Apakah GDPR penting di AS

Mempertahankan kepatuhan dengan GDPR tidak hanya untuk kepentingan terbaik pelanggan Anda tetapi untuk kepentingan terbaik bisnis Anda. Kisah-kisah horor tentang ketidakpatuhan dan pelanggaran data dapat disertai dengan denda yang besar. Bergantung pada ukuran bisnis Anda, denda dapat berkisar antara $ 11 dan $ 21 juta atau 2 – 4% dari pergantian global tahunan Anda.

GDPR di AS? Legislasi negara bagian baru membuat ini lebih dekat dengan kenyataan

Peraturan Perlindungan Data Umum Uni Eropa (“GDPR”) dikenal sebagai hukum privasi dan keamanan terberat di dunia, karena memiliki jangkauan yang luas dan memberlakukan denda berat terhadap mereka yang melanggar standar privasi dan keamanannya (yang cukup luas). Dampak GDPR telah dirasakan di Amerika Serikat sejak mulai berlaku pada tahun 2018, dan sekarang U.S. Anggota parlemen di berbagai negara bagian bergerak untuk memberlakukan undang -undang serupa. California Consumer Protection Act (“CCPA”) adalah contoh pertama dari dampak GDPR di Amerika Serikat, karena California menerapkan undang -undang dan peraturan yang mencerminkan GDPR dalam beberapa hal. Sekarang Virginia telah menggerakkan apa yang bisa menjadi serangkaian negara selama setahun yang memberlakukan undang-undang yang serupa. Secara khusus, Washington dan New York telah mengusulkan undang -undang mengikuti kerangka CCPA. Artikel ini akan membandingkan CCPA dengan undang -undang privasi yang baru diberlakukan dan diusulkan di Amerika Serikat.

Tindakan privasi yang baru diberlakukan dan diusulkan:

Tindakan virginia yang baru diberlakukan

Pada tanggal 2 Maret 2021, Virginia mengesahkan Undang -Undang Perlindungan Data Konsumen (“CDPA”), undang -undang privasi data konsumen komprehensif kedua di Amerika Serikat. CDPA akan mulai berlaku pada 1 Januari 2023. CDPA berlaku untuk orang atau entitas yang melakukan bisnis di Virginia atau memproduksi produk atau layanan yang ditawarkan kepada penduduk Virginia dan bahwa “mengendalikan atau memproses” data pribadi. Undang -undang ini berlaku untuk bisnis yang (1) mengontrol atau memproses informasi pribadi setidaknya 100.000 konsumen, atau (2) mengendalikan atau memproses data setidaknya 25.000 penduduk Virginia yang juga memperoleh 50% atau lebih dari pendapatan kotor mereka dari penjualan data pribadi.

CDPA mengikuti kerangka CCPA; Namun, ada beberapa perbedaan utama:

• CDPA tidak mengandung hak tindakan pribadi. Sebaliknya, semua tindakan harus dibawa oleh Jaksa Agung Virginia.
• CDPA, seperti CCPA, membebaskan data yang sudah diatur oleh undang -undang federal yang terdaftar, seperti HIPAA, GLBA, FCRA, FERPA dan COPPA. Namun, di bawah CDPA, pembebasan GLBA lebih luas karena sepenuhnya membebaskan lembaga keuangan, bukan hanya subjek data. Selain itu, ada pengecualian berbasis data untuk Undang-Undang Pelaporan Kredit yang Adil, Undang-Undang Perlindungan Privasi Pengemudi, dan Undang-Undang Hak Pendidikan dan Privasi Federal, dan organisasi nirlaba.
• CDPA berisi persyaratan opt-in untuk memproses data pribadi yang sensitif, kecuali dikecualikan.
• CDPA mendefinisikan “konsumen” lebih sempit dari CCPA. CDPA tidak termasuk mereka yang bertindak dalam konteks komersial atau pekerjaan.
• Di bawah CDPA, “Penjualan Informasi Pribadi” mengharuskan pertimbangan tersebut menjadi moneter untuk memenuhi syarat sebagai penjualan data. Sebaliknya, CCPA memungkinkan moneter atau “pertimbangan berharga lainnya.”

