Keadaan GDPR Pada Tahun 2021: Pembaruan Utama Dan Apa Artinya

Diterbitkan: 2022-03-10
Ringkasan singkat Sebagai praktisi digital, GDPR telah memengaruhi setiap aspek kehidupan profesional dan pribadi kita. Baik Anda kecanduan Instagram, mengirim pesan ke keluarga Anda di WhatsApp, membeli produk dari Etsy atau informasi Google, tidak ada yang lolos dari aturan yang diperkenalkan pada tahun 2018.

Arahan UE telah memengaruhi hampir setiap profesional digital karena produk dan layanan dirancang dengan mempertimbangkan GDPR, terlepas dari apakah Anda perusahaan desain web di Wisconsin atau pemasar di Malta. Implikasi luas dari GDPR tidak hanya berdampak pada bagaimana data harus diproses, bagaimana produk harus dibuat, dan bagaimana data ditransfer dengan aman di dalam dan di antara organisasi. Ini mendefinisikan perjanjian transfer data internasional seperti itu antara Eropa dan Amerika.

Kevin Kelly, salah satu futuris digital paling cerdas di dunia, mengklaim bahwa 'Teknologi adalah kekuatan yang sama besarnya dengan alam'. Yang dia maksud dengan itu adalah bahwa data pengguna dan teknologi informasi menyebabkan salah satu periode paling mendalam dalam sejarah manusia sejak ditemukannya bahasa. Lihat saja apa yang terjadi saat pemerintah dan perusahaan multinasional teknologi bergulat untuk mengendalikan Internet.

Minggu lalu saja, ketika pemerintah Australia bergerak untuk memaksa pemilik platform membayar penerbit untuk konten yang dibagikan di platform mereka, Facebook memutuskan untuk memblokir berita ke pengguna Australia dengan kegemparan besar dari pemerintah Australia.

Dan itu di samping kontroversi sebelumnya (organisasi kerusuhan Capitol AS, skandal Cambridge Analytica) di persimpangan di mana pemerintah dan teknologi bertemu.

Dalam artikel ini, kita akan melihat bagaimana GDPR telah berkembang sejak 2018. Kami akan menjalankan beberapa pembaruan dari UE, beberapa perkembangan utama, dan di mana GDPR kemungkinan akan berkembang. Kami akan mengeksplorasi apa artinya itu bagi kami , sebagai desainer dan pengembang. Dan kita akan melihat apa artinya bagi perusahaan baik di dalam maupun di luar UE.

Di artikel berikutnya, kita akan fokus pada persetujuan cookie dan paradoks di mana pemasar sangat bergantung pada data cookie Google Analytics tetapi harus mematuhi peraturan. Dan kemudian kami akan mempelajari lebih dalam pelacakan iklan pihak pertama saat kami mulai melihat perpindahan dari cookie pihak ketiga.

  • Bagian 1: GDPR, Pembaruan Utama Dan Apa Artinya
  • Bagian 2: Persetujuan Cookie Untuk Desainer dan Pengembang

Rekap Cepat GDPR

Mari kita mulai dengan mengingatkan diri kita sendiri apa itu GDPR. GDPR menjadi undang-undang di UE pada 25 Mei 2018. Ini didasarkan pada 7 prinsip utama:

  1. Keabsahan, keadilan dan transparansi
    Anda harus memproses data sehingga orang memahami apa, bagaimana, dan mengapa Anda memproses data mereka.
  2. Batasan tujuan
    Anda hanya boleh mengumpulkan data untuk tujuan yang jelas, spesifik, dan sah. Anda kemudian tidak dapat memprosesnya dengan cara yang tidak sesuai dengan tujuan awal Anda.
  3. Minimalkan data
    Anda hanya harus mengumpulkan data yang Anda butuhkan.
  4. Ketepatan
    Data Anda harus akurat dan selalu up to date. Data yang tidak akurat harus dihapus atau diperbaiki.
  5. Batasan penyimpanan
    Jika data dapat ditautkan ke individu, Anda hanya dapat menyimpannya selama Anda perlu melakukan tujuan yang Anda tentukan. (Peringatan untuk penggunaan penelitian ilmiah, statistik, atau sejarah.)
  6. Integritas dan kerahasiaan (yaitu keamanan)
    Anda harus memastikan data pribadi yang Anda simpan diproses dengan aman. Anda harus melindunginya dari pemrosesan yang tidak sah atau melanggar hukum dan dari kehilangan, kehancuran, atau kerusakan yang tidak disengaja.
  7. Akuntabilitas
    Anda sekarang bertanggung jawab atas data yang Anda miliki dan harus dapat menunjukkan kepatuhan Anda terhadap GDPR.
Diagram yang menunjukkan tujuh prinsip GDPR: keabsahan, integritas, penyimpanan dan batasan tujuan, minimalisasi dan akurasi data, serta akuntabilitas - dilapisi dengan transparansi, privasi, dan kontrol
Prinsip GDPR didasarkan pada transparansi, privasi, dan kontrol pengguna. (Kredit gambar: Cyber-Duck) (Pratinjau besar)

