GDPR dan Mitra

Apa yang perlu diketahui mitra tentang kepatuhan terhadap GDPR dalam Solusi Pemasaran Saluran kami.

Apa saja kewajiban privasi data saya ketika berpartisipasi dalam program Extu?

Ada empat kewajiban utama yang dimiliki mitra ketika menggunakan layanan Extu untuk mengirim materi pemasaran kepada pelanggan mereka:

Menetapkan dasar hukum untuk memproses informasi pribadi pada daftar Pelanggan.
Ini berarti Anda:
- telah memperoleh persetujuan tertulis dari penerima individu dalam daftar pelanggan Anda untuk menerima materi pemasaran dari Anda melalui tindakan yang jelas, diberikan secara bebas, dan diinformasikan secara lengkap, serta bersifat afirmatif.
- mengandalkan kepentingan yang sah sebagai dasar yang sah untuk menggunakan alamat email pada daftar pelanggan Anda dengan tujuan mengirim materi pemasaran setelah melakukan penilaian kepentingan yang sah yang terdokumentasi (misalnya, terdapat ekspektasi yang masuk akal dari penerima bahwa mereka akan menerima materi pemasaran karena hubungan bisnis yang sudah ada, dan dampak privasinya dinilai rendah). Silakan baca Bagaimana cara memastikan daftar pelanggan saya sesuai dengan GDPR? untuk informasi lebih lanjut.
Pemberitahuan Privasi harus memberikan informasi lengkap tentang pemrosesan data pribadi.
Sebagai pengendali daftar pelanggan Anda, pemberitahuan privasi Anda harus sesuai dengan persyaratan kewajaran dan transparansi menurut GDPR, dan mengungkapkan:
- Dasar hukum yang diandalkan untuk pengumpulan dan pemrosesan informasi pribadi, termasuk pemrosesan alamat email untuk tujuan pemasaran langsung. Dalam kebanyakan kasus, dasar hukum yang diandalkan adalah persetujuan atau kepentingan yang sah. Anda juga dapat mengandalkan dasar lain seperti pelaksanaan kontrak atau kewajiban hukum di mana Anda memproses informasi pribadi dalam menjalankan bisnis (misalnya, informasi kontak untuk menyediakan produk atau layanan kepada pelanggan tertentu).
- Informasi pribadi apa yang Anda bagikan dengan Extu (ini harus mencakup pemberitahuan bahwa alamat email pelanggan dan salinan faktur/kwitansi akan dibagikan untuk mengelola dan memvalidasi kampanye).
- Dengan siapa Anda berbagi informasi pribadi dan daftar prosesor pihak ketiga, yang mencakup Extu.
Langkah-langkah teknis dan prosedural yang tepat harus tersedia. Sistem Anda harus aman – ini termasuk memiliki perlindungan TI dan keamanan siber yang memadai, serta memiliki kendali internal, kebijakan, dan panduan yang baik mengenai pengumpulan, penggunaan, pembagian, dan penanganan informasi pribadi.
Be Extu’s partner in privacy. We need to work together to ensure we adhere to appropriate privacy standards and do our best to protect the personal information we collect and process in the course of sending marketing materials. We need to help each other address any privacy questions, complaints or requests, respond to a potential data breach and conduct privacy investigations or assessments. We are here to support you and you must immediately notify us:
- jika terjadi pelanggaran data terlepas apakah itu dugaan atau benar-benar terjadi
- jika Anda menerima permintaan akses subjek data
- jika Anda menerima pengaduan atau tuntutan dari pelanggan atau badan pengawas mengenai privasi atau informasi pribadi
- jika Anda memiliki pertanyaan atau kekhawatiran tentang privasi secara umum.

Bagaimana saya memastikan daftar pelanggan saya mematuhi GDPR?

Mitra harus mengaudit daftar pelanggan mereka dan menguji kepatuhan terhadap GDPR saat pertama kali bergabung dengan program ini dan secara berkala setelahnya. Meskipun Anda tidak tunduk pada GDPR, syarat dan ketentuan Extu mengharuskan Anda memiliki dasar hukum untuk memproses daftar pelanggan dan bagi Extu untuk menyediakan layanan pemasaran.

