Panduan MarTech untuk GDPR: Peraturan Perlindungan Data Umum

Ketika Uni Eropa mengadopsi Peraturan Perlindungan Data Umum pada tahun 2018, undang-undang tersebut digembar-gemborkan sebagai pengubah permainan privasi yang akan mengantarkan era baru persetujuan seputar pengumpulan data online dan menempatkan hak untuk melindungi informasi pribadi langsung di tangan individu.

Itu juga dimaksudkan untuk membakukan undang-undang privasi di seluruh negara anggota UE. GDPR akan menghilangkan kebutuhan masing-masing negara untuk menulis peraturan mereka sendiri — serta mewajibkan perusahaan mana pun, di mana pun lokasinya, yang memasarkan barang atau jasa kepada penduduk UE untuk mematuhi undang-undang tersebut.

Tetapi lima tahun kemudian, penegakan menantang undang-undang daerah aliran sungai, dengan keluhan yang diajukan pada hari GDPR melanda - menuduh bahwa Facebook, Instagram, WhatsApp, dan Google memaksa pengguna untuk memberikan informasi pribadi tanpa persetujuan yang tepat - masih berjalan melalui pengadilan sistem.

Sementara itu, teknologi terus berkembang dengan kecepatan yang tidak dapat diimbangi oleh sistem hukum glasial (artikel tentang kepatuhan GDPR dan alat AI seperti ChatGPT ini membantu menggambarkan tantangan di masa depan).

Putusnya hubungan ini, bersama dengan gemuruh tentang lemahnya penegakan hukum, terutama di negara-negara di mana vendor teknologi besar berkantor pusat, hanyalah beberapa alasan mengapa regulator UE sekarang ingin menyempurnakan cara pengelolaan GDPR.

Bagian ini akan melihat lebih dekat pada perubahan prosedural tersebut – serta peraturan privasi data lainnya di hopper, membahas beberapa denda terbesar undang-undang hingga saat ini, dan memeriksa apa yang perlu diketahui pemasar saat kita memasuki paruh kedua tahun 2023 .

Perubahan prosedural di cakrawala

Awal tahun ini, Komisi Eropa mengumumkan akan berupaya merampingkan cara otoritas perlindungan data di seluruh UE bekerja sama saat menegakkan GDPR dalam kasus lintas batas. “Ini akan mendukung kelancaran fungsi kerja sama GDPR dan mekanisme penyelesaian sengketa,” kata Komisi. Inisiatif — disebut Aturan Penegakan Prosedural — bertujuan untuk mengatasi sejumlah masalah, mulai dari cara penanganan keluhan GDPR hingga durasi proses itu sendiri. Dan ketika konsensus tidak dapat dicapai, aturan penegakan yang diusulkan akan “mengklarifikasi” aspek prosedural penyelesaian sengketa.

Para kritikus mengatakan aturan penegakan hukum yang baru tidak spesifik, tetapi dengan hampir 800 kasus tertunda di bawah GDPR, reformasi prosedur sangat penting. Seperti yang dikatakan oleh NOYB, atau Pusat Hak Digital Eropa, sebuah organisasi nirlaba yang berbasis di Wina, Austria, GDPR hanya ditegakkan dalam teori, dengan perusahaan teknologi menemukan cara untuk menghentikan proses, keputusan banding, dan menghindari denda. (“NOYB” adalah kependekan dari “bukan urusan Anda.”)

Pengaruh GDPR di Amerika Serikat

Di AS, undang-undang privasi data yang baru atau yang diubah ada di buku-buku di Virginia, California, Colorado, Connecticut, dan Utah, dengan tanggal penegakan mulai dari 1 Januari tahun ini (Virginia) hingga 31 Desember (Utah), dengan California, Colorado , dan Connecticut efektif mulai 1 Juli (di California, California Privacy Rights Act (CPRA) mengamandemen California Consumer Privacy Act (CCPA)).

Selain itu, sembilan negara bagian lain telah mengusulkan undang-undang yang masih tertunda, tetapi pemasar harus mengantisipasi pemberlakuan pada akhirnya.

Undang-undang ini penting dalam konteks saat ini karena — dengan pengecualian California — semuanya “menyesuaikan terminologi” dari GDPR, namun berbeda dalam cara penegakannya, dengan jaksa wilayah, jaksa agung, dan, dalam kasus California, California Badan Perlindungan Privasi, semuanya dalam campuran penegakan hukum.

Bagi pemasar, manajemen cookie akan menjadi sangat penting karena merek/situs web terus memahami bagaimana hak konsumen seputar data sensitif dilindungi berdasarkan undang-undang negara bagian.

Di tingkat federal, ada upaya bipartisan untuk menetapkan undang-undang privasi baru — disebut Undang-Undang Privasi dan Perlindungan Data Amerika (ADPPA) — yang akan menciptakan standar nasional seputar hak individu. Dan pada tanggal 1 Maret, House Committee on Energy and Commerce mengadakan dengar pendapat tentang usulan undang-undang tersebut.

Meskipun tidak ada pemungutan suara, kelompok privasi dan pemangku kepentingan lainnya mencatat bahwa keinginan untuk undang-undang privasi federal ada dan pada akhirnya dapat menghasilkan tindakan.