Beberapa Definisi

  • CJEU
    Pengadilan Kehakiman Uni Eropa. Keputusan pengadilan ini mengklarifikasi undang-undang Uni Eropa seperti GDPR.
  • DPA
    Otoritas Perlindungan Data Nasional. Setiap negara Uni Eropa memiliki satu. GDPR ditegakkan, dan denda dikeluarkan, di tingkat nasional oleh badan-badan ini. Setara dengan Inggris adalah Information Commissioner's Office (ICO). Di Amerika Serikat, privasi data gaya GDPR sebagian besar diatur oleh setiap negara bagian.
  • Komisi Eropa
    Cabang eksekutif Uni Eropa (pada dasarnya layanan sipil Uni Eropa). Komisi Eropa menyusun undang-undang termasuk GDPR.
  • GDPR
    Peraturan Perlindungan Data Umum 2018.

Pembaruan Utama Dari UE

GDPR tidak berhenti sejak Mei 2018. Berikut adalah ringkasan singkat tentang apa yang terjadi sejak diberlakukan.

Bagaimana UE dan Negara Anggotanya Menerapkan GDPR?

Komisi Eropa melaporkan bahwa GDPR hampir sepenuhnya diimplementasikan di seluruh UE, meskipun beberapa negara — seperti Slovenia — telah menyeret kaki mereka. Namun, kedalaman implementasi bervariasi. UE juga mengatakan negara-negara anggotanya, menurut pendapatnya, menggunakan kekuatan baru mereka secara adil.

Namun, ia juga menyatakan keprihatinan bahwa beberapa perbedaan dan fragmentasi merayap masuk. GDPR hanya dapat bekerja secara efektif di pasar tunggal UE jika negara-negara anggota selaras . Jika hukumnya berbeda, itu membuat air menjadi keruh.

Bagaimana UE Ingin GDPR Berkembang?

Kami tahu UE ingin agar individu lebih mudah menggunakan hak mereka berdasarkan GDPR. Itu berarti kolaborasi lintas batas dan gugatan class action . Ia ingin melihat portabilitas data bagi konsumen di luar perbankan dan telekomunikasi.

Ia juga ingin memudahkan usaha kecil dan menengah ( UKM ) untuk mematuhi GDPR. Itu kemungkinan akan datang dalam bentuk dukungan dan alat tambahan seperti klausul kontrak yang lebih standar — pada dasarnya template legal yang dapat disalin/ditempel oleh UKM ke dalam kontrak — karena UE tidak ingin membengkokkan aturan untuk mereka.

Perkembangan Besar #1: Definisi 'Joint Controller' yang Tak Terduga Luasnya

Nah, inilah perubahan besar pertama sejak GDPR menjadi undang-undang. Dalam dua kasus uji yang melibatkan Facebook, Pengadilan Uni Eropa telah mendefinisikan interpretasi yang jauh lebih luas dari 'pengendali bersama' dari yang diharapkan.

Situasi pengontrol bersama muncul ketika dua atau lebih pengontrol keduanya memiliki tanggung jawab untuk memenuhi persyaratan GDPR. (Inilah penjelasan yang bagus dari ICO tentang pengontrol bersama.) Pada dasarnya:

  • Saat memproses data pelanggan, Anda memutuskan dengan sesama pengontrol bersama yang akan mengelola setiap langkah sehingga Anda mematuhi GDPR.
  • Namun, Anda semua memiliki tanggung jawab penuh untuk memastikan seluruh proses sesuai . Masing-masing dari Anda bertanggung jawab penuh kepada otoritas perlindungan data di negara yang menangani keluhan apa pun.
  • Seorang individu dapat mengajukan keluhan terhadap masing-masing dan semua pengendali bersama.
  • Anda semua bertanggung jawab atas segala kerusakan yang terjadi — kecuali jika Anda dapat membuktikan bahwa Anda tidak memiliki hubungan dengan peristiwa yang menyebabkan kerusakan tersebut.
  • Seorang individu dapat meminta kompensasi dari pengontrol bersama mana pun. Anda mungkin dapat memperoleh kembali sebagian dari kompensasi itu dari sesama pengontrol.