Mengaudit daftar pelanggan Anda berarti menilai alamat email dan informasi lain yang telah Anda kumpulkan dan memeriksa apakah Anda memiliki dasar hukum untuk pemrosesan tersebut. Jika Anda tidak memiliki dasar hukum untuk pengumpulan data tersebut, maka alamat email tersebut sebaiknya tidak dimasukkan dalam daftar pelanggan Anda.

Meskipun terdapat enam dasar hukum untuk pemrosesan berdasarkan GDPR, dasar-dasar yang paling mungkin diterapkan untuk pengumpulan dan penggunaan alamat email untuk tujuan pemasaran langsung adalah:

persetujuan; atau
kepentingan yang sah.

Tugas menganalisis aktivitas pemrosesan data Anda dan pemilihan dasar yang tepat merupakan tanggung jawab Anda sendiri. Jika Anda tidak yakin dasar hukum mana yang tercantum dalam GDPR yang berlaku untuk Anda, silakan berkonsultasi dengan penasihat hukum Anda untuk memastikan aktivitas pemrosesan benar-benar dapat dipertanggungjawabkan. Penting untuk diingat bahwa GDPR menegaskan prinsip ‘akuntabilitas’ yang berarti bahwa Anda harus dapat menunjukkan kepatuhan, oleh karenanya pencatatan yang cermat sangat penting untuk mendukung pembenaran ini.

Kantor Komisioner Informasi juga memiliki informasi lebih lanjut tentang dasar hukum, beserta alat bantu panduan interaktif dasar hukum untuk membantu Anda menentukan dasar yang berlaku.

Persetujuan

Jika suatu persetujuan diberikan berarti individu yang bersangkutan telah memberikan persetujuan mereka secara bebas, jelas, dan eksplisit terhadap pemrosesan data pribadi mereka untuk tujuan tertentu.

Saat Anda meninjau daftar pelanggan, Anda harus mempertimbangkan apakah persetujuan tersebut telah diberikan secara eksplisit dan apakah persetujuan tersebut masih berlaku. Persetujuan yang sah menurut GDPR:

harus diberikan secara bebas; ini berarti memberi orang pilihan dan kendali yang nyata kepada orang-orang atas cara Anda menggunakan data mereka.
harus jelas dan memerlukan tindakan positif untuk mendaftar. Permintaan persetujuan harus jelas, dipisahkan dari syarat dan ketentuan lainnya, singkat dan mudah dipahami, ramah pengguna, dan menggunakan sistem ‘opt-in’ yang berdasarkan inisiatif sendiri, bukan kotak yang telah dicentang sebelumnya atau ‘opt-out’.
harus secara khusus merinci nama pengendali, tujuan pemrosesan, dan jenis aktivitas pemrosesan.

Pastikan Anda menyimpan catatan yang membuktikan persetujuan – siapa yang memberikan persetujuan, kapan, bagaimana, dan apa yang diberitahukan kepada mereka.

Contoh persetujuan eksplisit meliputi:

opt-in melalui web atau formulir daring, asalkan kotak opt-in tidak dipilih sebelumnya secara default
Mengisi formulir offline yang jelas-jelas menunjukkan bahwa individu dapat ditambahkan ke daftar pelanggan pemasaran email Anda dan mereka telah secara jelas menyatakan kesediaan mereka untuk menerima email tersebut
Memberikan kartu bisnis mereka kepada Anda; dengan syarat bahwa 1) Anda telah secara tegas menyatakan bahwa dengan memberikan kartu bisnis mereka kepada Anda, mereka setuju untuk ditambahkan ke daftar pelanggan pemasaran email Anda; atau 2) mereka menambahkan kartu bisnis mereka ke dalam wadah atau tumpukan yang secara jelas menunjukkan bahwa dengan menambahkan kartu bisnis tersebut, mereka setuju untuk ditambahkan ke daftar pelanggan pemasaran email Anda. Dalam kedua-dua hal tersebut, Anda harus secara transparan menyampaikan dasar pemrosesan Anda melalui pemberitahuan privasi Anda.
Memberikan izin tertulis eksplisit lainnya kepada Anda untuk ditambahkan ke daftar pelanggan pemasaran email Anda sebelum Anda menghubungi mereka melalui email.

