Undang-Undang Privasi Data Connecticut: Bagaimana Kami Memastikan Konversi Tetap Sesuai
Diterbitkan: 2022-07-13
Dengan diperkenalkannya Connecticut SB 6, yang biasa disebut sebagai Connecticut Data Privacy Act atau “CTDPA” , Connecticut telah bergabung dengan jajaran negara bagian AS seperti California, Virginia, Colorado, Nevada, dan Utah yang telah mengesahkan undang-undang privasi komprehensif untuk melindungi individu. informasi pribadi.
Meskipun peraturan privasi dan keamanan data sudah ada di Amerika Serikat selama beberapa dekade, peraturan tersebut sebelumnya hanya berlaku untuk bisnis, area, dan tipe data tertentu.
Peraturan negara bagian yang baru ini, alih-alih secara ketat membatasi bentuk pemrosesan data tertentu, memperkuat tren yang berkembang untuk melindungi hak privasi individu secara lebih luas.
Semakin banyak negara bagian AS memberlakukan undang-undang yang mengatur penanganan informasi online. Lihat penilaian kami tentang undang-undang privasi di
- Utah,
- California,
- Virginia,
- nevada,
- Colorado
Perbedaan Antara Connecticut SB 6 dan Hukum Privasi Lainnya
Di bawah ini adalah rincian ketentuan Connecticut SB 6 dibandingkan dengan yang ada di
- Undang-Undang Privasi Konsumen Utah (UCPA)
- Undang-Undang Privasi Colorado (BPA)
- Hukum Privasi Negara Bagian Nevada (SB200)
- VCDPA Virginia
- CCPA (sebagaimana diubah oleh California Privacy Rights Act (CPRA))
- Peraturan Perlindungan Data Umum Eropa (GDPR)
| Ketentuan Utama | Connecticut SB6 | Utah UCPA | BPA Colorado | Nevada SB220 | CDPA Virginia | California CCPA + CPRA | GDPR Eropa | ||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Kemampuan untuk Memproses | |||||||||||||||||||||||||||||||||||||||||||||||
| Minimalkan Data | Ya | Ya | Ya | - | Ya | Tidak | Ya | ||||||||||||||||||||||||||||||||||||||||
| Tujuan yang Diizinkan | Ya | Ya | Ya | - | Ya | Tidak | Ya | ||||||||||||||||||||||||||||||||||||||||
| Hak Individu | |||||||||||||||||||||||||||||||||||||||||||||||
| Hak untuk menerima pemberitahuan tentang aktivitas pemrosesan | Ya | Ya | Ya | Ya | Ya | Ya | Ya | ||||||||||||||||||||||||||||||||||||||||
| Hak untuk mengakses data pribadi | Ya | Ya | Ya | - | Ya | Ya | Ya | ||||||||||||||||||||||||||||||||||||||||
| Hak untuk portabilitas data. Data harus tersedia dalam format yang mudah digunakan untuk transfer dari satu entitas/platform ke entitas lain. | Ya | Ya | Ya | . | Ya | Ya | Ya | ||||||||||||||||||||||||||||||||||||||||
| Hak untuk memperbaiki kesalahan dalam data pribadi | Ya | Tidak | Ya | - | Ya | Tidak | Ya | ||||||||||||||||||||||||||||||||||||||||
| Hak untuk menghapus data pribadi | Ya | Ya | Ya | - | Ya | Ya | Ya | ||||||||||||||||||||||||||||||||||||||||
| Hak untuk memilih keluar dari iklan perilaku | Ya | Ya | Tidak | - | Ya | Tidak | Ya | ||||||||||||||||||||||||||||||||||||||||
| Hak untuk menolak pembuatan profil dan pengambilan keputusan otomatis | Ya | Ya | Tidak | - | Ya | Tidak | Ya | ||||||||||||||||||||||||||||||||||||||||
| Hak atas non-diskriminasi untuk pelaksanaan hak-hak ini | Ya | Ya | Ya | - | Ya | Ya | Ya | ||||||||||||||||||||||||||||||||||||||||
| Hak untuk memilih keluar dari penjualan informasi pribadi | Ya | Ya | Ya | Ya | Ya | Ya | Tidak | ||||||||||||||||||||||||||||||||||||||||
