Bersiaplah untuk CDPA: Pantai Timur Bertemu Pantai Barat saat Virginia Menandatangani Hukum Privasi
Diterbitkan: 2021-04-22
Negara bagian Virginia baru-baru ini memilih untuk menjadi negara bagian pertama di Pantai Timur yang memberlakukan undang-undang yang mengatur bagaimana perusahaan melindungi data pribadi konsumen. Undang-undang baru itu muncul ketika raksasa teknologi menghadapi penolakan dari anggota parlemen dan konsumen atas penanganan informasi pribadi mereka.
RUU Undang-Undang Perlindungan Data Konsumen Virginia (CDPA) ditandatangani menjadi undang-undang pada 2 Maret 2021 dan akan mulai berlaku pada 2023.
Mirip dengan California Consumer Privacy Act of 2018 (CCPA), California Privacy Rights Act of 2020 (CPRA), dan bahkan GDPR Eropa, CDPA adalah perkembangan terbaru dalam apa yang telah menjadi tahun penting untuk undang-undang privasi di Amerika Serikat.
Tetapi bisnis yang telah bekerja untuk mematuhi undang-undang lain tidak boleh berpuas diri. Mereka masih perlu mempersiapkan CDPA yang ketentuannya berbeda dengan CCPA atau CPRA.
Dalam artikel ini, kami melihat ketentuan yang berbeda dari Undang-Undang Virginia ini dan membandingkannya dengan CCPA (sebagaimana diubah oleh CPRA) dan GDPR.
| Ketentuan Utama | CDPA Virginia | California CCPA + CPRA | GDPR Eropa | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Kemampuan untuk Memproses | |||||||||||||||||||||||
| Minimalkan Data | Ya | Tidak | Ya | ||||||||||||||||||||
| Tujuan yang Diizinkan | Ya | Tidak | Ya | ||||||||||||||||||||
| Hak Individu | |||||||||||||||||||||||
| Hak untuk menerima pemberitahuan tentang aktivitas pemrosesan | Ya | Ya | Ya | ||||||||||||||||||||
| Hak untuk mengakses data pribadi | Ya | Ya | Ya | ||||||||||||||||||||
| Hak atas portabilitas data (yaitu, data harus disediakan dalam format yang siap digunakan, sehingga dapat ditransfer dari satu entitas/platform ke entitas lain) | Ya | Ya | Ya | ||||||||||||||||||||
| Hak untuk memperbaiki kesalahan dalam data pribadi | Ya | Tidak | Ya | ||||||||||||||||||||
| Hak untuk menghapus data pribadi | Ya | Ya | Ya | ||||||||||||||||||||
| Hak untuk menyisih dari iklan perilaku | Ya | Tidak | Ya | ||||||||||||||||||||
| Hak untuk menolak pembuatan profil dan pengambilan keputusan otomatis | Ya | Tidak | Ya | ||||||||||||||||||||
| Hak atas non-diskriminasi untuk pelaksanaan hak-hak ini | Ya | Ya | Ya | ||||||||||||||||||||
| Hak untuk memilih keluar dari penjualan informasi pribadi | Ya | Ya | Tidak | ||||||||||||||||||||
| Ikut serta atau keluar untuk pemrosesan informasi sensitif | Memilih di | Penyisihan | Memilih di | ||||||||||||||||||||
| Hak untuk mengajukan banding penolakan permintaan | Ya | Tidak | Tidak | ||||||||||||||||||||
| Akuntabilitas/Tata Kelola | |||||||||||||||||||||||
| Penilaian Perlindungan Data | Ya | Tidak | Ya | ||||||||||||||||||||
| Keamanan | |||||||||||||||||||||||
| Keamanan Data yang Tepat untuk Menjaga Informasi | Ya | Ya | Ya | ||||||||||||||||||||
| Pemberitahuan Pelanggaran | Ya | Ya | Ya | ||||||||||||||||||||
| Transfer Data Di Luar EEA | |||||||||||||||||||||||
| Tindakan tambahan untuk transfer internasional | Tidak | Tidak | Ya | ||||||||||||||||||||
| Transfer ke Pihak Ketiga | |||||||||||||||||||||||
| Persyaratan Kontrak dalam Perjanjian Penyedia Layanan | Ya | Ya | Ya | ||||||||||||||||||||
| Pemasaran | |||||||||||||||||||||||
| Persetujuan untuk cookie Adtech | Ya | Ya | Ya | ||||||||||||||||||||
| Persetujuan diperoleh sebelum pemasaran langsung | Tidak | Tidak | Ya | ||||||||||||||||||||
| Instansi Penegakan | |||||||||||||||||||||||
| Jaksa Agung | Jaksa Agung, CPPA | DPA | |||||||||||||||||||||
| Tanggal operasi | |||||||||||||||||||||||
| 1 Januari 2023 | 1 Januari 2020 / 1 Januari 2023 | 25 Mei 2018 | |||||||||||||||||||||
Bisnis yang telah berupaya mencapai kepatuhan terhadap CCPA atau GDPR akan mendapati bahwa undang-undang ini memiliki banyak kata-kata dan terminologi yang serupa; namun, adalah keliru untuk menganggap bahwa hukum Virginia memiliki persyaratan yang sama.
