Apa makna GDPR bagi bisnis saya?
Apakah yang dimaksud dengan GDPR?
GDPR (General Data Protection Regulation atau Peraturan Perlindungan Data Umum) adalah undang-undang UE (Uni Eropa) yang fokus pada perlindungan dan privasi data untuk semua warga negara dan penduduk UE. GDPR mengatur cara perusahaan, termasuk GoDaddy, memproses data pribadi tentang perorangan di UE. GDPR berlaku sejak 25 Mei 2018. Untuk keterangan lebih rinci tentang GDPR dan kepatuhan GoDaddy terhadap GDPR, lihat informasi Pusat Privasi Kami.
GoDaddy bukan firma hukum
Kami harap dokumen ini akan memberikan ikhtisar tentang GDPR dan maknanya bagi Anda, namun GoDaddy tidak bertugas untuk menyediakan saran hukum dan dokumen ini bukan panduan menyeluruh tentang GDPR. Setiap situasi bisnis berbeda dan GDPR adalah undang-undang yang sangat rumit. Untuk pertanyaan spesifik seputar operasional bisnis Anda dan pengaruh akibat GDPR (serta undang-undang privasi lainnya yang berlaku), sebaiknya hubungi pengacara.
Kami bukan pakar tentang bisnis Anda
Kami sangat ingin dapat memberi Anda saran yang jelas tentang cara menangani kepatuhan terhadap GDPR, namun untuk semua maksud dan tujuannya tidak memungkinkan. Setiap bisnis dijalankan secara berbeda, dengan berbagai kebijakan, protokol, karyawan, lokasi, dsb. Karenanya, kami ingin menyediakan ikhtisar pendapat GoDaddy tentang GDPR, namun ada sejumlah perbedaan kecil dalam peraturan, yang telah kami soroti untuk Anda dalam dokumen ini, dan Anda harus membuat penilaian sendiri, tergantung pada situasi tertentu.
Apa yang membedakan GDPR?
GDPR tidak terlalu berbeda dengan undang-undang privasi lainnya di seluruh dunia. Satu hal yang membuat GDPR sangat penting adalah jangkauannya di luar Uni Eropa ke setiap bisnis di mana pun di seluruh dunia yang menangani data pribadi tentang perorangan di Uni Eropa, serta memberlakukan denda yang sangat besar (hingga 20 juta EUR atau 4% dari pendapatan tahunan global) untuk pelanggaran. Jadi, semakin banyak negara, semakin besar denda, dan semakin luas cakupan berarti semakin banyak liputan media. Namun bukan berarti tidak ada perbedaannya, GDPR mewajibkan perusahaan yang terpengaruh agar memberikan hak tertentu kepada pelanggan (seperti 'hak untuk dilupakan' dan ‘hak portabilitas data'), serta menerapkan tindakan kepatuhan korporat tertentu.
Apakah bisnis saya terpengaruh?
Ada dua alasan mengapa bisnis Anda dapat terpengaruh. Jika bisnis Anda berlokasi atau jika Anda menjalankan bisnis dengan pelanggan dalam Wilayah Ekonomi Eropa (EEA) saat menjual barang atau jasa, lanjutkan membaca. Jika Anda tidak menjalankan bisnis di kawasan tersebut atau menargetkan perorangan di Uni Eropa, maka Anda kemungkinan sudah siap (sekali lagi, hubungi penasihat hukum Anda sendiri untuk mengkonfirmasi).
Apakah produk dan layanan GoDaddy saya mematuhi mematuhi GDPR?
Tidak ada produk atau layanan yang hanya 'mematuhi GDPR'. Namun bila dikonfigurasi dengan benar untuk kebutuhan bisnis tertentu dan digunakan dalam kombinasi dengan tindakan, kebijakan, serta proses lainnya yang diterapkan sebagaimana diperlukan untuk bisnis Anda (beberapa di antaranya dijelaskan di bawah ini), data dapat digunakan dengan cara yang mematuhi GDPR. Tidak ada yang lebih mengetahui bisnis Anda selain Anda sendiri. Meskipun GoDaddy berharap dapat menawarkan alat dan sumber daya untuk membantu bisnis Anda mencapai kepatuhan GDPR dan kami siap melayani, namun kami tidak dapat memastikan kepatuhan Anda terhadap undang-undang yang berlaku untuk bisnis Anda.
Apakah yang dimaksud dengan mematuhi GDPR?