| Ikut serta atau keluar untuk pemrosesan informasi sensitif | Penyisihan | Penyisihan | Memilih di | - | Memilih di | Penyisihan | Memilih di | ||||||||||||||||||||||||||||||||||||||||
| Hak untuk mengajukan banding penolakan permintaan | Ya | Tidak | Tidak | - | Ya | Tidak | Tidak | ||||||||||||||||||||||||||||||||||||||||
| Akuntabilitas/Tata Kelola | |||||||||||||||||||||||||||||||||||||||||||||||
| Penilaian Perlindungan Data | Ya | Tidak | Ya | - | Ya | Tidak | Ya | ||||||||||||||||||||||||||||||||||||||||
| Keamanan | |||||||||||||||||||||||||||||||||||||||||||||||
| Keamanan Data yang Tepat untuk melindungi informasi | Ya | Tidak | Ya | - | Ya | Ya | Ya | ||||||||||||||||||||||||||||||||||||||||
| Pemberitahuan Pelanggaran | Ya | Ya | Ya | - | Ya | Ya | Ya | ||||||||||||||||||||||||||||||||||||||||
| Transfer Data Di Luar Wilayah Ekonomi Eropa (EEA) | |||||||||||||||||||||||||||||||||||||||||||||||
| Tindakan tambahan untuk transfer internasional | Ya | Ya | Ya | - | Tidak | Tidak | Ya | ||||||||||||||||||||||||||||||||||||||||
| Transfer ke Pihak Ketiga | |||||||||||||||||||||||||||||||||||||||||||||||
| Persyaratan Kontrak dalam Perjanjian Penyedia Layanan | Ya | Tidak | Ya | - | Ya | Ya | Ya | ||||||||||||||||||||||||||||||||||||||||
| Pemasaran | |||||||||||||||||||||||||||||||||||||||||||||||
| Persetujuan untuk cookie Adtech | Ya | Tidak | Tidak | - | Ya | Ya | Ya | ||||||||||||||||||||||||||||||||||||||||
| Persetujuan diperoleh sebelum pemasaran langsung | Ya | Tidak | Ya | - | Tidak | Tidak | Ya | ||||||||||||||||||||||||||||||||||||||||
| Instansi Penegakan | |||||||||||||||||||||||||||||||||||||||||||||||
| Jaksa Agung | Departemen Perdagangan Utah | Jaksa Agung | - | Jaksa Agung | Jaksa Agung, CPPA | DPA | |||||||||||||||||||||||||||||||||||||||||
| Tanggal operasi | |||||||||||||||||||||||||||||||||||||||||||||||
| 1 Juli 2023 | 31 Desember 2023 | 1 Juli 2023 | 1 Oktober 2019 | 1 Januari 2023 | 1 Januari 2020/1 Januari 2023 | 25 Mei 2018 | |||||||||||||||||||||||||||||||||||||||||
Sebuah pola tampaknya muncul dalam bagaimana badan legislatif negara bagian mendekati undang-undang perlindungan privasi yang luas, seperti yang diilustrasikan dalam tabel di atas.
Connecticut SB 6 mengadopsi bagian substansial dari undang-undang Colorado dan Virginia secara praktis kata demi kata, termasuk cara mendefinisikan data pribadi, cara menangani informasi pribadi yang sensitif, dan kapan harus melakukan penilaian dampak perlindungan data.
Apa Ketentuan Utama SB 6 Connecticut?
Berikut ini adalah beberapa ketentuan yang paling signifikan dari Connecticut SB 6:
1. Hak Privasi yang Sama dengan Hukum Negara Bagian lainnya
Undang-Undang Privasi Data Connecticut menetapkan seperangkat hak privasi individu yang serupa dengan yang ditemukan di Utah UCPA, Colorado CPA, Virginia VCDPA, dan California CCPA/CPRA.
Hak-hak ini termasuk melihat, mengoreksi, menyalin, dan menghapus informasi pribadi.
Konsumen juga dapat memilih keluar dari pemrosesan data pribadi mereka untuk iklan, penjualan data, dan pembuatan profil.
SB 6, seperti undang-undang privasi negara bagian lainnya, mencakup sistem keikutsertaan untuk jenis pemrosesan data yang melibatkan anak-anak berusia 13 hingga 16 tahun.