Dalam kasus Facebook pertama, CJEU mengkonfirmasi bahwa perusahaan yang menjalankan halaman penggemar Facebook dihitung sebagai pengontrol bersama di samping Facebook. Yang kedua, CJEU juga mengkonfirmasi bahwa perusahaan yang menyematkan tombol Suka Facebook ke situs webnya memiliki status pengontrol bersama dengan jejaring sosial.

Kasus-kasus ini mengirimkan gelombang kejutan melalui komunitas privasi, karena pada dasarnya itu membuat penerbit sosial, operator situs web, dan moderator halaman penggemar bertanggung jawab atas data pengguna di samping platform seperti Facebook.

Namun, CJEU juga mengklarifikasi bahwa tanggung jawab bersama tidak berarti tanggung jawab yang sama . Dalam kedua kasus tersebut, tanggung jawab terutama ada pada Facebook — hanya Facebook yang memiliki akses ke data tersebut dan hanya Facebook yang dapat menghapusnya. Jadi dampak dari keputusan ini mungkin tidak seberat yang terlihat pada awalnya — tetapi ini tetap sangat penting.

Dan mungkin itulah sebabnya beberapa situs — seperti situs web untuk kepresidenan UE Jerman tahun 2020 — memblokir konten sosial yang disematkan secara default, hingga Anda secara khusus memilih untuk ikut:

Tangkapan layar eu2020.de yang menampilkan konten umpan sosial diblokir hingga pelacakan pihak ketiga diaktifkan
Beberapa situs mulai memblokir umpan sosial yang disematkan agar tidak muncul di situs mereka secara default, menawarkan pengguna pilihan untuk ikut serta dengan pelacakan. (Pratinjau besar)

Perkembangan Besar #2: Sampai jumpa Privacy Shield, Halo CPRA

Perubahan besar kedua lebih dapat diprediksi: Privacy Shield , mekanisme yang memudahkan bisnis Amerika untuk memproses data pelanggan Eropa, telah dijatuhkan oleh pengadilan.

Inilah alasannya.

UE ingin melindungi data pribadi warganya. Namun, ia juga ingin mendorong perdagangan internasional, ditambah kolaborasi lintas batas di bidang-bidang seperti keamanan.

UE melihat dirinya — cukup tepat — sebagai pelopor dalam perlindungan data. Jadi ia menggunakan kekuatan politiknya untuk mendorong negara-negara yang ingin berdagang dengan blok tersebut agar sesuai dengan standar privasi datanya.

Masuk ke Amerika Serikat. Filosofi Eropa dan Amerika seputar privasi data sangat bertentangan . (Pada dasarnya, pandangan Eropa adalah bahwa data pribadi bersifat pribadi kecuali Anda memberikan izin eksplisit. Pandangan Amerika adalah bahwa data Anda bersifat publik kecuali jika Anda secara tegas meminta agar data tersebut dirahasiakan.) Tetapi sebagai dua pasar konsumen terbesar di dunia, mereka perlu berdagang. Jadi UE dan AS mengembangkan Privacy Shield.

Privacy Shield dirancang untuk memungkinkan perusahaan AS memproses data warga negara Uni Eropa, selama perusahaan tersebut mendaftar ke standar privasi yang lebih tinggi.

Namun di bawah hukum AS, pemerintah AS masih bisa memantau data itu. Ini ditentang dalam kasus yang dibawa oleh advokat privasi Austria Max Schrems. CJEU memihaknya: Privacy Shield dihancurkan dan 5.300 UKM Amerika yang menggunakan Privacy Shield tidak memiliki pilihan selain mengadopsi Klausul Kontrak Standar yang ditentukan UE.

Jelas, adalah kepentingan semua orang untuk mengganti Privacy Shield — dan itu akan terjadi. Tetapi para ahli mengatakan bahwa penggantiannya kemungkinan akan dibatalkan lagi pada waktunya karena pendekatan privasi Eropa dan Amerika pada dasarnya tidak sesuai.