UU Washington yang diusulkan

Undang -Undang Privasi Washington, RUU Senat 6281 (“WPA”), diusulkan undang -undang yang mencerminkan CCPA. Seperti GDPR dan CCPA, WPA meningkatkan hak konsumen sehubungan dengan data pribadi mereka dan memastikan bisnis transparan tentang pengumpulan dan pemrosesan data konsumen. Selain itu, WPA memungkinkan konsumen untuk memilih keluar dari penjualan data pribadi mereka. WPA akan berlaku untuk bisnis yang produk atau layanannya ditargetkan untuk konsumen Washington jika bisnis: (1) mengontrol atau memproses data lebih dari 100.000 konsumen, atau (2) memperoleh setidaknya 50% dalam pendapatan dari penjualan data pribadi Dan memproses atau mengontrol data pribadi lebih dari 25.000 konsumen.

WPA dan CCPA memiliki kesamaan penting seperti: (1) periode penyembuhan 30 hari; (2) bisnis harus menghapus data pribadi konsumen atas permintaan mereka; dan (3) tanggung jawab atas bisnis untuk menjadi proaktif dalam memberi tahu konsumen jenis informasi pribadi apa yang dikumpulkan oleh bisnis dan bagaimana data tersebut digunakan. Namun, ada perbedaan penting di antara mereka:

• WPA membatasi definisi “data pribadi” untuk informasi mengenai “orang alami yang diidentifikasi atau diidentifikasi,” sedangkan definisi CCPA tetap luas dan berlaku untuk informasi yang terkait dengan “konsumen atau rumah tangga tertentu.”
• WPA secara eksplisit mendahului undang -undang, peraturan, dan peraturan setempat yang berkaitan dengan pemrosesan data pribadi oleh pengontrol atau prosesor. CCPA tidak.
• WPA, tidak seperti CCPA, tidak termasuk persyaratan ambang pendapatan.
• WPA, tidak seperti CCPA, mencakup ketentuan “diskriminasi” yang menghentikan bisnis membuat keputusan otomatis akhir.
• WPA membatasi bagaimana teknologi pengenalan wajah dapat digunakan di mana CCPA tidak memiliki ketentuan yang serupa. (Kewajiban pengakuan wajah baru pada perusahaan yang menggunakan pengakuan wajah akan, jika diberlakukan, melebihi kewajiban yang dihadapi perusahaan saat ini di bawah undang -undang privasi biometrik Washington (RCW 19.375).)

Diusulkan Undang -Undang New York

Dari semua undang -undang privasi yang diusulkan, Undang -Undang Privasi New York (S5642) (“NYPA”) kemungkinan paling diantisipasi karena bahasanya banyak Bo

Apakah GDPR penting di AS

Mempertahankan kepatuhan dengan GDPR tidak hanya pada pelanggan Anda’ kepentingan terbaik tetapi dalam bisnis Anda’minat terbaik. Kisah-kisah horor tentang ketidakpatuhan dan pelanggaran data dapat disertai dengan denda yang besar. Bergantung pada ukuran bisnis Anda, denda dapat berkisar antara $ 11 dan $ 21 juta atau 2 – 4% dari pergantian global tahunan Anda.

GDPR di AS? Legislasi negara bagian baru membuat ini lebih dekat dengan kenyataan

Uni Eropa’Peraturan Perlindungan Data Umum (“GDPR”) terkenal sebagai hukum privasi dan keamanan terberat di dunia, karena memiliki jangkauan luas dan membebankan denda berat terhadap mereka yang melanggar standar privasi dan keamanannya (yang cukup luas). Dampak GDPR telah dirasakan di Amerika Serikat sejak mulai berlaku pada tahun 2018, dan sekarang U.S. Anggota parlemen di berbagai negara bagian bergerak untuk memberlakukan undang -undang serupa. Undang -Undang Perlindungan Konsumen California (“CCPA”) adalah contoh pertama dari GDPR’Dampak S di Amerika Serikat, karena California menerapkan undang -undang dan peraturan yang mencerminkan TheGDPR dalam beberapa hal. Sekarang Virginia telah menggerakkan apa yang bisa menjadi serangkaian negara selama setahun yang memberlakukan undang-undang yang serupa. Secara khusus, Washington dan New York telah mengusulkan undang -undang mengikuti kerangka CCPA. Artikel ini akan membandingkan CCPA dengan undang -undang privasi yang baru diberlakukan dan diusulkan di Amerika Serikat.

