Sekilas tentang Colorado Privacy Act: Prediksi tentang Masa Depan Perlindungan Data Pengguna
Diterbitkan: 2021-09-16
Juli lalu, Colorado meloloskan Colorado Privacy Act (CPA), menjadikannya negara bagian keempat yang memberlakukan undang-undang privasi komprehensif di AS, setelah California, Nevada, dan Virginia.
Sementara CPA dan undang-undang serupa akan dapat berubah seiring berjalannya waktu, pertanyaannya tetap: haruskah bisnis mulai bekerja untuk mematuhi setiap undang-undang individu yang baru, atau haruskah mereka membuat semacam rencana di mana hak pengguna tetap terlindungi, apa pun yang terjadi. terjadi dalam hal perubahan kebijakan?
Dengan peraturan privasi unik masing-masing negara bagian, semakin sulit bagi perusahaan untuk melacak perubahan ini, memastikan kepatuhan, dan menghindari hukuman.
Untuk mempermudah proses ini, kami akan membandingkan beberapa contoh terbaru dari berbagai negara bagian dan menawarkan wawasan tentang bagaimana hal itu dapat memengaruhi praktik bisnis serta tren masa depan dalam perlindungan data pengguna.
Dalam posting blog ini, kita melihat Undang-Undang Privasi Colorado dan bagaimana undang-undang itu bertentangan dengan undang-undang privasi lainnya, seperti SB20 Nevada, CDPA Virginia, CPPA California dan CPR terbaru, dan GDPR Eropa.
Pertama, inilah ringkasan dari semua ketentuan utama dari undang-undang ini:
| Ketentuan Utama | BPA Colorado | Nevada SB220 | CDPA Virginia | CDPA + CPRA California | GDPR Eropa | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Kemampuan untuk Memproses | |||||||||||||||||||||||||||||||||||
| Minimalkan Data | Ya | Ya | Tidak | Ya | |||||||||||||||||||||||||||||||
| Tujuan yang Diizinkan | Ya | Ya | Tidak | Ya | |||||||||||||||||||||||||||||||
| Hak Individu | |||||||||||||||||||||||||||||||||||
| Hak untuk menerima pemberitahuan tentang aktivitas pemrosesan | Ya | Ya | Ya | Ya | Ya | ||||||||||||||||||||||||||||||
| Hak untuk mengakses data pribadi | Ya | Ya | Ya | Ya | |||||||||||||||||||||||||||||||
| Hak atas portabilitas data (yaitu, data harus disediakan dalam format yang siap digunakan, sehingga dapat ditransfer dari satu entitas/platform ke entitas lain) | Ya | Ya | Ya | Ya | |||||||||||||||||||||||||||||||
| Hak untuk memperbaiki kesalahan dalam data pribadi | Ya | Ya | Tidak | Ya | |||||||||||||||||||||||||||||||
| Hak untuk menghapus data pribadi | Ya | Ya | Ya | Ya | |||||||||||||||||||||||||||||||
| Hak untuk menyisih dari iklan perilaku | Tidak | Ya | Tidak | Ya | |||||||||||||||||||||||||||||||
| Hak untuk menolak pembuatan profil dan pengambilan keputusan otomatis | Tidak | Ya | Tidak | Ya | |||||||||||||||||||||||||||||||
| Hak atas non-diskriminasi untuk pelaksanaan hak-hak ini | Ya | Ya | Ya | Ya | |||||||||||||||||||||||||||||||
| Hak untuk memilih keluar dari penjualan informasi pribadi | Ya | Ya | Ya | Ya | Tidak | ||||||||||||||||||||||||||||||
| Ikut serta atau keluar untuk pemrosesan informasi sensitif | Memilih di | Memilih di | Penyisihan | Memilih di | |||||||||||||||||||||||||||||||
