GDPR: Persyaratan Kebijakan Privasi

Diterbitkan: 2018-05-15

Mempersiapkan bisnis Anda untuk GDPR bukanlah tugas kecil, dan itu tidak berakhir ketika undang-undang tersebut mulai berlaku pada tanggal 25 Mei.

Langkah pertama: untuk bersiap-siap menghadapi GDPR, 25 Mei dan seterusnya, Anda dapat menunjuk seorang karyawan untuk mengawasi upaya kepatuhan dan memperbarui kebijakan privasi Anda. Ini bukan hanya persyaratan hukum — mereka juga meletakkan dasar yang baik untuk kepatuhan berkelanjutan dan dapat memengaruhi penjualan.

Tempatkan Seseorang yang Bertanggung Jawab atas Data

Petugas Perlindungan Data adalah peran formal yang diwajibkan oleh GDPR. Jika Anda adalah toko satu orang, ini milik Anda, jadi Anda perlu menyisihkan waktu untuk tetap mematuhinya. Baik Anda atau salah satu karyawan Anda, Anda harus menunjuk seseorang untuk bertanggung jawab atas strategi dan kepatuhan perlindungan data bisnis Anda, dan:

  • Putuskan bagaimana pelanggan harus membuat permintaan khusus privasi. Ini melalui formulir kontak di situs Anda atau melalui alamat email khusus (misalnya, [email protected] ).
  • Perbarui kebijakan privasi Anda dengan cara Anda menggunakan dan menyimpan data, dan alasannya . GDPR mengharuskan Anda untuk mengungkapkan informasi data. Bisakah Anda mengumpulkan lebih sedikit data pribadi? Berapa lama bisnis Anda perlu menyimpan catatan untuk pajak negara bagian/provinsi/federal? Kapan dan bagaimana Anda mencadangkan, dan pada akhirnya menghancurkan, catatan pelanggan dan pesanan? Untuk WordPress dan WooCommerce, ini termasuk meninjau praktik data plugin dan layanan yang diandalkan toko Anda. Semua informasi ini harus dipublikasikan sebagai Kebijakan Privasi Anda.
  • Mempersiapkan dan menanggapi permintaan penghapusan/permintaan akses . Pelanggan dapat meminta Anda menghapus data mereka, dan Anda harus mematuhinya.
  • Mempersiapkan dan menanggapi pelanggaran keamanan . GDPR mengharuskan Anda untuk segera mengungkapkan pelanggaran kepada pelanggan Anda.
  • Tetap ikuti perubahan di masa mendatang dalam undang-undang privasi yang mungkin memengaruhi bisnis Anda.

Cara Memperbarui Kebijakan Privasi Anda

Selain menjadi persyaratan GDPR, kebijakan privasi yang ditulis dengan baik dan mudah dipahami dapat membantu menutup penjualan dengan konsumen yang semakin sadar akan privasi. Menyusun kebijakan privasi untuk toko WooCommerce Anda melibatkan sedikit riset, sedikit penulisan, dan komitmen untuk meninjau kembali kebijakan tersebut dari waktu ke waktu.

Dimulai dengan WordPress 4.9.6, Anda akan dapat membuat atau menetapkan halaman di situs Anda sebagai kebijakan privasi toko Anda. Anda akan menemukan fitur baru ini di WP Admin > Pengaturan > Privasi:

Pengaturan Privasi di wp-admin

Jika Anda membuat halaman kebijakan privasi untuk pertama kalinya, WordPress akan menyediakan template untuk Anda mulai. Secara umum, kebijakan privasi yang baik menjawab pertanyaan berikut:

1. Data apa yang dikumpulkan toko ini tentang saya?

Mulailah dengan "menguji sendiri" toko Anda sendiri dan mencatat semua bidang (wajib atau opsional) di mana pelanggan diminta untuk memasukkan informasi atau membuat pilihan. Catat data pribadi yang jelas seperti nama dan alamat, bersama dengan hal lain yang Anda kumpulkan dari mereka saat mereka check out atau menjadi pengguna terdaftar di situs Anda.

Selanjutnya, lihat alat yang kurang eksplisit, seperti cookie atau analitik, yang digunakan situs Anda. Periksa plugin apa yang telah Anda instal dan tinjau informasi privasinya. Apakah plugin mengirim data ke luar negeri atau mungkin Uni Eropa? Itu hal lain yang perlu Anda ungkapkan kepada pelanggan.

Manfaatkan alat baru di WordPress untuk melihat pembaruan privasi dari plugin aktif: mulai dengan WordPress 4.9.6, plugin dapat mendaftarkan informasi privasi dengan WordPress itu sendiri, dan Anda akan melihat informasi itu di kotak khusus di dekat editor saat Anda mengedit halaman kebijakan privasi Anda di wp-admin. WordPress sendiri juga akan memberikan informasi tentang informasi yang dikumpulkannya dari pengunjung situs Anda, seperti komentar dan cookie.

Kotak informasi privasi baru memungkinkan untuk menyalin dan menempelkan informasi privasi dari WordPress dan plugin langsung ke kebijakan privasi Anda, di mana Anda dapat mengeditnya ke detail toko Anda. Namun, karena banyak bergantung pada pengaturan spesifik yang Anda gunakan dan bagaimana plugin berinteraksi satu sama lain, Anda akan ingin meninjau dan mengedit teks itu untuk memastikan itu tepat untuk toko Anda.

