Ini adalah panduan pemasar untuk GDPR, untuk memastikan kamu sepenuhnya tercakup dan mempunyai proses marketing kamu secara teratur saat berurusan dengan peraturan GDPR.
Daftar isi
- Sebelum Kamu Memulai Masuk Ke GDPR
- Langkah 1. Perbarui halaman kebijakan privasi kamu
- Langkah 2. Audit Database Kamu Saat Ini Untuk Persetujuan Keikutsertaan
- Langkah 3. Campaign Keikutsertaan Ulang Untuk Basis Data Saat Ini
- Langkah 4. Buat Proses Untuk Persetujuan Keikutsertaan
- Langkah 5. Dapatkan Tim Penjualan Bergabung
- Langkah 6. Tinjau Pihak Ketiga Yang Mempunyai Akses Ke Database Kamu
- Langkah 7. Miliki Proses Yang Efisien Untuk Permintaan Informasi
- Langkah 8. Bersiaplah Untuk Pelanggaran Keamanan
- Jangan panik. Dokumentasikan Proses Kamu.
Sebelum Kamu Memulai Masuk Ke GDPR
Apakah kamu menyimpan dan memproses data pribadi warga negara Uni Eropa?
Panduan ini ditujukan untuk pemasar yang bekerja di perusahaan di UE, dan yang memproses informasi tentang warga negara UE. Banyak perusahaan yang berbasis di luar UE juga bisa secara tidak sengaja memproses data yang berkaitan dengan warga negara UE – jadi langkah pertama bagi perusahaan tersebut adalah mengaudit data mereka dan menemukan apakah ada data yang terkait dengan warga UE. Setelah itu selesai dan kamu telah menemukan bahwa kamu memang benar-benar memproses data warga negara Uni Eropa, maka kamu juga harus mengikuti sisa panduan ini.
Kenali tim IT kamu
Dengan munculnya digital marketing dan solusi martech, seperti CRM dan software marketing inbound, tim marketing dan tim IT tidak pernah menjadi lebih dekat. Mayoritas kepatuhan GDPR berada di bawah tanggung jawab marketing dan IT. Dalam panduan ini, kita akan membahas item yang termasuk dalam marketing, tetapi kamu harus bekerja sama dengan departemen atau penyedia IT kamu untuk memastikan gambaran lengkapnya sempurna.
Departemen IT akan membutuhkan bantuan kamu untuk mencakup elemen yang sangat penting dari kepatuhan GDPR, seperti dimana data disimpan (di negara mana, apakah di server di tempat atau di cloud misalnya). Jika kamu bermigrasi ke cloud baru-baru ini, apakah ada cadangan server lama yang tergeletak di suatu tempat? Jika data versi lama disimpan di mesin lawas, kamu mungkin tidak menggunakannya, tetapi peretas berpotensi masih mengakses data tersebut.
Departemen IT juga harus bersiap untuk pelanggaran keamanan dan memastikan ada langkah-langkah keamanan di setiap langkah proses di mana data digunakan dan dibagikan, sehingga kamu harus bisa memberi mereka proses langkah demi langkah di mana data pelanggan diakses dan digunakan, termasuk software pihak ketiga yang digunakan.
Langkah 1. Perbarui halaman kebijakan privasi kamu
GDPR berisi peraturan ketat mengenai kebijakan privasi kamu – bagaimana itu harus ditulis, apa yang harus dikandungnya, dan bagaimana harus diakses.
- Meskipun kamu harus bekerja dengan tim hukum atau konsultan hukum kamu dalam menyusun kata-kata dalam kebijakan privasi kamu, peraturan GDPR menetapkan bahwa itu harus ditulis dalam bahasa yang “ringkas, transparan, bisa dipahami, dan mudah diakses, menggunakan bahasa yang jelas dan sederhana”,
- kamu harus memberikan “ikhtisar yang berarti tentang pemrosesan yang dimaksud” – bagaimana tepatnya kamu akan menggunakan data yang kamu kumpulkan
- Berikan identitas dan detail kontak pengontrol data dan petugas perlindungan data di organisasi kamu
- Jika kamu bermaksud untuk berbagi data dengan pihak ketiga, kamu harus mengidentifikasi organisasi tersebut dan perlindungan data yang diterapkan untuk melindungi data yang ditransfer
- Periode retensi yang dimaksudkan atau kriteria yang digunakan untuk menentukan periode tersebut
- Detail tentang hak akses dan koreksi atau penghapusan data pribadi (sebaiknya menautkan di sini ke halaman permintaan informasi yang tercakup dalam langkah 8 daftar periksa ini)
- Detail tentang hak untuk menarik persetujuan untuk setiap dan semua tujuan pemrosesan data
- Hak untuk mengajukan pengaduan kepada otoritas pengawas
- Rincian pengambilan keputusan otomatis, termasuk rincian logika yang digunakan dan konsekuensi potensial bagi individu. Ini adalah bagian yang berhubungan dengan penyedia software pihak ketiga yang diuraikan dalam langkah 6 dari daftar periksa ini.