| Hak untuk mengajukan banding penolakan permintaan | Tidak | Ya | Tidak | Tidak | |||||||||||||||||||||||||||||||
| Akuntabilitas/Tata Kelola | |||||||||||||||||||||||||||||||||||
| Penilaian Perlindungan Data | Ya | Ya | Tidak | Ya | |||||||||||||||||||||||||||||||
| Keamanan | |||||||||||||||||||||||||||||||||||
| Keamanan Data yang Tepat untuk Menjaga Informasi | Ya | Ya | Ya | Ya | |||||||||||||||||||||||||||||||
| Pemberitahuan Pelanggaran | Ya | Ya | Ya | Ya | |||||||||||||||||||||||||||||||
| Transfer Data Di Luar EEA | |||||||||||||||||||||||||||||||||||
| Tindakan tambahan untuk transfer internasional | Ya | Tidak | Tidak | Ya | |||||||||||||||||||||||||||||||
| Transfer ke Pihak Ketiga | |||||||||||||||||||||||||||||||||||
| Persyaratan Kontrak dalam Perjanjian Penyedia Layanan | Ya | Ya | Ya | Ya | |||||||||||||||||||||||||||||||
| Pemasaran | |||||||||||||||||||||||||||||||||||
| Persetujuan untuk cookie Adtech | Tidak | Ya | Ya | Ya | |||||||||||||||||||||||||||||||
| Persetujuan diperoleh sebelum pemasaran langsung | Ya | Tidak | Tidak | Ya | |||||||||||||||||||||||||||||||
| Instansi Penegakan | |||||||||||||||||||||||||||||||||||
| Jaksa Agung | Jaksa Agung | Jaksa Agung, CPPA | DPA | ||||||||||||||||||||||||||||||||
| Tanggal operasi | |||||||||||||||||||||||||||||||||||
| 1 Juli 2023 | 1 Oktober 2019 | 1 Januari 2023 | 1 Januari 2020 / 1 Januari 2023 | 25 Mei 2018 | |||||||||||||||||||||||||||||||
Apa Persamaan Semua Hukum Privasi Ini?
CPA mirip dengan undang-undang privasi lainnya seperti GDPR, undang-undang California, dan undang-undang Virginia. Namun, itu tidak dibandingkan dengan Nevada karena yang terakhir hanya memberlakukan undang-undang yang jauh lebih terbatas mengenai penjualan data tertentu yang dikumpulkan secara online, sehingga dikecualikan dari perbandingan di bawah ini.
- Perjanjian Pemrosesan Data — Ini umum di antara semua undang-undang privasi. Sederhananya, itu berarti organisasi perlu membuat rancangan kerangka hukum yang menggambarkan aktivitas pemrosesan data pribadi yang terjadi saat menggunakan layanan atau produk. Singkatnya, ini berbicara tentang bagaimana pemrosesan data akan terjadi, siapa yang akan bertanggung jawab atas apa, dan langkah-langkah keamanan apa yang akan diambil. Kami telah menyiapkan template kami kembali pada tahun 2018 untuk GDPR, tersedia di sini. Dengan setiap undang-undang baru, kami memperbarui klausa template untuk beradaptasi dengan semua persyaratan hukum baru.
- Kesamaan kedua antara undang-undang privasi adalah bahwa semuanya mengharuskan organisasi untuk mengambil langkah- langkah teknis dan organisasional yang tepat untuk merespons dengan cepat dan tepat ketika konsumen menggunakan hak mereka. Apa hak-hak ini berbeda dari hukum ke hukum, seperti yang terlihat pada tabel di atas, tetapi langkah-langkahnya tetap sama.
- Pemberitahuan pelanggaran data pribadi adalah istilah umum lain yang ada dalam undang-undang. Pelanggaran keamanan data pribadi adalah setiap peristiwa yang berpotensi memengaruhi kerahasiaan, integritas, atau ketersediaan data pribadi yang disimpan oleh organisasi dalam format apa pun.
