Ringkasan artikel: GDPR di AS? Legislasi negara bagian baru membuat ini lebih dekat dengan kenyataan

Artikel ini membahas dampak Peraturan Perlindungan Data Umum Uni Eropa (GDPR) pada undang -undang dan praktik privasi di Amerika Serikat. Meskipun AS tidak memiliki undang -undang privasi data yang komprehensif, pengaruh GDPR sudah terlihat. Legislatif negara bagian telah mengambil inisiatif untuk meloloskan undang -undang perlindungan data mereka sendiri, seperti California Protection Act California. Perusahaan Teknologi Besar juga menyerukan undang -undang privasi dasar AS. Namun, versi GDPR apa pun yang melewati Kongres kemungkinan akan dipermudah. Artikel ini berpendapat bahwa sementara aturan perlindungan data gaya Eropa memiliki kebajikan, mereka tidak akan cukup, dan pendekatan yang lebih luas diperlukan. AS perlu bertindak segera untuk menerapkan undang -undang privasi komprehensif yang akan memiliki konsekuensi global.

Poin -Poin Kunci:

1. AS belum mengeluarkan undang -undang privasi data yang komprehensif.
2. GDPR sudah mengubah hukum dan praktik privasi Amerika.
3. Negara telah mulai meloloskan undang -undang perlindungan data mereka sendiri yang dipengaruhi oleh GDPR.
4. Perusahaan Teknologi Besar sekarang menyerukan undang -undang privasi dasar AS.
5. GDPR versi AS kemungkinan akan dipermudah secara signifikan.
6. Aturan Perlindungan Data harus mempertimbangkan dampak pada lingkungan, demokrasi, rentang perhatian, dan kesehatan emosional.
7. Kongres juga dapat membahas kekuatan monopoli perusahaan teknologi besar.
8. AS perlu segera menerapkan undang -undang privasi yang komprehensif.
9. Undang -undang privasi yang komprehensif di AS akan memiliki konsekuensi global untuk privasi data.
10. Virginia telah mengesahkan Undang -Undang Perlindungan Data Konsumen sendiri mengikuti kerangka kerja CCPA.

Pertanyaan dan jawaban:

1. Apa Peraturan Perlindungan Data Umum (GDPR)?

Peraturan Perlindungan Data Umum (GDPR) adalah undang -undang perlindungan data yang ditetapkan oleh Uni Eropa pada tahun 2018. Ini menetapkan aturan dan otoritas untuk melindungi data pribadi individu UE.

2. Apakah GDPR hanya berlaku untuk organisasi yang berkantor pusat di UE?

Tidak, GDPR berlaku untuk organisasi mana pun yang menyimpan data warga negara Uni Eropa dan siapa pun di dalam zona perdagangan bebas Area Ekonomi Eropa (EEA), terlepas dari kantor pusat mereka.

3. Apa keadaan hukum privasi data saat ini di AS?

AS tidak memiliki undang -undang privasi data yang komprehensif. Namun, ada inisiatif di tingkat negara bagian untuk lulus undang -undang perlindungan data yang dipengaruhi oleh GDPR.

4. Bagaimana GDPR mempengaruhi undang -undang privasi di AS?

GDPR telah berdampak pada hukum dan praktik privasi Amerika. Negara telah mulai meloloskan undang -undang perlindungan data mereka sendiri, dan perusahaan teknologi besar menyerukan undang -undang privasi AS dasar.

5. Apa perbedaan utama antara GDPR Eropa dan Usulan Undang -Undang Privasi AS?

Sementara GDPR dan Usulan Undang -Undang Privasi AS berbagi tujuan transparansi dan akuntabilitas, versi GDPR AS kemungkinan akan dipermudah secara signifikan. Model pemberitahuan dan pilihan AS yang ada dapat dimasukkan ke dalam hukum privasi AS apa pun.

6. Apa keterbatasan aturan perlindungan data seperti GDPR?

Aturan Perlindungan Data dapat dipihatkan dan gagal untuk mengatasi dampak pemrosesan data pada lingkungan, demokrasi, rentang perhatian, dan kesehatan emosional.

7. Opsi alternatif apa yang dimiliki Kongres mengenai privasi data?

Kongres dapat melihat lebih keras pada kekuatan monopoli perusahaan teknologi besar dan perbedaan kekuatan antara perusahaan -perusahaan ini dan pelanggan mereka. Namun, menerapkan visi yang lebih luas tentang kesejahteraan manusia melalui hukum privasi tidak mungkin.

8. Betapa mendesaknya kebutuhan akan undang -undang privasi yang komprehensif di AS?

AS tidak bisa menunggu selamanya untuk menerapkan undang -undang privasi yang komprehensif. Undang -undang ini akan memiliki konsekuensi untuk privasi data secara global.

