Setelah bertahun-tahun menunggu, akhirnya DPR RI mensahkan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) pada September 2022 lalu. Dengan undang-undang ini, masyarakat sebagai pengguna mendapatkan jaminan lebih tinggi terhadap keamanan data mereka.
Sebaliknya, dunia bisnis juga harus semakin ketat dalam mengelola data pelanggan. Salah kelola dapat menimbulkan kerugian materi bagi bisnis. Lebih dari itu, reputasi baik yang Anda bangun bertahun-tahun bisa hancur dalam hitungan hari.
Sebagai pengelola bisnis, terutama jika Anda masuk bisnis online, Anda tidak dapat beroperasi tanpa mengumpulkan data tentang pelanggan. Data-data yang sifatnya pribadi, seperti alamat rumah pelanggan, detail kartu kredit atau bank, nomor telepon, kata sandi akun, dan riwayat pembelian dibutuhkan untuk proses bisnis yang lebih lancar.
Lebih dari itu, Anda juga mengumpulkan data untuk meningkatkan pengalaman pelanggan (customer experience) Anda. Tujuannya untuk mengoptimalkan penawaran dan menayangkan iklan yang dipersonalisasi.
Melangkah lebih jauh, Anda juga mengumpulkan data teknis soal perilaku tiap pelanggan di situs web atau aplikasi, seperti alamat IP, navigasi dalam situs, hingga cookies.
Dengan banyaknya data pelanggan itu, berarti Anda bertanggung jawab atas keamanan data mereka. Untuk menjaga transparansi, Anda harus menjelaskan banyak hal ke pengunjung situs web, karena mereka perlu tahu persis apa yang Anda kumpulkan dari mereka.
Ingat, dengan adanya Undang-Undang (UU) Perlindungan Data Pribadi, Anda harus mengungkapkan apa yang Anda lakukan dengan informasi milik mereka. Ini adalah salah satu alasan mengapa kebijakan privasi (privacy policy) sangat penting.
Jika Anda belum membuatnya, baca tulisan ini sampai akhir dan praktekkan segera sebelum ada pelanggan yang mempertanyakannya.
Blog terkait:
Apa itu Kebijakan Privasi?
Kebijakan privasi adalah dokumen hukum yang memberikan informasi kepada pengunjung situs tentang bagaimana bisnis mengumpulkan dan mengelola data pribadi yang sensitif dari setiap orang yang berinteraksi dengan bisnis tersebut.
Secara umum, kebijakan privasi berbicara tentang pengumpulan, penggunaan, kerahasiaan, dan keamanan. Lebih khusus lagi, mencakup:
- Informasi apa yang dikumpulkan situs web Anda (dan penyedia pihak ketiga) tentang pengunjung dan pelanggan—termasuk penggunaan cookie atau perangkat lunak pelacakan lain.
- Tujuan Anda mengumpulkannya secara spesifik.
- Bagaimana data itu digunakan—termasuk dalam kondisi apa data itu akan dibagikan atau dibuka.
- Bagaimana data disimpan dan tindakan apa yang dilakukan untuk melindunginya
- Bagaimana pengguna dapat mengakses, meninjau, atau menolak keakuratan informasi yang dikumpulkan.
- Bagaimana pengguna dapat berhenti dari pengumpulan atau distribusi data jika mereka menginginkannya.
Kebijakan privasi biasanya dianggap sebagai bagian dari Syarat & Ketentuan (S&K) di situs web, meskipun pemilik bisnis harus membuat perjanjian terpisah soal ini.
Menggabungkan perjanjian kebijakan privasi Anda dalam S&K akan berpotensi menimbulkan protes dari konsumen yang mengklaim bahwa mereka tidak menemukannya.
Kenapa bisnis perlu kebijakan privasi?
Seperti halnya dengan kebijakan penukaran & pengembalian uang, ada alasan bisnis dan hukum untuk memiliki kebijakan privasi.
Alasan utama adalah untuk mempromosikan transparansi dan membangkitkan kepercayaan pada pengunjung dan lead Anda. Saat Anda tidak menampilkan kebijakan privasi secara jelas, lead mungkin akan curiga dan berpikir dua kali untuk berbisnis dengan Anda.
Bahkan, pelanggan kerap langsung menutup halaman situs web yang tidak mencantumkan kebijakan privasi. Mereka lebih memilih bertransaksi dengan pesaing Anda yang memiliki kebijakan privasi yang jelas.
Anda harus ingat, konsumen, terutama yang bertransaksi online, memiliki hak untuk mengkhawatirkan keselamatan dan keamanan informasi pribadi mereka.