Pelanggaran keamanan data pribadi dapat terjadi karena berbagai alasan, termasuk:- pengungkapan data rahasia kepada individu yang tidak berwenang;
- kehilangan atau pencurian data atau peralatan tempat data disimpan;
- kontrol akses yang tidak tepat memungkinkan penggunaan informasi yang tidak sah;
- upaya untuk mendapatkan akses tidak sah ke sistem komputer, misalnya peretasan; catatan diubah atau dihapus tanpa otorisasi oleh "pemilik" data;
- virus atau serangan keamanan lainnya pada sistem atau jaringan peralatan TI;
- meninggalkan peralatan TI tanpa pengawasan saat masuk ke akun pengguna tanpa mengunci layar untuk menghentikan orang lain mengakses informasi;
- email yang berisi informasi pribadi atau sensitif yang salah dikirim ke penerima yang salah.
- Persyaratan umum lainnya berdasarkan GDPR, CCPA, VCDPA, dan CPA adalah proses melakukan Analisis Dampak Pemrosesan Data (DPIA) untuk setiap proyek pemrosesan berisiko tinggi baru. DPIA adalah proses mempertimbangkan secara sistematis dampak potensial yang mungkin dimiliki proyek atau inisiatif terhadap privasi individu. Ini memungkinkan organisasi untuk mengidentifikasi potensi masalah privasi sebelum muncul dan menemukan cara untuk menguranginya. GDPR pertama kali memperkenalkan DPIA wajib untuk organisasi yang terlibat dalam pemrosesan berisiko tinggi; misalnya, di mana teknologi baru sedang dikerahkan, di mana operasi pembuatan profil kemungkinan besar akan mempengaruhi individu secara signifikan, atau di mana ada pemantauan skala besar dari area yang dapat diakses publik.
Misalnya, untuk menggunakan hak Anda untuk mengakses data pribadi yang digunakan Convert, Anda harus mengirimkan permintaan tertulis ke [email protected]. Dalam permintaan tersebut, sebutkan bahwa permintaan Anda dibuat dalam pelaksanaan hak Anda untuk mengakses berdasarkan undang-undang privasi khusus yang Anda minati. DPO diharuskan untuk menanggapi permintaan tertulis Anda. Bersiaplah untuk memberikan bukti identitas Anda, yang harus diminta oleh DPO dari Anda untuk memastikan bahwa informasi pribadi tidak diberikan kepada orang yang salah. Proses di atas khusus untuk GDPR, CCPA, CPA dan sudah didokumentasikan di halaman Privasi kami.
Demikian pula, jika Anda ingin menutup akun Konversi, meninggalkan layanan, dan ingin mencadangkan semua data Konversi, Anda dapat menggunakan hak portabilitas data. Anda dapat menulis email ke alamat email yang sama di atas, jika opsi untuk mengunduh data tidak segera tersedia, dan meminta DPO untuk membuat cadangan data yang digunakan di seluruh layanan. DPO harus bertindak atas permintaan tertulis Anda.
Dalam Proyek GDPR, Convert mengembangkan panduan untuk staf dan template yang akan digunakan untuk melaksanakan DPIA. Anda dapat menemukan template dengan pertanyaan penyaringan yang telah diisi sebelumnya di sini. Template ini telah disesuaikan dengan undang-undang privasi AS yang baru.
Tetapi Ada Beberapa Perbedaan Utama!
GDPR melindungi data pribadi. Undang-undang AS terutama melindungi konsumen yang memilih untuk melindungi data pribadi mereka.
- Perdebatan tentang data vs perlindungan konsumen merupakan inti dari semua inisiatif privasi ini. Ini juga merupakan poin kunci yang membedakan GDPR dari semua undang-undang privasi lainnya. Dengan GDPR, data pribadi dilindungi melalui berbagai fase, mulai dari pengumpulan, pemrosesan, penyimpanan, transfer ke pihak ketiga. Undang-undang AS memastikan bahwa konsumen dilindungi saat mereka online dan menggunakan layanan, menjelajah, atau menguji produk. Inilah sebabnya mengapa Kebijakan Privasi perusahaan tidak dapat tetap sama ketika undang-undang baru mulai berlaku. Bagian baru perlu ditambahkan, untuk mencerminkan persyaratan dan ketentuan hukum baru. Selalu berkonsultasi dengan pengacara Anda untuk mengetahui dengan tepat apa yang harus ditambahkan agar sesuai dengan setiap undang-undang.
