Jangan Terkecoh dengan 6 Mitos GDPR Ini

Diterbitkan: 2018-03-12
Jangan Terkecoh dengan 6 Mitos GDPR Ini

Kami tinggal beberapa bulan lagi dari hari implementasi GDPR dan internet dipenuhi dengan saran yang buruk.

Jumlah posting blog dan jawaban Quora yang saya lihat dikotori dengan lampu hijau, yang seharusnya MERAH—sangat mencengangkan.

Dan saat kami di Convert, telah menghabiskan lebih banyak waktu untuk belajar, dan membaca, dan merobek rambut kami atas undang-undang baru, besar, penting, ini — semakin otak saya mulai menyalakan alarm.

“Perilaku standar industri ini sekarang buruk ,” katanya. “KAU HARUS PERINGATAN MEREKA.”

Jadi disini.

Ini adalah 6 kebohongan besar yang diyakini orang tentang GDPR yang membuat orang salah, dan kita semua harus memperbaikinya sebelum 25 Mei.

Mitos #1: Ini hanya mempengaruhi UE.

Jika hanya.

Salah satu hal paling ambisius tentang GDPR adalah bagaimana ia memperluas cakupan legislatif kebijakan privasi data. Sekarang, ada satu undang-undang menyeluruh yang mengatur aturan di seluruh UE.

Tetapi di luar itu, GDPR penting bagi siapa pun yang berurusan dengan data warga negara UE.

Meskipun perusahaan Anda berbasis di tempat lain—jika Anda memiliki pengunjung web yang merupakan warga negara Uni Eropa, dan Anda melacaknya dengan cookie—Anda diharapkan untuk mendaftar dengan GDPR. Jika Anda mengumpulkan email subjek data Eropa, jika Anda menyimpan alamat IP mereka, jika Anda berinteraksi dengan data mereka sama sekali —Anda terikat pada aturan baru yang sama dengan siapa pun yang memiliki server berbasis UE.

Dan sejujurnya, meskipun Anda 100% yakin bahwa Anda tidak berurusan dengan data UE—mematuhi GDPR adalah langkah yang baik ke arah yang benar. Undang-undang privasi di mana-mana sedang berubah. Kanada sedang mengerjakan undang-undang baru dengan Privacy Act.

Data semakin menjadi bentuk mata uang yang berharga. Yang membuat undang-undang data, lebih penting dari sebelumnya.

Mitos #2: Saya dapat membenarkan cookie/email dingin/dll. karena “kepentingan yang sah”.

Syarat bunga yang sah adalah….rumit.

Meskipun mungkin (sesaat) memberi Anda sedikit ruang untuk beberapa jenis email dingin—ini tidak berguna seperti yang diharapkan pemasar.

Untuk sedikit mencadangkan—GDPR menguraikan 6 kondisi hukum yang berbeda untuk pemrosesan data. Dua yang relevan bagi pemasar tampaknya adalah: persetujuan subjek data, dan “kepentingan yang sah”.

Meminta persetujuan mengharuskan Anda memenuhi segala macam persyaratan—itu harus aktif, tidak ambigu, afirmatif, dll.

Relatif, "kepentingan yang sah" tampak seperti berjalan-jalan di taman. Tapi maksud dari klausa ini bukanlah "Saya secara sah berpikir mereka tertarik ... jadi, saya bisa mengirim mereka apa pun yang saya inginkan kan?"

Inilah yang ICO (badan pengatur data Inggris) merekomendasikan Anda konfirmasi sebelum Anda memutuskan untuk memproses data….

