Pikirkan Privasi Hanya untuk Eropa? Pikirkan lagi.

GDPR sudah selesai. Dan itu hanya berdampak pada bisnis yang beroperasi di UE. Benar?

Tidak terlalu.

1. Privasi tidak pernah "selesai". Kepatuhan adalah persyaratan yang selalu ada dan bisnis harus terus memantau titik kontak mereka, praktik pengumpulan data mereka, logika pemrosesan data mereka, dan serangkaian pertimbangan yang sama untuk vendor mereka, secara berkelanjutan.
2. GDPR berdampak pada semua bisnis yang memproses data warga negara Uni Eropa – bukan hanya bisnis yang berlokasi di Eropa.
3. GDPR adalah puncak gunung es. Dunia menjadi sadar akan ancaman pengumpulan dan pemrosesan data yang tidak berperasaan dengan impunitas. Ya, Eropa bangun lebih dulu. Tapi itu tidak berarti AS dan seluruh dunia akan terus tertidur.

Faktanya, AS telah memulai jalan menuju peraturan privasi yang revolusioner. Dengan undang-undang yang disahkan di California, Nevada, dan Maine serta rancangan undang-undang di banyak negara bagian lain, bisnis diperkirakan akan terpengaruh dalam beberapa bulan mendatang.

Artikel ini merinci bagian-bagian penting dari undang-undang / undang-undang peraturan privasi masing-masing negara bagian — termasuk siapa yang dicakup, kapan berlaku, hukuman, bagaimana mencapai kepatuhan, mengapa negara bagian mengambil kendali di hadapan pemerintah federal untuk melindungi data pribadi konsumen serta bagaimana penerapan kepatuhan privasi dapat menguntungkan bisnis Anda.

Peraturan Federal AS?

Dalam sepucuk surat kepada para pemimpin kongres pada 10 September, CEO Business Roundtable di seluruh industri mendesak para pembuat kebijakan untuk sesegera mungkin mengesahkan undang-undang privasi data nasional yang komprehensif yang memperkuat perlindungan bagi konsumen Amerika dan menetapkan kerangka kerja untuk memungkinkan inovasi dan pertumbuhan berkelanjutan di industri. ekonomi digital.

Surat itu, yang ditandatangani oleh 51 CEO, dikirim ke pimpinan DPR dan Senat serta para pemimpin Dewan Energi dan Perdagangan dan komite Perdagangan, Sains dan Transportasi Senat.

Dari perspektif bisnis AS, tidak pernah ada waktu yang lebih baik untuk memperkenalkan undang-undang perlindungan data federal.

GDPR menetapkan bahwa setiap perusahaan yang mengumpulkan data tentang individu yang tinggal di UE harus mematuhi undang-undang – baik perusahaan itu berbasis di UE atau tidak. Ini berarti bahwa banyak bisnis AS sudah mematuhi GDPR untuk beroperasi secara internasional, dan memiliki kerangka kerja untuk memperluas kepatuhan ini ke pasar AS.

Hal ini berbeda untuk bisnis nasional AS. Kepatuhan perlindungan data menjadi mimpi buruk, dengan (berpotensi) hingga 50 undang-undang negara bagian yang berbeda dengan spesifikasi dan persyaratan yang berbeda. Undang-undang federal akan merampingkan ini, memberikan satu undang-undang pemersatu di semua negara bagian.

Hukum Negara Bagian AS

Sebagai tanggapan, negara telah mengambil tindakan jauh lebih awal.

Dengan disahkannya undang-undang di tiga negara bagian, RUU yang diusulkan di negara bagian lain, dan beberapa negara bagian yang mengesahkan undang-undang pemberitahuan pelanggaran data baru, kami menyaksikan awal dari perubahan besar-besaran menuju perlindungan data konsumen dan akuntabilitas untuk bisnis yang mengontrol dan memprosesnya.

Pusat Penelitian IAPP Westin menyusun daftar di bawah ini dari tagihan privasi komprehensif yang diusulkan dan diberlakukan dari seluruh negeri untuk membantu upaya bisnis untuk tetap mengikuti lanskap privasi negara yang berubah.

Meskipun banyak dari RUU yang termasuk dalam peta akan gagal menjadi undang-undang, membandingkan ketentuan utama dalam setiap RUU dapat membantu dalam memahami bagaimana privasi berkembang di Amerika Serikat.

