Masalah privasi data dan peraturan terkait adalah beberapa tantangan terbesar yang dihadapi perusahaan saat ini. Sedangkan perusahaan yang terkena dampak GDPR telah merasakan gelombang awal denda, persyaratan, dan standar, privasi sekarang menjadi masalah internasional.
AS telah mulai bergerak menuju regulasi privasi revolusioner. Dengan undang-undang yang disahkan di California dan Nevada serta rancangan undang-undang di banyak negara bagian lain, perusahaan diperkirakan akan terkena dampaknya dalam beberapa bulan mendatang.
Artikel ini merinci bagian-bagian penting dari undang-undang / undang-undang peraturan privasi masing-masing negara bagian — termasuk siapa yang mereka cakup, saat berlaku, hukuman, bagaimana mencapai kepatuhan serta mengapa negara bagian mengambil langkah-langkah di hadapan pemerintah federal untuk melindungi pribadi konsumen data.
Undang-Undang Privasi Konsumen California
Sebagai salah satu undang-undang privasi pertama yang disahkan setelah GDPR, CCPA bertindak sebagai cetak biru untuk tagihan lain di AS. Efektif 1 Januari 2020, CCPA berlaku untuk bisnis yang mengumpulkan/memproses data pribadi penduduk California atau melakukan bisnis di California. Bisnis ini tunduk pada CCPA jika mereka:
- Melebihi pendapatan kotor $25 juta
- Beli, terima, jual, atau bagikan (total gabungan) informasi pribadi dari 50.000 atau lebih rumah tangga konsumen, atau perangkat
- Dapatkan 50% atau lebih pendapatan tahunan dari penjualan informasi pribadi konsumen
CCPA memberikan hak kepada konsumen yang serupa dengan GDPR, termasuk pengungkapan informasi pribadi dan permintaan data pribadi. Bisnis diharuskan untuk menanggapi permintaan konsumen yang dapat diverifikasi dengan informasi, seperti kategori dan data informasi pribadi, pihak ketiga, dan kategori pihak ketiga yang berbagi data, dan lagi.
Bagian, yang dikenal sebagai Permintaan Subjek Data (DSR) memberikan pengguna akses ke opsi penghapusan untuk informasi pribadi mereka. Selain itu, CCPA mengharuskan bisnis menampilkan tautan "Jangan jual informasi pribadi saya" di beranda mereka. CCPA akan ditegakkan oleh Jaksa Agung dan mencakup denda hingga $7.500 untuk setiap pelanggaran individu.
Hukum Privasi Nevada
Undang-undang privasi Nevada ditandatangani pada 29 Mei 2019, dan diberlakukan pada 1 Oktober 2019, tiga bulan sebelum CCPA yang lebih terkenal. Undang-undangnya sangat mirip tetapi memiliki perbedaan besar dalam bagaimana "penjualan" didefinisikan. Hukum Nevada lebih sempit, tidak mencakup semua penyedia layanan dan lebih lunak terhadap lembaga keuangan. Menurut InfoLawGroup, hukum CCPA dan Nevada serupa karena keduanya mengharuskan “bisnis untuk membuat proses untuk memverifikasi keabsahan permintaan penyisihan konsumen dan mengharuskan bisnis untuk menanggapi permintaan tersebut dalam waktu 60 hari.” Mirip dengan California, penegakan Nevada terletak pada Jaksa Agung dan mencakup denda hingga $ 5.000 per pelanggaran.
RUU Privasi New York
Pada Mei 2019, Senator Negara Bagian New York Kevin Thomas memperkenalkan salah satu tagihan paling revolusioner dalam privasi data. Persyaratannya standar dan mencakup kemampuan warga untuk mengakses, mengoreksi, menghapus, dan menyimpan data pribadi mereka dari pihak ketiga.
Namun, ketentuan yang lebih ekspansif ditambahkan, seperti kewajiban terhadap pendataan fidusia dan hak warga untuk mengajukan gugatan kepada perusahaan jika dirugikan karena suatu pelanggaran. Hak tindakan pribadi ini adalah salah satu titik pemisah terbesar dari peraturan lain dan dapat mendorong konsumen untuk mengejar perusahaan yang tidak patuh. RUU ini juga lebih luas dari CCPA, mencakup perusahaan mana pun yang menyimpan "data sensitif penduduk New York", tanpa persyaratan pendapatan untuk entitas yang dilindungi.
Dengan undang-undang yang disahkan di dua negara bagian, RUU yang diusulkan di negara bagian lain, dan sembilan negara bagian yang meloloskan undang-undang pemberitahuan pelanggaran data baru, kami menyaksikan awal dari perubahan besar-besaran menuju perlindungan data konsumen dan akuntabilitas untuk bisnis yang mengendalikan dan memprosesnya.
Untuk mempertahankan kepatuhan, bisnis harus menyadari undang-undang saat ini, peraturan masa depan yang sedang berjalan, dan potensi standar yang berbeda di seluruh AS. Membuat proses untuk penanganan data, portabilitas data, dan pemetaan, dan kontrol keikutsertaan pengguna adalah beberapa praktik yang diperlukan untuk bisnis yang mengumpulkan data pribadi.