  • Kami telah memeriksa bahwa kepentingan yang sah adalah dasar yang paling tepat.
  • Kami memahami tanggung jawab kami untuk melindungi kepentingan individu.
  • Kami telah melakukan penilaian kepentingan yang sah (LIA) dan mencatatnya, untuk memastikan bahwa kami dapat membenarkan keputusan kami.
  • Kami telah mengidentifikasi kepentingan sah yang relevan.
  • Kami telah memeriksa bahwa pemrosesan diperlukan dan tidak ada cara yang kurang mengganggu untuk mencapai hasil yang sama.
  • Kami telah melakukan uji keseimbangan, dan yakin bahwa kepentingan individu tidak mengesampingkan kepentingan sah tersebut.
  • Kami hanya menggunakan data individu dengan cara yang wajar mereka harapkan, kecuali kami memiliki alasan yang sangat bagus.
  • Kami tidak menggunakan data orang dengan cara yang mereka anggap mengganggu atau yang dapat membahayakan mereka, kecuali kami memiliki alasan yang sangat bagus.
  • Jika kami memproses data anak-anak, kami sangat berhati-hati untuk memastikan bahwa kami melindungi kepentingan mereka.
  • Kami telah mempertimbangkan perlindungan untuk mengurangi dampak jika memungkinkan.
  • Kami telah mempertimbangkan apakah kami dapat menawarkan pilihan keluar.
  • Jika LIA kami mengidentifikasi dampak privasi yang signifikan, kami telah mempertimbangkan apakah kami juga perlu melakukan DPIA.
  • Kami terus meninjau LIA kami dan mengulanginya jika keadaan berubah.
  • Kami menyertakan informasi tentang kepentingan sah kami dalam pemberitahuan privasi kami.

Jadi, jika Anda ingin mengandalkan kepentingan yang sah—Anda harus mengonfirmasi hal-hal ini. Dan Anda harus mendokumentasikan proses Anda. Dan Anda harus memutuskan bahwa Anda memproses dengan kondisi kepentingan yang sah sebelumnya. Ini tidak bisa hanya menjadi kemunduran Anda karena Anda meminta persetujuan secara tidak benar.

Mitos #3: Saya perlu menunjuk Petugas Perlindungan Data.

GDPR menyarankan beberapa perusahaan untuk menunjuk Petugas Perlindungan Data, untuk mengawasi transisi, dan keamanan data mereka bergerak maju.

Dan kekuasaan yang ada cukup jelas bahwa otoritas publik harus menunjuk satu. Dan perusahaan yang fungsi utamanya meliputi mengolah data, atau memantaunya secara sistematis. Dan jika Anda secara teratur memproses kategori data khusus—seperti data kesehatan, atau afiliasi agama dan politik—Anda mungkin harus memiliki DPO di tim Anda.

Tapi selain kondisi ini, sejujurnya, tidak ada aturan ketat tentang kapan perusahaan Anda cukup besar untuk mewajibkan mempekerjakan DPO. Atau ketika data yang Anda kelola cukup kompleks sehingga Anda membutuhkannya. 250 karyawan adalah satu, aturan praktis yang sering dilontarkan.

Secara umum, tampaknya UKM yang memproses jenis dan jumlah data standar Anda, untuk tujuan pemasaran, dapat bertahan dengan beberapa nasihat hukum yang solid, dan dedikasi menyeluruh terhadap transparansi data.

Mitos #4: Ini adalah cara yang baik untuk meminta persetujuan.

makhluk ini…

Tidak! Persetujuan harus aktif. Anda tidak dapat membiarkan kotak Anda dicentang sebelumnya

Tidak! Persetujuan harus aktif. Anda tidak dapat membiarkan kotak Anda dicentang sebelumnya.

Tidak! Itu bundling. Anda harus meminta persetujuan untuk proses terpisah

Tidak! Itu bundling. Anda harus meminta persetujuan untuk proses terpisah, secara terpisah. Anda tidak bisa begitu saja memasukkan langganan “buletin bulanan” dengan pendaftaran acara.

Tidak! Sebutkan pihak ketiga Anda atau itu tidak masuk hitungan!

Tidak! Sebutkan pihak ketiga Anda atau itu tidak masuk hitungan!

Tidak—cookie persisten memerlukan persetujuan aktif dan eksplisit sekarang.

Tidak—cookie persisten memerlukan persetujuan aktif dan eksplisit sekarang. Seperti, seseorang harus mengklik sesuatu atau mencentang kotak yang bertuliskan "Saya setuju." Mereka tidak memberikannya hanya dengan terus menelusuri.