California

Sebagai salah satu undang-undang privasi pertama yang disahkan setelah GDPR, CCPA bertindak sebagai cetak biru untuk tagihan lain di AS. Efektif 1 Januari 2020, CCPA berlaku untuk bisnis yang mengumpulkan/memproses data pribadi penduduk California atau melakukan bisnis di California.

Bisnis ini tunduk pada CCPA jika mereka:

• Melebihi pendapatan kotor $25 juta
• Beli, terima, jual, atau bagikan (total gabungan) informasi pribadi dari 50.000 atau lebih rumah tangga konsumen, atau perangkat
• Dapatkan 50% atau lebih pendapatan tahunan dari penjualan informasi pribadi konsumen

CCPA memberikan hak kepada konsumen yang serupa dengan GDPR, termasuk pengungkapan informasi pribadi dan permintaan data pribadi. Bisnis diharuskan untuk menanggapi permintaan konsumen yang dapat diverifikasi dengan informasi, seperti kategori dan data informasi pribadi, pihak ketiga, dan kategori pihak ketiga yang berbagi data, dan banyak lagi.

Bagian ini, yang dikenal sebagai permintaan subjek data (DSR) memberikan pengguna akses ke dan opsi penghapusan untuk informasi pribadi mereka. Selain itu, CCPA mengharuskan bisnis menampilkan tautan "Jangan jual informasi pribadi saya" di beranda mereka.

CCPA akan ditegakkan oleh Jaksa Agung dan mencakup denda hingga $7.500 untuk setiap pelanggaran individu.

Nevada

Undang-undang privasi Nevada ditandatangani pada 29 Mei 2019, tetapi efektif pada 1 Oktober 2019, tiga bulan sebelum CCPA yang lebih terkenal. Undang-undangnya sangat mirip tetapi memiliki perbedaan besar dalam bagaimana "penjualan" didefinisikan. Undang-undang Nevada lebih sempit, tidak mencakup semua penyedia layanan dan lebih lunak terhadap lembaga keuangan.

Menurut InfoLawGroup, undang-undang CCPA dan Nevada serupa karena keduanya mengharuskan “bisnis untuk membuat proses untuk memverifikasi keabsahan permintaan penyisihan konsumen dan mengharuskan bisnis untuk menanggapi permintaan tersebut dalam waktu 60 hari.”

Mirip dengan California, penegakan Nevada terletak pada Jaksa Agung dan mencakup denda hingga $ 5.000 per pelanggaran.

Maine

Undang-undang privasi Maine ditandatangani pada 6 Juni 2019, tetapi akan mulai berlaku 1 Juli 2020. Undang-undang ini memblokir penyedia layanan Internet (ISP) dari menjual, berbagi, atau memberikan akses pihak ketiga ke data pelanggan mereka, kecuali secara eksplisit diberikan persetujuan oleh pelanggan tersebut. Dengan adanya perubahan,

Penduduk Maine sekarang memiliki lapisan perlindungan ekstra untuk email, obrolan online, riwayat browser, alamat IP, dan data geolokasi yang biasanya dikumpulkan dan disimpan oleh perusahaan sektor telekomunikasi dan teknologi.

Jadi, meskipun CCPA memberi pelanggan hak untuk memilih keluar, undang-undang baru ini melarang ISP menggunakan data pelanggan kecuali jika pelanggan memilih ikut serta. Persyaratan ini lebih jauh dari undang-undang CCPA atau Nevada dan relatif unik di antara undang-undang privasi AS, yang umumnya mendukung persetujuan opt-out.

Jangan Tunggu—Persiapkan Sekarang:

Menurut survei PwC 2018, 64% bisnis belum mulai mempersiapkan peraturan CCPA.

Apakah Anda menunda memulai perjalanan kepatuhan Anda? Sudahkah Anda memulai prosesnya, tetapi merasa tertantang oleh tenggat waktu yang semakin dekat?

Berikut ini adalah daftar tindakan sadar yang dapat Anda ambil sebagai bisnis untuk menempuh jalur kepatuhan untuk sebagian besar undang-undang yang ada, dan yang akan ditegakkan dalam waktu dekat.

