Peraturan Perlindungan Data Umum (GDPR) Uni Eropa akan mulai berlaku pada tanggal 25 Mei 2018 – dan industri periklanan digital baru saja mulai bangkit.

Namun kesalahpahaman mengenai peraturan ini masih banyak terjadi. Meskipun banyak pekerjaan yang harus dilakukan perusahaan untuk mempersiapkan dan mematuhi GDPR, masih banyak perusahaan yang masih ragu-ragu.

“Saya telah mendengar banyak hal selama enam bulan terakhir yang membuat saya ingin menampar dahi saya,” kata Todd Ruback, kepala petugas privasi di Evidon, penyedia solusi tata kelola data dilansir dari adexchanger.com.

Seiring berjalannya waktu, berikut adalah panduan singkat dan kotor tentang peraturan privasi Eropa yang paling penting dikutip dari adexchanger.com. Ada banyak hal yang harus dilakukan.

Panduan Pemasar Iklan Untuk GDPR

 

Apa itu GDPR?

GDPR diadopsi pada bulan April 2016 oleh Parlemen Eropa dan Dewan Eropa setelah lebih dari empat tahun melakukan negosiasi untuk memberikan warga negara UE kontrol lebih besar atas data pribadi mereka dan menjadikan perusahaan yang mengumpulkan, memproses, dan menyimpan data pribadi jauh lebih bertanggung jawab, terutama atas pelanggaran data. .

Mulai bulan Mei, perusahaan tidak lagi diizinkan untuk mengumpulkan atau memproses data konsumen warga negara Eropa tanpa mengidentifikasi dasar hukum mereka untuk melakukan hal tersebut, seperti, misalnya, mendapatkan persetujuan yang diberikan secara bebas dan “tidak ambigu”. Perusahaan juga akan dilarang menggunakan data yang dikumpulkan sebelumnya jika tidak disertai dengan pemberitahuan dan tindakan persetujuan yang sesuai.

Peraturan ini muncul sebagai cara untuk menyelaraskan dan memodernisasi undang-undang perlindungan privasi di 28 negara anggota UE dan Wilayah Ekonomi Eropa. GDPR menggantikan Petunjuk Perlindungan Data, yang diresmikan pada tahun 1995. Sebelumnya, berdasarkan Petunjuk tahun 1995, setiap negara anggota menetapkan aturan perlindungan datanya sendiri, yang menciptakan lingkungan peraturan yang tidak konsisten dan kesulitan dalam hal kepatuhan bagi perusahaan yang mencoba melakukan bisnis di UE.

Sebagian besar hal yang terkandung dalam GDPR sebenarnya bukanlah hal baru dan merupakan gagasan yang sudah ada dalam Petunjuk Perlindungan Data. Namun GDPR memang memperkenalkan beberapa konsep baru, termasuk denda besar jika tidak mematuhi dan meningkatkan hak bagi subjek data, yang merupakan masalah besar bagi perusahaan mana pun yang menjalankan bisnis di UE atau perusahaan mana pun yang menyimpan data pribadi warga negara UE dalam databasenya.

 

Apa yang Baru di GDPR?

Data Pribadi

Perlakukan data identitas pribadi seperti kryptonite berdasarkan GDPR.

Rezim privasi sebelumnya mendefinisikan data pribadi sebagai nama, gambar, alamat email, nomor telepon, alamat fisik atau nomor ID pribadi, seperti nomor rekening bank atau nomor jaminan sosial.

Namun GDPR memperluas definisinya dengan memasukkan data yang “teridentifikasi” dan “dapat diidentifikasi”. Artinya, data pribadi kini merupakan informasi apa pun yang dapat digunakan untuk mengidentifikasi seseorang, termasuk data lokasi, ID perangkat seluler, dan, dalam beberapa kasus, alamat IP. (Data biometrik dan genetik dianggap sebagai “data pribadi sensitif.”)

Data pseudonim, yaitu data pribadi yang telah di-hash, dienkripsi, atau dianonimkan dengan cara tertentu menggunakan metode teknologi, merupakan potensi pelanggaran kepatuhan. Data yang dapat diidentifikasi ulang dengan upaya yang wajar dengan menggabungkannya dengan titik data tambahan juga dianggap sebagai data pribadi.