Jika plugin tidak memberikan informasi privasi, Anda dapat mengunjungi situs web pengembang atau menghubungi mereka secara langsung dan menanyakan tentang data apa yang dikumpulkan plugin mereka dari pengunjung situs Anda, jika ada, dan apa yang mereka lakukan dengannya.

2. Apa yang dilakukan toko ini dengan data saya dan mengapa?

Setelah mengetahui apa yang Anda kumpulkan, Anda perlu mencatat alasan Anda mengoleksinya.

Penjelasan untuk sebagian besar data yang Anda kumpulkan sederhana: Anda memerlukan alamat mereka untuk mengirimkan produk kepada mereka, atau Anda memerlukan alamat email mereka untuk memperbarui status pesanan mereka.

Jika Anda mengumpulkan data pribadi apa pun yang sebenarnya tidak Anda perlukan untuk memenuhi pesanan, Anda pasti ingin menjelaskan alasannya kepada pelanggan Anda dan memberi mereka sarana untuk memilih keluar dari "pemrosesan" semacam itu (lihat "Kotak centang tidak bukan satu-satunya cara” di bawah).

3. Dengan siapa toko ini membagikan data saya?

Di sini, sedikit penyelidikan terlibat — Anda akan ingin meninjau bagaimana data yang Anda kumpulkan digunakan. Beberapa jenis plugin lebih cenderung berbagi data:

  • Gateway pembayaran sering berbagi data dengan penyedia pembayaran untuk memproses pembayaran.
  • Ekstensi pengiriman sering kali berbagi data dengan penyedia pengiriman untuk menghitung tarif pengiriman atau mencetak label pengiriman.
  • Ekstensi pemasaran dan analitik sering membagikan data untuk menambahkan pelanggan ke daftar atau menganalisis perilaku mereka.

Pada dasarnya, jika sebuah plugin terhubung ke layanan eksternal, mereka cenderung berbagi beberapa jenis data dengan layanan itu. Anda sebaiknya meninjau kebijakan privasi layanan ini untuk memastikannya selaras dengan prioritas privasi Anda.

Menggunakan ekstensi dari pasar WooCommerce.com? Cari tahu persis bagaimana ekstensi kami — termasuk gateway pembayaran dan pengiriman — menggunakan dan menyimpan data.

4. Berapa lama toko ini menyimpan data saya?

Ada banyak alasan untuk menyimpan catatan, termasuk jika tagihan disengketakan oleh pelanggan, untuk pemeriksaan pajak, atau untuk masalah hukum lainnya. Meskipun undang-undang seperti GDPR memiliki “hak untuk menghapus”, Anda tidak diharuskan menghapus catatan yang Anda perlukan untuk aspek lain dari bisnis Anda .

Karena itu, kebijakan privasi Anda, di samping halaman syarat dan ketentuan Anda, harus menjelaskan kepada pelanggan berapa lama Anda menyimpan data pribadi mereka dan mengapa.

5. Bagaimana cara mengakses, memperbarui, atau menghapus data yang dikumpulkan?

Selain mengetahui apa yang Anda lakukan dengan data pribadi, pelanggan perlu mengetahui bagaimana mereka dapat memperbarui data mereka, termasuk:

  • Mendapatkan salinan data mereka
  • Memperbarui data mereka
  • Menghapus data mereka

Kebijakan privasi Anda harus memberikan petunjuk yang jelas kepada pelanggan tentang cara menghubungi Anda atau petugas privasi yang Anda tunjuk dengan permintaan ini. Jika Anda mengizinkan pelanggan Anda untuk mengedit beberapa informasi mereka sendiri, misalnya di bawah Akun Saya, Anda juga dapat menyebutkannya di sini.

Kotak centang bukan satu-satunya cara

Di bawah GDPR, ada beberapa pendekatan hukum untuk menangani data pribadi. Kebijakan privasi Anda harus menyatakan dengan dasar apa Anda melakukan setiap jenis pemrosesan data pribadi. Yang paling berlaku untuk situs eCommerce meliputi:

  • Persetujuan : Pengguna secara eksplisit memberikan persetujuan mereka untuk jenis pemrosesan tertentu dari data pribadi mereka (misalnya, persetujuan untuk berpartisipasi dalam riset pasar yang dilakukan oleh pihak ketiga).
  • Kebutuhan kontrak : Pemrosesan data pribadi diperlukan untuk memenuhi kontrak (misalnya, mengirimkan pesanan mereka).
  • Kepatuhan terhadap kewajiban hukum : Pemrosesan data pribadi diperlukan untuk alasan hukum (misalnya, NPWP).
  • Kepentingan yang sah : Pemrosesan data pribadi adalah perilaku bisnis yang sah dan diharapkan (misalnya, email tindak lanjut setelah mereka memesan produk lain yang mungkin mereka minati).

Bangun kebijakan privasi Anda selangkah demi selangkah

Itu daftar yang panjang, kami tahu! Selesaikan langkah demi langkah, dan jangan khawatir tentang membuat kebijakan privasi yang sempurna pada hari pertama. Menjaga kebijakan privasi Anda tetap segar dan mutakhir, terutama saat Anda menambahkan plugin — atau plugin menambahkan fitur — akan menjadi aktivitas berkelanjutan seperti halnya pemeliharaan bisnis lain yang Anda lakukan.

Selanjutnya? Panjang dan pendeknya permintaan Hak Akses.