9. Apa itu Undang -Undang Perlindungan Data Konsumen (CDPA) di Virginia?

CDPA adalah undang -undang privasi data konsumen yang komprehensif yang diberlakukan di Virginia. Ini dengan cermat mengikuti kerangka kerja CCPA dan akan mulai berlaku pada 1 Januari 2023.

10. Negara bagian mana yang telah mengusulkan undang -undang privasi mengikuti kerangka kerja CCPA?

Washington dan New York telah mengusulkan undang -undang privasi yang mencerminkan CCPA.

11. Apa persyaratan bagi bisnis untuk mematuhi CDPA di Virginia?

Bisnis yang mengendalikan atau memproses informasi pribadi setidaknya 100.000 konsumen, atau mengontrol atau memproses data setidaknya 25.000 penduduk Virginia yang memperoleh 50% atau lebih dari pendapatan kotor mereka dari penjualan data pribadi, harus mematuhi CDPA.

12. Bagaimana dampak GDPR dirasakan di Amerika Serikat?

Dampak GDPR di Amerika Serikat sudah terbukti melalui diberlakukannya undang-undang perlindungan data tingkat negara bagian dan pengaruh pada praktik privasi perusahaan teknologi besar.

13. Apa peran perusahaan teknologi besar dalam membentuk undang -undang privasi AS?

Perusahaan teknologi besar sekarang menyerukan undang -undang privasi dasar AS yang setiap orang tunggu. Pengaruh mereka adalah memberi tekanan pada Kongres untuk membuat pilihan pada undang -undang privasi.

14. Bagaimana AS berbeda dari Eropa dalam hal menerapkan perlindungan data gaya GDPR?

AS terlalu berbeda dari Eropa untuk secara efektif menerapkan dan menegakkan perlindungan data gaya GDPR. Versi GDPR AS mana pun kemungkinan akan dipermudah dan lebih mirip dengan model pemberitahuan dan pilihan AS yang ada.

15. Bagaimana hukum privasi yang komprehensif di AS mempengaruhi privasi data secara global?

Undang -undang privasi komprehensif yang diterapkan di AS akan memiliki konsekuensi untuk privasi data di seluruh dunia. AS adalah pemain utama di pasar global, dan undang -undang privasinya akan memengaruhi praktik dan peraturan di seluruh dunia.

GDPR di AS? Legislasi negara bagian baru membuat ini lebih dekat dengan kenyataan

Peraturan Perlindungan Data Umum (juga dikenal sebagai GDPR) dari Uni Eropa adalah undang -undang perlindungan data yang mulai berlaku pada tahun 2018. Ini menetapkan satu set aturan dan otoritas untuk melindungi data pribadi semua individu UE. GDPR berlaku untuk organisasi mana pun yang memelihara data warga negara Uni Eropa dan siapa pun di dalam zona perdagangan bebas Area Eropa (EEA), tidak hanya yang berkantor pusat di UE.

Mengapa Sihir GDPR Eropa tidak akan pernah bekerja di AS

Internet telah bersama kami selama seperempat abad, tetapi AS masih belum mengeluarkan undang-undang yang mengharuskan perusahaannya untuk mematuhi perlindungan privasi data yang bermakna. Ini penting karena sebagian besar dunia barat’Perusahaan teknologi besar adalah orang Amerika. Di tahun 2020, Amerika’S Bill privasi akhirnya akan diselesaikan.

Pada Mei 2018, Uni Eropa’S General Protection Regulation (GDPR) mulai berlaku, dan sudah mengubah hukum dan praktik privasi Amerika. GDPR adalah serangkaian peraturan yang komprehensif, dan persyaratannya yang luas menjadi norma pasar global. Dalam praktiknya, jika Anda ingin melakukan bisnis internasional dalam data pribadi, Anda harus mengikuti setidaknya semangat GDPR, bahkan di AS.

Legislatif negara bagian telah mengambil inisiatif dan memanggil Kongres’S Hand on Privacy, bahkan jika Kongres tidak’t memperbarui pendekatan privasi selama bertahun -tahun. Dipengaruhi oleh GDPR, negara bagian sudah mulai meloloskan undang -undang perlindungan data mereka sendiri, seperti Undang -Undang Perlindungan Konsumen California Baru. Dan sekarang, setelah bertahun -tahun menentang peraturan, perusahaan teknologi besar sudah mulai menyerukan undang -undang privasi AS yang mendasar yang dipatuhi oleh semua orang. Kongres sekarang mendapati dirinya terjepit di antara momentum bottom-up dari negara bagian, dan pengaruh menyamping dari UE. Pada tahun 2020 akan dipaksa untuk membuat pilihan.

