Utah: Negara Bagian Lain yang Mengesahkan Undang-Undang Privasi Data, UCPA
Diterbitkan: 2022-05-31
Pada bulan Maret 2022, Gubernur Utah Spencer J. Cox menandatangani RUU Senat (SB) 227 menjadi undang-undang, yang juga dikenal sebagai Undang-Undang Privasi Konsumen Utah (UCPA) .
UCPA adalah undang-undang privasi lintas industri yang memberi konsumen Utah hak privasi yang signifikan atas informasi pribadi mereka. Setiap data yang terhubung ke individu yang teridentifikasi atau dapat diidentifikasi dikenal sebagai data pribadi . Persyaratan kepatuhan tambahan berlaku untuk kategori "data sensitif" yang didefinisikan secara lebih tepat. Undang-undang tersebut akan mulai berlaku pada 31 Desember 2023.
UCPA serupa tetapi tidak identik dengan undang-undang privasi konsumen California, Virginia, Nevada, dan Colorado. Ini sangat terinspirasi oleh Undang-Undang Perlindungan Data Konsumen Virginia (VCDPA), dan beberapa elemen mirip VCDPA juga dapat ditemukan di Undang-Undang Privasi Colorado.
Sekilas, fitur tertentu dari UCPA tampak mirip dengan California Consumer Privacy Act (CCPA). Namun, dalam praktiknya, ini merupakan pendekatan privasi konsumen yang lebih ramah bisnis dan lebih lembut daripada pendahulunya .
Bagaimana UCPA Berbeda Dari Undang-Undang Privasi Negara Bagian Lainnya
Berikut adalah perbandingan tingkat tinggi dari ketentuan UCPA dengan yang ada di
- Undang-Undang Privasi Colorado (BPA)
- Hukum Privasi Negara Bagian Nevada (SB200)
- VCDPA
- CCPA (sebagaimana diubah oleh California Privacy Rights Act (CPRA))
- Peraturan Perlindungan Data Umum (GDPR)
| Ketentuan Utama | Utah UCPA | BPA Colorado | Nevada SB220 | CDPA Virginia | California CCPA + CPRA | GDPR Eropa | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Kemampuan untuk Memproses | |||||||||||||||||||||||||||||||||||||||||
| Minimalkan Data | Ya | Ya | - | Ya | Tidak | Ya | |||||||||||||||||||||||||||||||||||
| Tujuan yang Diizinkan | Ya | Ya | - | Ya | Tidak | Ya | |||||||||||||||||||||||||||||||||||
| Hak Individu | |||||||||||||||||||||||||||||||||||||||||
| Hak untuk menerima pemberitahuan tentang aktivitas pemrosesan | Ya | Ya | Ya | Ya | Ya | Ya | |||||||||||||||||||||||||||||||||||
| Hak untuk mengakses data pribadi | Ya | Ya | - | Ya | Ya | Ya | |||||||||||||||||||||||||||||||||||
| Hak untuk portabilitas data. Data harus tersedia dalam format yang mudah digunakan untuk transfer dari satu entitas/platform ke entitas lain. | Ya | Ya | . | Ya | Ya | Ya | |||||||||||||||||||||||||||||||||||
| Hak untuk memperbaiki kesalahan dalam data pribadi | Tidak | Ya | - | Ya | Tidak | Ya | |||||||||||||||||||||||||||||||||||
| Hak untuk menghapus data pribadi | Ya | Ya | - | Ya | Ya | Ya | |||||||||||||||||||||||||||||||||||
| Hak untuk menyisih dari iklan perilaku | Ya | Tidak | - | Ya | Tidak | Ya | |||||||||||||||||||||||||||||||||||
| Hak untuk menolak pembuatan profil dan pengambilan keputusan otomatis | Ya | Tidak | - | Ya | Tidak | Ya | |||||||||||||||||||||||||||||||||||
| Hak atas non-diskriminasi untuk pelaksanaan hak-hak ini | Ya | Ya | - | Ya | Ya | Ya | |||||||||||||||||||||||||||||||||||
| Hak untuk memilih keluar dari penjualan informasi pribadi | Ya | Ya | Ya | Ya | Ya | Tidak | |||||||||||||||||||||||||||||||||||
| Ikut serta atau keluar untuk pemrosesan informasi sensitif | Penyisihan | Memilih di | - | Memilih di | Penyisihan | Memilih di | |||||||||||||||||||||||||||||||||||
| Hak untuk mengajukan banding penolakan permintaan | Tidak | Tidak | - | Ya | Tidak | Tidak | |||||||||||||||||||||||||||||||||||
| Akuntabilitas/Tata Kelola | |||||||||||||||||||||||||||||||||||||||||
| Penilaian Perlindungan Data | Tidak | Ya | - | Ya | Tidak | Ya | |||||||||||||||||||||||||||||||||||
| Keamanan | |||||||||||||||||||||||||||||||||||||||||