Hak Individu

Petunjuk Perlindungan Data sebelumnya telah memberikan hak kepada warga negara UE untuk meminta perusahaan menghapus data mereka jika data tersebut diproses secara tidak sah atau tidak lagi diperlukan untuk tujuan aslinya.

GDPR memperluas hak penghapusan, yang juga dikenal sebagai hak untuk dilupakan, dengan mengharuskan pengontrol data mengambil langkah-langkah yang wajar untuk memastikan bahwa data juga dihapus oleh pihak ketiga mana pun yang membagikannya.

Subjek data juga berhak atas portabilitas data antar platform online; hak untuk tidak dikenakan pemrosesan data otomatis, seperti pembuatan profil; dan hak untuk mendapatkan salinan data pribadi mereka yang telah diproses secara gratis dan dalam bentuk elektronik berdasarkan permintaan, termasuk di mana data tersebut digunakan dan untuk tujuan apa.

Persyaratan Pencatatan

Pengendali data dan subkontraktor harus menyimpan catatan tertulis tentang aktivitas pemrosesan data mereka, termasuk alasan mereka memproses data dan berapa lama mereka berencana menyimpannya. Informasi ini harus tersedia bagi otoritas perlindungan data berdasarkan permintaan.

Prinsip Akuntabilitas

Meskipun GDPR tidak membahas akuntabilitas secara rinci, pengontrol data harus mendokumentasikan dengan jelas semua tindakan yang mereka ambil untuk mematuhinya. GDPR menyebutnya sebagai “perlindungan data berdasarkan desain dan default.” Jika regulator meminta bukti kepatuhan, perusahaan harus bisa dengan mudah menyediakannya.

Petugas Perlindungan Data (DPO)

Organisasi yang aktivitas intinya melibatkan pemantauan atau pemrosesan data orang secara sistematis dalam skala besar – seperti rumah sakit, perusahaan asuransi, dan bank – harus menunjuk DPO. Seberapa luas penafsiran “pemantauan atau pemrosesan sistematis” berdasarkan undang-undang tersebut masih menjadi pertanyaan terbuka.

DPO dimaksudkan untuk membantu perusahaan mematuhi GDPR, melapor langsung ke C-suite namun tetap otonom sepenuhnya. Beberapa orang dalam industri periklanan percaya bahwa memiliki DPO juga merupakan bentuk itikad baik yang dapat menjauhkan regulator.

Denda yang Lebih Besar

Pelanggaran GDPR akan dikenakan denda yang signifikan hingga 20 juta euro atau setara dengan 340 Milyar Rupiah atau 4% dari omset tahunan global pada tahun sebelumnya, mana saja yang lebih besar – per pelanggaran.

Otoritas pengawas dapat mempertimbangkan faktor-faktor yang meringankan ketika menetapkan denda. Perusahaan yang berupaya untuk mematuhi dan melaporkan setiap pelanggaran sesegera mungkin kemungkinan besar akan menerima hukuman yang lebih ringan dibandingkan pelanggaran yang disengaja.

Terlepas dari itu, kemungkinan besarnya denda ini dapat berarti tirai bagi perusahaan-perusahaan kecil, dan “tidak ada ironi kecil dalam hal ini,” kata Ruback.

“Entah mereka akan gulung tikar, atau mereka akan tertelan,” katanya. “Pada akhirnya kita akan memiliki ekosistem yang lebih bersih namun persaingannya juga lebih sedikit. Facebook dan Google, yang berada di bawah pengawasan ketat Komisi Eropa, sebenarnya bisa saja menang secara tidak sengaja .”

 

Pengontrol Data vs Pemroses Data

GDPR menetapkan aturan berbeda untuk pengontrol data dan pemroses data.

Pengontrol data menentukan mengapa dan bagaimana data pribadi dapat diproses, dan diwajibkan untuk menetapkan dasar hukum untuk memproses data. Undang-undang menyatakan bahwa pemroses data “memproses data pribadi atas nama pengontrol.”