Sedangkan GDPR dan Amerika Serikat’ Proposal berbeda dengan cara yang penting, masing -masing lebih atau kurang membutuhkan transparansi dan akuntabilitas dari perusahaan dan kontrol untuk subjek data. Tetapi versi GDPR apa pun yang kemungkinan akan melewati Kongres juga kemungkinan akan dipermudah secara signifikan, dan lebih mirip model pemberitahuan AS yang ada (membaca kebijakan privasi) dan pilihan (memilih keluar dari Facebook dan Google).

Aturan perlindungan data gaya Eropa memiliki kebajikan yang tidak dapat disangkal, tetapi mereka menang’T cukup. GDPR mengasumsikan pemrosesan data selalu merupakan tujuan yang layak, tetapi bahkan data yang diproses secara adil dapat menyebabkan penindasan dan penyalahgunaan. Aturan perlindungan data juga dapat berpandangan pendek karena mereka mengabaikan bagaimana industri’Nafsu makan untuk data menghancurkan lingkungan kita, demokrasi kita, rentang perhatian kita dan kesehatan emosional kita. Bahkan jika perlindungan data gaya GDPR sudah cukup, AS terlalu berbeda dari Eropa untuk mengimplementasikan dan menegakkan kerangka kerja seperti itu secara efektif pada ketentuan tersebut. Versi GDPR AS mana pun akan, dalam praktiknya, akan menjadi GDPR-Lite.

Namun, peraturan perlindungan data bukan satu-satunya pilihan. Kongres malah bisa melihat lebih sulit pada perusahaan teknologi besar’ kekuatan monopoli, misalnya. Itu bisa melihat perbedaan daya yang sangat besar antara perusahaan -perusahaan ini dan pelanggan mereka. Dan itu bisa menggunakan hukum privasi untuk mengartikulasikan visi yang lebih luas tentang kesejahteraan manusia yang secara proaktif menanggapi tantangan era informasi – meskipun secara realistis opsi terakhir ini tidak mungkin berakhir pada buku undang -undang.

Apa yang pasti adalah bahwa AS bisa’t tunggu selamanya. Tahun ini, undang -undang privasi yang komprehensif akan diterapkan di AS. Dan formulir yang mereka ambil akan memiliki konsekuensi untuk privasi data di seluruh dunia.

Profesor Hukum dan Ilmu Komputer Woodrow Hartzog di Northeastern University. Neil Richards adalah Profesor Hukum dan Direktur Institut Cordell di Washington University di St. Louis, St Louis

GDPR di AS? Legislasi negara bagian baru membuat ini lebih dekat dengan kenyataan

Uni Eropa’Peraturan Perlindungan Data Umum (“GDPR”) terkenal sebagai hukum privasi dan keamanan terberat di dunia, karena memiliki jangkauan luas dan membebankan denda berat terhadap mereka yang melanggar standar privasi dan keamanannya (yang cukup luas). Dampak GDPR telah dirasakan di Amerika Serikat sejak mulai berlaku pada tahun 2018, dan sekarang U.S. Anggota parlemen di berbagai negara bagian bergerak untuk memberlakukan undang -undang serupa. Undang -Undang Perlindungan Konsumen California (“CCPA”) adalah contoh pertama dari GDPR’Dampak S di Amerika Serikat, karena California menerapkan undang -undang dan peraturan yang mencerminkan TheGDPR dalam beberapa hal. Sekarang Virginia telah menggerakkan apa yang bisa menjadi serangkaian negara selama setahun yang memberlakukan undang-undang yang serupa. Secara khusus, Washington dan New York telah mengusulkan undang -undang mengikuti kerangka CCPA. Artikel ini akan membandingkan CCPA dengan undang -undang privasi yang baru diberlakukan dan diusulkan di Amerika Serikat.

Tindakan privasi yang baru diberlakukan dan diusulkan:

Tindakan virginia yang baru diberlakukan

Pada 2 Maret 2021, Virginia meloloskan Undang -Undang Perlindungan Data Konsumennya (“CDPA”), Undang -Undang Privasi Data Konsumen Komprehensif Kedua di Amerika Serikat. CDPA akan mulai berlaku pada 1 Januari 2023. CDPA berlaku untuk orang atau entitas yang melakukan bisnis di Virginia atau memproduksi produk atau layanan yang ditawarkan kepada penduduk Virginia dan itu “kontrol atau proses” data pribadi. Undang -undang ini berlaku untuk bisnis yang (1) mengontrol atau memproses informasi pribadi setidaknya 100.000 konsumen, atau (2) mengendalikan atau memproses data setidaknya 25.000 penduduk Virginia yang juga memperoleh 50% atau lebih dari pendapatan kotor mereka dari penjualan data pribadi.

