Siapa yang terpengaruh oleh GDPR?
EU GDPR tidak hanya berlaku untuk organisasi di Eropa tetapi juga untuk organisasi mana pun yang akan memproses dan menyimpan data pribadi untuk individu di Uni Eropa serta warga negara Uni Eropa yang tinggal di luar negeri. Dengan kata lain, jika Anda berencana untuk memiliki pelanggan dari Eropa, Anda perlu memperhatikan.
Apa yang terjadi jika Anda tidak mematuhi?
GDPR akan mulai diberlakukan pada 25 Mei 2018. Sanksi untuk ketidakpatuhan sangat signifikan.
- Denda dapat dikenakan hingga 4% dari pendapatan global tahunan atau 20 Juta Euro, mana yang lebih besar.
- Individu akan memiliki hak untuk meminta kompensasi atas kerugian, termasuk kehilangan kendali atas data pribadi atau pembatasan hak, diskriminasi, kerugian finansial, kerusakan reputasi, atau kehilangan kerahasiaan data pribadi yang dilindungi oleh rahasia profesional.
- Individu dapat memilih untuk mengajukan tindakan terhadap pengendali data, pemroses, atau keduanya, dan mungkin siapa pun dalam rantai pasokan.
Apa pilihan Anda?
Jika Anda memiliki atau mengoperasikan bisnis ecommerce, pilihan Anda tidak mencukupi. Sebenarnya hanya ada dua pilihan.
Pilihan 1 - Terima (Ide Bagus!)
Seorang teman pernah berkata kepada saya: “jika Anda tidak tahu arah yang Anda tuju, Anda sudah tersesat.” Saya rasa ini terutama benar dengan EU GDPR. Ada banyak hal yang perlu dipelajari dan masih banyak yang perlu dijelaskan. Tetapi mencapai kesiapan EU GDPR dimulai dengan keputusan untuk mematuhi. Taksir situasi Anda dan identifikasi area di mana Anda tidak mematuhi. Anda kemudian dapat menetapkan strategi untuk meminimalkan tanggung jawab Anda.
Pilihan 2 - Jangan jual ke Eropa atau warganya (Ide Buruk!)
Jika Anda tidak ingin mematuhi EU GDPR, kami sangat menyarankan agar Anda tidak merencanakan untuk berbisnis dengan siapa pun dari Eropa. Harap ingat, individu Eropa tersebut dapat tinggal di luar negeri. Membatasi bisnis ecommerce Anda hanya di perbatasan AS tidak menjamin kepatuhan Anda. Risiko ketidakpatuhan sangat signifikan dan dapat digambarkan sebagai “dengan risiko hukuman.” Ketidakpatuhan adalah pilihan, tetapi tidak disarankan.
5 area kunci dari peraturan
Kesiapan EU GDPR melibatkan pemahaman tentang lima area kunci dari peraturan - persetujuan, hak individu, kebijakan, dan akuntabilitas.
1. Kepentingan yang Sah
Pasal 6 dari peraturan GDPR menyatakan bahwa pengumpul data hanya dapat memproses data secara sah jika, antara lain, ia memiliki kepentingan yang sah atau persetujuan. Menentukan apakah Anda memiliki kepentingan yang sah memerlukan “penilaian yang cermat” terhadap harapan dan konteks data yang Anda kumpulkan.
Sangat menggoda untuk menggunakan interpretasi luas dari kepentingan yang sah untuk mengatasi kebutuhan akan persetujuan. Kami tidak mendorong penggunaan pandangan terbuka tentang kepentingan yang sah sebagai cara untuk membenarkan pengumpulan data. GDPR memberikan beberapa contoh seperti memproses data pribadi untuk mencegah penipuan, tujuan administratif internal yang berkaitan dengan karyawan dan klien, memastikan keamanan jaringan, dan melaporkan kemungkinan tindakan kriminal atau ancaman terhadap keamanan publik.
Masih ada area abu-abu seputar kepentingan yang sah dan definisinya akan menjadi lebih jelas seiring waktu. Rekomendasi jangka pendek adalah untuk membiasakan diri bertanya, “bisakah tujuan yang sama dicapai tanpa memproses data pribadi?” Jika jawabannya ya, maka praktik terbaik adalah menjauh dari kepentingan yang sah sebagai dasar untuk memproses data; Anda harus mendapatkan persetujuan.
2. Persetujuan
Tidak ada lagi persetujuan pasif. Anda perlu menyatakan untuk apa Anda akan menggunakan data tersebut. Berikut adalah dua contoh cara meminta persetujuan.
3. Hak Individu
Di bawah GDPR, individu memiliki hak untuk dilupakan. Misalnya, jika mereka menyetujui penggunaan data untuk tujuan pemasaran, mereka memiliki hak untuk meminta Anda untuk “melupakan mereka”. Hak baru telah diperkenalkan seputar akses subjek, menolak pemrosesan, portabilitas data, dan menolak profil, di antara lainnya.
4. Kebijakan
Pasal 13 dari peraturan memberikan 12 area kunci yang perlu Anda informasikan kepada konsumen Anda dalam clear bahasa, bukan bahasa hukum. Kembangkan kebijakan privasi standar yang memberi tahu pelanggan Anda bagaimana Anda mengelola data mereka.
Diperlukan untuk memiliki orang kontak yang ditunjuk serta informasi kontak untuk organisasi Anda dalam kebijakan privasi.
5. Akuntabilitas
Didik karyawan Anda dan sediakan alat untuk membantu mendorong akuntabilitas di seluruh perusahaan Anda, tidak hanya untuk peraturan ini, tetapi untuk semua data pribadi yang Anda terima. Perlindungan data adalah tanggung jawab seluruh organisasi. Siapa pun yang berhubungan dengan data perlu menyadari implikasi dan sanksi ketidakpatuhan.
Zonos, pemimpin dalam teknologi ecommerce lintas batas, akan terus memimpin dan membimbing pedagang melalui tantangan menjual produk mereka ke seluruh dunia. Kami akan terus menyediakan FAQ dan contoh dokumen yang menampilkan kebijakan dan proses privasi internal yang dapat Anda adopsi. Kami akan membagikan dokumen pelatihan internal untuk Anda gunakan dengan tim Anda. Zonos menganggap serius privasi data dan berkomitmen untuk kesiapan EU GDPR. Detail lebih lanjut akan datang secara berkala.
Mengapa Anda harus peduli tentang GDPR?
Di mana pun Anda melihat di ecommerce, Anda akan melihat seseorang membahas EU GDPR atau Peraturan Perlindungan Data Umum Uni Eropa. Ada berbagai informasi, dari artikel teknis hingga spekulasi di media sosial. Kita semua ingin tahu bagaimana hal itu akan mempengaruhi kita. Perubahan apa, jika ada, yang perlu saya lakukan? Apa artinya sebenarnya?
Dalam artikel ini, kita akan melihat sekilas tentang EU GDPR - apa itu, bagaimana kita bisa mempersiapkan, dan bagaimana hal itu mungkin berdampak pada bisnis online.