Artikel teknis oleh Andreas Kühnke, penasihat hukum di Proyek A
Tinggal beberapa minggu lagi sebelum Peraturan Perlindungan Data Umum (GDPR) yang baru mulai berlaku pada tanggal 25 Mei 2018. Kemudian berlaku aturan baru saat menangani data pribadi. Baik perusahaan besar maupun perusahaan rintisan (startup) akan terkena dampaknya. GDPR memengaruhi semua area perusahaan. Namun, ini sangat penting dalam pemasaran online.
GDPR: Apa sebenarnya itu?
Dengan GDPR, legislator Eropa menciptakan kerangka hukum baru yang dimaksudkan untuk menciptakan peraturan seragam di seluruh UE yang berlaku sama bagi semua perusahaan yang memproses data pribadi warga negara UE. Hal ini terjadi karena tekanan untuk menuntut perusahaan pengolah data semakin meningkat, terutama dengan adanya kemungkinan besar denda, peringatan, dan kompensasi.
Apa itu data pribadi?
GDPR akan selalu berlaku dalam hal pemrosesan data pribadi. Data pribadi adalah informasi apa pun yang berkaitan dengan seseorang yang teridentifikasi atau dapat diidentifikasi. Seseorang dianggap dapat diidentifikasi jika dia dapat diidentifikasi secara langsung atau tidak langsung, khususnya melalui pengidentifikasi seperti nama, nomor identifikasi, data lokasi, atau pengidentifikasi online.
Satu-satunya hal yang penting adalah kemungkinan identifikasi. Tidak peduli oleh siapa. Menurut GDPR, itu adalah data pribadi meskipun bukan perusahaan pengolah data itu sendiri, namun pihak ketiga memiliki peluang untuk mengidentifikasinya. Oleh karena itu, menurut pembuat undang-undang, data yang disamarkan juga bisa bersifat pribadi. Oleh karena itu, GDPR memiliki pemahaman yang lebih luas mengenai istilah ini dibandingkan undang-undang perlindungan data yang berlaku saat ini dan juga akan mencatat pengidentifikasi online, seperti alamat IP dan cookie, sebagai data pribadi.
Dalam praktik sehari-hari, pemahaman istilah yang luas ini berarti bahwa, jika ada keraguan, referensi data pribadi lebih cenderung dikonfirmasi daripada ditolak, karena hampir setiap informasi dapat didefinisikan sebagai data pribadi. Pertama, Uni Eropa harus menghilangkan tambal sulam perlindungan data yang ada saat ini dan memperkenalkan standar-standar di seluruh Uni Eropa. Kedua, perlindungan bagi mereka yang terkena dampak harus ditingkatkan.
Apa yang baru dari peraturan tersebut?
Hingga saat ini, pemasaran online tidak dapat dilaksanakan tanpa kepatuhan terhadap peraturan perlindungan data. Hal ini mengikuti prinsip larangan dengan tunduk pada persetujuan, yang menurutnya pemrosesan data apa pun pada awalnya dilarang. Persetujuan dapat berasal dari undang-undang tertentu atau berasal dari persetujuan orang yang bersangkutan, yang terkadang dikaitkan dengan persyaratan efektivitas yang sangat ketat. Misalnya, double opt-in untuk iklan buletin. Bagaimanapun, orang yang bersangkutan harus selalu diberi informasi yang cukup dan diberi kesempatan untuk menarik diri.
Apa yang berlaku untuk pemasaran online mulai 25 Mei?
GDPR akan mempertahankan prinsip “larangan harus mendapat persetujuan”. Pemrosesan data apa pun akan terus dilarang di masa mendatang. GDPR mengikuti “prinsip universal” dalam hal pengecualian. Itu tidak membedakan berdasarkan tujuan penggunaan atau kategori data yang berbeda, melainkan memberikan izin tertentu untuk semua pemrosesan data. Misalnya, persetujuan subjek data, pemenuhan kontrak, atau perlindungan mengesampingkan kepentingan sah perusahaan.
Selain persetujuan, kepentingan sah juga penting untuk pemasaran online di masa depan. Pemrosesan data harus dilakukan untuk melindungi kepentingan sah orang yang bertanggung jawab, yaitu perusahaan periklanan, dan kepentingan subjek data tidak melebihi kepentingannya. Begitu pula dengan penerima iklan. Hal ini memperjelas bahwa undang-undang perlindungan data di masa depan akan lebih bersifat menyeimbangkan, yang seringkali tidak ada solusi sederhana.
Menurut pembuat undang-undang, periklanan langsung dapat mewakili kepentingan sah perusahaan periklanan. Apakah dan kapan kepentingan iklan ini melebihi kepentingan atau hak penerima iklan, selalu merupakan masalah individu. Ini tentang ekspektasi wajar dari orang yang bersangkutan dan hubungannya dengan orang yang bertanggung jawab. Saat ini tidak mungkin untuk memprediksi dengan pasti secara hukum di mana letak perbatasannya.