GDPR benar-benar fokus pada privasi informasi pribadi. Singkatnya, GDPR memastikan data pribadi pelanggan dilindungi dan digunakan dengan cara yang tepat. Sebelum membahas lebih spesifik, berikut adalah beberapa definisi penting berdasarkan undang-undang yang akan membantu kami menentukan masing-masing tanggung jawab terkait penanganan data pribadi:
- Subjek Data: Orang yang menyediakan informasi pribadi. Subjek data adalah pelanggan, karyawan, atau seseorang yang mengunjungi situs web Anda (pengunjung situs web jika Anda mengumpulkan informasi tentang mereka menggunakan "cookie dan teknologi serupa").
- Pengontrol Data: Pihak yang menentukan tujuan dan cara memproses data pribadi.
- Pemroses Data: Pihak yang memproses data pribadi atas nama pengontrol data.
- Pemrosesan: Setiap operasi atau serangkaian operasi yang dilakukan atas data pribadi, baik secara otomatis maupun tidak, seperti pengumpulan, pencatatan, penyusunan, penataan, penyimpanan, penyesuaian atau pengubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui transmisi, penyebaran atau penyediaan, penyelarasan atau penggabungan, pembatasan, penghapusan, atau penghancuran.
- Data Pribadi: GDPR berlaku hanya untuk 'data pribadi', artinya informasi apa pun yang terkait dengan orang teridentifikasi yang dapat diidentifikasi secara langsung maupun tidak langsung, khususnya dengan mengacu pada pengidentifikasi. Definisi ini memungkinkan berbagai pengidentifikasi pribadi mencakup data pribadi, termasuk nama, nomor identifikasi, data lokasi, atau pengidentifikasi online, yang mencerminkan perubahan pada teknologi dan cara organisasi mengumpulkan informasi tentang banyak orang. Pada dasarnya, jika Anda dapat menggunakan data untuk mengidentifikasi pengguna, pelanggan, atau siapa pun, maka data tersebut merupakan data pribadi.
Apa makna definisi ini bagi saya?
Dalam hubungan kita, ada kalanya kami menjadi Pengontrol Data (saat mengumpulkan data dari Anda untuk tujuan menjual produk dan layanan, misalnya, nama, alamat, email, telepon, dan informasi kartu kredit), dan ada kalanya kami menjadi Pengolah Data dan Anda menjadi Pengontrol Data (misalnya, saat Anda menggunakan layanan yang di-host untuk tujuan bisnis kami dan informasi ternyata diteruskan ke server sehingga kami dapat menyediakan, mengelola, serta mempertahankan layanan bagi Anda (selengkapnya di bawah ini)).
Apa yang sebenarnya diwajibkan oleh undang-undang tersebut?
Versi resmi GDPR berisi 261 halaman, terdiri atas 173 Latar Belakang, 99 Pasal, serta (sebagaimana disebutkan) rumit dan sering kali luas, tidak pasti, dan ambigu (untungnya). Kita akan membahas beberapa prinsip pentingnya:
Transparansi
Data apa yang Anda kumpulkan dan bagaimana penggunaannya? Menjelaskannya kepada pelanggan dengan cara yang mudah dibaca dan dipahami adalah prinsip penting dari setiap undang-undang privasi, termasuk GDPR.
Kami perkirakan belakangan ini Anda menerima begitu banyak email "kami telah memperbarui kebijakan privasi", bukan? Bukan kebetulan. GDPR mewajibkan perusahaan memberikan transparansi dan kejelasan yang lebih baik tentang cara mereka mengumpulkan dan menggunakan informasi pelanggan (dengan kata lain, membuatnya lebih mudah digunakan). Kebijakan privasi adalah mekanisme bagi Anda untuk menawarkan transparansi, memaparkan kepada pelanggan secara jelas dan dalam bahasa yang sederhana tentang cara Anda mengumpulkan dan menggunakan data pribadi mereka, serta cara agar mereka dapat menghubungi Anda atau menggunakan hak yang mungkin diberikan.
GoDaddy menyediakan alat bantu yang memungkinkan Anda memasukkan kebijakan privasi ke situs web dan dalam kasus tertentu, menyediakan template untuk Anda gunakan. Namun karena kami tidak mengetahui cara Anda mengoperasikan bisnis, kami tidak dapat menyediakan kebijakan privasi yang sepenuhnya patuh.