Informasi lebih lanjut tentang persetujuan dapat ditemukan di situs web Kantor Komisioner Informasi: ICO: Persetujuan dan Panduan tentang Persetujuan

Kepentingan yang Sah

Mungkin ada situasi di mana Anda dapat mengandalkan kepentingan sah Anda dengan pelanggan dan menerapkan pendekatan ‘soft opt-in‘.

Kepentingan yang sah dapat diandalkan jika pemasaran yang akan dilakukan adalah demi kepentingan sah bisnis Anda sendiri atau pihak ketiga, yang dapat mencakup vendor perangkat lunak, di mana terdapat alasan yang wajar bagi individu tersebut untuk mengharapkan pemrosesan tersebut dan kemungkinan dampak terhadap privasi akan minimal. Komisi Uni Eropa telah mengonfirmasi bahwa pemrosesan data pribadi untuk tujuan pemasaran langsung dapat dianggap dilakukan untuk kepentingan yang sah asalkan semua kriteria yang diperlukan telah dipenuhi.

Untuk mengandalkan kepentingan yang sah sebagai dasar pemrosesan yang sah, Anda perlu melakukan dan menyimpan catatan penilaian kepentingan yang sah. Situs web Kantor Komisioner Informasi memiliki contoh templat penilaian kepentingan yang sah yang dapat Anda gunakan sebagai panduan.

Setelah Anda menetapkan dan mencatat pembenaran Anda untuk kepentingan yang sah sebagai dasar pemrosesan yang sah, Anda dapat meninjau daftar pelanggan Anda untuk menentukan apakah ada alamat email yang memenuhi kriteria soft opt-in.

Soft opt-in hanya berlaku untuk pelanggan yang sudah ada (bukan calon pelanggan). Agar memenuhi syarat untuk disertakan dalam soft opt-in, alamat email harus diperoleh dalam proses penjualan produk atau layanan kepada orang tersebut.

Tidak ada batasan waktu hukum yang diberlakukan terkait soft opt-in, tetapi sebagai panduan, pembelian yang dilakukan dalam waktu enam hingga 24 bulan sejak tanggal peninjauan dapat dianggap sebagai jangka waktu yang wajar. Harap diingat bahwa harus ada ekspektasi yang wajar bahwa pelanggan akan memberikan persetujuan untuk menerima email pemasaran.

Informasi lebih lanjut mengenai kepentingan yang sah dapat ditemukan di situs web Kantor Komisioner Informasi: ICO: Kepentingan yang Sah dan Panduan tentang Kepentingan yang Sah.

Pertanyaan Umum

Mungkin. GDPR berlaku sejauh Anda:

adalah bisnis yang beroperasi di UE
menawarkan barang atau jasa kepada orang-orang di UE atau memantau perilaku orang-orang di UE
memproses informasi pribadi orang-orang di UE.

Meskipun GDPR tidak berlaku untuk bisnis Anda, Anda tetap berkewajiban untuk mematuhi undang-undang privasi setempat dan memastikan bahwa Anda mendapatkan persetujuan yang diperlukan dari pelanggan Anda terkait informasi pribadi yang Anda kumpulkan.

Anda juga berkewajiban berdasarkan Ketentuan Umum Layanan Extu untuk mematuhi beberapa persyaratan privasi data (baca Apa saja kewajiban privasi data saya saat berpartisipasi dalam program Extu?)

Informasi atau sumber daya tambahan tentang kewajiban privasi lokal Anda:

Sumber Daya Privasi Australia: Panduan ACMA dan OAIC dan OAIC GDPR
Sumber Daya Privasi AS: CAN-SPAM dan CCPA
Sumber Daya Privasi Kanada: CASL dan PIPEDA

ka Anda tidak dapat memberikan jaminan 100% bahwa daftar yang telah dibeli hanya terdiri atas individu yang telah memberikan persetujuan sesuai dengan GDPR, kami tidak mendukung mitra yang menggunakan daftar yang dibeli. Mitra sebaiknya tidak menggunakan alamat email yang disalin atau diambil dari Internet atau grup diskusi; dari daftar yang dibeli, dipinjamkan, atau disewakan; atau alamat email lain yang diperoleh tanpa (a) pilihan masuk dan persetujuan langsung dari penerima email atau (b) dasar hukum lain untuk pengumpulan, seperti kepentingan yang sah.