CDPA mengikuti kerangka CCPA; Namun, ada beberapa perbedaan utama:

• CDPA tidak mengandung hak tindakan pribadi. Sebaliknya, semua tindakan harus dibawa oleh Jaksa Agung Virginia.
• CDPA, seperti CCPA, membebaskan data yang sudah diatur oleh undang -undang federal yang terdaftar, seperti HIPAA, GLBA, FCRA, FERPA dan COPPA. Namun, di bawah CDPA, pembebasan GLBA lebih luas karena sepenuhnya membebaskan lembaga keuangan, bukan hanya subjek data. Selain itu, ada pengecualian berbasis data untuk Undang-Undang Pelaporan Kredit yang Adil, pengemudi’Undang -Undang Perlindungan Privasi, dan Undang -Undang Hak Pendidikan dan Privasi Federal, dan organisasi nirlaba.
• CDPA berisi persyaratan opt-in untuk memproses data pribadi yang sensitif, kecuali dikecualikan.
• CDPA mendefinisikan “konsumen” lebih sempit dari CCPA. CDPA tidak termasuk mereka yang bertindak dalam konteks komersial atau pekerjaan.
• Di bawah CDPA, “Penjualan Informasi Pribadi” mensyaratkan bahwa pertimbangan menjadi uang untuk memenuhi syarat sebagai penjualan data. Sebaliknya, CCPA memungkinkan moneter atau “Pertimbangan berharga lainnya.”

UU Washington yang diusulkan

Undang -Undang Privasi Washington, RUU Senat 6281 (“WPA”), adalah legislasi yang diusulkan yang mencerminkan CCPA. Seperti GDPR dan CCPA, WPA meningkatkan konsumen’ Hak yang berkaitan dengan data pribadi mereka dan memastikan bisnis transparan tentang pengumpulan dan pemrosesan data konsumen. Selain itu, WPA memungkinkan konsumen untuk memilih keluar dari penjualan data pribadi mereka. WPA akan berlaku untuk bisnis yang produk atau layanannya ditargetkan untuk konsumen Washington jika bisnis: (1) mengontrol atau memproses data lebih dari 100.000 konsumen, atau (2) memperoleh setidaknya 50% dalam pendapatan dari penjualan data pribadi Dan memproses atau mengontrol data pribadi lebih dari 25.000 konsumen.

WPA dan CCPA memiliki kesamaan penting seperti: (1) periode penyembuhan 30 hari; (2) Bisnis harus menghapus konsumen’data pribadi atas permintaan mereka; dan (3) tanggung jawab atas bisnis untuk menjadi proaktif dalam memberi tahu konsumen jenis informasi pribadi apa yang dikumpulkan oleh bisnis dan bagaimana data tersebut digunakan. Namun, ada perbedaan penting di antara mereka:

• WPA membatasi “data pribadi” definisi informasi mengenai “orang alami yang diidentifikasi atau diidentifikasi,” sedangkan definisi CCPA tetap luas dan berlaku untuk informasi yang ditautkan ke a “konsumen atau rumah tangga tertentu.”
• WPA secara eksplisit mendahului undang -undang, peraturan, dan peraturan setempat yang berkaitan dengan pemrosesan data pribadi oleh pengontrol atau prosesor. CCPA tidak.
• WPA, tidak seperti CCPA, tidak termasuk persyaratan ambang pendapatan.
• WPA, tidak seperti CCPA, mencakup a “diskriminasi” ketentuan yang menghentikan bisnis dari membuat keputusan otomatis akhir.
• WPA membatasi bagaimana teknologi pengenalan wajah dapat digunakan di mana CCPA tidak memiliki ketentuan yang serupa. (Kewajiban pengakuan wajah baru pada perusahaan yang menggunakan pengakuan wajah akan, jika diberlakukan, melebihi kewajiban yang dihadapi perusahaan saat ini di bawah Washington’S Hukum Privasi Biometrik (RCW 19.375).)

Diusulkan Undang -Undang New York

Dari semua undang -undang privasi yang diusulkan, Undang -Undang Privasi New York (S5642) (“Nypa”) kemungkinan yang paling dinanti karena bahasanya jauh lebih berani daripada CCPA. NYPA berlaku secara luas “Entitas hukum yang melakukan bisnis di New York atau memproduksi produk atau layanan yang sengaja ditargetkan untuk penduduk New York.” Dengan bahasa yang begitu luas, NYPA tampaknya dirancang untuk mencapai sebanyak mungkin bisnis sambil menghilangkan bahasa ambang pendapatan seperti yang terlihat di CCPA.

