เตรียมพร้อมสำหรับ CDPA: ชายฝั่งตะวันออกพบกับชายฝั่งตะวันตกเนื่องจากเวอร์จิเนียลงนามในกฎหมายความเป็นส่วนตัว
เผยแพร่แล้ว: 2021-04-22
เมื่อเร็วๆ นี้ รัฐเวอร์จิเนียได้ลงมติให้เป็นรัฐแรกบนชายฝั่งตะวันออกที่ออกกฎหมายว่าด้วยวิธีการที่บริษัทต่างๆ ปกป้องข้อมูลส่วนบุคคลของผู้บริโภค กฎหมายฉบับใหม่มีขึ้นเมื่อยักษ์ใหญ่ด้านเทคโนโลยีต้องเผชิญกับการตอบโต้จากฝ่ายนิติบัญญัติและผู้บริโภคเกี่ยวกับการจัดการข้อมูลส่วนบุคคล
ร่างกฎหมายคุ้มครองผู้บริโภคแห่งเวอร์จิเนีย (CDPA) ได้ลงนามในกฎหมายเมื่อวันที่ 2 มีนาคม พ.ศ. 2564 และมีผลบังคับใช้ในปี พ.ศ. 2566
เช่นเดียวกับกฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนียปี 2018 (CCPA) กฎหมายว่าด้วยสิทธิความเป็นส่วนตัวของรัฐแคลิฟอร์เนียปี 2020 (CPRA) และแม้แต่ GDPR ของยุโรป CDPA เป็นการพัฒนาล่าสุดในปีที่เป็นจุดเริ่มต้นของกฎหมายด้านความเป็นส่วนตัวในสหรัฐอเมริกา
แต่ธุรกิจที่ปฏิบัติตามกฎหมายอื่นๆ ไม่ควรมองข้าม พวกเขายังต้องเตรียมตัวสำหรับ CDPA ซึ่งมีข้อกำหนดที่แตกต่างจาก CCPA หรือ CPRA
ในบทความนี้ เราจะพิจารณาบทบัญญัติที่ชัดเจนเหล่านี้ของ Virginia Act และเปรียบเทียบกับ CCPA (ตามที่แก้ไขโดย CPRA) และ GDPR
| บทบัญญัติที่สำคัญ | เวอร์จิเนีย CDPA | แคลิฟอร์เนีย CCPA + CPRA | GDPR ของยุโรป | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ความสามารถในการประมวลผล | |||||||||||||||||||||||
| การลดขนาดข้อมูล | ใช่ | ไม่ | ใช่ | ||||||||||||||||||||
| วัตถุประสงค์ที่อนุญาต | ใช่ | ไม่ | ใช่ | ||||||||||||||||||||
| สิทธิส่วนบุคคล | |||||||||||||||||||||||
| สิทธิ์ในการรับแจ้งการดำเนินการกิจกรรม | ใช่ | ใช่ | ใช่ | ||||||||||||||||||||
| สิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคล | ใช่ | ใช่ | ใช่ | ||||||||||||||||||||
| สิทธิ์ในการเคลื่อนย้ายข้อมูล (เช่น ข้อมูลต้องอยู่ในรูปแบบที่พร้อมใช้งาน เพื่อให้สามารถถ่ายโอนจากเอนทิตี/แพลตฟอร์มหนึ่งไปยังอีกแพลตฟอร์มหนึ่งได้) | ใช่ | ใช่ | ใช่ | ||||||||||||||||||||
| สิทธิ์ในการแก้ไขข้อผิดพลาดในข้อมูลส่วนบุคคล | ใช่ | ไม่ | ใช่ | ||||||||||||||||||||
| สิทธิ์ในการลบข้อมูลส่วนบุคคล | ใช่ | ใช่ | ใช่ | ||||||||||||||||||||
| สิทธิ์ในการเลือกไม่รับโฆษณาตามพฤติกรรม | ใช่ | ไม่ | ใช่ | ||||||||||||||||||||
| สิทธิ์ในการคัดค้านการทำโปรไฟล์อัตโนมัติและการตัดสินใจ | ใช่ | ไม่ | ใช่ | ||||||||||||||||||||