Langkah 1: Perbarui Pemberitahuan dan Kebijakan Privasi

Dengan semua email “Kami telah memperbarui Kebijakan Privasi kami” (kepatuhan GDPR) yang diterima pada Mei 2018, mungkin masuk akal untuk mengharapkan gelombang lain, kali ini sesuai dengan CCPA atau Nevada atau Maine, pada Q3 2019.

Undang-undang ini akan mensyaratkan bahwa “pada atau sebelum titik pengumpulan” perusahaan yang tercakup memberikan pemberitahuan kepada konsumen yang memberi tahu mereka tentang kategori informasi pribadi yang dikumpulkan perusahaan dan tujuan apa informasi tersebut digunakan oleh perusahaan.

Pemberitahuan tersebut juga harus secara eksplisit menetapkan kategori informasi pribadi yang dikumpulkan, diungkapkan, atau dijual, dan konsumen memiliki hak baru untuk memilih tidak menjual informasi mereka.

Perusahaan juga perlu memperbarui kebijakan privasi mereka untuk menyertakan deskripsi hak konsumen baru lainnya.

Karena banyak perusahaan harus menentukan kapan harus mematuhi GDPR, sebelum membuat pembaruan kebijakan yang diwajibkan secara hukum, perusahaan perlu menentukan apakah mereka akan mempertahankan satu pemberitahuan privasi untuk setiap penduduk Negara Bagian, atau memiliki satu kebijakan universal.

Langkah 2: Perbarui Inventaris Data, Proses Bisnis, dan Strategi Data

Perusahaan juga harus memelihara inventaris data, yang pada dasarnya adalah basis data untuk melacak aktivitas pemrosesan data mereka, termasuk proses bisnis, pihak ketiga, produk, perangkat, dan aplikasi yang memproses data pribadi konsumen.

Perusahaan yang harus mematuhi GDPR harus menambahkan beberapa kolom ke inventaris data mereka termasuk, kolom:

• mengidentifikasi apakah penggunaan data mencakup “penjualan” informasi;
• mengidentifikasi kategori informasi pribadi apa yang ditransfer ke pihak ketiga;
• mengidentifikasi apakah data dikumpulkan lebih dari 12 bulan yang lalu dan, dengan demikian, berpotensi dikecualikan.
• Basis data juga harus selalu diperbarui dan dapat melacak semua permintaan hak konsumen, seperti melacak permintaan informasi yang diverifikasi.

Langkah 3: Menerapkan Protokol untuk Memastikan Hak Konsumen

Undang-undang ini menjamin sejumlah hak konsumen yang perlu diambil oleh bisnis untuk memastikannya.

• Hak untuk Pemberitahuan – Meskipun ini bukan hak yang diberikan, pada atau sebelum bisnis mengumpulkan informasi pribadi dari konsumen, konsumen harus diberi tahu dengan benar kategori informasi mana yang dikumpulkan dan tujuan penggunaan informasi tersebut.

• Hak Akses / Hak untuk Meminta – Atas permintaan yang dapat diverifikasi, bisnis harus mengambil langkah-langkah untuk mengungkapkan dan memberikan, secara gratis kepada konsumen, informasi pribadi, yang dapat dikirimkan melalui surat atau elektronik. Jika disediakan secara elektronik, itu harus disediakan dalam portabel dan, sejauh memungkinkan secara teknis, dalam format yang siap digunakan yang memungkinkan konsumen untuk mengirimkan informasi pribadi ke entitas lain tanpa masalah. Bisnis dapat memberikan informasi pribadi kepada konsumen kapan saja, tetapi tidak harus memberikannya kepada konsumen lebih dari dua kali dalam periode 12 bulan.

• Hak untuk Tahu – Konsumen berhak meminta bisnis yang mengumpulkan informasi pribadi untuk mengungkapkan hal-hal berikut: (1) kategori informasi pribadi yang dikumpulkan; (2) sumber dari mana informasi dikumpulkan; (3) tujuan bisnis atau komersial untuk mengumpulkan atau menjual informasi; (4) kategori pihak ketiga dengan siapa bisnis berbagi informasi; (5) bagian spesifik dari informasi pribadi yang dikumpulkan bisnis tentang konsumen.

