• Beranda
  • Artikel
  • SEO
  • Penyelaman Mendalam GDPR: Apa yang Dianggap sebagai “Bunga yang Sah?”

Penyelaman Mendalam GDPR: Apa yang Dianggap sebagai “Bunga yang Sah?”

Diterbitkan: 2018-03-01
Penyelaman Mendalam GDPR: Apa yang Dianggap sebagai “Bunga yang Sah?”

Anda tahu apa yang mereka katakan—Anda memberi mereka satu jari, mereka akan mengambil tangan.

Beri mereka pengecualian minat yang sah, dan mereka akan mengirim email dingin ke semua LinkedIn.

GDPR memiliki enam alasan yang sah untuk memproses data pribadi, sebagaimana diuraikan dalam Pasal 6. Dan kepentingan yang sah diatur dengan baik untuk menjadi yang paling disalahgunakan. Setiap pemasar yang ingin menghindari persetujuan untuk memproses data, akan mencoba dan menggunakan kepentingan yang sah sebagai cara untuk memintanya.

Tapi hati-hati… sangat hati-hati. Bunga yang sah adalah ketentuan yang lebih ketat daripada kedengarannya.

Jadi mari kita bicara tentang di mana itu bisa diterapkan, dan bagaimana kita bisa lebih memahami niatnya.

Enam Alasan yang Sah untuk Pemrosesan Data Pribadi

Anda harus memiliki dasar hukum yang sah untuk memproses data pribadi dan ada enam yang sekarang dianggap sah.

Tidak ada dasar tunggal yang 'lebih baik', atau lebih penting daripada yang lain. Dan dasar mana yang paling tepat untuk digunakan akan tergantung pada tujuan Anda, dan hubungan dengan individu tersebut.

Satu hal yang perlu diperhatikan: Anda harus menentukan dasar hukum Anda sebelum mulai memproses. Anda harus didokumentasikan, dan tersedia, dalam kasus audit potensial. Pejabat tidak akan memandang baik pada sakelar menit terakhir.

Pemberitahuan privasi Anda juga harus mencakup dasar hukum Anda untuk pemrosesan, dan tujuan pemrosesan Anda. Jika tujuan Anda berubah, Anda mungkin dapat melanjutkan pemrosesan berdasarkan dasar hukum asli—dengan asumsi tujuan baru Anda sesuai dengan dasar awal Anda (ini dengan asumsi dasar hukum Anda tidak disetujui). Either way: Anda harus memastikan untuk memperbarui kebijakan privasi Anda.

Untuk tujuan kesederhanaan, artikel ini tidak akan membahas data khusus—seperti paspor, data biometrik, dll.

Kami akan menjaga hal-hal yang berkaitan dengan pemasar: analitik, pembuatan prospek, email, dan pengujian a/b.

Inilah yang dapat Anda gunakan sebagai alasan yang sah:

  1. Izin
  2. Kontrak
  3. Kewajiban hukum
  4. Kepentingan vital
  5. Tugas kepentingan umum
  6. Kepentingan yang sah

Ringkasan 10 detik:

1.Anda perlu mendapatkan persetujuan (kotak centang itu di formulir Anda),
2.Anda harus memiliki kontrak dengan individu, atau perusahaan (di mana Anda berdua setuju bahwa data pribadi perlu diproses).
3-5. Kami akan meninggalkan ini untuk lain waktu, karena mereka tidak dimaksudkan untuk pemasar.
6. Kepentingan yang sah. Kedengarannya paling mudah bukan? Pastikan Anda memiliki alasan yang baik dan "sah" untuk memproses data pribadi dan menyelesaikannya. Sampai jumpa persetujuan?

Bunga yang Sah: Apa Itu?

Kepentingan yang sah adalah dasar hukum yang paling fleksibel untuk diproses, tetapi Anda tidak dapat berasumsi bahwa itu akan selalu menjadi yang paling tepat.

Kemungkinan paling tepat jika Anda menggunakan data orang dengan cara yang wajar mereka harapkan dan yang memiliki dampak privasi minimal. ATAU di mana ada pembenaran yang kuat untuk pemrosesan. Inilah yang dikatakan resital GDPR 47 tentang kepentingan yang sah.