Penyeimbangan kepentingan yang harus dilakukan oleh perusahaan itu sendiri akan memainkan peran penting di masa depan, namun akan tetap sulit sampai tersedia pengalaman yang dapat diandalkan dan hukum yang mapan. Selain itu, subjek data dapat menolak kapan saja baik terhadap iklan langsung maupun hasil penilaian perusahaan.
Oleh karena itu, persetujuan dari orang yang bersangkutan akan terus menjadi kriteria persetujuan yang penting. Namun, tetap memiliki risiko permanen untuk dicabut sewaktu-waktu. Selain itu, terdapat persyaratan yang lebih ketat dan spesifikasi baru yang dibuat yang penerapannya masih belum jelas.
1. Mencatat dan mendokumentasikan status quo
Banyak perusahaan tidak memiliki gambaran umum mengenai data pribadi yang mereka gunakan. Langkah pertama yang sering dilakukan adalah menutup kesenjangan pengetahuan ini dan mendokumentasikan wawasan yang diperoleh. Anda bisa memulainya dengan pertanyaan-pertanyaan berikut:
- Proses pemasaran online apa yang saya miliki dalam bisnis saya?
- Manakah dari proses berikut yang memproses data pribadi?
- Dari mana data pribadi ini berasal?
- Kepada siapa informasi pribadi ini akan dibagikan?
- Basis data dan alat apa yang saya gunakan untuk memproses data ini?
2. Pemeriksaan terhadap dasar hukum pemrosesan
Selanjutnya, dasar hukum harus diperjelas untuk setiap proses pemasaran online yang melibatkan pemrosesan data pribadi. Di satu sisi keseimbangan kepentingan yang telah dijelaskan harus dilakukan dan di sisi lain izin-izin yang ada harus dicek. Hal ini juga berlaku untuk izin yang telah diperoleh di masa lalu, yang hanya akan tetap berlaku di masa mendatang jika izin tersebut memenuhi persyaratan GDPR yang lebih ketat. Kedua hasil tes tersebut juga harus didokumentasikan. Jika tidak ditemukan pembenaran, tindakan harus diambil: penyembuhan atau penghapusan.
3. Pemeriksaan atas dasar hukum pemindahan
Jika data pribadi diteruskan ke pihak ketiga – ini biasanya berlaku untuk semua penyedia cloud dan penyedia layanan pemasaran online – kontrak pemrosesan pesanan harus diselesaikan dengan pihak ketiga tersebut. Jika pihak ketiga ini berlokasi di luar UE, diperlukan perlindungan lebih lanjut.
4. Adaptasi naskah hukum
Karena GDPR memberikan transparansi dan kewajiban informasi yang jauh lebih luas terhadap subjek data, saluran informasi yang digunakan untuk tujuan ini – terutama deklarasi perlindungan data dan teks persetujuan – harus disesuaikan. Pasal 12 hingga 14 GDPR memberikan panduan awal yang baik mengenai hal ini. Yang diperlukan misalnya penjelasan tentang keseimbangan kepentingan, konsep penghapusan, atau hak-hak pihak yang terkena dampak.
5. Mempersiapkan permintaan
Menurut GDPR, perusahaan pemrosesan data akan dikenakan tanggung jawab dan kewajiban dokumentasi yang lebih luas di masa depan dibandingkan sebelumnya. Secara khusus, hak-hak mereka yang terkena dampak telah diperkuat dan diperluas. Departemen pemasaran harus mempersiapkan permintaan tersebut dari subjek data. Mereka harus mampu memberikan informasi yang sangat rinci mengenai seluk-beluk pengolahan data dan mampu melaksanakan hak keberatan. Persediaan yang baik membuat segalanya lebih mudah.
Penutup
Banyak hal yang masih belum jelas saat ini dan baru akan menjadi lebih jelas dalam beberapa bulan dan tahun mendatang. Terlepas dari ketidakpastian ini, semua departemen pemasaran harus mematuhi GDPR dan menyesuaikan proses mereka. Semakin Anda bertindak sesuai dengan status undang-undang saat ini, semakin rendah upaya konversinya.
Setiap proyek GDPR pertama-tama harus dimulai dengan inventarisasi yang terperinci dan terdokumentasi dengan baik. Berdasarkan hal ini, kegiatan tindak lanjut yang diperlukan akan dilakukan, khususnya klarifikasi mengenai diterimanya pemasaran online berdasarkan undang-undang perlindungan data.
GDPR tidak menjungkirbalikkan pemasaran online, namun membawa perubahan yang relevan. Beberapa perubahan ini, seperti peningkatan persyaratan dokumentasi dan penguatan hak penerima iklan, mempersulit perusahaan periklanan. Aspek lain – seperti pengakuan umum atas iklan sebagai kepentingan sah untuk pemrosesan data – dapat memberikan keuntungan.
Foto: Hak-hak tertentu dilindungi undang-undang dari Gereja Baru™