Sementara itu, di California, California Consumer Privacy Act (CCPA) yang terinspirasi GDPR 2018 diperkuat pada November 2020 ketika California Privacy Rights Act (CPRA) disahkan.

Undang-Undang Privasi Konsumen California (CCPA)

CCPA, yang mulai berlaku pada Januari 2020, memberikan hak kepada warga California untuk memilih tidak ikut menjual data mereka . Mereka juga dapat meminta data apa pun yang telah dikumpulkan untuk diungkapkan dan mereka dapat meminta agar data tersebut dihapus. Tidak seperti GDPR, CCPA hanya berlaku untuk perusahaan komersial:

  • Yang memproses data lebih dari 50.000 penduduk California setahun, ATAU
  • Yang menghasilkan pendapatan kotor lebih dari $25jt per tahun, ATAU
  • Yang menghasilkan lebih dari setengah pendapatan tahunan mereka dari penjualan data pribadi penduduk California

Undang-Undang Hak Privasi California (CPRA)

CPRA, yang mulai berlaku pada Januari 2023, melampaui CCPA . Poin-poin utamanya meliputi:

  • Ini meningkatkan standar bagi perusahaan yang memproses data 100.000 penduduk California setahun
  • Ini memberikan lebih banyak perlindungan terhadap data sensitif warga California , seperti ras, agama, orientasi seksual, dan data kesehatan serta ID pemerintah mereka
  • Ini tiga kali lipat denda untuk pelanggaran data anak di bawah umur
  • Ini memberi orang California hak untuk meminta data mereka dikoreksi
  • Ini mewajibkan perusahaan untuk membantu penyelidikan CPRA
  • Dan itu membentuk Badan Perlindungan Privasi California untuk menegakkan CPRA
Grafik meringkas CPRA
California memperketat undang-undang privasinya dengan CPRA, yang akan datang pada tahun 2023. (Pratinjau besar)

Dorongan lebih lanjut terhadap undang-undang privasi terjadi di negara bagian lain, dan bersama-sama ini dapat memperkuat perlunya tindakan privasi federal di bawah pemerintahan Biden yang baru.

Perkembangan Besar #3: Persetujuan Cookie

Pada Mei 2020, UE memperbarui panduan GDPR untuk mengklarifikasi beberapa poin, termasuk dua poin utama untuk persetujuan cookie:

  • Dinding cookie tidak menawarkan pilihan asli kepada pengguna, karena jika Anda menolak cookie, Anda diblokir dari mengakses konten. Ini menegaskan bahwa dinding cookie tidak boleh digunakan.
  • Menggulir atau menggesek konten web tidak sama dengan persetujuan tersirat . UE menegaskan kembali bahwa persetujuan harus eksplisit.

Saya akan membahas ini lebih dalam di artikel kedua minggu depan.

Pemberitahuan cookie Cyber-Duck dengan pelacakan iklan diaktifkan secara default
UE telah memperbarui panduannya tentang persetujuan cookie. (Pratinjau besar)

Perkembangan Besar #4: Google Dan Apple Mulai Bergeser Dari Pelacakan Pihak Ketiga

Saat para pemain digital besar mencari cara untuk memenuhi GDPR — dan bagaimana mengubah undang-undang privasi menjadi keuntungan mereka — beberapa telah mendapat kecaman.

Baik Google dan Apple menghadapi tuntutan hukum antimonopoli , menyusul keluhan dari perusahaan dan penerbit adtech.

Dalam kedua kasus tersebut, para pengadu mengatakan bahwa perusahaan teknologi besar mengeksploitasi posisi pasar dominan mereka.

Sekali lagi, lebih banyak tentang ini lain kali.

Lebih banyak setelah melompat! Lanjutkan membaca di bawah ini

Perkembangan Besar #5: Denda GDPR Besar Akan Datang Dengan Cara Ini

Tentu saja, banyak organisasi melompat untuk mematuhi GDPR karena mereka takut akan denda yang dapat diterapkan oleh regulator. Denda itu sudah mulai bergulir:

Regulator data Prancis telah menjatuhkan denda €50 juta kepada Google karena “kurangnya transparansi, informasi yang tidak memadai, dan kurangnya persetujuan yang valid terkait personalisasi iklan”, dengan mengatakan bahwa pengguna “tidak mendapat informasi yang cukup” tentang bagaimana dan mengapa Google mengumpulkan data mereka.