Tindakan privasi yang baru diberlakukan dan diusulkan:

Tindakan virginia yang baru diberlakukan

Pada 2 Maret 2021, Virginia meloloskan Undang -Undang Perlindungan Data Konsumennya (“CDPA”), Undang -Undang Privasi Data Konsumen Komprehensif Kedua di Amerika Serikat. CDPA akan mulai berlaku pada 1 Januari 2023. CDPA berlaku untuk orang atau entitas yang melakukan bisnis di Virginia atau memproduksi produk atau layanan yang ditawarkan kepada penduduk Virginia dan itu “kontrol atau proses” data pribadi. Undang -undang ini berlaku untuk bisnis yang (1) mengontrol atau memproses informasi pribadi setidaknya 100.000 konsumen, atau (2) mengendalikan atau memproses data setidaknya 25.000 penduduk Virginia yang juga memperoleh 50% atau lebih dari pendapatan kotor mereka dari penjualan data pribadi.

CDPA mengikuti kerangka CCPA; Namun, ada beberapa perbedaan utama:

• CDPA tidak mengandung hak tindakan pribadi. Sebaliknya, semua tindakan harus dibawa oleh Jaksa Agung Virginia.
• CDPA, seperti CCPA, membebaskan data yang sudah diatur oleh undang -undang federal yang terdaftar, seperti HIPAA, GLBA, FCRA, FERPA dan COPPA. Namun, di bawah CDPA, pembebasan GLBA lebih luas karena sepenuhnya membebaskan lembaga keuangan, bukan hanya subjek data. Selain itu, ada pengecualian berbasis data untuk Undang-Undang Pelaporan Kredit yang Adil, pengemudi’Undang -Undang Perlindungan Privasi, dan Undang -Undang Hak Pendidikan dan Privasi Federal, dan organisasi nirlaba.
• CDPA berisi persyaratan opt-in untuk memproses data pribadi yang sensitif, kecuali dikecualikan.
• CDPA mendefinisikan “konsumen” lebih sempit dari CCPA. CDPA tidak termasuk mereka yang bertindak dalam konteks komersial atau pekerjaan.
• Di bawah CDPA, “Penjualan Informasi Pribadi” mensyaratkan bahwa pertimbangan menjadi uang untuk memenuhi syarat sebagai penjualan data. Sebaliknya, CCPA memungkinkan moneter atau “Pertimbangan berharga lainnya.”

UU Washington yang diusulkan

Undang -Undang Privasi Washington, RUU Senat 6281 (“WPA”), adalah legislasi yang diusulkan yang mencerminkan CCPA. Seperti GDPR dan CCPA, WPA meningkatkan konsumen’ Hak yang berkaitan dengan data pribadi mereka dan memastikan bisnis transparan tentang pengumpulan dan pemrosesan data konsumen. Selain itu, WPA memungkinkan konsumen untuk memilih keluar dari penjualan data pribadi mereka. WPA akan berlaku untuk bisnis yang produk atau layanannya ditargetkan untuk konsumen Washington jika bisnis: (1) mengontrol atau memproses data lebih dari 100.000 konsumen, atau (2) memperoleh setidaknya 50% dalam pendapatan dari penjualan data pribadi Dan memproses atau mengontrol data pribadi lebih dari 25.000 konsumen.

WPA dan CCPA memiliki kesamaan penting seperti: (1) periode penyembuhan 30 hari; (2) Bisnis harus menghapus konsumen’data pribadi atas permintaan mereka; dan (3) tanggung jawab atas bisnis untuk menjadi proaktif dalam memberi tahu konsumen jenis informasi pribadi apa yang dikumpulkan oleh bisnis dan bagaimana data tersebut digunakan. Namun, ada perbedaan penting di antara mereka:

• WPA membatasi “data pribadi” definisi informasi mengenai “orang alami yang diidentifikasi atau diidentifikasi,” sedangkan definisi CCPA tetap luas dan berlaku untuk informasi yang ditautkan ke a “konsumen atau rumah tangga tertentu.”
• WPA secara eksplisit mendahului undang -undang, peraturan, dan peraturan setempat yang berkaitan dengan pemrosesan data pribadi oleh pengontrol atau prosesor. CCPA tidak.
• WPA, tidak seperti CCPA, tidak termasuk persyaratan ambang pendapatan.
• WPA, tidak seperti CCPA, mencakup a “diskriminasi” ketentuan yang menghentikan bisnis dari membuat keputusan otomatis akhir.
• WPA membatasi bagaimana teknologi pengenalan wajah dapat digunakan di mana CCPA tidak memiliki ketentuan yang serupa. (Kewajiban pengakuan wajah baru pada perusahaan yang menggunakan pengakuan wajah akan, jika diberlakukan, melebihi kewajiban yang dihadapi perusahaan saat ini di bawah Washington’S Hukum Privasi Biometrik (RCW 19.375).)