• Hak untuk Menghapus – Konsumen memiliki hak untuk meminta, atas permintaan yang dapat diverifikasi, agar bisnis menghapus informasi pribadi apa pun tentang konsumen yang telah dikumpulkan oleh bisnis tersebut. Setelah menerima permintaan tersebut, bisnis harus menghapus informasi dan mengarahkan penyedia layanan untuk menghapus informasi dari catatannya juga, kecuali jika bisnis atau penyedia layanan memerlukan informasi untuk: (1) menghitung transaksi di mana informasi pribadi dikumpulkan , menyediakan barang atau jasa yang diminta oleh konsumen, atau diantisipasi secara wajar dalam konteks hubungan bisnis berkelanjutan dengan konsumen, atau melakukan kontrak antara bisnis dan konsumen; (2) mendeteksi insiden keamanan; melindungi dari aktivitas jahat, menipu, curang, atau ilegal; atau menuntut mereka yang bertanggung jawab atas kegiatan itu; (3) debug untuk mengidentifikasi dan memperbaiki kesalahan fungsi yang dimaksudkan yang ada; (4) menggunakan kebebasan berbicara, menjamin hak konsumen lain untuk menggunakan hak kebebasan berbicaranya, atau menggunakan hak lain yang diatur oleh undang-undang; (5) terlibat dalam penelitian ilmiah, sejarah, atau statistik yang diterima oleh publik atau untuk kepentingan publik; (6) untuk memungkinkan penggunaan internal semata-mata yang sesuai dengan harapan konsumen berdasarkan hubungan konsumen dengan bisnis; (7) mematuhi kewajiban hukum; (8) jika tidak, gunakan informasi pribadi konsumen, secara internal, dengan cara yang sah yang sesuai dengan konteks di mana konsumen memberikan informasi tersebut.

• Hak untuk Memilih Keluar – Konsumen memiliki hak untuk tidak ikut serta dalam penjualan informasi pribadi oleh suatu bisnis. Bisnis harus menyediakan, dalam bentuk yang dapat diakses secara wajar oleh konsumen, tautan yang jelas dan mencolok ke beranda, berjudul “Jangan Jual Informasi Pribadi Saya” yang memungkinkan konsumen untuk tidak ikut serta dalam penjualan informasi pribadi konsumen. Bisnis harus menunggu setidaknya 12 bulan sebelum meminta untuk menjual informasi pribadi konsumen yang telah memilih keluar.

Langkah 4: Lakukan Pembaruan Keamanan

Undang-undang ini juga mengharuskan bisnis yang dilindungi melindungi data pribadi dengan keamanan yang “wajar”. Dalam praktiknya, standar ini telah mengarahkan perusahaan untuk mengambil pendekatan berbasis risiko untuk mengatasi ancaman terhadap kerahasiaan, integritas, dan ketersediaan data pribadi. Mereka menilai ancaman terhadap data, memberi peringkat risiko kerentanan yang terdeteksi, dan mengatasi kesenjangan berisiko tinggi terlebih dahulu.

Langkah 5: Perbarui Perjanjian Prosesor Pihak Ketiga

Untuk mematuhi Undang-Undang Privasi AS, bisnis yang meminta perusahaan lain memproses data mereka perlu memperbarui kontrak pihak ketiga mereka termasuk memasukkan bahasa klausa kontrak standar; membutuhkan inventaris data vendor; menggunakan kuesioner uji tuntas; memberikan catatan pemrosesan; membutuhkan sinkronisasi proses respons konsumen; membutuhkan penilaian dan audit di tempat; dan memerlukan pemetaan elemen data spesifik yang dibagikan kepada setiap pihak ketiga, termasuk menetapkan transfer yang memenuhi syarat sebagai "penjualan".

Bagi pihak ketiga yang membayar untuk informasi, mereka perlu merancang proses tambahan untuk mengakomodasi permintaan konsumen untuk memilih keluar dari penjualan dan menyediakan penghapusan data tersebut.

Langkah 6: Pelatihan

Akhirnya undang-undang ini mengharuskan karyawan yang menangani pertanyaan konsumen diberi tahu tentang semua persyaratannya. Karena hukuman yang terlibat, pelatihan ini harus minimum dan pelatihan karyawan tambahan direkomendasikan.

Pikirkan Ini Banyak untuk Diimplementasikan? Bisnis akan Mendapatkan Manfaat dari Kepatuhan:

Ada beberapa kritik terhadap undang-undang privasi dan klaim bahwa undang-undang ini buruk bagi bisnis.