Dan nuansa terus berlanjut.

Yang penting adalah: aturan persetujuan tidak seperti dulu.

Untuk lebih lanjut tentang apa mereka sekarang, kami memiliki perincian yang lebih substantif di sini.

Mitos #5: Itu bukan data pribadi.

GDPR telah memperluas cakupan data pribadi, dari apa yang sebelumnya dikenal sebagai “Informasi Identifikasi Pribadi”.

Kami dengan rendah hati mempersembahkan tabel yang bermanfaat ini:

Data Identifikasi Pribadi (PII)
Data pribadi
  • Nama lengkap (jika tidak umum)
  • Alamat rumah
  • Alamat email
  • Nomor identifikasi nasional
  • Nomor paspor
  • Nomor plat kendaraan
  • Nomor SIM
  • Wajah, sidik jari, atau tulisan tangan
  • Nomor kartu kredit
  • Identitas digital
  • Tanggal lahir
  • Tempat lahir
  • Informasi genetik
  • Nomor telepon
  • Nama login, nama layar, nama panggilan, atau pegangan
  • Nama lengkap (jika tidak umum)
  • Alamat rumah
  • Alamat email
  • Nomor identifikasi nasional
  • Nomor paspor
  • Nomor plat kendaraan
  • Nomor SIM
  • Wajah, sidik jari, atau tulisan tangan
  • Nomor kartu kredit
  • Identitas digital
  • Tanggal lahir
  • Tempat lahir
  • Informasi genetik
  • Nomor telepon
  • Nama login, nama layar, nama panggilan, atau pegangan

+

  • Alamat IP
  • Pengidentifikasi unik seperti ID Perangkat, ID Pengguna, ID Transaksi, ID Cookie
  • Data pseudonim (itu data yang tidak dapat dikenali + kunci di tempat yang berbeda untuk membuatnya dapat dibaca kembali)

Catatan besar di sini adalah cookie—yang sedikit rumit. Jenis cookie apa yang akan dianggap sebagai data pribadi, akan ditetapkan dengan Peraturan ePrivasi yang baru.

Saat ini, ada beberapa pengecualian untuk cookie di "sektor kinerja." Ini adalah jenis yang hanya mengumpulkan informasi tentang penggunaan situs web, untuk kepentingan operator situs web. Mereka tidak mengidentifikasi pengunjung—sebaliknya, mereka mengandalkan data agregat.

Anda dapat menemukan penjelasan mendalam tentang bagaimana GDPR akan mengatur cookie di sini.

Mitos #6: Selama saya memperbarui proses saya sebelum 25 Mei—saya bebas.

Sebagai seorang marketer, kondisi GDPR inilah yang membuat saya ingin mencabuti rambut saya.

Ini berlaku surut.

Ini berlaku untuk semua data Anda yang ada.

Artinya, jika Anda telah mengumpulkan email, atau menjalankan cookie, atau mengotak-atik data pribadi apa pun dengan cara yang tidak sesuai dengan GDPR—semua data yang disimpan itu akan menjadi masalah pada tanggal 25 Mei.

Kami merekomendasikan:

  1. Baik cookie situs Anda berjalan dalam jangka waktu 3, 6, atau 12 bulan—sebaiknya memulai dari awal, dan menghapus semua data pribadi yang mereka simpan.
  2. Jalankan kampanye izin ulang, untuk mencoba dan menyelamatkan daftar email Anda yang ada.

Ini sakit kepala. Dan sangat disayangkan, kehilangan beberapa kontak yang telah Anda perjuangkan dengan keras untuk menang.

Tapi, seperti yang mereka katakan…

Terkadang hal-hal berantakan sehingga hal-hal yang lebih baik dapat berantakan dan juga privasi data penting sehingga kita semua harus mengikuti hukum.

Dapatkan Rasa Salah Satu Alat Pengujian A/B Paling Sadar Privasi Di Luar Sana
Dapatkan Rasa Salah Satu Alat Pengujian A/B Paling Sadar Privasi Di Luar Sana