Diusulkan Undang -Undang New York

Dari semua undang -undang privasi yang diusulkan, Undang -Undang Privasi New York (S5642) (“Nypa”) kemungkinan yang paling dinanti karena bahasanya jauh lebih berani daripada CCPA. NYPA berlaku secara luas “Entitas hukum yang melakukan bisnis di New York atau memproduksi produk atau layanan yang sengaja ditargetkan untuk penduduk New York.” Dengan bahasa yang begitu luas, NYPA tampaknya dirancang untuk mencapai sebanyak mungkin bisnis sambil menghilangkan bahasa ambang pendapatan seperti yang terlihat di CCPA.

Meskipun NYPA dapat berubah sebelum diberlakukan, bahasanya saat ini berangkat dari CCPA dalam dua cara:

• Perubahan terbesar adalah bahwa bisnis akan diminta untuk bertindak sebagai “Fidusia data.” Hukum yang diusulkan menyatakan itu “Entitas apa pun yang mengumpulkan, menjual atau melisensikan informasi pribadi konsumen harus menjalankan tugas perawatan, kesetiaan, dan kerahasiaan yang diharapkan dari fidusia sehubungan dengan mengamankan data pribadi konsumen terhadap risiko privasi.” Kewajiban ini akan “menggantikan tugas apa pun yang terhutang kepada pemilik atau pemegang saham” entitas.
• NYPA tidak mengenali persetujuan tersirat. Berbeda dengan CCPA, yang mengakui persetujuan tersirat, NYPA akan mengharuskan bisnis untuk menunjukkan bahwa mereka telah memperoleh kesepakatan yang jelas dan proaktif dari konsumen jika diperlukan.

Takeaway utama

GDPR’Pengaruh S di Amerika Serikat ada di sini, dan tampaknya di sini untuk tetap seperti lebih banyak negara mengikuti. Dengan dua undang -undang privasi utama di setiap pantai dan variasi yang tersebar di antaranya, tidak jelas apakah Kongres pada akhirnya akan mengesahkan undang -undang federal untuk menciptakan beberapa keseragaman. Sampai saat itu, karena undang -undang baru diluncurkan perusahaan dan bisnis harus tetap up to date untuk melindungi diri dari potensi tindakan peraturan dan tuntutan hukum.

Apakah GDPR penting di AS?

Individu dan bisnis di kedua sisi Atlantik mungkin merasa bahwa karena peraturan perlindungan data umum adalah undang -undang UE, itu hanya berlaku untuk negara -negara UE. Namun interpretasi itu cacat.

Yang benar adalah bahwa GDPR’Aplikasi S lebih lanjut tentang WHO Anda menargetkan daripada Di mana Bisnis Anda Berbasis. Jadi jika kamu’kembali bisnis berbasis di AS dengan pelanggan UE, Anda’LL perlu memperhatikan – dan mematuhi – GDPR. Beberapa bisnis AS masih perlu diyakinkan tentang hal ini.

UK vs US Data Privacy Laws

GDPR berlaku untuk hampir semua orang yang menangani data pribadi di Uni Eropa, atau yang menangani data pribadi orang -orang di Uni Eropa.

Sebaliknya, AS tidak memiliki undang -undang privasi data tunggal dengan aplikasi yang sama luasnya. Kami menemukan berbagai undang -undang federal dan negara bagian yang bersatu untuk membentuk rezim perlindungan data sedikit demi sedikit, dengan sektor -sektor tertentu (seperti perawatan kesehatan) menjadi fokus utama. Pendekatan ini dapat membuat kepatuhan menjadi sulit, karena standar perlindungan data yang diperlukan bervariasi dari satu negara ke negara lain.

Mungkin tidak mengherankan, kami menemukan standar yang disyaratkan oleh GDPR biasanya cukup untuk memenuhi standar yang disyaratkan oleh hukum AS yang relevan juga.