Meskipun NYPA dapat berubah sebelum diberlakukan, bahasanya saat ini berangkat dari CCPA dalam dua cara:

• Perubahan terbesar adalah bahwa bisnis akan diminta untuk bertindak sebagai “Fidusia data.” Hukum yang diusulkan menyatakan itu “Entitas apa pun yang mengumpulkan, menjual atau melisensikan informasi pribadi konsumen harus menjalankan tugas perawatan, kesetiaan, dan kerahasiaan yang diharapkan dari fidusia sehubungan dengan mengamankan data pribadi konsumen terhadap risiko privasi.” Kewajiban ini akan “menggantikan tugas apa pun yang terhutang kepada pemilik atau pemegang saham” entitas.
• NYPA tidak mengenali persetujuan tersirat. Berbeda dengan CCPA, yang mengakui persetujuan tersirat, NYPA akan mengharuskan bisnis untuk menunjukkan bahwa mereka telah memperoleh kesepakatan yang jelas dan proaktif dari konsumen jika diperlukan.

Takeaway utama

GDPR’Pengaruh S di Amerika Serikat ada di sini, dan tampaknya di sini untuk tetap seperti lebih banyak negara mengikuti. Dengan dua undang -undang privasi utama di setiap pantai dan variasi yang tersebar di antaranya, tidak jelas apakah Kongres pada akhirnya akan mengesahkan undang -undang federal untuk menciptakan beberapa keseragaman. Sampai saat itu, karena undang -undang baru diluncurkan perusahaan dan bisnis harus tetap up to date untuk melindungi diri dari potensi tindakan peraturan dan tuntutan hukum.

Gdpr di u.S.: Berhati-hatilah dengan apa yang kamu minta

Bisakah skandal Facebook terbaru menyebabkan Amerika secara permanen mengubah cara kita menangani undang -undang privasi kita?

Seth p. Berman

Perhatian saat ini pada skandal Facebook/Cambridge Analytica telah menyebabkan banyak komentator untuk menyarankan bahwa Amerika Serikat harus mengadopsi undang -undang yang dimodelkan setelah Uni Eropa’S Peraturan Perlindungan Data Umum (GDPR), yang mulai berlaku pada 25 Mei 2018. Memang, bahkan Facebook sendiri menawarkan untuk memberikan perlindungan yang sama kepada para pengguna Amerika yang disediakan untuk pengguna Eropa. Menariknya, bahkan sebagai semakin banyak orang Amerika yang mengutip GDPR sebagai model, sangat sedikit yang tampaknya memahami apa yang sebenarnya dituntut GDPR. Misalnya, hanya dalam beberapa minggu terakhir saya telah mendengar GDPR diringkas oleh seorang ahli yang seharusnya “undang-undang yang mengharuskan konsumen untuk memilih untuk berbagi data mereka;” hukum itu “menetapkan hak untuk dilupakan;” Dan “Eropa’Hukum pemberitahuan pelanggaran data.” Meskipun ada kebenaran dalam masing-masing klaim ini, ringkasan seperti itu melompati begitu banyak tentang apa yang diwajibkan GDPR sehingga membuat orang lebih, tidak kurang, bingung apa yang melibatkan GDPR, dan mungkin tidak secara kebetulan, memungkinkan perusahaan untuk mengklaim bahwa mereka memberikan perlindungan seperti GDPR tanpa benar-benar berkomitmen untuk sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak dengan sangat banyak untuk sangat banyak dengan sangat banyak untuk sangat banyak dengan sangat banyak hal sangat banyak dengan sangat banyak hal sangat banyak yang sangat banyak.

Sebelum menjelaskan secara lebih rinci apa yang benar -benar diperlukan kepatuhan GDPR, ada baiknya menceritakan pendekatan yang berbeda untuk privasi data yang telah dikembangkan di U.S. dan EU. Perbedaan utama terbesar adalah sampai saat ini, di luar beberapa industri yang sangat diatur, seperti perawatan kesehatan dan perbankan, U.S. tidak memiliki peraturan privasi yang berlaku secara umum. Sebaliknya, keputusan tentang apa yang bisa dilakukan dengan seorang individu’Data S diserahkan kepada perusahaan yang menyatakan data itu, asalkan perusahaan belum tidak jujur ​​tentang bagaimana ia bermaksud menggunakan data (yang akan menjadi pelanggaran terhadap berbagai undang -undang perlindungan konsumen). Kerangka hukum ini telah menghasilkan persyaratan layanan yang sangat luas yang ditulis oleh perusahaan yang hampir semua konsumen mengklik tanpa membaca sebelum masuk ke situs web. Dengan cara ini, konsumen di u.S. sebagian besar telah dipilih untuk memberikan data kepada perusahaan dengan sangat sedikit keterbatasan sebagai imbalan untuk akses biaya gratis atau berkurang ke layanan yang diberikan perusahaan. Ketentuan layanan yang luas ini adalah jalur pertahanan pertama bagi perusahaan mana pun yang diduga telah melecehkan konsumen’ Kepercayaan – pada dasarnya “Anda memberi kami izin” (Bahkan jika Anda tidak’T sadar Anda telah melakukannya).