| Keamanan Data yang Tepat untuk melindungi informasi | Tidak | Ya | - | Ya | Ya | Ya | |||||||||||||||||||||||||||||||||||
| Pemberitahuan Pelanggaran | Ya | Ya | - | Ya | Ya | Ya | |||||||||||||||||||||||||||||||||||
| Transfer Data Di Luar Wilayah Ekonomi Eropa (EEA) | |||||||||||||||||||||||||||||||||||||||||
| Tindakan tambahan untuk transfer internasional | Ya | Ya | - | Tidak | Tidak | Ya | |||||||||||||||||||||||||||||||||||
| Transfer ke Pihak Ketiga | |||||||||||||||||||||||||||||||||||||||||
| Persyaratan Kontrak dalam Perjanjian Penyedia Layanan | Tidak | Ya | - | Ya | Ya | Ya | |||||||||||||||||||||||||||||||||||
| Pemasaran | |||||||||||||||||||||||||||||||||||||||||
| Persetujuan untuk cookie Adtech | Tidak | Tidak | - | Ya | Ya | Ya | |||||||||||||||||||||||||||||||||||
| Persetujuan diperoleh sebelum pemasaran langsung | Tidak | Ya | - | Tidak | Tidak | Ya | |||||||||||||||||||||||||||||||||||
| Instansi Penegakan | |||||||||||||||||||||||||||||||||||||||||
| Departemen Perdagangan Utah | Jaksa Agung | - | Jaksa Agung | Jaksa Agung, CPPA | DPA | ||||||||||||||||||||||||||||||||||||
| Tanggal operasi | |||||||||||||||||||||||||||||||||||||||||
| 31 Desember 2023 | 1 Juli 2023 | 1 Oktober 2019 | 1 Januari 2023 | 1 Januari 2020/1 Januari 2023 | 25 Mei 2018 | ||||||||||||||||||||||||||||||||||||
Seperti terlihat dari tabel di atas, perusahaan yang mematuhi CCPA, CPRA, VCDPA, dan CPA kemungkinan tidak akan kesulitan memenuhi kriteria UCPA.
UCPA menggunakan nomenklatur "pengontrol" dan "pemroses" GDPR dan tidak menawarkan hak tindakan pribadi kepada konsumen atas dugaan pelanggaran. Seperti semua peraturan pemerintah lainnya, ini membuat konsumen mengendalikan informasi pribadi mereka .
Namun, itu juga membuat perbedaan penting tertentu.
Misalnya, UCPA tidak memberikan hak kepada konsumen untuk memperbaiki kesalahan dalam data pribadi mereka , juga tidak mengharuskan pengontrol untuk melakukan penilaian dampak perlindungan data (DPIA) dari operasi pemrosesan tertentu.
UCPA mengamanatkan bisnis yang tercakup untuk memberikan pemberitahuan kepada konsumen dan kesempatan untuk memilih keluar sebelum memproses data sensitif mereka.
Ini kontras dengan VCDPA dan CPA, yang memerlukan izin keikutsertaan untuk mengumpulkan dan memproses data sensitif. Selain itu, alih-alih langsung ke Jaksa Agung (AG), keluhan konsumen diteruskan melalui Departemen Perdagangan Utah, yang dapat menyampaikan kekhawatiran kepada AG.
Ketentuan Utama UCPA
Berikut adalah beberapa ketentuan utama UCPA.
Definisi Luas Data Pribadi dan Data Sensitif
Menurut UCPA, data pribadi adalah informasi apa pun yang terkait dengan, atau dapat secara wajar dikaitkan dengan, individu yang teridentifikasi atau dapat diidentifikasi. Ini mengklasifikasikan jenis data tertentu sebagai "data sensitif", yang tunduk pada standar dan batasan tambahan yang tidak berlaku untuk jenis data pribadi lainnya.
Hak Subjek Data Lebih Sedikit
Konsumen memiliki empat hak dasar di bawah UCPA:
- Hak untuk mengakses: Hak untuk mengetahui apakah pengontrol sedang memproses data pribadi konsumen dan memiliki akses ke data tersebut.
- Hak untuk dihapus: Hak konsumen untuk menghapus data pribadi yang diberikan kepada pengontrol.
- Hak atas portabilitas: Hak untuk mendapatkan salinan data pribadi konsumen yang sebelumnya diberikan kepada pengontrol dalam format portabel dan mudah diakses, yang memungkinkan konsumen untuk mengirimkan data ke pengontrol lain tanpa batasan.
- Hak untuk memilih keluar: Hak untuk menolak pemrosesan data pribadi untuk "iklan bertarget" dan "penjualan".
Terlepas dari semua hak penting ini, UCPA, tidak seperti undang-undang negara bagian lainnya, tidak menawarkan konsumen kemampuan untuk mengoreksi informasi pribadi yang tidak akurat.