Apa’s berbeda?

GDPR memberikan definisi universal tentang “Data pribadi”; Istilah yang setara di AS adalah “Informasi yang dapat diidentifikasi secara pribadi”, Dan apa yang merupakan PII bervariasi menurut hukum negara. Misalnya, data keuangan dan nomor asuransi nasional di Inggris tidak dilihat sebagai “peka” Dalam hal definisi hukum yang ketat, tetapi data keuangan dan nomor jaminan sosial sering dianggap sensitif dalam undang -undang privasi AS.

GDPR didasarkan pada gagasan bahwa data pribadi harus dilindungi dan individu harus memiliki kendali atas bagaimana data mereka digunakan. Hak -hak ini termasuk hak untuk menghapus, portabilitas data, penarikan persetujuan, memperbaiki data yang tidak akurat, akses, pembatasan dan keberatan.

Subjek data’ Hak di AS jauh lebih terbatas. Meskipun hukum AS memperjelas bahwa informasi tertentu harus diberikan kepada subjek data pada saat data pribadi mereka dikumpulkan, umumnya tidak ada data akses subjek data lebih lanjut, atau hak untuk dihapus. Hak Subjek Data Terbatas yang ada terkait dengan anak -anak’data s, seperti anak -anak’Undang -Undang Perlindungan Privasi Online, yang memungkinkan orang tua untuk melihat informasi pribadi yang dikumpulkan oleh situs web tentang anak mereka, dan untuk menghapus dan memperbaiki informasi itu.

Undang -Undang Privasi Konsumen California yang baru memperkenalkan berbagai hak bagi penduduk California – memungkinkan mereka untuk memahami bagaimana data mereka digunakan, untuk menghapusnya, dan memilih keluar dari bisnis yang dapat menjual informasi mereka.

Di bawah GDPR, transfer data pribadi di luar EEA dibatasi – terutama untuk memastikan bahwa hak data yang tersedia untuk individu dan’t diremehkan karena penyedia internasional sedang digunakan. Ini biasanya berarti bahwa transfer data pribadi internasional akan tunduk pada perisai privasi UE-AS, model klausa kontrak atau aturan perusahaan yang mengikat.

Sebaliknya, ada beberapa batasan transfer data pribadi di luar AS yang dikenakan oleh hukum AS. Sementara undang -undang dan peraturan AS terus berlaku untuk data setelah meninggalkan AS, ini terutama fokus untuk memastikan entitas AS tetap bertanggung jawab atas data tersebut.

GDPR telah memperpanjang hukuman maksimum untuk pelanggaran perlindungan data menjadi € 20 juta atau 4% dari omset global tahunan, mana yang tertinggi. Sebaliknya, FTC (Komisi Perdagangan Federal) memungkinkan denda hingga $ 16.000 per pelanggaran.

Apa’s tidak terlalu berbeda?

Harus tidak’t kami hanya mendapatkan persetujuan untuk semuanya?

Mengumpulkan persetujuan sering dipandang sebagai cara sederhana untuk menghindari mempertimbangkan praktik data secara rinci. Membiarkan’s Hanya dapatkan subjek data’S persetujuan untuk semuanya, Kanan? Salah.

Persetujuan adalah salah satu dari enam cara Anda dapat melegitimasi penanganan data pribadi, tetapi itu bukan satu -satunya, dan sering digunakan secara berlebihan. Baik GDPR dan undang -undang perlindungan data AS menyelaraskan di sini – Anda tidak’t perlu persetujuan untuk semuanya.

Di UE, pengontrol data harus memberi tahu otoritas pengawas nasional mereka jika ada pelanggaran keamanan data dan dalam beberapa situasi, pengontrol data juga perlu memberi tahu subjek data subjek data. Pemberitahuan pelanggaran data juga diperlukan di AS, di mana 48 dari 50 negara kini telah memberlakukan undang -undang pemberitahuan pelanggaran keamanan.

GDPR US Setara: Bagaimana AS dan UE Dibandingkan dengan Undang -Undang Privasi Data

Jika kamu’VE mengunjungi situs web atau memeriksa email Anda dalam beberapa tahun terakhir, Anda’tidak diragukan lagi akrab dengan GDPR. Perusahaan yang memberi tahu Anda tentang pembaruan kebijakan privasi dan situs web yang mendorong Anda untuk mengelola preferensi cookie Anda hanyalah beberapa cara kami mengalami dampak dari undang -undang privasi data tengara.