- Undang-undang juga berbeda dalam ruang lingkup rezim opt-in / opt-out. GDPR beroperasi di bawah rezim keikutsertaan, artinya, negara-negara anggota Uni Eropa tidak mengumpulkan data pribadi apa pun dari pengunjung sampai mereka menyetujui secara eksplisit dengan mencentang kotak centang pada spanduk persetujuan yang muncul di situs yang mereka navigasikan. Hal sebaliknya terjadi di situs penerbit yang berbasis di AS. Data dapat dikumpulkan hingga pengunjung memutuskan untuk tidak mengikuti pemrosesan data. California hanya beroperasi di bawah rezim opt-out/opt-in hybrid. CCPA memungkinkan organisasi untuk mengumpulkan data konsumen secara default, tetapi juga mengharuskan pengumpul data untuk memberikan pemberitahuan privasi kepada konsumen sebelum pengumpulan data. CPA, VCDPA berada di bawah rezim opt-out yang jelas.
Di Convert, kami beroperasi di bawah rezim keikutsertaan karena kami menghargai transparansi dan pilihan pengunjung dan kami telah menyesuaikan Pengalaman Pengguna kami agar sesuai dengan persyaratannya. - Perbedaan juga terlihat pada aturan transfer data internasional . GDPR sekali lagi sangat ketat dengan transfer ini dan mengizinkannya hanya jika negara penerima memiliki peraturan privasi yang serupa. Jika tidak, organisasi harus menggunakan klausul kontrak standar atau persetujuan pengguna. Di sisi lain, CCPA dan VCDPA memungkinkan transfer data internasional ke seluruh dunia hingga insiden terjadi. Kemudian, organisasi bertanggung jawab dan dikenakan denda. CPA agak lunak, mengharuskan organisasi untuk memberi tahu pengguna/pengunjung ketika transfer data internasional terjadi tetapi tidak membatasi mereka.
Di Convert, kami mematuhi GDPR dan menyediakan alat transfer yang diperlukan saat diminta (Klausul Kontrak Standar adalah bagian dari kontrak yang ditandatangani pengguna kami). - Terakhir, undang-undang memiliki periode respons yang berbeda terhadap pelanggaran privasi . GDPR dan VCDPA memberikan waktu 30 hari kepada pengontrol atau pemroses untuk bereaksi terhadap pelanggaran privasi. CPPA diizinkan, tetapi tidak diharuskan untuk menawarkan periode untuk menyembuhkan pelanggaran CPRA. CPA harus menawarkan periode respons 60 hari.
Karena Konversi belum menjadi bagian dari pelanggaran privasi apa pun, pengujian ini tidak mudah, tetapi kami mensimulasikan permintaan tersebut secara internal dan menemukan bahwa kami dapat merespons dalam 7-10 hari. Cukup mengesankan mengingat fakta bahwa banyak orang dan alat dapat terlibat.
Apakah Perusahaan Anda Siap untuk CPA?
Banyak dari undang-undang ini memiliki kata-kata yang mirip, jadi menemukan perbedaannya cukup sulit. Namun, kami mencoba membuatnya lebih jelas untuk Anda dengan perbandingan di atas. Untuk mencapai kepatuhan terhadap undang-undang privasi ini, bersiaplah untuk menghabiskan banyak waktu untuk meninjaunya dan berkonsultasi dengan pakar hukum.
Untungnya, beberapa tindakan berlaku secara universal untuk semuanya. Kami telah mencantumkannya di salah satu artikel kami sebelumnya, tetapi di sini mereka kembali untuk menyegarkan ingatan Anda:
- Membuat dan memelihara inventaris data yang komprehensif, memberikan wawasan tentang jenis data yang terlibat dan sifat aktivitas pemrosesan.