Terlebih lagi, sistem algoritma Google akan 'menghukum' Anda jika tidak memiliki kebijakan privasi. Beberapa platform pihak ketiga yang mungkin Anda integrasikan dengan situs web atau aplikasi, misalnya payment gateaway, akan mengharuskan Anda untuk memiliki kebijakan privasi sebelum mereka mengintegrasikan sistem mereka dengan sistem Anda.
Dari sisi hukum, kebijakan privasi melindungi Anda dari kemungkinan tuntutan hukum. Misalnya, jika pelanggan mencoba menuntut situs web atau aplikasi Anda, Anda akan dapat menunjukkan bahwa Anda memiliki kebijakan yang dapat diakses dan mengungkapkan apa yang Anda lakukan dengan informasi pelanggan.
Baca juga:
Cara membuat kebijakan privasi
Penting untuk memahami apa yang diatur dalam UU Perlindungan Data Pribadi. Namun, kalau perusahaan telah mematuhi regulasi perlindungan data pribadi Uni Eropa (GDPR), Anda mungkin telah mematuhi sebagian besar undang-undang privasi lainnya, termasuk regulasi di Indonesia.
Undang-undang Perlindungan Data Pribadi, seperti halnya produk hukum lain, memang sarat akan bahasa hukum yang sulit kita pahami. Jadi, ada baiknya untuk berkonsultasi dengan ahli hukum, atau setidaknya rekan Anda yang mengerti soal hukum terlebih dahulu.
Atau, jika bisnis Anda dalam kategori Usaha Mikro, Kecil, dan Menengah, Anda dapat melihat aturan kebijakan privasi dari bisnis lain yang lebih besar dan sudah lebih dahulu membuatnya.
Tapi jangan lupa, setelah Anda melihat kebijakan privasi bisnis lain, Anda tetap harus mengkonsultasikannya dengan orang yang paham hukum agar kebijakan privasi yang Anda buat sesuai dengan konteks bisnis Anda.
Apa isi kebijakan privasi?
Secara sederhana, kebijakan privasi berisi delapan poin yang menjelaskan hak atas data pribadi pelanggan:
- Hak untuk diberitahu
- Hak akses
- Hak untuk memperbaiki
- Hak untuk menghapus
- Hak untuk membatasi pemrosesan data
- Hak untuk portabilitas data
- Hak untuk menolak
- Hak dalam kaitannya dengan pengambilan keputusan otomatis
Tidak semua hak ini akan berlaku untuk bisnis Anda, tetapi Anda harus membiasakan diri dengannya. Yang benar-benar berlaku harus dijabarkan dengan jelas dan mendetail dalam kebijakan privasi Anda.
Jika kita melihat Better Business Bureau A.S., mereka memiliki "lima prinsip inti perlindungan privasi", yaitu:
- Pemberitahuan/kesadaran
- Pilihan/persetujuan
- Akses/partisipasi
- Integritas/keamanan
- Penegakan/ganti rugi
Poin-poin tersebut mungkin berguna dalam membantu Anda menyusun kebijakan Anda, atau setidaknya dalam memastikan Anda memenuhi semuanya.
Tiap bisnis memiliki keunikannya dan kebutuhannya masing-masing. Yang penting adalah Anda menutupi semua potensi kekhawatiran yang ada di benak konsumen tentang privasi mereka saat bertransaksi dengan Anda.
Berikut ini kami rangkumkan isi kebijakan privasi yang paling umum beserta contohnya:
1. Pembuka kebijakan privasi
Anda dapat memulai kebijakan privasi dengan pernyataan singkat tentang siapa perusahaan Anda, termasuk nama dan alamat resmi bisnis Anda.
Anda juga dapat membukanya dengan menjelaskan tujuan dokumen dan menawarkan ringkasan tentang apa yang diatur.
Selain itu, ada juga kebijakan privasi yang diawali dengan pernyataan niat untuk menghormati dan melindungi privasi pengunjung dan pelanggan. Buatlah pernyataan seperti, “Privasi Anda penting bagi kami! Kami berjanji untuk tidak menjual, menyalahgunakan, atau mengeksploitasi informasi apa pun yang Anda berikan kepada kami.”
Kebijakan privasi Tokopedia misalnya, dimulai dengan pernyataan komitmen perusahaan dalam melindungi data pribadi pelanggannya.
2. Informasi pribadi apa yang Anda kumpulkan dan proses?
Alamat email, alamat pengiriman, nomor kartu kredit, detail bank, detail KTP, tanggal lahir, nomor telepon, alamat IP, kata sandi login, riwayat pembelian, tanggal dan waktu akses situs, durasi sesi, tampilan halaman, tampilan produk, situs rujukan, perangkat yang digunakan, dan banyak lagi.
