Dampak GDPR pada Pengumpulan Data CRO: Rekap Cepat

Diterbitkan: 2019-11-13
Dampak GDPR pada Pengumpulan Data CRO: Rekap Cepat

Dasar untuk mengoptimalkan tingkat konversi di situs web mana pun adalah pengumpulan dan analisis data secara sistematis terkait pengunjung yang berinteraksi dengan situs web.

Pengumpulan data pengguna sangat penting untuk mengukur bagaimana pengunjung menggunakan, memahami, dan menyukai berbagai bagian situs web. Namun, di bawah Peraturan Perlindungan Data Umum (GDPR) yang diperkenalkan oleh parlemen Eropa pada April 2016 dan akhirnya diberlakukan pada Mei 2018, pengumpulan dan pemrosesan data pribadi di Uni Eropa menjadi terpadu dan terbatas.

Dalam istilah awam, bisnis tidak bisa lagi mengumpulkan dan menimbun data tanpa alasan yang sah. Mereka juga tidak dapat memproses data sesuka mereka. Dan akhirnya, data kini hadir dengan tanggal kedaluwarsa. Ada kebutuhan untuk secara teratur membersihkan data yang tidak digunakan untuk meningkatkan pengalaman pengguna dan pelanggan dengan cara yang nyata.

Tujuan GDPR adalah untuk menyelaraskan undang-undang privasi data di Uni Eropa, untuk memperkuat hak privasi data warga negara Uni Eropa, dan untuk mencegah pelanggaran data. Organisasi yang tidak mematuhi GDPR dapat didenda hingga 4% dari omset tahunan mereka atau hingga 20 juta Euro (mana yang lebih tinggi).

Denda sudah dijatuhkan. Misalnya, Kantor Komisaris Informasi (ICO) mengumumkan denda sebesar £183,39 Juta untuk British Airways karena pelanggaran data yang membahayakan data pribadi 500.000 pelanggan dan pelanggaran GDPR.

Dengan demikian, moto umum di bawah GDPR adalah semakin sedikit informasi pengguna pribadi yang Anda kumpulkan, semakin baik . Tetapi apakah itu berarti pengumpulan data pengguna dari warga negara Uni Eropa untuk tujuan mengoptimalkan tingkat konversi tidak mungkin dilakukan tanpa mempertaruhkan denda besar di bawah GDPR?

Prinsip pemrosesan data pribadi menurut GDPR
Baca artikel selengkapnya melalui www.talacka.com.

Belum tentu.

Jika Anda mengumpulkan data pribadi warga negara Uni Eropa melalui alat pelacak, cookie, perangkat lunak pemrosesan, atau program evaluasi data, Anda perlu mengetahui jenis data yang dikumpulkan, di mana akan disimpan, bagaimana diproses, dan kapan akhirnya akan dihapus. . Kebutuhan akan perubahan pola pikir umum bisnis dan organisasi yang memiliki data pribadi individu meningkat dalam beberapa tahun terakhir.

Bagian portabilitas data pribadi di GDPR menyatakan, bahwa tidak ada perusahaan yang dapat memiliki data individu dan bahwa subjek data memiliki hak untuk membagikan data mereka dengan organisasi lain. Dengan demikian, berdasarkan GDPR, bisnis dan organisasi secara hukum diwajibkan untuk mendapatkan perjanjian persetujuan untuk mengumpulkan dan memproses data pengunjung situs web mereka. Selanjutnya, Anda perlu menulis formulir persetujuan dengan kata-kata sederhana untuk menjelaskan dengan jelas mengapa Anda mengumpulkan data dan untuk apa Anda akan menggunakannya.

Sekilas, ini terdengar luar biasa dan sulit dilakukan setiap hari. Namun, artikel ini akan membantu Anda menangani persyaratan GDPR.