Langkah 2. Audit Database Kamu Saat Ini Untuk Persetujuan Keikutsertaan
Mulailah dengan menentukan apakah kamu mempunyai persetujuan eksplisit untuk menggunakan perincian pribadi dari basis data kamu saat ini, dan untuk tujuan yang tepat mereka telah memberikan persetujuan agar data mereka digunakan. Pastikan persetujuan mereka untuk setiap tujuan didokumentasikan dan kemudian bagi database kamu ke dalam daftar terpisah berdasarkan persetujuan yang didokumentasikan berdasarkan tujuan, dan buat rencana ‘langkah selanjutnya’ untuk setiap daftar – menjangkau untuk mengkonfirmasi ulang persetujuan atau meminta persetujuan untuk tujuan berbeda yang kamu inginkan untuk (atau telah) menggunakan data mereka, tetapi kamu tidak mempunyai persetujuan eksplisit untuk itu. kamu mungkin perlu mengkonfirmasi ulang keikutsertaan dalam situasi berikut:
- Rincian kontak bersumber dari pihak ketiga
- Tidak ada keikutsertaan yang dicatat
- Keikutsertaan tidak spesifik (tidak secara eksplisit memberikan izin untuk setiap penggunaan data)
- Tidak ada pilihan untuk cara-cara tertentu yang kamu gunakan atau ingin menggunakan data untuk
- Dalam kasus di mana keikutsertaan dicatat tetapi kamu tidak terlibat untuk waktu yang lama, mungkin bijaksana untuk meminta keikutsertaan lagi
Langkah 3. Campaign Keikutsertaan Ulang Untuk Basis Data Saat Ini
Berdasarkan daftar yang kamu identifikasi di langkah 1, kamu sekarang harus membuat campaign yang menarik untuk meminta kontak untuk ikut serta atau memilih kembali untuk tujuan tertentu yang ingin kamu gunakan datanya.
Ini bukan prestasi yang mudah – terutama dengan kontroversi baru-baru ini atas Cambridge Analytica dan Facebook, sentimen konsumen mengenai privasi data pribadi mereka tidak pernah lebih tegang. Jadi, kamu harus dengan jelas menyampaikan manfaat kepada konsumen tentang mengapa mereka harus memberimu izin untuk menggunakan data mereka, serta menyampaikan bahwa perhatian penuh akan diambil untuk memastikan keamanan data mereka.
- Buat pesan yang tepat untuk setiap campaign
- Buat landing page yang menarik dan formulir keikutsertaan
- Jika relevan atau memungkinkan untuk bisnis kamu, tindak lanjuti email dengan panggilan telepon yang dipersonalisasi dari tim marketing atau penjualan. Persetujuan lisan untuk pertanyaan yang jelas pada panggilan yang direkam adalah bentuk keikutsertaan yang valid. Buat skrip untuk anggota tim yang melakukan panggilan ini.
Langkah 4. Buat Proses Untuk Persetujuan Keikutsertaan
Untuk setiap detail kontak baru, kamu menambahkan ke database kamu setelah audit kamu, kamu ingin memastikan ada proses untuk mengumpulkan tingkat keikutsertaan yang diperlukan untuk setiap kontak baru, dan detail mereka ditambahkan ke daftar yang sesuai berdasarkan pada keikutsertaan untuk tujuan tertentu.
Peraturan GDPR menetapkan bahwa persetujuan sekarang harus dikumpulkan oleh pelanggan yang secara aktif memilih ikut, bukan itu menjadi default dan mereka harus memilih keluar. Misalnya, ini berarti bahwa tanda centang untuk mengizinkan komunikasi penjualan dan marketing di akhir formulir kontak harus tidak dicentang secara default, dan pengguna harus mencentang kotak untuk ikut serta. Berikut adalah beberapa contoh cara agar orang bisa ikut serta secara aktif:
- Mencentang kotak centang keikutsertaan
- Mengklik tombol atau tautan keikutsertaan
- Memilih dari pilihan drop-down atau tombol ya/tidak
- Memilih pengaturan atau preferensi di dasbor akun mereka
- Menanggapi email yang meminta persetujuan
- Menjawab ya untuk permintaan persetujuan verbal yang jelas – secara langsung atau melalui telepon
- Menandatangani pernyataan persetujuan pada formulir kertas.