- Pastikan bahwa data sensitif dipisahkan dan dikelola tanpa risiko yang tidak perlu.
- Menerapkan kerangka kerja untuk melakukan Penilaian Dampak Perlindungan Data (DPIA).
- Menilai kebijakan, praktik, dan kontrol keamanan siber yang ada untuk memastikannya konsisten dengan standar yang diakui industri.
- Memungkinkan konsumen untuk memilih keluar dari penjualan informasi pribadi mereka (jika berlaku).
- Perbarui kebijakan privasi publik, antara lain, berjanji untuk tidak mengidentifikasi ulang data pribadi yang tidak teridentifikasi dan memberikan perincian tentang aktivitas pemrosesan datanya.
- Kembangkan mekanisme untuk menerima, melacak, memverifikasi, dan memenuhi permintaan konsumen untuk mengakses, mengoreksi, menghapus, dan menyisih dari data pribadi berdasarkan CPA.
- Pastikan bahwa karyawan layanan pelanggan Anda memiliki pengetahuan yang akurat tentang peraturan untuk memenuhi permintaan konsumen secara efisien dan dapat diprediksi.
Akan Seperti Apa Lanskap Privasi dalam Dekade Berikutnya?
Privasi data muncul sebagai masalah yang menentukan dekade ini. Ini akan menjadi dunia yang semakin sensitif terhadap privasi, di mana bisnis dan individu menjadi semakin sadar bahwa tidak ada lagi yang namanya 'pribadi'.
Undang-undang privasi baru-baru ini mengajarkan kepada kita bahwa inisiatif ini memerlukan upaya dan waktu yang ekstensif untuk merencanakan dengan hati-hati, menemukan celah dalam mekanisme privasi, dan menerapkan kebijakan, proses, dan upaya perbaikan baru. Jadi lanskap privasi data tidak akan berubah dengan cepat.
Meskipun masa depan privasi sebagian besar tidak tertulis, beberapa tren telah membentuknya dalam berbagai cara. Organisasi yang paling baik menavigasi tren ini selama sepuluh tahun ke depan akan lebih kompetitif daripada organisasi yang terus mematuhi undang-undang baru.
Mari kita lihat apa mereka.
- Sebagian besar konsumen akan secara proaktif melindungi data pribadi mereka. Kami akan melihat alat perlindungan privasi yang lebih baik (dengan cara yang sama seperti sekarang kami memiliki alat penyerang privasi). Organisasi yang tidak mematuhi perlindungan ini akan berisiko kehilangan pelanggan mereka.
- Transfer data lintas batas akan menjadi lebih sederhana. Kita tidak perlu membangun kerajaan data lokal yang tidak bisa dimasuki oleh orang asing.
- Perjalanan pengalaman pelanggan privasi : proyek baru akan dikembangkan yang selaras dengan harapan budaya dan hukum dari undang-undang privasi, serta sikap masing-masing perusahaan tentang etika data dan teknologi.
- Budaya privasi karyawan: Sumber daya manusia akan menggunakan program privasi karyawan yang selaras dengan nilai-nilai data dan teknologi perusahaan untuk mengembangkan budaya privasi yang menyeluruh. Program semacam itu dapat mencakup dewan karyawan yang meninjau dan mengomunikasikan penilaian dampak privasi dan etika untuk teknologi baru dan penggunaan data di tempat kerja.
Banyak yang bisa berubah dalam 10 tahun, tetapi sekali lagi, sedikit yang bisa berubah juga. Di sini, di Convert, kami telah menjadikan menghormati privasi pengunjung dan pengguna kami sebagai bagian dari budaya kami. Di mana kita akan berada di tahun 2030? Pada tahun 2030, kami melihat bisnis yang menghormati privasi pengguna bersama regulator semuanya bekerja sama dengan lancar tanpa mengorbankan kebebasan individu. Visi inilah yang paling penting bagi tim kami di perusahaan Convert dan kami berharap Anda juga akan bergabung dengan kami!