Setara dengan Inggris, ICO, telah mendenda konglomerat hotel AS Marriott International Inc. £ 18,4 juta karena gagal mengamankan 339 juta catatan tamu. Serangan siber 2014 di Starwood Hotels and Resorts Worldwide, Inc., yang diakuisisi Marriott pada 2016, tidak ditemukan hingga 2018.

ICO Inggris juga telah mendenda British Airways rekor £ 20 juta untuk pelanggaran data 2018 dari 400.000 data pribadi dan kartu kredit pelanggan.

Lalu ada favorit pribadi saya, pelanggaran mengejutkan terhadap kepercayaan karyawan oleh H&M yang menyebabkan penalti €35 juta.

Jadi di situlah kita berdiri hari ini.

Apa Artinya Ini Bagi Anda?

Sebagai desainer dan developer, GDPR telah — dan akan terus memiliki — dampak besar pada produk yang kami rancang dan bangun, serta cara kami mendesain untuk data.

Inilah Yang Harus Kami, Sebagai Desainer, Ketahui

  • GDPR sangat penting bagi Anda karena Anda akan merancang titik di mana pengguna membagikan data mereka , data apa yang dikumpulkan, dan bagaimana data tersebut diproses.
  • Ikuti praktik terbaik Privasi oleh Desain. Jangan mencoba menemukan kembali roda — jika Anda telah membuat spanduk cookie yang sesuai, gunakan pola desain Anda yang telah terbukti.
  • Bekerja dengan tim kepatuhan dan pengembangan Anda untuk memastikan desain memenuhi GDPR dan dapat diterapkan. Hanya meminta data yang Anda butuhkan.
  • Terakhir, tanyakan kepada pengguna Anda data apa yang mereka sukai untuk dibagikan dan bagaimana mereka ingin Anda menggunakannya. Jika mereka menganggapnya menyeramkan, tinjau kembali pendekatan Anda.

Inilah Yang Harus Kami, Sebagai Pengembang, Ketahui

  • GDPR sangat penting bagi Anda karena Anda mengaktifkan pemrosesan, berbagi, dan integrasi data .
  • Sebagai aturan umum dengan GDPR, ambil pendekatan kebutuhan untuk mengakses . Mulailah dengan menerapkan segala sesuatu tanpa akses, lalu berikan tim Anda akses ke data hanya jika dan saat diperlukan (mis. memberi pengembang akses ke konsol Google Analytics). Audit dan dokumentasikan sambil jalan.
  • Ikuti privasi berdasarkan desain dan keamanan berdasarkan prinsip desain. Template yang kuat dan aman untuk mengimplementasikan infrastruktur adalah kuncinya.
  • Pastikan Anda terlibat terlebih dahulu tentang aspek teknis misalnya persetujuan cookie/percakapan pelacakan, sehingga apa yang diputuskan dapat diterapkan.
  • Pemetaan proses menunjukkan di mana data dibagikan dengan berbagai bagian bisnis.
  • Otomatisasi menawarkan penanganan data yang aman yang mengurangi kesalahan manusia. Ini juga membantu mencegah orang yang salah mengakses data.
  • Daftar periksa GDPR dan tentu saja menjalankan buku akan membantu Anda mengelola proses Anda. Sekali lagi, audit dan dokumentasikan sambil jalan.

Sekarang mari kita lihat bagaimana GDPR akan berkembang dalam waktu dekat. Kami akan fokus pada tiga bidang.

Tiga Area Di Mana GDPR Berkembang Dengan Cepat

1. Bagaimana UE Menerapkan GDPR

Pertama, mari kita lihat bagaimana GDPR akan lebih tertanam dalam lanskap legislatif.

UE ingin menjaga agar negara-negara anggotanya tetap selaras , karena itu akan membuat setelan lintas batas dan kolaborasi internasional lebih mudah. Jadi hal itu telah memperkuat bahwa negara-negara tidak boleh mengalihkan, atau melampaui GDPR. Beberapa negara anggota, seperti yang saya katakan, memberikan lip service pada peraturan tersebut. Yang lain ingin melampaui standar GDPR.

Sebagai imbalan atas keselarasan mereka, UE akan menegakkan kepatuhan , bekerja untuk memungkinkan tindakan kelas dan gugatan lintas batas yang lebih murah, dan juga mempromosikan privasi dan standar yang konsisten di luar UE. Selain dukungan dan alat ekstra untuk UKM, kami juga dapat melihat sertifikasi untuk keamanan dan perlindungan data berdasarkan desain.