2. Permintaan Privasi Tanpa Persetujuan Teknis
Dalam hal cara permintaan hak privasi diajukan dan ditangani, undang-undang baru Connecticut lebih mirip dengan CPA Colorado daripada undang-undang Virginia.
Connecticut bergabung dengan California dan Colorado dalam mewajibkan bisnis untuk menawarkan pelanggan pilihan untuk keluar dari iklan atau penjualan yang ditargetkan melalui semacam mekanisme teknis. Berbeda dengan California dan Colorado, Connecticut SB 6 tidak memerlukan persetujuan persyaratan mekanisme teknis oleh regulator negara bagian.
3. Definisi Luas Menjual Data Pribadi
Berdasarkan Connecticut SB 6, “penjualan data pribadi” berarti menukar data pribadi dengan uang atau pertimbangan berharga lainnya dengan pihak ketiga.
Dalam merangkul "pertimbangan berharga" bersama dengan pertimbangan moneter, SB 6 memberikan definisi penjualan yang lebih komprehensif, mirip dengan definisi California CCPA dan Colorado CPA.
Terdapat beberapa pengecualian terhadap definisi penjualan data pribadi, antara lain pengungkapan data pribadi atas permintaan konsumen, pengungkapan dalam suatu perusahaan, dan pengungkapan atau pengalihan data pribadi kepada pihak ketiga yang terjadi dalam rangka akuisisi, kebangkrutan, atau jenis transaksi lainnya.
4. Penegakan Hanya oleh Jaksa Agung
Connecticut SB 6 mengikuti pola hanya mengizinkan Jaksa Agung untuk menuntut pelanggaran.
Jaksa Agung Connecticut, seperti Colorado, diharuskan menawarkan pemberitahuan 60 hari dan kesempatan untuk memperbaiki pelanggaran.
Pelanggaran SB 6 dianggap sebagai praktik perdagangan yang menipu di bawah undang-undang Tindakan dan Praktik yang Tidak Adil dan Menipu Negara Bagian dan dapat mengakibatkan denda perdata hingga $5.000 di samping kerusakan aktual dan hukuman, serta biaya dan biaya pengacara.
5. Keamanan yang Ditingkatkan untuk Informasi Sensitif
Connecticut SB 6, seperti beberapa undang-undang privasi lainnya, memberikan perlindungan yang ditingkatkan untuk jenis informasi tertentu.
“Data sensitif” ini mencakup informasi tentang ras, etnis, keyakinan agama, kondisi atau diagnosis kesehatan mental atau fisik seseorang, kehidupan seks, orientasi seksual, status kewarganegaraan, atau status imigrasi; data genetik dan biometrik yang dapat digunakan untuk identifikasi; informasi yang dikumpulkan dari anak-anak; dan informasi geolokasi.
Pemrosesan data sensitif memerlukan persetujuan dari konsumen dan, mau tidak mau, meningkatkan potensi bahaya bagi konsumen, oleh karena itu diperlukan Data Privacy Impact Assessment (DPIA).
6. Pengungkapan Kebijakan Privasi
Connecticut SB 6 mengharuskan organisasi untuk memperbarui Kebijakan Privasi mereka untuk menyertakan pengungkapan berikut:
- Jenis data pribadi yang ditangani perusahaan;
- Mengapa perusahaan memproses data pribadi;
- Satu atau lebih cara yang aman dan tepercaya bagi konsumen untuk menggunakan hak privasi mereka, termasuk kemampuan untuk mengajukan banding atas keputusan terkait permintaan hak privasi;
- Kategori data pribadi yang dipertukarkan dengan pihak ketiga, jika ada;
- Jenis pihak ketiga dengan siapa data pribadi dipertukarkan, jika ada;
- Alamat email aktif tempat pelanggan dapat menghubungi perusahaan;
- Jika perusahaan menjual atau memproses data pribadi untuk iklan bertarget, Kebijakan Privasi harus menyatakan demikian, serta bagaimana pelanggan dapat memilih keluar.
Paket Kepatuhan Privasi Convert
Karena lebih banyak undang-undang privasi diperkenalkan, kita dapat mengharapkan lanskap untuk bergeser lebih jauh, dengan lebih banyak undang-undang baru tentang privasi data, serta lebih banyak komentar dan revisi.
Semua faktor ini dapat berdampak pada kepatuhan perangkat lunak Anda dan bagaimana Kebijakan Privasi Anda disusun.