Pemroses harus melakukan pemrosesan secara sah dan bertanggung jawab, dan pengontrol harus memastikan bahwa pemrosesnya melakukan pekerjaan dengan benar.

Meskipun aturan yang mengatur pengontrol lebih ketat, baik pengontrol maupun pemroses tunduk pada GDPR. Berbeda dengan rezim privasi sebelumnya, pemroses tunduk pada tindakan penegakan hukum dan dapat dikenakan denda besar jika mereka tidak mematuhinya.

Namun, masih belum jelas apakah perusahaan teknologi iklan akan dianggap sebagai pengendali atau pemroses. Saat para pemain teknologi periklanan mulai mengumpulkan wawasan dari data untuk memberi manfaat bagi klien lain, bahkan secara keseluruhan, mereka mungkin sudah melewati batas dan masuk ke dalam wilayah pengontrol dan beban kepatuhan bisa menjadi lebih berat.

 

Alasan yang Sah

Perusahaan dapat memproses data jika mempunyai dasar hukum untuk melakukannya. Perusahaan asuransi, misalnya, harus mengolah data pelanggan untuk menjalankan ketentuan kontrak. Bank harus memproses data untuk mematuhi hukum.

Namun ada dua dasar hukum yang harus diketahui pemasar: kepentingan dan persetujuan yang sah.

Kepentingan Sah

Perusahaan yang dapat menunjukkan “kepentingan yang sah” dalam kasus tertentu dapat memproses data pribadi secara sah tanpa persetujuan: jika data tersebut dikumpulkan secara sah, jika terdapat alasan yang dapat dibenarkan untuk penggunaannya, dan jika pemrosesan dilakukan secara bertanggung jawab.

Penetapan kepentingan yang sah mengharuskan pengontrol data untuk melakukan latihan yang disebut “uji penyeimbangan,” yang mana hal ini mempertimbangkan kepentingannya sendiri terhadap hak-hak subjek data, termasuk ekspektasi wajar individu tentang bagaimana datanya diproses dan apakah pengontrol memiliki perlindungan yang tepat.

Contoh kepentingan yang sah mencakup pencegahan kejahatan, deteksi penipuan, keamanan siber, melakukan pemeriksaan latar belakang karyawan, dan sejenisnya. “Pemasaran langsung” juga secara khusus disebutkan dalam GDPR sebagai penggunaan data pribadi yang sah, namun dengan peringatan tertentu.

Komunikasi yang dipersonalisasi, periklanan bertarget, analisis agregat untuk membuat laporan tren dan melacak kinerja iklan, pelacakan pasca-klik, dan pengukuran pemirsa semuanya berpotensi baik-baik saja berdasarkan GDPR, selama pengontrol memastikan bahwa pengguna dapat dengan mudah memilih untuk tidak ikut serta kapan saja.

Yang masih belum jelas adalah apakah perusahaan yang terlibat dalam periklanan perilaku online dan periklanan terprogram dapat mengklaim kepentingan yang sah. Kemungkinannya kecil, kata Johnny Ryan, kepala ekosistem di PageFair.

“Beberapa perusahaan teknologi periklanan tampaknya telah meyakinkan diri mereka sendiri bahwa mereka dilindungi oleh kepentingan yang sah, namun Anda tidak dapat menggunakan kepentingan yang sah untuk membenarkan semua hal gila yang terjadi di RTB,” katanya. “Siapa pun yang mengetahui apa yang mereka bicarakan akan mengakui hal itu, setidaknya secara pribadi.”

Izin

Persetujuan selalu menjadi landasan undang-undang privasi Eropa, namun GDPR meningkatkan standar tersebut secara signifikan.

Pengendali data – pihak yang memutuskan bagaimana data pribadi digunakan – harus mendapatkan persetujuan yang “jelas” untuk setiap tujuan penggunaan data tersebut. Dengan kata lain, perusahaan tidak bisa mendapatkan persetujuan untuk melakukan satu hal dan kemudian berbalik dan menggunakan data tersebut untuk hal lain.

Persetujuan harus diberikan secara bebas dan spesifik.