Perkiraan terdekat u.S. Saat ini memiliki peraturan privasi data berbasis luas adalah undang-undang pemberitahuan pelanggaran data negara. Statuta ini, yang bervariasi dari satu negara ke negara lain, umumnya mengharuskan organisasi untuk memberi tahu orang -orang yang terkena dampak jika menderita pelanggaran data yang mengakibatkan hilangnya informasi yang dapat diidentifikasi secara pribadi (PII), seperti nomor jaminan sosial, nomor kartu kredit, atau tanggal lahir. Ini bukan undang -undang privasi sama sekali. Sebaliknya, mereka sepenuhnya retroaktif (mereka terlibat hanya setelah pelanggaran keamanan terjadi) dan tidak ada batasan pada apa yang dapat dilakukan oleh suatu organisasi dengan data pribadi asalkan mereka menjaganya agar tetap aman dari pihak ketiga yang tidak berwenang.

Mengapa GDPR penting bagi Anda.S. Organisasi

GDPR adalah undang -undang yang disahkan di UE dan telah memiliki implikasi yang signifikan untuk semua perusahaan yang beroperasi di Eropa. Namun, undang -undang ini telah menjadi “standar emas” Di tempat -tempat yang jauh melampaui UE karena dalam banyak hal standar baru untuk keamanan data dan persyaratan privasi data untuk semua jenis bisnis.

Dalam artikel ini, kami ingin membahas dampak yang dimiliki GDPR terhadap perusahaan AS dan mengapa undang -undang ini juga penting bagi organisasi AS. Kunci mengapa perusahaan AS harus peduli adalah karena itu adalah praktik terbaik & akan membantu mereka dipersiapkan jika undang -undang privasi data AS besar disahkan.

Apa GDPR?

Peraturan Perlindungan Data Umum (juga dikenal sebagai GDPR) dari Uni Eropa adalah undang -undang perlindungan data yang mulai berlaku pada tahun 2018. Ini menetapkan satu set aturan dan otoritas untuk melindungi data pribadi semua individu UE. GDPR berlaku untuk organisasi mana pun yang memelihara data warga negara Uni Eropa dan siapa pun di dalam zona perdagangan bebas Area Eropa (EEA), tidak hanya yang berkantor pusat di UE.

Peraturan Perlindungan Data Umum (GDPR) menetapkan sejumlah objek yang menangani, memproses, dan melindungi data. Definisi ini akan membantu Anda memulai dengan GDPR dan aturan terkait. GDPR membagi partai data menjadi tiga kategori: subjek data, pengontrol, dan prosesor.

“Subjek data” adalah seseorang yang informasinya sedang dikumpulkan. “Pengontrol Data” adalah entitas yang memutuskan keadaan, tujuan, dan metode untuk memproses data pribadi subjek data. “Pemroses data”, di sisi lain, adalah perusahaan yang menangani data pribadi atas nama pengontrol.

Pengendali dan prosesor dapat terletak di mana saja di dunia, termasuk Amerika Serikat, di bawah GDPR. Ini adalah keberangkatan yang cukup besar dari peraturan UE sebelumnya.

Apa yang merupakan data pribadi adalah konsep GDPR penting lainnya untuk dipahami. Hanya data yang dapat digunakan untuk mengidentifikasi individu yang dilindungi di bawah GDPR. Misalnya, usia saja tidak dapat digunakan untuk mengidentifikasi seseorang dan tidak dicakup oleh GDPR, tetapi data usia plus nama dapat digunakan untuk mengidentifikasi seseorang.

Memahami fitur utama GDPR

GDPR terutama termotivasi oleh keinginan UE untuk menciptakan pasar digital terpadu. Persyaratan GDPR saat ini dipandu oleh konsep yang tercantum di bawah ini, dan ketiganya berlaku untuk organisasi AS.

Proporsionalitas

Menurut GDPR, jumlah data pribadi yang diproses harus proporsional dengan alasan yang dikumpulkan. Ini mensyaratkan pengumpulan data sesedikit mungkin dan mempertahankannya tidak lebih dari yang dibutuhkan untuk melayani konsumen.