| สิทธิในการไม่เลือกปฏิบัติในการใช้สิทธิเหล่านี้ | ใช่ | ใช่ | ใช่ | ||||||||||||||||||||
| สิทธิ์ในการยกเลิกการขายข้อมูลส่วนบุคคล | ใช่ | ใช่ | ไม่ | ||||||||||||||||||||
| เลือกใช้หรือเลือกที่จะไม่ประมวลผลข้อมูลที่ละเอียดอ่อน | เลือกใช้ | เลือกออก | เลือกใช้ | ||||||||||||||||||||
| สิทธิในการอุทธรณ์การปฏิเสธคำขอ | ใช่ | ไม่ | ไม่ | ||||||||||||||||||||
| ความรับผิดชอบ/การกำกับดูแล | |||||||||||||||||||||||
| การประเมินการปกป้องข้อมูล | ใช่ | ไม่ | ใช่ | ||||||||||||||||||||
| ความปลอดภัย | |||||||||||||||||||||||
| ความปลอดภัยของข้อมูลที่เหมาะสมในการปกป้องข้อมูล | ใช่ | ใช่ | ใช่ | ||||||||||||||||||||
| การแจ้งเตือนการละเมิด | ใช่ | ใช่ | ใช่ | ||||||||||||||||||||
| การถ่ายโอนข้อมูลภายนอก EEA | |||||||||||||||||||||||
| มาตรการเพิ่มเติมสำหรับการโอนระหว่างประเทศ | ไม่ | ไม่ | ใช่ | ||||||||||||||||||||
| การโอนไปยังบุคคลที่สาม | |||||||||||||||||||||||
| ข้อกำหนดตามสัญญาในข้อตกลงของผู้ให้บริการ | ใช่ | ใช่ | ใช่ | ||||||||||||||||||||
| การตลาด | |||||||||||||||||||||||
| ความยินยอมสำหรับคุกกี้ Adtech | ใช่ | ใช่ | ใช่ | ||||||||||||||||||||
| ความยินยอมที่ได้รับก่อนการทำตลาดแบบตรง | ไม่ | ไม่ | ใช่ | ||||||||||||||||||||
| หน่วยงานบังคับใช้กฎหมาย | |||||||||||||||||||||||
| อัยการสูงสุด | อัยการสูงสุด กปปส | ป.ป.ช | |||||||||||||||||||||
| วันทำการ | |||||||||||||||||||||||
| 1 มกราคม 2566 | 1 มกราคม 2563 / 1 มกราคม 2566 | 25 พฤษภาคม 2018 | |||||||||||||||||||||
ธุรกิจที่ทำงานเพื่อให้เป็นไปตาม CCPA หรือ GDPR จะพบว่ากฎหมายเหล่านี้มีคำฟุ่มเฟือยและคำศัพท์ที่คล้ายกันมากมาย อย่างไรก็ตาม เป็นความผิดพลาดที่จะถือว่ากฎหมายเวอร์จิเนียมีข้อกำหนดเหมือนกัน
แม้ว่าจะมีความคล้ายคลึงกันกับ CCPA และ GDPR แต่ CDPA ก็มีความแตกต่างที่มีแนวโน้มว่าจะไม่ซ้ำกันสำหรับแต่ละองค์กร
หากคุณรู้สึกหนักใจในการอ่านข้อความนี้ โปรดดูคำแนะนำทีละขั้นตอนที่เราระบุไว้ด้านล่างเพื่อช่วยจัดการกับการปฏิบัติตามกฎหมายว่าด้วยความเป็นส่วนตัวฉบับใหม่
อันดับแรก ให้ทนายความ ผู้เชี่ยวชาญด้านไอที และผู้เชี่ยวชาญด้านความเป็นส่วนตัวภายในองค์กรของคุณประเมินการบังคับใช้กฎหมายกับธุรกิจของคุณ จากนั้น ระบุช่องว่างใด ๆ และพัฒนา แผนการปฏิบัติตาม ที่มีแนวทางแก้ไขปัญหาเหล่านี้
มาดูรายละเอียดเพิ่มเติมกันดีไหม?