Model penyisihan (alias kotak yang sudah dicentang sebelumnya) tidak akan terbang. Begitu juga dengan model informed consent, yaitu ketika situs memuat cookie pelacakan pada saat yang sama dengan halaman dimuat bersama dengan pemberitahuan singkat, biasanya dalam bentuk pop-up, memperingatkan pengunjung bahwa situs tersebut menggunakan cookie. Halaman penghalang, tempat konten diblokir hingga pengguna setuju untuk mengaktifkan pelacakan, juga tidak akan berfungsi.

Intinya adalah bahwa tindakan konsumen harus bersifat afirmatif dan terinformasi. Otoritas perlindungan data di Inggris, Perancis, dan Jerman semuanya sepakat bahwa konsumen dapat memberikan sinyal persetujuan terhadap pemrosesan dengan mencentang kotak di situs web, namun hanya jika mereka telah menerima pemberitahuan yang jelas dan bahasa yang lugas sebelumnya.

Vendor teknologi iklan dan martech umumnya tidak memiliki hubungan langsung dengan konsumen, sehingga mendapatkan persetujuan untuk pelacakan atau pengumpulan data adalah hal yang sulit. Kemungkinan besar mereka harus bergantung pada entitas yang berhubungan dengan konsumen seperti penerbit dan pemasar untuk mendapatkan persetujuan atas nama mereka.

Evidon mengambil pendekatan berbeda melalui platform persetujuan universal untuk kepatuhan GDPR yang mengklaim memberikan konsumen kemampuan untuk ikut serta dalam pengumpulan data, mendapatkan visibilitas tentang apa yang dikumpulkan, dan memodifikasi apa yang dilacak.

Namun tidak semua orang yakin bahwa perantara dapat berkembang dengan baik di bawah GDPR.

“Ekosistem pihak ketiga tidak akan bertahan di dunia GDPR,” kata Mike Anderson, CTO dan pendiri Tealium. “GDPR adalah tentang hubungan pihak pertama.”

 

Siapa yang Bertanggung Jawab Saat Ada Masalah?

Pemasar dan penerbit berpotensi bertanggung jawab atas kesalahan yang dibuat oleh pihak ketiga, yang berarti mereka akan menjadi lebih pemilih dalam memilih dengan siapa mereka bekerja. Oleh karena itu, GDPR meningkatkan pentingnya uji tuntas dan manajemen vendor.

Dan persetujuan bukanlah solusi terbaik untuk kepatuhan GDPR. Setelah memperolehnya, “Anda harus memastikan bahwa tidak seorang pun dalam rantai yang mungkin mendapatkan data yang Anda bagikan akan menyalahgunakannya dan membuat Anda terkena bahaya hukum,” kata Ryan.

Namun harapan abadi muncul di kalangan pemasar dan perusahaan teknologi periklanan yang sebagian besar tampaknya tidak peduli dengan masalah akuntabilitas.

“Faktanya adalah: Jika terjadi kesalahan, mereka semua akan mendapat masalah,” kata Melissa Parrish, Wakil Presiden dan Direktur Penelitian di Forrester. “Tidak ada ketentuan untuk melewatkan tanggung jawab.”

 

Inkonsistensi Dengan e-Privasi

Meskipun GDPR menjadi berita utama, ePrivasi, alias Petunjuk Cookie, berpotensi lebih berdampak bagi pemasar. Secara garis besar, GDPR berkaitan dengan penanganan data pribadi, dan ePrivasi mencakup privasi yang berkaitan dengan komunikasi elektronik.

Jika Anda mengunjungi situs web Eropa dan melihat spanduk pop-up yang memperingatkan Anda bahwa “dengan mengunjungi situs ini, Anda menerima penggunaan cookie,” maka Anda telah merasakan penerapan ePrivasi.

Hal ini sudah menjadi norma sejak tahun 2002, ketika arahan tersebut disahkan. Namun segera pemberitahuan cookie dasar tidak akan berhasil.

Regulator Eropa memperbarui ePrivasi agar lebih konsisten dengan GDPR dan menyederhanakan kepatuhan cookie, yang telah mengakibatkan banyaknya permintaan izin. Regulator berharap dapat menyelesaikan ePrivasi dan menerapkannya pada bulan Mei, bertepatan dengan peluncuran resmi GDPR.