Transparansi

Semua subjek data memiliki hak untuk diberi tahu tentang pemrosesan data pribadi mereka dan tujuan yang digunakannya. Mereka juga harus secara tegas menyetujui. (Lihat Pasal 7, 10, 11, dan 12 untuk informasi lebih lanjut.) Untuk sebagian besar perusahaan, GDPR merupakan perubahan yang signifikan. Anda harus beralih dari opt-out ke sikap opt-in ketika datang ke pemrosesan data.

Tujuan yang sah

Agar pengumpulan data menjadi legal, organisasi harus memiliki alasan yang sah untuk melakukannya. Jumlah data pribadi yang diperlukan untuk menyelesaikan tugas bisnis harus dijaga agar tetap minimum. Aplikasi game, misalnya, tidak memerlukan informasi perawatan kesehatan, sehingga seharusnya tidak diminta untuk mengumpulkan data yang tidak memiliki nilai ekonomi.

Apa yang dikatakan GDPR tentang perusahaan AS?

GDPR tidak secara langsung berlaku untuk semua perusahaan AS, tetapi secara tidak langsung mempengaruhi mereka.

GDPR berlaku untuk Amerika Serikat serta semua negara lain di seluruh dunia. Karena Pasal 3 GDPR, yang menentukan jangkauan geografis hukum, menetapkan bahwa itu berlaku tidak hanya untuk perusahaan di UE, tetapi juga untuk organisasi di luar UE yang menyediakan atau memantau data warga negara Uni Eropa, inilah yang terjadi.

Jika setidaknya satu dari dua persyaratan berikut dipenuhi, GDPR berlaku untuk semua perusahaan AS, terlepas dari pendapatan atau ukuran karyawan:

• Bahkan jika tidak ada interaksi bisnis, perusahaan menyediakan barang atau jasa untuk penduduk UE.
• Perusahaan melacak bagaimana perilaku pengguna di dalam Uni Eropa.

Nama, informasi kontak, spesifik perangkat seperti alamat IP, informasi biometrik, gambar, dan video adalah di antara data pribadi dan perilaku yang dicakup oleh GDPR.

Kriteria untuk kepatuhan GDPR berbeda berdasarkan karakteristik perusahaan. Bisnis dengan kurang dari 250 pekerja, misalnya, tidak diharuskan untuk melacak operasi pemrosesan data mereka. Namun, seperti yang dinyatakan dalam seni. 30 (5) dari GDPR, kriteria ini hanya berlaku jika pemrosesan tidak mewakili bahaya bagi hak dan kebebasan subyek data, jika tidak ada kategori data khusus yang diproses, atau jika pemrosesan dilakukan sangat jarang jarang.

Mengapa GDPR penting?

Perubahan di bawah GDPR dimaksudkan untuk mengalihkan bisnis dari pendekatan kepatuhan kotak kutu hingga perlindungan dan privasi data pribadi, dan menuju strategi perusahaan untuk mengelola masa pakai data.

Untuk memulainya, GDPR mencakup wilayah geografis yang lebih luas. Tidak perlu berbasis di Eropa untuk memenuhi syarat. GDPR akan berlaku untuk perusahaan mana pun yang melakukan bisnis dengan warga negara Uni Eropa. Bahkan jika Anda memberikan layanan bebas laba, seperti aplikasi yang dapat diakses oleh orang-orang di UE, jika Anda mengumpulkan informasi digital seperti alamat IP atau menjalankan cookie, Anda mungkin bertanggung jawab atas GDPR.

Ada juga masalah DPA untuk dipertimbangkan. Otoritas Perlindungan Data (DPA) akan dapat memaksakan denda yang lebih keras untuk pelanggaran data pribadi. GDPR memiliki pendekatan tiga tingkat untuk penalti. Untuk pelanggaran yang paling mengerikan, seperti gagal mendapatkan persetujuan konsumen yang memadai untuk memproses data, hukuman maksimum adalah 4% dari pendapatan global tahunan, atau € 20 juta. Denda hingga 2% dari pendapatan tahunan di seluruh dunia akan berlaku untuk pelanggaran yang kurang signifikan, seperti kegagalan untuk menginformasikan pelanggaran. Hukuman tertinggi karena melanggar Undang -Undang Perlindungan Data di Inggris adalah £ 500.000, dan denda terbesar hingga saat ini adalah £ 400.000, yang diberikan kepada TalkTalk pada 2016 untuk kelemahan keamanan yang memungkinkan penyerang cyber untuk mengakses data konsumen “dengan mudah.”