Akhirnya, hal ini dapat menimbulkan keheranan di Silicon Valley: UE telah mengisyaratkan bahwa mereka mungkin mempertimbangkan larangan pemrosesan data untuk mendorong kepatuhan . Denda €50 juta bukanlah akhir dunia bagi Google dan teman-teman. Tapi waktu keluar pada langkah nakal - dan PR buruk yang dihasilkan - adalah hal yang sangat berbeda.

2. Bagaimana GDPR Bekerja dengan Inovasi

GDPR dirancang untuk netral terhadap teknologi dan untuk mendukung, bukan menghalangi, inovasi. Itu pasti telah diuji selama 12 bulan terakhir, dan UE menunjukkan peluncuran cepat aplikasi COVID-19 sebagai bukti bahwa undang-undangnya berfungsi.

Kita dapat mengharapkan untuk melihat kode etik untuk kategori data sensitif (kesehatan dan penelitian ilmiah). Ini akan disambut.

Namun, mereka mengawasi para inovator dengan cermat. UE telah menyatakan keprihatinannya tentang privasi data dalam video, perangkat IoT, dan blockchain. Mereka sangat memperhatikan pengenalan wajah (dan mungkin suara) dan perkembangan AI.

Terutama, Komisi sangat prihatin tentang apa yang disebutnya “perusahaan teknologi multinasional”, “platform digital besar” dan “iklan online dan penargetan mikro”. Ya, sekali lagi itu melihat Anda, Facebook, Amazon, Google, dan teman-teman.

3. Bagaimana UE Mempromosikan Standar GDPR Di Luar UE

Ekonomi digital kita bersifat global, sehingga dampak GDPR bergejolak di luar batas UE — dan bukan hanya dalam hal kepatuhan. UE menetapkan standar untuk undang-undang perlindungan data di seluruh dunia. Di luar CCPA California, lihat LGPD Brasil, ditambah perkembangan di Kanada, Australia, India, dan beberapa negara bagian Amerika.

Tentu saja, itu adalah kepentingan UE jika negara dan blok perdagangan lain sesuai dengan standar mereka. Jadi itu mempromosikan GDPR melalui beberapa cara :

  • Melalui "keputusan kecukupan bersama" dengan Jepang dan segera Korea Selatan
  • Tertanam dalam perjanjian perdagangan bilateral misalnya dengan Selandia Baru, Australia, Inggris
  • Melalui forum seperti OECD, ASEAN, G7 dan G20
  • Melalui Akademi Perlindungan Data untuk UE dan regulator internasional

Ini sangat ingin memberdayakan inovasi melalui aliran data tepercaya dan untuk memungkinkan kerja sama internasional antara otoritas penegak hukum dan operator swasta.

UE memimpin dunia dalam perlindungan data. Ke mana ia pergi, yang lain akan mengikuti. Jadi, bahkan jika Anda tidak mendesain/mengembangkan untuk audiens UE, Anda harus menyadari apa yang terjadi.

Apa Arti Semua Ini Bagi Perusahaan Di UE?

Perusahaan yang beroperasi di UE harus mematuhi GDPR atau berisiko didenda. Denda itu bisa sangat besar, seperti yang telah kita lihat. Jadi, Anda harus dapat menunjukkan bahwa Anda mematuhi 7 prinsip GDPR dan panduan khusus dari Otoritas Perlindungan Data nasional Anda.

Namun, itu tidak semudah kedengarannya, dan Anda dapat memilih untuk mengevaluasi risiko Anda dalam beberapa kasus. Saya akan membawa Anda melalui contoh itu waktu berikutnya.

Apa Artinya Ini Bagi Perusahaan yang Berbasis Di Luar Uni Eropa?

Implikasi bagi perusahaan yang berbasis di luar UE sama persis dengan yang berlaku di negara-negara UE , jika mereka memproses data pribadi dari UE. Itu karena GDPR berlaku untuk data pribadi orang-orang yang tinggal di UE. Jika Anda ingin memprosesnya, misalnya untuk menjual ke pelanggan di UE, Anda harus mematuhi aturan. Jika tidak, Anda berisiko didenda, seperti Facebook dan Google.