Namun, jika ePrivasi dan GDPR menyertakan undang-undang untuk menangani situasi yang sama, maka aturan ePrivasi akan berlaku. Dan di sinilah letak permasalahannya: Draf ePrivasi yang saat ini sedang ditinjau tidak menyertakan kepentingan sah sebagai dasar hukum untuk pemrosesan, sehingga persetujuan akan menjadi satu-satunya dasar hukum bagi pemasar untuk memproses data pada bulan Mei mendatang. (Pelaksanaan suatu kontrak mungkin dapat berfungsi sebagai dasar hukum dalam situasi tertentu.)

Kecil kemungkinan peraturan ePrivasi yang diperbarui akan disetujui pada bulan Mei – butuh waktu empat tahun untuk meloloskan GDPR, dan rancangan ePrivasi baru ditinjau sejak bulan Januari – dan hal ini menciptakan ketidakpastian.

“Saat ini, ePrivasi tidak selaras dengan GDPR, jadi ada kesenjangan,” kata Sheila Colclasure, kepala petugas privasi global Acxiom. “Kita perlu memastikan bahwa Undang-Undang Cookie memungkinkan adanya kepentingan yang sah dan tidak mengganggu inovasi, namun masih ada area abu-abu dalam hal bagaimana ePrivasi akan berfungsi dan bagaimana Eropa akan beroperasi berdasarkan Petunjuk ePrivasi jika Peraturan ePrivasi tidak tidak akan berlaku ketika GDPR mulai berlaku.”

Apa pun yang terjadi, jika peraturan ePrivasi tidak menyertakan kepentingan yang sah, “itu adalah berita buruk bagi perusahaan teknologi iklan,” kata Omer Tene, Wakil Presiden penelitian dan pendidikan di Asosiasi Internasional Profesional Privasi.

“Kecuali ada revisi kepentingan yang sah di dalamnya, sulit untuk melihat bagaimana pemain teknologi iklan dapat mematuhi peraturan ePrivasi,” kata Tene. “Ini adalah sesuatu yang sangat penting untuk diperhatikan oleh perantara periklanan.”

Terutama mengingat potensi hukuman bagi ketidakpatuhan. Denda yang tercantum dalam rancangan undang-undang ePrivasi hampir sama dengan denda yang ada dalam GDPR: hingga 20 juta euro atau 4% dari omzet tahunan global.

 

Kesalahpahaman GDPR

Di bagian atas daftar gagasan GDPR yang salah arah: Perusahaan yang tidak berada di Eropa tidak perlu khawatir tentang GDPR.

Tidak benar. GDPR memiliki yurisdiksi atas data pribadi warga negara UE, di mana pun data tersebut diproses.

“GDPR mungkin lahir di UE, tapi ini berlaku untuk perusahaan mana pun di dunia yang menargetkan layanannya untuk audiens Eropa, yang mengumpulkan data pribadi dengan cara yang berarti, atau yang secara rutin memantau informasi tentang orang Eropa,” kata Tene. “Ini adalah perubahan besar dibandingkan rezim sebelumnya, di mana Anda harus hadir di lapangan agar tunduk pada arahan perlindungan data.”

Terlepas dari itu, banyak perusahaan teknologi periklanan dan martech berukuran kecil dan menengah tampaknya mengambil pendekatan menunggu dan melihat terhadap GDPR – dan ini bukanlah langkah yang cerdas, kata Ruback dari Evidon.

“Mereka tidak bersikap proaktif, dan itu adalah strategi bisnis yang buruk, terutama ketika penerbit dan merek sudah melakukan pembicaraan dengan rantai pasokan digital mereka dan mengubah perjanjian mereka untuk memberikan ganti rugi jika mereka dikenakan sanksi karena pelanggaran pihak ketiga,” kata Ruback.