Kepentingan sah dari pengontrol, termasuk kepentingan pengontrol di mana data pribadi dapat diungkapkan, atau pihak ketiga, dapat memberikan dasar hukum untuk pemrosesan, asalkan kepentingan atau hak dasar dan kebebasan subjek data terpenuhi. tidak mengesampingkan, dengan mempertimbangkan ekspektasi yang wajar dari subjek data berdasarkan hubungannya dengan pengontrol. Kepentingan yang sah tersebut dapat terjadi misalnya di mana ada hubungan yang relevan dan sesuai antara subjek data dan pengontrol dalam situasi seperti di mana subjek data adalah klien atau dalam layanan pengontrol. Bagaimanapun, keberadaan kepentingan yang sah akan membutuhkan penilaian yang cermat termasuk apakah subjek data dapat diharapkan secara wajar pada saat itu dan dalam konteks pengumpulan data pribadi yang pemrosesan untuk tujuan itu mungkin terjadi. Kepentingan dan hak dasar subjek data dapat, khususnya, mengesampingkan kepentingan pengontrol data di mana data pribadi diproses dalam keadaan di mana subjek data tidak mengharapkan pemrosesan lebih lanjut secara wajar. Mengingat bahwa pembuat undang-undang menyediakan dasar hukum bagi otoritas publik untuk memproses data pribadi, dasar hukum tersebut tidak boleh berlaku untuk pemrosesan oleh otoritas publik dalam menjalankan tugasnya. Pemrosesan data pribadi yang sangat diperlukan untuk tujuan mencegah penipuan juga merupakan kepentingan sah dari pengontrol data yang bersangkutan. Pemrosesan data pribadi untuk tujuan pemasaran langsung dapat dianggap dilakukan untuk kepentingan yang sah.

Jika Anda memilih untuk mengandalkan kepentingan yang sah, Anda mengambil tanggung jawab ekstra untuk mempertimbangkan dan melindungi hak dan kepentingan orang .

Jadi jika Anda memiliki sistem di mana Anda benar-benar yakin Anda menjamin privasi pengguna, itu adalah indikator kuat bahwa Anda dapat menggunakan bunga yang sah.

Ada tiga unsur dasar kepentingan yang sah. Ini membantu untuk menganggap ini sebagai tes tiga bagian. Kamu butuh:

  1. mengidentifikasi kepentingan yang sah;
  2. menunjukkan bahwa pemrosesan diperlukan untuk mencapainya; dan
  3. menyeimbangkannya dengan kepentingan, hak, dan kebebasan individu.

Kepentingan yang sah dapat menjadi kepentingan Anda sendiri atau kepentingan pihak ketiga. Mereka dapat mencakup kepentingan komersial, kepentingan individu atau manfaat sosial yang lebih luas.

Pemrosesan juga harus diperlukan. Jika Anda dapat secara wajar mencapai hasil yang sama dengan cara lain yang tidak terlalu mengganggu—kepentingan yang sah tidak lagi berlaku,

Selain itu, Anda harus mengikuti langkah-langkah berikut menggunakan minat yang sah:

  • Anda harus menyeimbangkan kepentingan Anda dengan kepentingan individu. Jika mereka tidak mengharapkan pemrosesan secara wajar, atau jika itu akan menyebabkan kerugian yang tidak dapat dibenarkan, kepentingan mereka kemungkinan akan mengesampingkan kepentingan sah Anda.
  • Catat penilaian minat sah (LIA) Anda untuk membantu Anda menunjukkan kepatuhan jika diperlukan.
  • Anda harus menyertakan detail kepentingan sah Anda dalam pemberitahuan privasi Anda.

Daftar Periksa Otoritas Privasi ICO (Inggris Raya) untuk Kepentingan Sah

Situs web ICO (Kantor Komisaris Informasi) memiliki daftar periksa yang dimaksudkan untuk membantu Anda menentukan apakah pemrosesan data Anda dibenarkan berdasarkan kepentingan yang sah.

Jika Anda ingin bermain aman, pastikan Anda dapat mengonfirmasi hal berikut:

  • Kami telah memeriksa bahwa kepentingan yang sah adalah dasar yang paling tepat.
  • Kami memahami tanggung jawab kami untuk melindungi kepentingan individu.
  • Kami telah melakukan penilaian kepentingan yang sah (LIA) dan mencatatnya, untuk memastikan bahwa kami dapat membenarkan keputusan kami.
  • Kami telah mengidentifikasi kepentingan sah yang relevan.
  • Kami telah memeriksa bahwa pemrosesan diperlukan dan tidak ada cara yang kurang mengganggu untuk mencapai hasil yang sama.
  • Kami telah melakukan uji keseimbangan, dan yakin bahwa kepentingan individu tidak mengesampingkan kepentingan sah tersebut.
  • Kami hanya menggunakan data individu dengan cara yang wajar mereka harapkan, kecuali kami memiliki alasan yang sangat bagus.
  • Kami tidak menggunakan data orang dengan cara yang mereka anggap mengganggu atau yang dapat membahayakan mereka, kecuali kami memiliki alasan yang sangat bagus.
  • Jika kami memproses data anak-anak, kami sangat berhati-hati untuk memastikan bahwa kami melindungi kepentingan mereka.
  • Kami telah mempertimbangkan perlindungan untuk mengurangi dampak jika memungkinkan.
  • Kami telah mempertimbangkan apakah kami dapat menawarkan pilihan keluar.
  • Jika LIA kami mengidentifikasi dampak privasi yang signifikan, kami telah mempertimbangkan apakah kami juga perlu melakukan DPIA.
  • Kami terus meninjau LIA kami dan mengulanginya jika keadaan berubah.
  • Kami menyertakan informasi tentang kepentingan sah kami dalam pemberitahuan privasi kami.