Meskipun ada kesamaan dengan CCPA dan GDPR, CDPA mengandung nuansa yang cenderung unik untuk setiap organisasi.
Jika Anda kewalahan membaca ini, lihat petunjuk langkah demi langkah yang kami berikan di bawah ini untuk membantu mengatasi kepatuhan terhadap undang-undang privasi yang baru.
Pertama, mintalah pengacara, profesional TI, dan spesialis privasi dalam organisasi Anda untuk menilai penerapan hukum pada bisnis Anda. Kemudian, identifikasi kesenjangan dan kembangkan rencana kepatuhan yang mencakup solusi untuk masalah ini.
Mari kita masuk ke detail lebih lanjut, ya?
Untuk mencapai kepatuhan terhadap CDPA, Anda perlu:
- Membuat dan memelihara inventaris data yang komprehensif, memberikan wawasan tentang jenis data yang terlibat dan sifat aktivitas pemrosesan.
- Pastikan bahwa data sensitif dipisahkan dan dikelola tanpa risiko yang tidak perlu.
- Menerapkan kerangka kerja untuk melakukan Penilaian Dampak Perlindungan Data (DPIA).
- Menilai kebijakan, praktik, dan kontrol keamanan siber yang ada untuk memastikannya konsisten dengan standar yang diakui industri.
- Memungkinkan konsumen untuk memilih keluar dari penjualan informasi pribadi mereka (jika berlaku).
- Perbarui kebijakan privasi publik, antara lain, berjanji untuk tidak mengidentifikasi ulang data pribadi yang tidak teridentifikasi dan memberikan perincian tentang aktivitas pemrosesan datanya.
- Kembangkan mekanisme untuk menerima, melacak, memverifikasi, dan memenuhi permintaan konsumen untuk mengakses, mengoreksi, menghapus, dan menyisih dari data pribadi berdasarkan CDPA.
- Pastikan bahwa karyawan layanan pelanggan Anda memiliki pengetahuan yang akurat tentang peraturan untuk memenuhi permintaan konsumen secara efisien dan dapat diprediksi.
Akhirnya, meskipun 2023 mungkin tampak sebagai masa depan yang jauh, jangan tunda membangun rencana kepatuhan Anda.
Jika undang-undang privasi terbaru lainnya mengajari kami sesuatu, inisiatif ini memerlukan upaya dan waktu yang ekstensif untuk merencanakan dengan cermat, menemukan celah dalam mekanisme privasi Anda, dan menerapkan kebijakan, proses, dan upaya perbaikan baru.
Tidak terlalu dini untuk memulai upaya kepatuhan CDPA karena lebih banyak negara bagian, seperti New York dan Washington, mulai memberlakukan undang-undang perlindungan privasi konsumen.
Karena semakin banyak legislatif negara bagian yang aktif dalam mengesahkan undang-undang atau undang-undang perlindungan privasi konsumen, satu hal menjadi jelas: memastikan privasi pelanggan tidak lagi menjadi renungan. Itu harus dimasukkan ke dalam model bisnis Anda.