Persetujuan Keikutsertaan
- kamu juga memerlukan persetujuan keikutsertaan terpisah untuk SETIAP cara kamu ingin menggunakan data mereka – apakah itu penjualan, promosi, riset pasar, penargetan ulang daftar email, dll.
- Setelah kamu memutuskan proses keikutsertaan baru kamu, sesuaikan formulir berlangganan blog atau newsletter di website kamu untuk menyertakan keikutsertaan yang spesifik dan eksplisit untuk SETIAP cara kamu ingin menggunakan data
- Sesuaikan semua formulir (kontak, permintaan penawaran, permintaan demo, dll.) di website kamu untuk menyertakan keikutsertaan eksplisit tertentu
- Tautan ke kebijakan privasi kamu dari semua formulir
- Tawarkan cara yang jelas untuk berhenti berlangganan untuk setiap jenis kontak
- Jika kamu menyimpan salinan duplikat basis data untuk alasan apa pun, dokumentasikan proses di mana SEMUA informasi pelanggan bisa dihapus dari setiap salinan jika penolakan diminta untuk semua atau jenis kontak tertentu
- Latih semua anggota tim yang ada dan baru tentang pentingnya mengikuti prosedur ini.
Dengan tool marketing, inovasi, strategi, atau ide baru, akan selalu ada diskusi tentang bagaimana hal itu akan berdampak pada laba bisnis. kamu sekarang perlu membiasakan juga menanyakan bagaimana setiap proyek, tool, atau proses baru akan mencakup dan mempengaruhi pengumpulan, pemrosesan, dan penyimpanan data pribadi kamu.
Langkah 5. Dapatkan Tim Penjualan Bergabung
Jika bisnismu adalah bisnis lead-gen (sebagai lawan dari ritel atau e-commerce), marketing kemungkinan akan membawa prospek dan meneruskannya ke tim penjualan untuk konversi.
Di masa lalu, tim penjualan kamu mungkin telah mengambil basis data yang menyediakan email mereka untuk mengunduh konten yang dilindungi undang-undang atau berlangganan buletin dan menghubungi mereka dengan promosi penjualan atau tawaran uji coba atau demo gratis, tetapi di bawah GDPR, kecuali jika mereka memberikan secara eksplisit persetujuan tim penjualan untuk menghubungi mereka, praktik ini tidak lagi diizinkan.
Tim penjualan mungkin tidak begitu aktif pada peraturan GDPR yang akan datang, berpikir bahwa peraturan tersebut tidak akan berdampak pada kehidupan kerja sehari-hari mereka, tetapi ketika sekarang ada sebagian besar database perusahaan yang tidak boleh mereka hubungi, nomor prospek mereka akan terlihat jauh lebih kurus. Dan mereka harus memahami konsekuensi dari melanggar aturan ini dan tetap menghubungi orang-orang itu.
Adakan pelatihan GDPR untuk tim penjualan untuk:
- Persiapkan mereka untuk pengurangan jumlah prospek
- Didik mereka tentang konsekuensi ketidakpatuhan terhadap GDPR
- Beri tahu mereka prospek mana yang bisa mereka ikuti. Bantu mereka memahami proses keikutsertaan kamu dan mengetahui di mana menemukan informasi itu
- Ajari mereka tentang cara mendapatkan dan mencatat persetujuan keikutsertaan saat berjejaring, berinteraksi dengan calon pelanggan, atau di LinkedIn
- Tinjau proses bagaimana prospek ditransfer dari marketing ke penjualan dan bekerja dengan IT untuk memastikan semua langkah di jalur itu aman
Langkah 6. Tinjau Pihak Ketiga Yang Mempunyai Akses Ke Database Kamu
Dengan pihak ketiga mana kamu berbagi data? Bagaimana mereka menggunakannya? Apa kebijakan GDPR mereka?