Jadi, bagaimana Convert melacak semua data ini dan memastikan bahwa kami tidak mengabaikan apa pun?
1. Membuat Peringatan Kata Kunci yang Relevan dengan Privasi
Kami mulai dengan menyiapkan Google Alerts untuk persyaratan yang sesuai. Sistem kami akan mengingatkan kami setiap kali undang-undang baru disahkan, tagihan baru diperkenalkan, atau kasus diputuskan yang berisi salah satu istilah pencarian kami. Tangkapan layar di bawah mengilustrasikan beberapa peringatan tersebut.
Hasil pencarian mungkin tidak semuanya relevan, jadi kami harus menyaring peringatan untuk memastikan bahwa kami hanya mengevaluasi data yang relevan.
Setiap peneliti yang baik tahu bahwa Anda tidak boleh bergantung pada satu sumber untuk semua informasi Anda. Itulah mengapa Convert adalah anggota dari beberapa forum privasi. Kami juga memeriksa materi yang disediakan oleh International Association of Privacy Professionals, setiap minggu.
IAPP, misalnya, menerbitkan bagan perbandingan hukum privasi (lihat di bawah) yang berisi informasi berguna tentang semua tagihan privasi yang telah diperkenalkan.
2. Memeriksa Situs Web Otoritas Perlindungan Data (DPA)
Meskipun melacak tagihan, undang-undang, dan undang-undang baru sangat penting, sama pentingnya untuk mengikuti otoritas perlindungan data dan interpretasinya. Entitas seperti ini dapat memberi Anda informasi penting tentang apa yang akan ditegakkan dan bagaimana caranya.
Dalam artikel baru-baru ini, kami menguraikan bagaimana Otoritas Perlindungan Data Austria menjadikan penggunaan Google Analytics ilegal.
3. Membaca Artikel Privasi
Kami membaca artikel opini dan cerita tentang privasi dan teknologi, serta perspektif industri tentang privasi dan informasi tentang apa yang dipikirkan masyarakat umum tentang perlindungan privasi saat ini.
Mengetahui bagaimana perasaan industri dan masyarakat luas tentang privasi dan teknologi membantu kami mengevaluasi pola dalam penegakan dan tindakan legislatif, serta ke mana arah sektor kami di masa depan.
4. Memperbarui Kebijakan dan Informasi Terkait
Penting untuk dicatat bahwa Convert menangani semua hal di atas tidak hanya untuk Kebijakan Privasi tetapi juga untuk Syarat dan Ketentuan, Perjanjian Lisensi Pengguna Akhir, Penafian, Kontrak, dan skrip pelacakan A/B yang sebenarnya.
Setelah mengumpulkan semua informasi, kami menentukan apakah akan melakukan revisi atau tidak terhadap kebijakan, dan kemudian kami memperbaruinya.
5. Menginformasikan Pengunjung Situs Web
Karena semakin banyak konsumen yang memeriksa untuk melihat apakah sebuah situs web memiliki Kebijakan Privasi dan praktik privasi apa yang dinyatakan dalam kebijakan tersebut, langkah selanjutnya adalah memberi tahu pengunjung situs web kami dan Mengkonversi pengguna tentang perubahan yang kami buat. Semua undang-undang baru mengharuskan Kebijakan Privasi untuk menyatakan tanggal efektifnya atau tanggal revisi terbaru. Jika Kebijakan Privasi Anda mencakup pengungkapan ini, pengguna situs web dapat dengan mudah menentukan apakah kebijakan tersebut telah diubah hanya dengan melihat tanggalnya.
Rencana Konversi untuk Connecticut SB 6
Jika Anda sudah memiliki akun Convert, tidak ada yang perlu Anda khawatirkan! Kami akan melacak undang-undang baru ini, serta setiap revisi atau peraturan, untuk Anda. Jika hukum berlaku untuk Anda, kebijakan Anda akan direvisi untuk menyertakan pengungkapan di atas sebelum hukum berlaku.
Kami memantau undang-undang privasi dan keamanan siber negara bagian dengan cermat di Convert. Untuk informasi lebih lanjut tentang "cara mempersiapkan SB 6" dan undang-undang privasi AS baru lainnya, kunjungi peta jalan GDPR kami.