เพื่อให้สอดคล้องกับ CDPA คุณต้อง:
- สร้างและรักษาคลังข้อมูลที่ครอบคลุม โดยให้ข้อมูลเชิงลึกเกี่ยวกับข้อมูลทั้งสองประเภทที่เกี่ยวข้องและลักษณะของกิจกรรมการประมวลผล
- ตรวจสอบให้แน่ใจว่าข้อมูลที่ละเอียดอ่อนถูกแยกและจัดการโดยไม่มีความเสี่ยงที่ไม่จำเป็น
- ใช้กรอบงานสำหรับการดำเนินการประเมินผลกระทบต่อการปกป้องข้อมูล (DPIA)
- ประเมินนโยบาย แนวทางปฏิบัติ และการควบคุมความปลอดภัยทางไซเบอร์เพื่อให้แน่ใจว่าสอดคล้องกับมาตรฐานที่อุตสาหกรรมยอมรับ
- ให้ผู้บริโภคเลือกไม่ขายข้อมูลส่วนบุคคลของตน (ถ้ามี)
- อัปเดตนโยบายความเป็นส่วนตัวที่เปิดเผยต่อสาธารณะ ท่ามกลางการเปลี่ยนแปลงอื่นๆ ให้คำมั่นที่จะไม่ระบุข้อมูลส่วนบุคคลที่ไม่ระบุตัวตนซ้ำ และให้รายละเอียดเกี่ยวกับกิจกรรมการประมวลผลข้อมูล
- พัฒนากลไกในการยอมรับ ติดตาม ตรวจสอบ และให้เกียรติคำขอของผู้บริโภคในการเข้าถึง แก้ไข ลบ และเลือกไม่ใช้ข้อมูลส่วนบุคคลภายใต้ CDPA
- ตรวจสอบให้แน่ใจว่าพนักงานบริการลูกค้าของคุณมีความรู้ที่ถูกต้องเกี่ยวกับกฎระเบียบเพื่อตอบสนองคำขอของผู้บริโภคอย่างมีประสิทธิภาพและคาดการณ์ได้
สุดท้าย แม้ว่าปี 2023 อาจดูเหมือนเป็นอนาคตที่ห่างไกล แต่อย่าเลื่อนการสร้างแผนการปฏิบัติตามข้อกำหนดของคุณ
หากกฎหมายความเป็นส่วนตัวฉบับล่าสุดอื่นๆ สอนอะไรเรา แสดงว่าความคิดริเริ่มเหล่านี้ต้องใช้ความพยายามและเวลาในการวางแผนอย่างรอบคอบ ระบุช่องว่างในกลไกความเป็นส่วนตัวของคุณ และนำนโยบาย กระบวนการ และความพยายามในการแก้ไขใหม่ไปใช้
ยังไม่เร็วเกินไปที่จะเริ่มความพยายามปฏิบัติตาม CDPA เนื่องจากรัฐอื่นๆ เช่น นิวยอร์กและวอชิงตัน เริ่มออกกฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภค
เมื่อสภานิติบัญญัติของรัฐมีความกระตือรือร้นในการผ่านร่างกฎหมายหรือกฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภค สิ่งหนึ่งที่ชัดเจน: การทำให้มั่นใจว่าความเป็นส่วนตัวของลูกค้าจะไม่เกิดขึ้นภายหลังอีกต่อไป จะต้องนำไปปรับใช้ในรูปแบบธุรกิจของคุณ