Selanjutnya, artikel ini akan memberi Anda gambaran umum tentang apa yang dianggap sebagai data pribadi menurut GDPR, bagaimana Anda dapat mematuhi GDPR sambil mengumpulkan data pribadi untuk tujuan pengoptimalan tingkat konversi (CRO) dan bagaimana GDPR memengaruhi alat CRO umum yang digunakan untuk mengoptimalkan situs web.

Apa yang dimaksud dengan Data Pribadi?

Pasal 4 GDPR mendefinisikan apa yang dimaksud dengan data pribadi.

Data pribadi adalah segala bentuk informasi yang secara langsung atau tidak langsung dapat mengidentifikasi seseorang. Orang alami adalah individu yang tinggal di UE. Cara termudah untuk mengidentifikasi seseorang umumnya melalui nama lengkap. Tetapi mungkin ada beberapa individu dengan nama yang sama yang tinggal di UE. Namun, kombinasi titik data yang berbeda dapat cukup untuk mengidentifikasi satu individu tertentu. Titik data yang dapat diidentifikasi dapat, misalnya, nama, lokasi, alamat email, informasi login, alamat IP, dan pengidentifikasi unik seperti ID pengguna atau ID transaksi.

Saat membaca bagian terakhir, Anda mungkin memperhatikan bahwa sebagian besar alat pengoptimalan tingkat konversi yang umum digunakan mengumpulkan dan memproses titik data yang dapat diidentifikasi yang disebutkan. Namun, apakah Anda bertanggung jawab untuk memastikan bahwa alat pemrosesan data pihak ketiga mematuhi peraturan perlindungan data UE?

Alat CRO Pihak Ketiga: Cara Bekerja dengan Mereka

GDPR menjelaskan bahwa proses pengumpulan data dilakukan oleh dua entitas yang berbeda: "pengontrol" data dan "pemroses" data. Pengontrol data memutuskan tujuan, ruang lingkup, dan maksud dari data yang dikumpulkan. Oleh karena itu, pengontrol data adalah pemilik situs web dalam banyak kasus. Pemroses data, di sisi lain, memproses data yang dikumpulkan untuk memenuhi tujuan yang telah ditentukan atas nama pengontrol data.

Pemroses data umumnya adalah alat CRO pihak ketiga seperti peta panas, alat pengujian, analitik formulir, atau alat pengujian A/B. Sebelum alat pihak ketiga mana pun dapat digunakan, kesepakatan tentang apa yang boleh dilakukan alat pihak ketiga atas nama pemilik situs web harus disetujui oleh pemilik situs web.

Itu berarti bahwa alat pihak ketiga sebagai pemroses data bertindak sebagai perpanjangan dari pengontrol data.

Peraturan perlindungan data umum menyatakan bahwa pengontrol data bertanggung jawab secara hukum atas tindakan pemroses data. Jadi, jika pemroses data dalam bentuk alat CRO pihak ketiga tidak mematuhi GDPR, pengontrol data pada gilirannya juga tidak patuh dan dapat menghadapi hukuman. Oleh karena itu, disarankan untuk memeriksa jenis data yang dikumpulkan oleh alat pemasaran dan pelacakan yang Anda gunakan untuk situs web Anda.

Sekarang Anda mungkin bertanya pada diri sendiri: “Apa tanggung jawab saya di bawah GDPR? Dan tindakan apa yang harus dinyatakan dalam perjanjian antara pemilik situs web dan alat pemrosesan data pihak ketiga untuk memastikan kepatuhan terhadap GDPR?” Daftar periksa berikut akan memberi Anda gambaran singkat tentang persyaratan GDPR terpenting untuk alat pihak ketiga serta persyaratan Anda sendiri.