Kepatuhan GDPR sangat penting karena perlindungan teknologi dan organisasi untuk mengamankan data pribadi akan menjadi penting, dengan GDPR membuat contoh -contoh dari apa yang diantisipasi. Kekhawatiran ini termasuk hashing dan enkripsi data pribadi, kapasitas untuk menjaga kerahasiaan, integritas, dan ketersediaan, dan mekanisme untuk mengevaluasi keberhasilan langkah -langkah keamanan.

Selain itu, ruang lingkup data pribadi telah diperluas untuk memasukkan pengidentifikasi online seperti alamat IP dan identitas perangkat seluler. Perjanjian tegas individu untuk pemrosesan data pribadi akan diperlukan, dan perusahaan tidak akan lagi diizinkan untuk memanfaatkan syarat dan ketentuan yang luas dan tidak dapat dibaca. Individu juga akan memiliki hak baru dalam hal pemrosesan data, seperti penghapusan data dan portabilitas data, yang merupakan kapasitas untuk mentransfer data ke pengontrol yang berbeda.

Bagaimana GDPR mempengaruhi privasi data secara internasional?

GDPR telah memengaruhi undang -undang di seluruh dunia, termasuk negara hukum umum Brasil untuk perlindungan data pribadi, undang -undang perlindungan data pribadi yang direncanakan China, dan tagihan perlindungan data pribadi yang diusulkan India, untuk menyebutkan beberapa. Di Amerika Serikat, California dan Virginia telah mengesahkan undang -undang berdasarkan GDPR, sementara negara -negara lain, seperti Washington, masih mengerjakan ide -ide.

Di India, GDPR menjabat sebagai model untuk PDPB yang direncanakan di India, yang kemungkinan akan diajukan sebelum Parlemen segera dalam bentuk akhirnya. India sedang mempertimbangkan untuk memperluas ruang lingkup undang -undang untuk memasukkan kategori data pribadi yang sensitif yang akan membutuhkan kepatuhan bahkan jika tidak ada data yang dikumpulkan di India tetapi diproses di sana.

Prinsip -prinsip dasar keterbukaan, pelestarian data, dan keamanan GDPR telah ditunjukkan secara universal berlaku. Sejak 2018, ada perubahan yang signifikan, dengan pengakuan yang menangani data pribadi secara transparan dan aman adalah suatu keharusan.

Pada skala di seluruh dunia, GDPR juga meningkatkan profil privasi. GDPR telah menjadi peluang yang sangat bermanfaat bagi para profesional privasi, meningkatkan kemungkinan privasi, jalur karier, dan pekerjaan sambil juga mengembangkan kumpulan bakat privasi yang lebih kuat dan lebih bervariasi. Secara lebih luas, GDPR telah bertindak sebagai katalis untuk memindahkan privasi ke puncak agenda CEO di semua bisnis.

GDPR telah meningkatkan privasi data ke prioritas C-suite di dalam perusahaan, mempercepat pematangan banyak program privasi, dan telah mengubah banyak program privasi dari pendekatan kepatuhan kotak kutu untuk mengembangkan budaya privasi dengan desain dan tanggung jawab. Keinginan organisasi untuk mematuhi GDPR tidak mengejutkan mengingat mekanisme penegakan regulasi.

Masa Depan Kepatuhan GDPR dan Privasi Data

Sementara GDPR telah menetapkan standar untuk Kerangka Perlindungan Data di seluruh dunia, itu dapat ditingkatkan dengan menyelaraskan pendekatannya dengan prinsip -prinsip hukum internasional yang ada.

Kasus “Schrem” telah menyebabkan banyak kebingungan dalam beberapa tahun terakhir, dan proses kecukupan kurang dari terbuka. Prosedur mengevaluasi apakah suatu negara memenuhi kriteria Uni Eropa rumit, dan undang-undang tersebut dapat diperkuat dengan memanfaatkan konsep kerja sama lintas batas yang ada dalam perdagangan internasional lainnya.

Organisasi dengan tajam memantau undang -undang ePrivacy yang direncanakan Uni Eropa, yang akan menggantikan Petunjuk Eprivasi dalam mendefinisikan standar untuk komunikasi elektronik, serta saran untuk peraturan kecerdasan buatan saat mereka bekerja melalui kepatuhan GDPR GDPR. Pakar privasi percaya bahwa rencana ini harus mematuhi GDPR saat ditinjau.

Prinsip -prinsip GDPR, seperti akuntabilitas, keterbukaan, dan keadilan, dapat berfungsi sebagai model untuk undang -undang masa depan, dengan tujuan mengembangkan solusi rasional dan praktis yang melindungi orang. Untuk menghindari fragmentasi undang -undang tata kelola data di dalam UE, undang -undang berikutnya harus mencari kesesuaian yang signifikan dengan aturan GDPR.