Kontrol Pelanggan dan Mengelola Persetujuan
Bersikap transparan adalah awal yang baik, namun jika Anda menggunakan (atau mengumpulkan) informasi dari pelanggan selain yang benar-benar diperlukan untuk menyediakan barang atau jasa yang Anda jual, maka Anda juga harus memastikan mereka memiliki pilihan untuk menyetujui penggunaan tambahan dan memberi mereka kontrol atas pembatalan persetujuan tersebut di kemudian hari.
Contoh yang paling jelas di sini menggunakan alamat email atau nomor telepon yang dikumpulkan untuk berkomunikasi dengan pelanggan Anda (menurut kami biasanya dalam hal persetujuan/penolakan komunikasi/langganan seperti ini). Informasi ini dapat diberikan oleh pelanggan saat membuat akun atau membeli produk maupun layanan dari Anda. Namun, informasi tersebut juga mencakup pengumpulan informasi tentang perorangan yang mengunjungi situs web Anda melalui alat bantu yang umumnya dikenal sebagai "cookie" (dan teknologi serupa seperti pixel, script, dsb.). Anda tentunya pernah melihat "banner cookie" saat mengunjungi situs web, dan sama seperti penggunaan kebijakan privasi, banner cookie ini memungkinkan transparansi yang lebih baik. Dengan menampilkan banner cookie, perorangan dapat mempelajari lebih lanjut tentang alat bantu yang digunakan untuk mengumpulkan informasi tentang mereka, menerima atau menolak penggunaan tersebut, dan/atau secara rinci mengontrol cookie yang mungkin dapat digunakan.
Berdasarkan GDPR, pelanggan harus diberi hak menyetujui pengumpulan tersebut (serta penggunaan selanjutnya), dan satu-satunya cara agar persetujuan dapat diberikan dengan benar adalah jika Anda menyediakan pilihan untuk menggunakan persetujuan tersebut dengan cara yang mudah dipahami, spesifik (pada penggunaan tertentu), dan jelas. Anda tidak dapat menggunakan kotak yang telah dicentang, tidak adanya respons, atau ketidakaktifan untuk mengindikasikan persetujuan pelanggan. Misalnya, jika situs web dilengkapi kotak centang "Kami akan berbagi data Anda dengan pengiklan pihak ketiga," Anda tidak dapat mencentang kotak ini sebelumnya agar subjek data menyetujui pemrosesan data mereka. Kotak ini harus tetap tidak dicentang untuk subjek data di EEA hingga mereka secara sukarela menerima atau menyatakan persetujuan atas pemrosesan tersebut.
Terakhir, Anda harus memastikan pelanggan dapat menjalankan kontrol atas penggunaan data pribadi, komunikasi, dan persetujuan mereka, termasuk hak untuk membatalkan persetujuan tersebut.
Hak untuk Dilupakan
Sebelumnya, kami menyebutkan bahwa GDPR sangat mirip seperti undang-undang privasi lainnya di seluruh dunia, ini adalah hak unik GDPR bagi pelanggan. GDPR menyediakan 'hak untuk dilupakan' ("Hak Penghapusan" berdasarkan undang-undang) kepada perorangan. Artinya, pelanggan dapat meminta data pribadi mereka dihapus (dan mereka "dilupakan"), yakni data pribadi yang dikumpulkan tidak diperlukan lagi untuk tujuan seperti saat pengumpulan atau pemrosesannya.
Jika hak ini ada, maka Anda harus menghapus data pribadi subjek data dari sistem (kecuali jika terdapat alasan bisnis atau hukum yang sah bahwa data tersebut harus disimpan, misalnya, untuk tujuan pelaporan keuangan atau kebutuhan retensi hukum).
Misalnya, jika pelanggan memutuskan untuk berhenti berbisnis dengan Anda, mereka mungkin tidak ingin Anda menyimpan informasi mereka lagi yang sebelumnya dikumpulkan dan disimpan. Meskipun terdapat batasan atas hak ini, dengan pengecualian dan perbedaan kecil yang rumit, jika sesuai, Anda harus mempertimbangkan cara dan kemampuan Anda untuk menghormati permintaan tersebut saat diajukan.
GoDaddy, untuk bagiannya, sebagaimana telah dijelaskan dan sesuai dengan Lampiran Pemrosesan Data kami, akan menghormati permintaan yang diterima dari Anda (Pengontrol Data) agar menghapus informasi pelanggan Anda dari sistem kami bila permintaan tersebut diajukan.