Namun perusahaan-perusahaan mulai mendapatkan petunjuknya. Menurut laporan tata kelola tahunan bersama yang dirilis oleh Asosiasi Internasional Profesional Privasi dan Ernst & Young pada bulan Oktober, 95% responden – 75% di antaranya berada di luar UE – percaya bahwa GDPR berlaku untuk mereka, dan 50% responden AS perusahaan mengatakan kepatuhan GDPR mendorong program privasi mereka.

 

Perlindungan Privasi

Privacy Shield adalah perjanjian transfer data UE-AS yang menggantikan Safe Harbor. Perjanjian ini lulus tinjauan tahunan pertamanya pada pertengahan bulan Oktober, yang berarti para pejabat Eropa yakin bahwa perjanjian ini memberikan tingkat perlindungan data lintas batas yang memadai. Melakukan sertifikasi mandiri berdasarkan Perlindungan Privasi sebelum Mei 2018 adalah salah satu cara bagi perusahaan AS untuk memastikan bahwa mereka memiliki mekanisme yang valid untuk mentransfer data pribadi antara UE dan AS.

Dengan cara yang sama, Perlindungan Privasi hanya berlaku untuk transfer data internasional dan tidak menjamin kepatuhan terhadap prinsip utama GDPR lainnya, termasuk mendapatkan persetujuan, melakukan penilaian dampak privasi, menunjuk petugas perlindungan data, dan ketentuan lainnya.

 

Daftar Periksa

GDPR merupakan undang-undang yang sangat luas dengan 99 pasal yang padat, dan tidak ada daftar sederhana mengenai hal-hal yang harus dilakukan untuk memastikan kepatuhan. Yang terbaik adalah menangani hal-hal yang lebih mudah terlebih dahulu sebelum mengambil aspek yang paling sulit.

“Yang dibutuhkan regulator hanyalah browser, laptop, dan daftar situs web untuk melihat siapa yang transparan,” kata Ruback. “Apakah Anda memiliki cara yang mudah dan berpusat pada konsumen untuk mengomunikasikan praktik data Anda dan memberi individu kendali atas data pribadi mereka? Hal ini merupakan keputusan yang mudah diambil oleh para regulator dan merupakan sesuatu yang kemungkinan besar akan mereka terapkan sebelum mereka mulai menyelidiki proses internal perusahaan dan menghormati hal-hal seperti hak untuk dilupakan.”

Tentukan apakah perusahaan Anda adalah pengontrol atau pemroses.

Perbedaan ini akan berdampak pada cara Anda melakukan pendekatan terhadap kepatuhan.

Lakukan penilaian dampak perlindungan data (DPIA)

Jalankan analisis risiko proses data Anda. Langkah pertama adalah memetakan aliran data Anda dan mendapatkan pemahaman yang jelas tentang dari mana Anda mengumpulkan data, dengan siapa Anda membagikannya, apakah ada potensi kebocoran data, dan bagaimana Anda menjaga, menyimpan, dan melindungi data ketika Anda memilikinya. dia. DPIA membantu perusahaan mengetahui apakah mereka mematuhi GDPR dan/atau berapa banyak pekerjaan yang masih harus mereka lakukan untuk mencapainya.

Lihatlah kontrak Anda

Tinjau rantai pasokan Anda untuk menentukan apakah perjanjian Anda dengan mitra sudah diperbarui dan sertakan klausul terkait GDPR – misalnya, apa yang harus dilakukan jika terjadi pelanggaran atau tindakan penegakan hukum. Ini bisa menjadi bagian dari proses DPIA.

Apakah Anda memerlukan DPO?

Wajib tidaknya suatu perusahaan menunjuk petugas perlindungan data bergantung pada cakupan dan skala pelacakan subjek data. Undang-undang tersebut menyatakan “pemantauan teratur dan sistematis … dalam skala besar.” Namun memiliki DPO selalu lebih baik daripada tidak memilikinya.

Dokumentasi

Pengendali diwajibkan untuk mendokumentasikan bahwa pemrosesan data yang dilakukan atas nama mereka telah memenuhi standar GDPR, termasuk pembuatan kebijakan internal mengenai keikutsertaan, penyimpanan dan pengelolaan data. Jika Otoritas Perlindungan Data datang, Anda memerlukan bukti tertulis tentang prosedur Anda.

 

Sumber: