

Perusahaan B2B dapat menggunakan data riwayat akun penggunanya untuk memberikan pengalaman konten kontekstual yang lebih kaya. Misalnya, perusahaan B2B dapat menggunakan data pelanggannya untuk menawarkan mereka penawaran peningkatan atau penjualan silang yang lebih relevan dan lebih baik.

9. Pemrosesan data cookie

Ada banyak cara data cookie dapat membantu menawarkan pengalaman situs web yang dipersonalisasi yang tidak mengganggu dan relevan. Sebagian besar jenis cookie yang dapat memberikan pengalaman efektif bahkan tidak memerlukan persetujuan pengguna yang eksplisit karena petunjuk penggunaan dan penyisihannya dapat dijelaskan di halaman privasi situs web.

Misalnya, situs web bisnis dapat menggunakan data cookie untuk menentukan konten apa yang akan dikirimkan kepada calon pelanggan untuk memindahkan mereka lebih jauh ke dalam saluran penjualan. Ada banyak cara data cookie dapat digunakan bahkan dengan cara yang ramah privasi. Faktanya, semua data dari contoh di atas sebagian besar dikumpulkan dan disimpan dalam beberapa bentuk cookie.

Untuk contoh lebih lanjut tentang pemrosesan data berdasarkan klausul Kepentingan yang Sah, lihat Panduan tentang penggunaan Kepentingan yang Sah di bawah Peraturan Perlindungan Data Umum UE.

Membungkusnya…

Memilih salah satu dari dua opsi — Kepentingan atau Persetujuan yang Sah — untuk tujuan pemasaran Anda memerlukan pertimbangan berdasarkan kasus per kasus. Meskipun Kepentingan yang Sah dapat menjadi (dan merupakan) dasar hukum yang paling umum untuk memproses data pribadi bagi sebagian besar pemasar, kepentingan tersebut harus digunakan dengan hati-hati.

Selain itu, sementara ketentuan Kepentingan yang Sah dapat mencakup banyak taktik personalisasi situs web, Anda tetap harus mengikuti Penilaian Kepentingan yang Sah dan mencari bantuan dari praktisi privasi online yang sah untuk memastikan sebelum beralih ke sana.

Di Convert Experiences, kami memberdayakan pemasar seperti Anda untuk menawarkan pengalaman situs web pribadi yang aman bagi GDPR dan ramah privasi kepada pengguna Anda. Kami juga telah melakukan LIA menyeluruh terhadap semua data yang kami gunakan berdasarkan ketentuan Kepentingan Sah untuk mendukung personalisasi tersebut. Lihat disini. Dan jika Anda ingin menawarkan personalisasi situs web yang menawarkan privasi berdasarkan desain dan privasi secara default, lihat Convert Experiences.