Hak Portabilitas Data
Hak portabilitas data adalah hak unik GDPR lain yang memungkinkan perorangan memperoleh dan menggunakan kembali data pribadi untuk tujuan mereka sendiri di berbagai layanan. Hak ini memungkinkan mereka memindahkan, menyalin, atau mentransfer data pribadi secara mudah dari satu lingkungan TI ke lingkungan TI lain dengan cara yang aman dan terlindung, tanpa mempengaruhi kegunaannya.
Misalnya, Anda adalah perencana acara. Pelanggan memberikan semua rincian kontak dan preferensi pribadi yang relevan, namun mereka kemudian pindah dan memutuskan untuk menyewa perencana acara yang baru. Di EEA, mereka seharusnya dapat memperoleh salinan elektronik data pribadi untuk membuktikan kepada perencana acara yang baru secara mudah. GoDaddy siap membantu dengan permintaan tersebut sejauh data pribadi pelanggan Anda ada dalam dan dapat diekspor kepada Anda dari produk atau layanan yang kami sediakan.
Privasi Menurut Desain
Pada dasarnya, Privasi Menurut Desain (atau secara default) berarti bila Anda memperoleh, memproses, menyimpan, atau menggunakan data pribadi, maka perlindungan yang diperlukan akan dipikirkan dan disertakan, tidak perlu pertimbangan khusus dan langkah-langkah tambahan, hanya data penting minimum yang dikumpulkan, diterima dengan aman (yakni dienkripsi), disimpan di lokasi yang aman, serta hanya orang dengan kebutuhan valid dan telah terlatih yang memiliki aksesnya. Ini termasuk memastikan pihak ketiga juga memiliki perlindungan sebelum mengirim data pribadi pelanggan Anda kepada mereka.
Pada dasarnya, ini sama seperti pasien yang mengunjungi dokter. Sebagai pasien, Anda berharap data kesehatan, catatan yang dibuat, serta saran yang diterima akan dilindungi dan dirahasiakan. Berikan jenis perlindungan terhadap data yang sama tersebut dan Anda tidak akan mengalami masalah.
Setiap pemeriksaan operasional bisnis Anda harus mencakup cara produk dan layanan GoDaddy digunakan dengan mempertimbangkan privasi. Meskipun berharap produk dan layanan kami dapat dikonfigurasi untuk memenuhi kebutuhan khusus, Anda bebas menentukan sendiri apakah penggunaan layanan kami cukup untuk kepatuhan terhadap undang-undang privasi dan perlindungan data yang berlaku.
Pemberitahuan Pelanggaran Data
Jika terjadi pelanggaran data pribadi, perusahaan wajib menyampaikannya kepada otoritas pengawas dalam waktu 72 jam setelah mengetahui adanya pelanggaran atau tanpa penundaan yang tidak semestinya. Untuk informasi lebih rinci tentang cara mengungkapkan dan langkah-langkah yang harus dilakukan, konsultasikan dengan pengacara Anda.
Lalu, apa yang harus kita lakukan?
Sebagaimana telah disebutkan, biasanya GoDaddy adalah Pemroses Data Anda. Kami akan memproses data hanya sebagaimana diperlukan untuk menyediakan layanan yang telah Anda beli dari kami atas nama Anda atau sebagaimana diinstruksikan. Menggunakan layanan kami dengan cara yang mengumpulkan data agar Anda dapat menjual barang atau mengumpulkan informasi janji temu maupun prospek penjualan? Tidak masalah. Kami akan memastikan data diproses secara aman dan terlindung atas nama Anda.
Sebagai Pengontrol Data, Anda mengontrol cara penggunaan dan penyimpanan data, dan kami hanya akan memprosesnya sesuai ketentuan adendum dalam menyediakan dan memelihara layanan atas nama Anda. Artinya, Anda perlu memperhatikan kebijakan internal dan akses karyawan terhadap catatan, termasuk cara Anda berbagi data dengan pihak ke-3 dan seberapa mudah seseorang dapat mengakses informasi subjek data.
Sebagaimana terlihat dari poin penting di atas, GDPR (dan undang-undang privasi lainnya) berisi tentang cara memastikan data yang kami kumpulkan dan gunakan untuk menyukseskan bisnis dijaga dan dilindungi dengan benar.