Daftar data yang Anda kumpulkan mungkin sangat panjang. Namun, tak peduli seberapa banyak data yang dikumpulkan, Anda harus mencantumkannya dengan jelas.
Definisi Undang-Undang Perlindungan Data Pribadi tentang "data pribadi" cukup luas sehingga Anda dapat mempertimbangkan untuk membagi data yang Anda kumpulkan menjadi dua jenis berbeda: "data yang Anda berikan kepada kami" dan "data yang dikumpulkan oleh situs web kami", atau data yang diberikan secara langsung dan tidak langsung.
Perusahaan e-commerceBlibli misalnya, membagi datanya ke dalam dua kategori, data yang diberikan pengguna dan data yang dikumpulkan secara otomatis.
Manfaat kategorisasi ini adalah untuk memberi Anda kesempatan menjelaskan bagaimana Anda memperlakukan data secara berbeda tergantung asal informasi tersebut didapatkan.
3. Pertimbangkan paragraf atau bagian terpisah untuk kebijakan cookie Anda.
Jika Anda mengolah data untuk keperluan mengelola hubungan pelanggan, Anda akan menggunakan data yang disimpan di browser web pengunjung.
Data tersebut bisa untuk beragam tujuan, misalnya menyesuaikan pengalaman situs mereka, melacak kebiasaan penjelajahan, mempermudah mereka untuk masuk, mengingat produk apa yang mereka tambahkan ke keranjang belanja, atau agar Anda dapat menayangkan iklan yang dipersonalisasi kepada mereka.
Apapun tujuan Anda menggunakan data pelanggan, mereka harus mengetahuinya secara jelas.
Shopee misalnya. Dalam kebijakan privasinya, mereka menjelaskan tujuan penggunaan cookie yang disimpan di perangkat penggunanya.
4. Mengapa Anda mengumpulkan dan memproses data itu?
Anda mengumpulkan data, mungkin dengan bantuan toolsanalitik, untuk berbagai alasan. Dan semuanya, tentu saja, harus dapat dibenarkan secara hukum. Sebagai bisnis online, dasar hukum Anda untuk mengumpulkan informasi mungkin termasuk dalam salah satu kategori berikut:
- Persetujuan (bila, misalnya, pengguna berlangganan email Anda)
- Kebutuhan kontrak (ketika Anda tidak dapat memproses transaksi mereka tanpa data pembayaran)
- Minat yang relevan (ketika Anda menyimpan alamat email mereka untuk menindaklanjuti produk yang mungkin mereka minati setelah mereka melakukan pemesanan)
- Kepatuhan dengan kewajiban hukum (ketika Anda mencurigai adanya transaksi penipuan)
Tentu saja, Anda tidak harus menggunakan istilah hukum dalam kebijakan privasi Anda dan kami sebenarnya tidak menyarankannya, karena menurut hukum, kebijakan privasi Anda juga harus dapat dibaca.
Begini cara JD ID menjabarkan tujuan pengumpulan data pribadi pelanggannya:
5. Berapa lama Anda menyimpan data?
Ada banyak alasan untuk menyimpan catatan; tetapi secara hukum, Anda tidak dapat menyimpan data pribadi lebih lama dari yang Anda butuhkan. Ini adalah prinsip "pembatasan penyimpanan" yang dianut di GDPR (Regulasi Perlindungan Data Umum di Eropa).
Beri tahu pengguna berapa lama Anda akan menyimpan data mereka, dan konfirmasikan data mana yang hanya "dilewati" tetapi tidak disimpan.
Misalnya, jika informasi kartu kredit dikumpulkan dan disimpan oleh payment gateaway Anda dan bukan oleh situs web Anda, beri tahu pengunjung tentang hal ini.
Memang terkadang perusahaan sulit untuk menentukan batas waktu berapa lama data pelanggan disimpan dan memang tidak ada aturan yang mengatur hal ini secara jelas.
Tapi intinya, Anda sebaiknya memberi jangka waktu dan memberi tahu alasan retensi dalam jangka waktu tersebut. Apakah Anda perlu menyimpan catatan untuk pajak? Apakah payment gateaway Anda menyimpan informasi kartu kredit untuk penggunaan di masa mendatang?
6. Dengan siapa Anda berbagi data?
Bisnis Anda diizinkan untuk membagi informasi pribadi dengan pihak ketiga selama dilakukan secara legal dan transparan. “Transparan”, tentu saja, berarti Anda harus memberikan detail kepada pengunjung tentang pembagian tersebut.