Menggunakan Minat yang Sah untuk pengujian A/B

Ke depan, GDPR dan ePrivacy Directive akan menjadi dua landasan hukum bagi pemasar digital.

Dan seperti yang diuraikan: alamat IP, cookie—hal-hal ini sekarang dianggap sebagai “data pribadi”.

Jadi, kesampingkan kepentingan yang sah: kemungkinan besar Anda akan memerlukan izin untuk cookie dan pengenal lain dengan alat pengujian A/B Anda saat ini.

Inilah alasannya:

Cukup sulit untuk memiliki argumen untuk kepentingan yang seimbang dan sah jika Anda menggunakan perangkat lunak pihak ketiga untuk memperkaya segmen Anda atau menyimpan setiap gerakan pengunjung situs web Anda. Penyimpanan semacam ini adalah praktik umum dengan alat seperti Heap—atau program serupa apa pun yang memiliki pasca-segmentasi, atau kapasitas analitik prediktif.

Dengan banyak solusi pengujian A/B terkemuka, Anda menyimpan banyak data tentang pengguna. Dan Anda menggunakan data itu, setelah itu, sesuka Anda, tanpa memberi tahu pengguna tentang proses itu.

Melihat kembali ke daftar periksa…

Apakah pengguna yang memasuki situs web Anda "cukup mengharapkan" Anda akan menggunakan data mereka untuk memprediksi pola pembelian mereka?

Apakah "kebutuhan sah" Anda untuk menyimpan kelebihan data mereka, yakin untuk mengesampingkan keberatan yang mungkin mereka miliki terhadap Anda menggunakannya?

Pengumpulan data semacam ini kemungkinan besar memerlukan persetujuan khusus. Artinya, Anda tidak boleh memuat cookie atau eksperimen tanpa keikutsertaan tertentu.

Pengujian A/B, Minus Penyimpanan Data Pribadi

Sejak berlalunya GDPR, kami telah mendesain ulang Pengalaman Konversi. Dan kami terus mengerjakannya sehingga kami siap 100% sebelum 25 Mei 2018.

Itu berarti ketika Anda menggunakan Konversi dalam pengaturan default—itu akan mematuhi GDPR tanpa persetujuan yang diperlukan (lihat peta jalan kami di sini).

Tidak ada ID cookie, tidak ada pengidentifikasi unik, dan tidak ada IP yang disimpan. Benar-benar semuanya dipreteli, sebisa mungkin, agar tidak ada data pribadi yang disimpan atau digunakan.

Artinya, tidak diperlukan persetujuan.

Yang mungkin diperlukan adalah memberi tahu pengunjung situs web tentang cara Anda menangani pengujian A/B.

Mungkin, untuk lebih amannya, pengguna harus menyertakan kepentingan yang sah dalam kebijakan privasi mereka—untuk memberi sinyal bahwa cookie yang ditempatkan untuk perangkat lunak pengujian A/B tidak menyimpan data pribadi. Dan untuk menyebutkan kepentingan strategis bagi Anda, sebagai sebuah perusahaan, perlu menempatkan cookie analitik ini, untuk meningkatkan kinerja bisnis Anda.

Untuk meringkasnya:

Persetujuan dan kepentingan yang sah kemungkinan besar merupakan dasar sah yang paling banyak digunakan untuk pemasar digital.

Tanpa ragu, persetujuan adalah cara paling aman untuk menghindari tindakan hukum apa pun terhadap perusahaan Anda.

Bunga yang sah harus digunakan hanya dalam kasus yang jarang terjadi di mana Anda mendapati diri Anda bersandar ke dinding, dan di mana Anda yakin tidak ada, atau sangat sedikit, data pribadi yang disimpan dan diproses.

Pastikan itu 100% jelas mengapa menurut Anda minat yang sah itu layak, dan simpan itu jika ada audit.

Karena rumit, tapi itu bukan ilmu roket. Jika kedengarannya licik, maka mintalah persetujuan. Jika proses tersebut benar-benar tidak berbahaya, buat alasan yang kuat untuk meminimalkan dampak pada pelanggan dan pengunjung situs web Anda.

Dan ingat: GDPR tinggal beberapa bulan lagi. Tetap terinformasi, bicarakan dengan vendor Anda, dan persiapkan diri Anda untuk lanskap pemrosesan data yang lebih transparan.