Gali lebih dalam: Hanya 11% bisnis AS yang sepenuhnya mematuhi CCPA hukum privasi

GDPR memberikan denda yang besar

Kembali ke Eropa, mengesampingkan masalah penegakan GDPR, beberapa keluhan mengakibatkan denda besar, dikenakan terhadap perusahaan seperti Meta, Amazon, dan Google.

Tahun dimulai dengan denda $413 juta terhadap Meta atas pelanggaran GDPR oleh Facebook dan Instagram. Disampaikan oleh Komisi Perlindungan Data Irlandia (DPC), yang, kebetulan, telah menghadapi banyak kritik atas caranya menangani keluhan GDPR, tindakan badan tersebut menegaskan keputusan Dewan Perlindungan Data Eropa yang mengatakan bahwa "kebutuhan kontraktual" bukanlah alasan yang tepat untuk menjalankan iklan perilaku. (Iklan perilaku mengacu pada iklan online atau pesan pemasaran yang disampaikan kepada konsumen berdasarkan riwayat pencarian mereka).

Selama bertahun-tahun, Meta telah menggabungkan perjanjian persetujuan penggunanya ke dalam persyaratan layanan kontrak aplikasinya, yang secara efektif memaksa pengguna untuk menyetujui pengambilan data jika mereka ingin menggunakan platform tersebut.

Denda awal Januari Meta datang setelah tahun 2022 yang sangat mahal bagi perusahaan, yang melihat denda dibagikan lebih dari $ 800 juta. Juga diberitahukan bahwa mereka memiliki waktu tiga bulan untuk mengambil langkah-langkah untuk meminta izin kepada pengguna untuk menjalankan iklan perilaku; pada akhir Maret, Wall Street Journal melaporkan bahwa Meta akan mengizinkan pengguna di Eropa untuk memilih keluar dari iklan bertarget. Tetapi perusahaan tidak membuatnya mudah, mengharuskan pengguna untuk mengirimkan formulir online yang menyatakan keberatan mereka.

Bersamaan dengan denda Meta, sanksi GDPR penting lainnya termasuk:

• $785 juta melawan Amazon, diputuskan pada Juli 2021 oleh otoritas data Luksemburg. Keputusan ini — hingga saat ini merupakan hukuman terbesar berdasarkan GDPR, dan yang berpusat pada cara perusahaan memproses data pribadi — saat ini sedang dalam proses banding.
• $237 juta terhadap WhatsApp (layanan perpesanan milik Meta), diputuskan pada September 2021 oleh DPC yang menandakan puncak dari penyelidikan selama tiga tahun tentang bagaimana aplikasi tersebut membagikan data pengguna dengan Facebook.
• $52 juta terhadap raksasa pencarian Google, denda awal GDPR (Januari 2019) yang kemudian ditegakkan di pengadilan Prancis. Komisi Perlindungan Data Nasional negara tersebut memutuskan bahwa Google tidak mematuhi pedoman transparansi data GDPR dan bahwa perusahaan tidak cukup menjelaskan bagaimana data pengguna dikumpulkan dan digunakan untuk iklan bertarget.

Apa yang perlu diketahui pemasar

Dua kata harus menjadi prioritas utama setiap pemasar dalam hal GDPR: kepatuhan dan persetujuan. Kepatuhan, tentu saja, mengacu pada kebutuhan perusahaan dengan segala jenis kehadiran web yang memasarkan ke pelanggan di UE untuk memahami peraturan, tetap mengikuti perubahan saat terjadi, dan dapat bereaksi dengan cepat saat masalah muncul.

Tentu saja, bersinggungan dengan itu adalah kebutuhan pemasar untuk memahami jenis data yang dikumpulkan perusahaan mereka, dan, yang lebih penting, bagaimana data tersebut diproses, disimpan, dan jenis informasi pribadi sensitif apa yang dikandungnya. Kepatuhan juga bergantung pada pengumpulan data yang diperlukan saja.

Top of mind bagi pemasar harus menjadi kata kunci lainnya: persetujuan. Secara umum, perusahaan cenderung tetap mematuhi GDPR ketika mereka mendapatkan izin yang tepat untuk mengumpulkan atau menggunakan informasi pribadi pengguna. Ini mungkin terdengar jelas, tetapi GDPR memiliki definisi khusus untuk persetujuan, yaitu "setiap indikasi yang diberikan secara bebas, spesifik, terinformasi, dan tidak ambigu" bahwa subjek setuju untuk mengizinkan situs web mengumpulkan dan memproses data pribadi mereka.

Tidak mengherankan, pemasar memiliki peran besar untuk dimainkan, tidak hanya dalam memahami, tetapi juga dalam memungkinkan kepatuhan terhadap GDPR serta peraturan dan regulasi yang berbasis di AS yang telah dipengaruhinya. Sementara lanskap peraturan terus berkembang, begitu pula keinginan konsumen untuk menjaga privasi mereka.

Dalam lima tahun sejak pembukuannya, GDPR telah membuktikan bahwa melindungi data adalah tanggung jawab perusahaan. Perusahaan yang menangani data dengan hati-hati dan menunjukkan kepada pengguna bahwa kekhawatiran mereka terhadap privasi online itu valid akan memiliki keunggulan dibandingkan pesaing mereka yang kurang hati-hati.

Gali lebih dalam: Bangun memercayai , mendapatkan penjualan