10 Langkah Mempersiapkan Bisnis Anda untuk GDPR (Peraturan Perlindungan Data Umum)

Bahkan jika Bisnis Anda Tidak Terletak di Uni Eropa

Regulasi Perlindungan Data Umum adalah seperangkat aturan baru yang diubah menjadi Undang-Undang Proyeksi Data saat ini yang akan segera diberi mandat untuk bisnis yang berurusan dengan konsumen Eropa.

Pada 25 Mei 2018 peraturan itu bersikeras untuk menjaga informasi pribadi semua warga negara anggota Uni Eropa. Sementara banyak bisnis sudah selaras dengan spesifikasi, penting untuk memastikan bisnis Anda memiliki segalanya tertutup.

Artikel ini melihat apa yang perlu Anda miliki untuk menghindari ditemukannya pelanggaran terhadap GDPR.

Kebenarannya adalah peraturan baru ini ditujukan untuk perusahaan besar yang berurusan dengan informasi sebagai sumber pendapatan. Bisnis yang lebih kecil tidak akan dikenakan penalti 4% dari bruto di seluruh dunia atau 20 juta Euro yang akan dilakukan oleh perusahaan besar jika mereka ditemukan melanggar.

Jika Anda khawatir tentang memiliki banyak pekerjaan di depan Anda untuk mempersiapkan, Anda tidak seharusnya. Jika Anda tidak yakin apakah Anda akan terpengaruh mencari sinyal-sinyal kunci ini:

1. Anda berurusan dengan informasi sebagai komoditas;

2. Anda meminta data pengguna ketika mereka menyelesaikan pembelian dan menggunakan data di tempat lain atau menyimpannya;

3. Anda berurusan dengan satu atau lebih negara Eropa.

Jika jawabannya tidak untuk keduanya maka Anda akan baik-baik saja!

Jadi apa yang bisa Anda lakukan untuk berjaga-jaga?

Berikut adalah 10 langkah yang dapat diambil oleh bisnis Anda untuk dipersiapkan dengan baik bagi GDPR, meskipun Anda tidak berlokasi secara fisik di UE.

1. Jika situs web Anda memiliki formulir online yang memantulkan kotak yang dicentang sebelumnya yang memberikan izin untuk menerima email promosi dari pihak ketiga, kotak ini sekarang harus dicentang.

2. Jika bisnis Anda melakukan segala bentuk pembangunan daftar, pastikan semua orang di daftar itu telah memberikan izin eksplisit untuk berada di dalamnya. Di bawah PIPEDA Kanada, itu sudah cukup untuk memiliki izin tersirat; namun, jika ada penduduk UE yang ada dalam database Anda, aturannya jauh lebih tegas yang memberi pelanggan hak untuk mendapatkan informasi yang tersimpan di dalamnya.

3. Pastikan seluruh staf Anda mengetahui aturan baru. Sirkulasikan memo kepada semua personil dengan rapat tindak lanjut di mana poin tersebut ditinjau. Mengajukan beberapa pertanyaan kepada pemain kunci yang perannya paling dipengaruhi oleh aturan baru adalah cara yang bagus untuk memastikan mereka tahu apa yang harus mereka lakukan.

4. Periksa semua informasi klien / pelanggan yang tersimpan dan lacak dari mana Anda mendapatkannya dan di mana data itu telah digunakan. Catat setiap info dan siapa pun yang telah Anda berikan kepada kapan saja, dan dokumentasikan hubungan dan alasannya.

5. Perbarui kebijakan privasi Anda sehingga mencakup alasan untuk mempertahankan data pengguna apa pun, bagaimana itu digunakan secara hukum, dan bagaimana pengguna dapat menghubungi bisnis Anda jika mereka merasa informasi pengguna mereka dengan cara apa pun yang disalahgunakan.

6. Memiliki metode yang jelas di tempat untuk menangani permintaan untuk menghapus data pengguna. Di bawah DPA, pengguna sudah memiliki hak tertentu tetapi GDPR mengambil lebih jauh dengan hak informasi terkait data mereka yang disimpan oleh bisnis Anda.

Hak terdiri atas:

• hak untuk diberitahu

• hak akses

• hak untuk memperbaiki

• hak untuk menghapus

• hak untuk membatasi pemrosesan

• hak atas portabilitas data

• hak untuk menolak

• hak untuk tidak tunduk pada pembuatan keputusan otomatis termasuk profil

Anda harus dapat memberikan semua informasi ini dalam format yang jelas dan dapat dibaca mesin (tidak dalam tulisan tangan).

7. Memiliki proses di tempat untuk menyerahkan volume besar permintaan. Sebelumnya di bawah bisnis DPA memiliki 40 hari untuk mematuhi permintaan. Itu telah dipersingkat menjadi satu bulan. Setiap permintaan yang sah harus dipenuhi meskipun jika ada banyak permintaan dan dugaan alasannya adalah untuk menimbulkan masalah bagi bisnis Anda, maka permintaan ini dapat ditentang secara hukum.

8. Miliki alasan hukum Anda untuk menyimpan data pengguna atau menyampaikan kepada orang lain yang dinyatakan secara jelas untuk pengguna dan pastikan opsi keikutsertaan tidak dicentang sebelumnya atau tidak jelas. Pengguna harus memiliki pemahaman yang jelas tentang mengapa Anda ingin data mereka, apa yang Anda lakukan dengannya, dan dengan siapa Anda berbagi. Dan mereka harus memiliki pilihan untuk mengatakan tidak. Ini terpisah dari Persyaratan dan Ketentuan.

9. Jika bisnis Anda berurusan dengan siapa pun yang berusia di bawah 16 tahun maka Anda akan memerlukan izin orang tua atau wali untuk memproses data anak mana pun. Ini sangat penting dan diatur secara ketat tetapi pada saat yang sama jika Anda tidak berurusan dengan informasi sebagai komoditas maka Anda mungkin tidak perlu khawatir.

10. Miliki langkah-langkah untuk mengatasi pelanggaran data. Jika data pengguna mungkin disusupi, Anda harus memiliki cara untuk memberi tahu semua pengguna yang terkena dampak apa yang dikompromikan dan kapan. Menugaskan seseorang secara internal tugas mengoordinasi tanggapan adalah ide bagus.

Dan itu dia! Seperti yang Anda lihat, ini adalah masalah bisnis besar dan lebih mengakar dalam perlindungan pengguna di Eropa di mana jaringan sosial telah disebut sebagai bermasalah dan rentan terhadap pengaruh asing.

Amerika Utara tidak terlalu terpengaruh tetapi masalah ini masih sangat layak diberitakan, yang dapat membuat beberapa pemilik usaha kecil merasa gugup ketika mereka tidak membutuhkannya. Dengan mengatakan itu, artikel ini dari Small Business BC https://smallbusinessbc.ca/blog/the-small-business-impact-of-gdpr/ menunjukkan beberapa potensi pelanggaran data yang tampaknya tidak berbahaya yang dapat menempatkan Anda pada risiko pelanggaran seperti mengirim kartu ucapan kepada pelanggan yang tinggal di UE.