Daftar Periksa untuk Persyaratan GDPR alat pihak ketiga

  • Perjanjian pemrosesan data yang diperbarui dengan bagian GDPR tambahan
  • Kontrak harus menyatakan bahwa mereka hanya akan bertindak atas petunjuk terdokumentasi Anda
  • Durasi, tujuan, penyimpanan, dan proses metode pemrosesan data
  • Catatan persetujuan pengunjung situs web harus disimpan dalam waktu singkat yang diperkirakan oleh persyaratan GDPR
  • Langkah-langkah keamanan data harus dinyatakan dalam perjanjian alat pihak ketiga
  • Pengolah data harus membantu pengontrol data dalam hak pengguna untuk mengakses data yang disimpan, dalam penarikan persetujuan yang diberikan dan dalam hak untuk dilupakan dan untuk menghapus informasi tertentu
  • Alat pihak ketiga harus menyatakan jenis data pribadi yang akan dikumpulkan dan diproses
  • Dalam perjanjian antara pemroses data dan pengontrol data, bagian yang menjelaskan hak dan kewajiban masing-masing pihak harus dicantumkan

Daftar Periksa untuk Persyaratan GDPR Pemilik Situs Web

  • Audit informasi: Data pribadi apa yang Anda kumpulkan/proses/simpan?
  • Memiliki alasan hukum untuk mengumpulkan data pribadi (Pasal 6, 7-11)
  • Jangan menyimpan data lebih lama dari yang diperlukan (Pasal 5)
  • Dapatkan persetujuan untuk mengumpulkan data pribadi dan simpan persetujuan untuk bukti persetujuan yang diberikan melalui opsi keikutsertaan aktif (Pasal 4)
  • Enkripsi dan pseudonimkan data pribadi jika memungkinkan (Pasal 32)
  • Permudah pelanggan Anda untuk menarik persetujuan mereka, pengumpulan, dan kemungkinan penghapusan data yang mereka kumpulkan (Pasal 15, 17, 18, 21)
  • Sebutkan alat pihak ketiga yang memiliki akses atau mengumpulkan data pribadi atas nama Anda
  • Ikuti batasan untuk transfer data pribadi ke negara-negara di luar EEA (Pasal 44-50)

Kepatuhan GDPR: Kemungkinan Dampak pada Pengalaman & Tingkat Konversi

Berdasarkan GDPR, semua data yang dikumpulkan harus dilakukan setelah memperoleh persetujuan eksplisit dari pengguna . Ada dua cara di mana hal ini dapat berpotensi merugikan bisnis:

  • Formulir tidak bisa lagi datang dengan persetujuan yang dipanggang (kotak yang dicentang sebelumnya) dan mereka perlu meminta persetujuan untuk setiap jenis pemrosesan data yang terpisah. Jadi singkatnya, jika browser telah mendaftar untuk magnet utama Anda, jangan secara otomatis mulai mengunjungi kotak masuk mereka dengan buletin. Ini tidak hanya mengurangi jumlah titik kontak dengan prospek, jika formulir tidak dirancang dengan mempertimbangkan UX, opsi persetujuan dapat menyebabkan frustrasi dan kelelahan yang mengarah pada tingkat penyelesaian/pengajuan yang lebih buruk.
Konversi persetujuan
  • Munculan persetujuan cookie . Postingan oleh Convert ini menguraikan berbagai jenis cookie yang dapat digunakan di situs, dan cara mendapatkan izin untuk penggunaannya dari lalu lintas. Jika cookie yang Anda pikirkan memerlukan persetujuan dari browser situs, maka formulir persetujuan cookie yang mengerikan adalah cara yang harus dilakukan. Sebagian besar alat memiliki spanduk persetujuan cookie sendiri dengan opsi penyesuaian yang sangat terbatas. Alat agregat yang memungkinkan konsolidasi persetujuan cookie untuk solusi yang berbeda tidak memadai dan mengharuskan pengguna untuk mengklik atau menavigasi keluar dari halaman yang ada untuk memilih atau memilih keluar.

Meskipun tidak ada penelitian formal yang dilakukan mengenai penurunan lalu lintas, tingkat keterlibatan atau penyelesaian sasaran, sebelum dan sesudah GDPR, sebagian besar bisnis telah menderita.