Begini cara penegakannya : Jika Anda memiliki kehadiran di UE, seperti yang dilakukan banyak perusahaan multinasional, dan Anda tidak membayar denda GDPR, aset UE Anda dapat disita. Jika Anda tidak hadir, Anda diwajibkan berdasarkan GDPR untuk menunjuk perwakilan di UE. Denda apa pun akan dikenakan melalui perwakilan itu. Atau, Anda mungkin menghadapi tuntutan hukum internasional yang rumit dan mahal .

Dan di sinilah hal itu menjadi rumit untuk semua orang:

Jika basis pelanggan Anda mencakup orang-orang di UE dan warga negara dari tempat lain yang memiliki undang - undang privasi, seperti Negara Bagian California, Anda harus mematuhi California Consumer Privacy Act (CCPA) dan GDPR. Kumpulan undang-undang ini umumnya selaras — tetapi tidak cocok.

Ambil kue, misalnya. Di bawah GDPR, Anda harus mendapatkan persetujuan aktif dari pengguna sebelum Anda menempatkan cookie di perangkat mereka, kecuali cookie yang benar-benar diperlukan agar situs Anda berfungsi.

Namun, di bawah CCPA, Anda harus mengungkapkan data apa yang Anda kumpulkan, dan memungkinkan pelanggan Anda untuk menolak izin Anda untuk menjual data mereka. Tetapi mereka tidak harus secara aktif setuju bahwa Anda dapat mengumpulkannya.

Itu sebabnya UE mendorong standar internasional untuk menyederhanakan kepatuhan global.

NB Jika Anda berada di Amerika Serikat dan tidak sabar menunggu penggantian Privacy Shield, Anda mungkin ingin mengambil lembaran dari buku Microsoft — mereka dan yang lainnya telah menyatakan bahwa mereka akan mematuhi GDPR daripada bergantung pada mekanisme bilateral apa pun untuk mengaktifkan pengolahan data.

Pelajaran Apa yang Dapat Dipelajari oleh Desainer dan Pengembang Web dari GDPR?

Regulasi privasi akan tetap ada dan memengaruhi semua prioritas dan alur kerja kami. Berikut adalah enam pelajaran yang perlu diingat saat Anda bekerja dengan data pelanggan:

  1. Kami harus berlari untuk mematuhi GDPR. Sekarang maraton.
    Kami tahu bahwa GDPR akan terus berkembang seiring dengan teknologi yang ingin diaturnya. Itu berarti tuntutan pada kami tidak akan tetap sama. Tidak hanya itu, GDPR telah mengilhami undang-undang serupa — tetapi tidak identik — di seluruh dunia. Persyaratan hukum ini diatur untuk terus berkembang.
  2. Kepatuhan membangun keunggulan kompetitif.
    Sementara denda GDPR besar pertama telah menggiurkan, sebenarnya publisitas negatif yang menurut banyak orang paling merusak. Siapa yang diuntungkan dari kebocoran data yang besar? Pesaing perusahaan. Di sisi lain, jika Anda menyematkan kepatuhan GDPR saat Anda memperkuat proses desain dan pengembangan, Anda akan lebih mampu beradaptasi saat peraturan berkembang.
  3. Kepatuhan GDPR dan hasil COVID-19 yang lebih baik dihubungkan oleh desain yang berpusat pada pengguna.
    Kita tahu bahwa perusahaan yang memulai transformasi digital mereka lebih mampu beradaptasi dengan krisis COVID-19. Desain yang berpusat pada pengguna juga mendukung GDPR. Ini memiliki proses dan fokus pelanggan yang Anda butuhkan untuk membangun produk yang selaras dengan gagasan bahwa data pelanggan sangat berharga dan harus dilindungi. Itu akan memudahkan Anda mengembangkan produk Anda sesuai dengan undang-undang di masa mendatang.
  4. Anda dapat membangun kepatuhan ke dalam produk digital Anda.
    Privasi berdasarkan desain akan tetap ada. Jika Anda sudah menggunakan desain layanan, Anda dapat menyertakan informasi pelanggan sebagai lapisan data dalam cetak biru layanan Anda. Jika tidak, sekarang adalah waktu yang tepat untuk memulai. Pemetaan tempat data dikumpulkan, diproses, dan disimpan menyoroti titik lemah di mana potensi pelanggaran dapat terjadi. Alat kepatuhan otomatis akan membantu mengurangi beban perusahaan, plus berpotensi membuat pemrosesan data lebih aman.
  5. GDPR mendukung inovasi — jika Anda melakukannya dengan benar.
    Beberapa memperingatkan bahwa GDPR mencekik inovasi dengan membatasi aliran data dan terutama dengan menghalangi perusahaan berinovasi dengan data. Yang lain menunjukkan peluang untuk berinovasi dengan blockchain, IoT, dan AI dengan cara yang aman dan di mana data dilindungi. Kebenaran? Ya, tentu saja, Anda dapat berinovasi dan mematuhi GDPR. Tetapi etika dalam AI sangat penting: Anda harus menghormati pelanggan Anda dan data mereka.
  6. Awasi mitra pihak ketiga Anda.
    Ini kembali ke keputusan pengontrol bersama di atas. Perusahaan sekarang berbagi tanggung jawab atas data pelanggan dengan pihak ketiga mana pun yang memprosesnya dan pemrosesan itu harus didokumentasikan. Anda dapat mengharapkan pemeriksaan pihak ketiga, pemantauan, dan kewajiban kontrak menjadi prioritas bagi perusahaan mulai sekarang.