Anda mungkin berbagi data kartu kredit dengan payment gateway, alamat dengan perusahaan logistik, dan data demografis dengan platform pemasaran pihak ketiga. Semua harus dijelaskan secara gamblang di kebijakan privasi Anda.
Poin ini sangat krusial dalam kebijakan privasi. Sebab, Anda, pada akhirnya, tidak akan memiliki kendali atas penggunaan data pribadi pelanggan oleh pihak ketiga. Untuk itulah, Anda harus mengatakan sedetail mungkin dalam kebijakan privasi Anda. Batasi tanggung jawab Anda di depan.
Di sisi lain, Anda memiliki tugas untuk memilih platform pihak ketiga yang mumpuni dan memiliki komitmen tinggi terhadap perlindungan data pelanggan Anda.
Di Zoho misalnya, Zoho sejak awal tidak pernah, dan tidak akan pernah, memiliki model bisnis yang mendapatkan profit dari iklan dan laba. Kami menolak cookie pihak ketiga dari perangkat lunak kami karena data pelanggan adalah milik mereka, bukan milik kami—atau orang lain.
Anda dapat membaca kebijakan privasi Zoho yang sangat lengkap di sini.
7. Bagaimana Anda mengamankan data?
Tenangkan pikiran pengunjung dan pelanggan dengan memberi tahu mereka langkah-langkah yang telah Anda ambil untuk melindungi informasi mereka.
Mulailah dengan membuat daftar langkah-langkah keamanan yang dimiliki platform Anda. Teknologi apa yang digunakan (SSL, enkripsi, kata sandi aman, firewall, dll), dan teknologi apa yang sesuai? Kemudian lanjutkan ke payment gateway Anda.
Seperti yang dilakukan Uniqlo dalam situs webnya, mereka mencantumkan langkah antisipasi agar tidak terjadi kebocoran data pribadi pelanggan mereka.
8. Bagaimana cara pengguna memilih?
Jika pengunjung dapat menarik persetujuan yang telah mereka buat, jelaskan langkah-langkah yang harus mereka ambil untuk melakukannya—dan ingatkan mereka tentang konsekuensi jika memilih untuk tidak ikut (misalnya, jika pengunjung menonaktifkan cookie browser, ini dapat menghambat fitur situs tertentu seperti memori keranjang).
Jangan lupa juga untuk memberi tahu mereka bagaimana mereka dapat mencabut data mereka, mengakses dan meninjau data pribadi mereka, bagaimana mereka dapat meminta perubahan (atau koreksi, atau penghapusan) data tersebut, dan bagaimana mereka dapat menghubungi Anda untuk mengajukan keluhan.
Inilah cara Zalora melakukannya:
9. Memastikan konsumen melihat kebijakan privasi Anda
Sebagian besar bisnis yang merambah online "menampilkan" kebijakan privasi mereka melalui tautan kecil di footer situs.
Dari perspektif hukum, lebih baik meminta pengguna untuk mengklik tombol "setuju" atau "persetujuan" untuk memberi tanda bahwa mereka telah membaca kebijakan privasi Anda.
Saat ini banyak situs web sudah melakukannya dengan memunculkan pop up notifikasi soal cookies dan kebijakan privasi saat pengunjung pertama kali membuka situs tersebut.
Penutup
Demikianlah 9 poin penting yang wajib ada di daftar kebijakan privasi Anda. Sekali lagi, ada baiknya Anda konsultasikan hal tersebut ke orang yang benar-benar mengerti hukum.
Dengan adanya Undang-Undang Perlindungan Data Pribadi, bisnis tidak dapat bermain-main lagi dengan data pelanggan mereka. Salah penanganan akan berakibat fatal untuk masa depan bisnis.
Tentu saja, semua ini hanyalah kata-kata jika Anda tidak memiliki komitmen kuat dalam kebijakan privasi Anda. Sebelum situs Anda ditayangkan, pastikan Anda memiliki langkah-langkah kepatuhan, dan Anda tahu bagaimana merespons jika terjadi pelanggaran keamanan.
Sekarang, kami telah membahas hampir semua kebijakan yang dapat Anda terapkan untuk situs e-commerce Anda. Mulailah dari hal yang paling kecil untuk melindungi bisnis Anda di masa depan.
Kadang hal ini gak terlalu diperhatikan, pdahal penting banget..
Makasih min informasinya
Terima kasih atas informasinya. Dalam berbisnis harus memiliki strategi juga kebijakan privasi agar menjaga kepercayaan pelanggan terutama dalam ketransparan-an regulasi. Tidak hanya itu, tetapi Jasa Buat Kartu Nama juga dapat membantu memasarkan branding bisnis terutama industri kreatif.