Program kepatuhan membutuhkan uang tetapi perusahaan tidak dapat mengharapkan untuk menghasilkan uang dari aset, seperti data, dan tidak menghabiskan uang untuk memastikan tindakan mereka sesuai.

Namun, persyaratan utama dalam undang-undang privasi, seperti yang disebutkan di atas, sebagian besar sejalan dengan akal sehat, sehingga program kepatuhan tidak boleh menjadi jurang maut.

Selain itu, bahkan jika tekanan hukum tidak mulai meningkat, tekanan etika dan kesadaran akan meningkat.

Konsumen ingin berbisnis dengan perusahaan yang SECARA AKTIF melindungi privasi datanya.

Ya, ada biaya kepatuhan, tetapi ini harus dilihat sebagai bagian dari biaya berbisnis dengan data, dan membangun serta menjaga reputasi merek. Sebagai organisasi yang patuh, Anda akan dapat memasarkan kepatuhan Anda, yang pada gilirannya dapat membantu meningkatkan penjualan dan loyalitas pelanggan.

Hampir semua organisasi di seluruh dunia sekarang menyadari bahwa investasi privasi diterjemahkan menjadi keuntungan bisnis yang menguntungkan. Organisasi yang telah berinvestasi untuk bersiap menghadapi GDPR mengalami pelanggaran data yang lebih sedikit dan lebih murah , mereka melihat lebih sedikit gesekan penjualan karena masalah privasi pelanggan, lebih sedikit catatan data yang terpengaruh , waktu henti sistem lebih pendek .

Ini adalah beberapa temuan dari Studi Benchmark Privasi Data Cisco 2019 yang baru-baru ini dirilis, yang mengacu pada data dari survei double-blind terhadap lebih dari 3.200 profesional keamanan dan privasi di 18 negara. Studi ini adalah yang pertama dalam seri yang mengeksplorasi isu-isu utama yang dihadapi organisasi dalam privasi dan keamanan siber saat ini.

Menurut studi Cisco, 97% perusahaan mengatakan bahwa mereka menerima manfaat lebih lanjut dari investasi privasi mereka, lebih dari sekadar mematuhi undang-undang privasi. Manfaat ini termasuk keunggulan kompetitif , daya tarik bagi investor , efisiensi operasional , dan kapasitas yang lebih besar untuk fleksibilitas dan inovasi .

Tiga perempat dari semua responden mengatakan mereka menerima dua atau lebih dari manfaat ini. Selain itu, sebagian besar perusahaan sekarang mengatakan bahwa privasi data yang kuat adalah pembeda kompetitif di pasar mereka.

Hasil ini menyoroti kebutuhan bisnis untuk menjalani perubahan tidak hanya untuk mematuhi undang-undang privasi, tetapi juga untuk memaksimalkan manfaat bisnis dari investasi privasi mereka.

Meningkatkan manajemen data, meningkatkan kepercayaan pelanggan, dan mengalami penundaan penjualan yang lebih singkat dan pelanggaran data yang lebih murah semuanya dapat bermanfaat bagi organisasi Anda dan memberi Anda keunggulan kompetitif yang dibutuhkan bisnis Anda untuk berkembang.

Tulisannya besar dan tebal di dinding. Privasi bukan hanya untuk Eropa… itu adalah kebutuhan saat ini untuk bisnis di seluruh dunia. Pergeserannya bergolak. Tapi itu adalah salah satu yang tak terelakkan.

Manusia menemukan kunci untuk melindungi aset berwujud mereka. Sekarang data tidak berwujud sama berharganya (jika tidak lebih), akumulasi dan pemrosesan yang sembrono akan disukai, tidak disukai, dan pada akhirnya dipandang sebagai pelanggaran.

Praktik kepatuhan privasi menyederhanakan operasi. Dan mereka meningkatkan reputasi dengan mengurangi risiko pelanggaran. Menurut pendapat saya, ini bukan tentang upaya yang terlibat dalam kepatuhan, ini semua tentang bangun lebih awal dengan fakta bahwa kepatuhan mungkin menjadi keunggulan kompetitif besar ANDA berikutnya.

Convert telah meletakkan dasar yang kuat. Bagaimana dengan kamu?