Namun, penderitaan ini telah menimbulkan kebutuhan untuk berinvestasi dalam teknik Pengoptimalan Tingkat Persetujuan serta desain dan UX yang lebih baik – elemen yang pada akhirnya akan meningkatkan cara perusahaan berinteraksi dengan prospek dan memandu mereka melalui siklus pembelian/konsumsi.

GDPR dan undang-undang privasi data yang serupa yang terbentuk di seluruh dunia adalah langkah-langkah menuju masa depan digital yang lebih pribadi dan bebas – tetapi sangat penting bahwa solusi teknis untuk penegakan undang-undang ini seimbang dan bernuansa, sehingga mereka tidak merusak ekonomi Internet yang mendanai bagian bebas dan universalnya, yang kita semua hargai dan ingin lindungi.

Daniel Johannsen, CEO Cybot, pencipta Cookiebot.

Menyimpan, Menghapus, dan Mengklasifikasikan Data Pribadi

Persyaratan GDPR lain yang dapat memengaruhi pengumpulan data untuk tujuan CRO adalah penyimpanan dan pemrosesan data pribadi. Ini bisa sangat rumit, karena banyak alat CRO menyimpan data pribadi dan banyak pihak dapat terlibat dalam proses analisis data. Jadi, itu tergantung pada berapa banyak alat CRO yang Anda gunakan untuk situs web Anda, tetapi sebagian besar mungkin untuk membatasi penyimpanan jangka panjang data pribadi di alat CRO yang digunakan.

Perlunya menghapus data yang dikumpulkan dan disimpan oleh organisasi atau bisnis telah diperdebatkan selama bertahun-tahun. Di bawah GDPR, seseorang dapat meminta agar data pribadi mereka dihapus tanpa penundaan lebih lanjut. Namun, tidak sepenuhnya jelas bagaimana organisasi harus menunjukkan bukti penghapusan data, karena ini akan menimbulkan pertanyaan tentang privasi data dan kebijakan perusahaan.

Hal lain yang perlu diperhatikan adalah klasifikasi data pribadi yang tepat. Sebagai sebuah organisasi, Anda perlu mengetahui jenis data apa yang harus Anda kumpulkan untuk menjalankan bisnis Anda dengan sukses.

Peraturan pengumpulan data GDPR menjelaskan pentingnya bagi bisnis untuk hanya mengumpulkan data pribadi dengan justifikasi hukum. Secara total, ada 6 dasar hukum untuk pengumpulan data: Persetujuan, kontrak, kewajiban hukum, kepentingan vital, tugas publik, dan kepentingan sah. Pembenaran hukum yang umum untuk mengumpulkan dan memproses data pribadi adalah kepentingan yang sah. Ini dapat berupa pemrosesan data untuk penargetan ulang atau tujuan pemasaran langsung (Recital 47). Ini juga akan membatasi penggunaan data pribadi yang tidak sah oleh alat pihak ketiga dan dengan demikian mengurangi risiko pencurian data.

Kesimpulan:

Persyaratan GDPR wajib sebagian dapat memengaruhi proses pengumpulan data untuk pengoptimalan tingkat konversi. Terutama volume data yang dikumpulkan dipengaruhi oleh formulir persetujuan "keikutsertaan" di situs web. Selain itu, alat CRO pihak ketiga yang mengumpulkan data untuk Anda perlu diperiksa agar Anda dapat memverifikasi apakah persyaratan GDPR yang paling penting disertakan dalam perjanjian, karena Anda bertanggung jawab atas potensi pelanggaran GDPR pihak ketiga.

Namun secara keseluruhan, ini adalah perubahan positif yang akan membuahkan hasil dalam bentuk interaksi yang lebih bebas antara prospek dan merek – tanpa ketakutan yang mendasari penyalahgunaan data. Setiap penurunan dalam tingkat konversi saat ini akan dikompensasikan karena merek yang sadar mengambil kepatuhan dengan langkah mereka dan berinvestasi dalam mengembangkan praktik yang berfokus pada membuat proses perolehan persetujuan sesederhana mungkin (dan bahkan menyenangkan).