Inilah Bagaimana GDPR Dapat Berkembang

Fiuh. Itu banyak yang harus diambil. Tapi melihat ke depan, di sinilah saya bertaruh kita akan melihat perubahan.

  1. GDPR akan terus berkembang , dengan kejelasan yang berasal dari kasus uji dan kemungkinan undang-undang lebih lanjut termasuk Peraturan ePrivasi.
  2. UE akan terus mempromosikan adopsi internasional atas undang-undang privasi data. Kita akan melihat lebih banyak negara merangkul perlindungan data, sering kali dimasukkan ke dalam perjanjian perdagangan dan keamanan.
  3. Jika kita beruntung, kita mungkin mulai melihat konvergensi internasional undang-undang privasi data — terutama jika AS menerapkan privasi data di tingkat federal.
  4. Tetapi kita juga akan melihat lebih banyak bentrokan antara UE dan AS, karena pendekatan privasi mereka yang berlawanan.
  5. Karena 'data adalah minyak baru', kami dapat melihat lebih banyak situasi di mana pengguna menerima produk dan layanan gratis dengan memberikan data melalui cookie.
  6. Bisnis akan beralih dari cookie pihak ketiga dan menuju pelacakan dan otomatisasi sisi server, agar tetap patuh.
  7. Bisnis akan mengadopsi Privacy by Design (PdB) serta alat dan proses desain layanan, untuk membantu mereka tetap mematuhi berbagai undang-undang privasi.
  8. Dan akhirnya — dan yang ini pasti — kita akan melihat tuntutan hukum privasi yang lebih banyak dan lebih besar . Siapa yang akan muncul sebagai pemenang — pendukung teknologi besar atau privasi? Saya tidak tahu, tapi kita bisa yakin akan satu hal: pengacara privasi akan menghasilkan banyak uang.

Kata Terakhir Tentang Kepercayaan

Tema yang mendasari komunikasi Komisi Eropa dan komentar dari pakar industri adalah kepercayaan . Agensi digital seperti kami sekarang perlu memberikan bukti keamanan data dan kepatuhan GDPR — bahkan hingga kebijakan pelatihan staf untuk perlindungan data. Itu baru. Prioritas UE adalah untuk mendukung arus data dan inovasi yang aman, baik di dalam maupun di luar UE. Kepatuhan standar adalah solusi mereka untuk ini. Dan kami, sebagai desainer dan pengembang, memiliki peran penting untuk dimainkan.

  • Bagian 1: GDPR, Pembaruan Utama Dan Apa Artinya
  • Bagian 2: Persetujuan Cookie Untuk Desainer dan Pengembang

Bacaan lebih lanjut

  • Perlindungan Data, situs UE
  • Panduan ICO Inggris Tentang Cookie
  • Pelacak Penegakan GDPR, denda log yang diterapkan di bawah GDPR
  • Daftar Periksa GDPR, oleh Cyber-Duck (tempat yang bagus untuk memulai)
  • Ikhtisar Undang-Undang Perlindungan Data di Amerika Serikat, oleh ICLG
  • Panduan Perbandingan GDPR & CCPA, oleh DataGuidance dan Future of Privacy Forum
  • CCPA vs CPRA, dari IAPP
  • Keamanan Berdasarkan Desain (Amazon)
  • Cara Melindungi Pengguna Anda Dengan Privasi Dengan Kerangka Desain, Heather Burns, Smashing Magazine