Menggunakan daftar pihak ketiga yang tidak memenuhi persyaratan dasar hukum untuk pengumpulan GDPR atau persyaratan persetujuan undang-undang privasi setempat merupakan pelanggaran terhadap syarat dan ketentuan Extu.

Kepatuhan terhadap GDPR merupakan langkah penting menuju peningkatan perlindungan data. Ini bukan tentang mencegah bisnis mengejar kepentingan komersial mereka. Extu telah bekerja keras untuk memastikan bahwa kami mendukung mitra kami dalam kepatuhannya terhadap GDPR (lihat PDB dan Extu) dan, sebagai pengendali dan pemroses data Anda dan data pelanggan Anda, kami selalu siap membantu. Meskipun kami berusaha sebaik mungkin untuk memastikan layanan yang kami diberikan sesuai dengan GDPR, Andalah yang memiliki dan mengendalikan daftar pelanggan Anda. Ini berarti sebagai pengendali data, Anda harus memastikan bahwa:

daftar pelanggan Anda terdiri atas individu yang memiliki dasar hukum untuk dikumpulkan
Anda memiliki pengungkapan yang memadai dalam pemberitahuan privasi Anda
Anda tahu apa yang harus dilakukan jika menerima permintaan privasi atau pengaduan
Anda menerapkan langkah-langkah teknis dan prosedural yang tepat.

Baca kewajiban mitra untuk informasi lebih lanjut.

Pengendali adalah pihak yang menentukan tujuan, kondisi, dan cara pemrosesan data pribadi, sedangkan pemroses adalah pihak yang memproses data pribadi atas nama pengendali. Mitra adalah pengendali informasi pribadi pelanggan mereka (termasuk daftar pelanggan Anda). Mengingat sifat layanan pemasaran digital multi-vendor yang disediakan langsung oleh Extu, kami juga dianggap sebagai pengendali berdasarkan GDPR.

Jika pengaduan atau permintaan tersebut berkaitan dengan data pribadi yang menjadi tanggung jawab Extu, Anda harus segera memberi tahu Extu melalui email kepada petugas privasi kami di privasi@extu.com. Anda juga perlu mempertimbangkan kewajiban lain terkait keluhan atau permintaan tersebut dan mempertimbangkan untuk mencari saran hukum mengenai langkah-langkah yang harus diambil.

Tidak. Anda adalah pemilik daftar Anda dan kami tidak akan membagikannya dengan sponsor tanpa izin tertulis dari Anda. Untuk dapat memberikan layanan kami kepada pelanggan Anda, kami harus diizinkan untuk mengakses dan menggunakan daftar Anda terlebih dahulu.

Data statistik, perilaku, dan data berbasis kinerja dalam bentuk teragregat dan tidak teridentifikasi. Kami juga dapat membagikan detail penjualan dan transaksi yang Anda kirimkan kepada kami melalui tanda terima/faktur untuk memvalidasi efektivitas kampanye pemasaran. Kami akan meminta persetujuan Anda sebelum membagikan data prospek kepada sponsor. Silakan baca persyaratan layanan dan pemberitahuan privasi kami untuk informasi lebih lanjut.

Kami dapat membagikan informasi pribadi (termasuk daftar pelanggan Anda) kepada pihak ketiga, tetapi hanya untuk tujuan menyediakan atau mengoptimalkan layanan sebagaimana ditetapkan dalam Pemberitahuan Privasi situs web kami. Daftar lengkap penyedia atau pemroses layanan pihak ketiga Extu dapat ditemukan di sini.

Penafian: Panduan ini merupakan panduan umum untuk beberapa persyaratan GDPR. Panduan ini bukan merupakan saran hukum atau pernyataan tentang langkah-langkah yang harus Anda ambil untuk memastikan kepatuhan Anda sendiri, dan Anda setuju untuk tidak menggunakan informasi yang diberikan di sini untuk kepatuhan Anda sendiri. Untuk informasi saran lengkap, silakan tinjau situs web Kantor Komisioner Informasi Inggris – Panduan untuk GDPR. Jika Anda memiliki pertanyaan tambahan, kami menyarankan Anda untuk meminta saran dari ahli hukum atau privasi.

Harap diperhatikan, berdasarkan perjanjian layanan Anda dengan Extu, Anda bertanggung jawab penuh untuk memberikan dan menyatakan keabsahan alamat email pelanggan Anda.