Pemberitahuan Privasi yang Dapat Diakses dan Jelas
UCPA juga mewajibkan pengontrol untuk memberikan pemberitahuan kepada konsumen yang setidaknya berisi informasi berikut:
- Jenis data pribadi yang diproses oleh pengontrol
- Tujuan penanganan kategori data yang berbeda
- Bagaimana pelanggan dapat menggunakan haknya
- Jenis data pribadi yang dibagikan oleh pengontrol, jika ada, dengan pihak ketiga
- Pihak ketiga dengan siapa pengontrol bertukar data pribadi , jika berlaku
Perjanjian Pemrosesan Data yang Lebih Ringan (DPA)
UCPA mencakup Perjanjian pemrosesan Data yang lebih ringan dan memerlukan pengontrol untuk terhubung dengan prosesor. Prosesor ini mengelola dan memproses data pribadi untuk pengontrol.
Istilah yang dimasukkan oleh pengontrol dan prosesor harus menentukan:
- Sifat dan tujuan perjanjian
- Durasi pemrosesan
- Jenis subjek data
- Hak dan kewajiban masing-masing pihak
Pemroses juga harus mewajibkan setiap subkontraktor untuk menjaga kerahasiaan dan menugaskan mereka hanya melalui kontrak yang terdokumentasi . Kontrak ini menganggap subkontraktor sebagai pemroses jika ia menangani data atas nama pemroses.
Tidak seperti undang-undang privasi lainnya, UCPA tidak memerlukan persyaratan pemrosesan data untuk mengaudit prosesor atau mengizinkan pengontrol untuk memilih keluar dari mensubkontrakkan prosesor.
Persyaratan Keamanan yang Sudah Diketahui
UCPA memiliki bagian tentang keamanan. Ini menetapkan bahwa pengontrol menggunakan praktik keamanan data administratif, teknis, dan fisik yang sesuai untuk mengamankan data pribadi dan menghilangkan risiko bahaya yang dapat diperkirakan sebelumnya bagi konsumen berdasarkan ukuran, ruang lingkup, volume, dan sifat pemrosesan.
Daftar Periksa Kepatuhan UCPA Convert
Organisasi yang beroperasi di Utah harus mempertimbangkan UCPA dengan cara yang sama seperti undang-undang negara bagian lainnya. Namun, mungkin sulit untuk memeriksa setiap kotak dalam hal kepatuhan.
Untuk membantu organisasi menavigasi seluk-beluk UCPA, kami telah menyusun daftar periksa kepatuhan yang praktis ini.
Inilah yang perlu Anda ingat:
- Pastikan bisnis Anda tercakup oleh UCPA . Organisasi harus menilai apakah mereka memenuhi ambang batas yurisdiksi UCPA, termasuk ambang batas volume keuangan dan data.
- Pertimbangkan kembali kebijakan privasi Anda. Merevisi kebijakan privasi Anda untuk mencerminkan pemrosesan data pribadi, mengomunikasikan hak konsumen tambahan, dan mengidentifikasi cara bagi konsumen untuk menggunakan hak tersebut.
- Gunakan praktik keamanan data yang wajar untuk melindungi data Anda. Periksa kebijakan, praktik, dan kontrol keamanan siber Anda untuk memastikannya memenuhi standar industri.
- Izinkan pengunjung untuk memilih tidak memproses data pribadi mereka (jika berlaku). Menyediakan cara bagi penduduk Utah untuk menggunakan hak mereka untuk memilih keluar jika perusahaan menjual atau menggunakan informasi pribadi mereka untuk iklan bertarget.
- Menerapkan mekanisme pengumpulan data sensitif. Bisnis tidak boleh mengumpulkan data sensitif tanpa memberikan peringatan dan kesempatan kepada konsumen untuk memilih keluar. Untuk mematuhi kewajiban ini, perusahaan harus menerapkan sistem opt-out yang sesuai.
- Menerima dan menanggapi pertanyaan konsumen dengan segera. Kembangkan prosedur untuk menerima, melacak, mengakui, dan memenuhi permintaan konsumen untuk menggunakan hak akses dan penghapusan UCPA mereka.
Konversi Menghormati Semua Hukum Privasi (UE + AS)
Kepatuhan terhadap undang-undang Utah harus ditangani dengan cara yang sama seperti undang-undang negara bagian lainnya, dengan sedikit perubahan bahasa untuk kejelasan bahwa undang-undang tersebut hanya berlaku untuk penduduk Utah. UCPA mungkin memerlukan penargetan geografis yang berbeda dari pesan penyisihan, yang harus dinyatakan secara eksplisit.
Convert mengawasi privasi negara dan undang-undang keamanan siber. Untuk informasi lebih lanjut tentang "cara mempersiapkan UCPA" dan undang-undang privasi AS baru lainnya, lihat peta jalan GDPR kami.