- Tinjau semua mitra yang mengakses data pelanggan kamu. Apakah mereka membutuhkan akses? Untuk apa mereka menggunakannya? Cabut akses jika diperlukan
- Hubungi semua mitra eksternal yang masih harus mengakses database kamu dan konfirmasikan bahwa proses kerja mereka aman dan sesuai dengan GDPR
- Hal yang sama berlaku untuk penyedia software tempat kamu memasukkan atau melalui mana kamu mengumpulkan data pelanggan. Tanyakan di mana mereka menyimpan data (negara) dan jika ada yang perlu kamu tambahkan ke kebijakan privasi kamu terkait software
Untuk Agen Marketing
Ini bekerja secara terbalik juga. Jika kamu seorang pemasar digital di sebuah agensi dan bukan in-house, kemungkinan besar kamu adalah salah satu dari pihak ketiga yang menangani database banyak perusahaan.
kamu mungkin, misalnya, mempunyai klien yang berbagi dengan kamu dokumen, file excel, akses CRM, atau akses CMS website yang menunjukkan kepada kamu data pribadi pelanggan mereka – alamat email, informasi transaksi, nama, alamat, email, nomor telepon. Ini bisa untuk tujuan pelaporan, atau kamu bisa, misalnya, meng-upload daftar email basis data mereka ke marketing campaigns ulang Google Ads (AdWords) atau campaign RSLA.
Audit transaksi kamu dan tingkat akses untuk setiap klien, dan di mana kamu menemukan kamu mempunyai akses ke data pribadi:
- Minta agar tingkat akses kamu ke software tempat kamu bisa mengakses data pribadi diubah agar hanya memungkinkan kamu melihat apa yang kamu perlukan – misalnya nomor transaksi dan pendapatan tanpa lampiran data pribadi apa pun
- Beri pemilik klien akses ke hal-hal seperti Google Ads (AdWords) (jika mereka belum mempunyainya) dan uji mereka untuk meng-upload daftar basis data mereka sendiri sehingga kamu tidak perlu lagi menangani dan memproses data tersebut.
Langkah 7. Miliki Proses Yang Efisien Untuk Permintaan Informasi
Aturan GDPR menetapkan bahwa kamu harus bisa memberikan tanggapan penuh atas permintaan informasi selambat-lambatnya dalam waktu satu bulan. Dengan ‘tanggapan penuh’ ini harus mencakup:
- Data apa yang sedang direkam tentang individu?
- Di mana data itu disimpan
- Untuk tujuan apa kamu merekam dan menggunakan data
- Untuk berapa lama kamu berniat untuk menyimpannya
- Daripada mengkhawatirkan permintaan ini, siapkan proses yang disederhanakan untuk mengambil data ini. Jika kamu menggunakan CRM atau software otomatisasi marketing, dengan bantuan departemen IT kamu, kamu harus bisa menyederhanakan dan mengotomatisasi proses
- Buat landing page di website kamu dengan formulir permintaan informasi
- Tetapkan anggota (atau anggota) tim yang bertanggung jawab untuk memeriksa permintaan, menarik data (dari tool otomatisasi jika memungkinkan) dan merespons dalam waktu satu bulan
- Draf email tanggapan template tempat data individual bisa ditambahkan, yang juga mencakup opsi untuk berhenti berlangganan atau mengelola tingkat persetujuan, serta opsi untuk memperbarui atau menghapus data.
Langkah 8. Bersiaplah Untuk Pelanggaran Keamanan
Sementara tim IT kamu akan mengambil bagian terbesar dari pekerjaan dalam mencegah, mempersiapkan dan menangani pelanggaran keamanan teknis, seringkali marketing dan customer service berada di garis depan untuk mengajukan keluhan dan pertanyaan pelanggan ketika pelanggaran keamanan menjadi berita utama.
- Siapkan dokumen komunikasi krisis boilerplate yang menangani kemungkinan pelanggaran keamanan, termasuk:
- Dokumen proses termasuk titik kontak, nomor kontak darurat, juru bicara, dll.
- Draft pernyataan media, blog, dan pembaruan media sosial
- Draf skrip dan tanggapan singkat untuk pertanyaan pelanggan lapangan melalui telepon atau media sosial
- Setelah pager menguraikan langkah-langkah yang diambil oleh semua departemen untuk mematuhi GDPR dan keamanan IT
- Dokumen Tanya Jawab
Jangan panik. Dokumentasikan Proses Kamu.
Meskipun ada banyak berita utama yang mengkhawatirkan tentang GDPR, terutama bahwa denda untuk ketidakpatuhan terhadap peraturan GDPR sama dengan 4% dari pendapatan global tahunan atau €20 juta, ingatlah bahwa ini adalah denda maksimum , dan kemungkinan akan dicadangkan untuk pelanggaran berulang .
Jika kamu mengikuti panduan di atas dan mendokumentasikan proses kamu, kamu bisa menunjukkan bahwa kamu melakukan yang terbaik untuk mematuhi peraturan. Kami juga menyarankan agar kamu tidak menganggap daftar periksa ini sebagai nasihat hukum – kamu harus bekerja dengan tim IT dan tim hukum kamu untuk memastikan tidak ada ujung yang longgar terkait kepatuhan.