Meskipun direkrut dan diadopsi oleh Uni Eropa, GDPR memiliki implikasi global. Di luar dampak pada bagaimana bisnis Anda mengelola prospek dan data pelanggan, kebijakan komprehensif telah mempengaruhi undang -undang privasi data di seluruh dunia – termasuk di Amerika Serikat. Meskipun tidak ada GDPR AS yang setara di tingkat federal, negara bagian individu, seperti California, telah menerapkan kebijakan serupa.

Tetap di atas persyaratan peraturan lokal, federal, dan internasional sangat penting untuk bisnis Anda tetap patuh dan menghindari denda yang lumayan.

Tinjauan singkat GDPR

Peraturan Perlindungan Data Umum (GDPR), yang diberlakukan oleh Uni Eropa (UE) pada tahun 2016, adalah peraturan komprehensif yang menetapkan standar untuk memperoleh, mengelola, dan memproses data pribadi warga negara UE dan penduduk mereka. Dalam ruang lingkup GDPR, data pribadi adalah informasi apa pun yang menautkan ke orang alami yang dapat diidentifikasi atau “subjek data.”

Elemen paling penting dari GDPR adalah bahwa peraturan tersebut menentukan tidak ada organisasi yang dapat mengumpulkan, menyimpan, atau menggunakan data pribadi tanpa persetujuan eksplisit dari subjek data.

Spektrum luas informasi yang dapat diidentifikasi secara pribadi (PII)

Tidak seperti undang -undang perlindungan data AS yang serupa, yang membatasi data yang diatur untuk informasi keuangan atau kesehatan, GDPR melindungi dan mengatur berbagai sektor informasi yang dapat dikaitkan dengan subjek data, termasuk informasi lokasi, alamat IP, dan data cookie. Semua di bawah payung informasi yang dapat diidentifikasi secara pribadi, jika bisnis Anda mengumpulkan atau memproses informasi ini, seperti melalui formulir penangkapan timbal atau piksel iklan, Anda’Bertanggung jawab untuk mematuhi GDPR.

Dampak ketidakpatuhan

Mempertahankan kepatuhan dengan GDPR tidak hanya pada pelanggan Anda’ kepentingan terbaik tetapi dalam bisnis Anda’minat terbaik. Kisah-kisah horor tentang ketidakpatuhan dan pelanggaran data dapat disertai dengan denda yang besar. Bergantung pada ukuran bisnis Anda, denda dapat berkisar antara $ 11 dan $ 21 juta atau 2 – 4% dari pergantian global tahunan Anda.

Apa arti GDPR untuk bisnis di AS?

Kami tahu bahwa GDPR memiliki dampak yang luas, termasuk pada bisnis di Amerika Serikat. Meskipun mudah untuk mengabaikan persyaratan GDPR jika Anda’t perusahaan multinasional, Anda akan berhati -hati untuk tidak melakukannya. Bahkan jika Anda tidak’T bermaksud untuk mengumpulkan data dari atau menjual ke penduduk UE, jika properti digital Anda, termasuk situs web, menarik pengunjung dari UE atau Area Ekonomi Eropa (EEA), maka GDPR berlaku.

Katakanlah pengunjung dari negara anggota UE tiba di situs web Anda dan berlangganan blog Anda atau mengunduh makalah penelitian. Upaya penargetan ulang Anda melalui Google atau LinkedIn Iklan dapat menjatuhkan piksel pelacakan di browser mereka. Pengguna itu sekarang menjadi subjek data, dan Anda’ve mulai memproses data mereka.

Dengan kekayaan skenario yang tersedia untuk pengumpulan data yang sensitif, tetap di atas praktik terbaik untuk kepatuhan GDPR sangat penting bagi bisnis AS. Tetapi di luar persyaratan peraturan, GDPR memiliki dampak tambahan pada undang -undang privasi di seluruh dunia, termasuk di Amerika Serikat.

DIREKOMENDASIKAN UNTUKMU

Apa data yang dapat diidentifikasi secara pribadi?

Memahami apa yang mendefinisikan data yang dapat diidentifikasi secara pribadi akan membantu Anda mengevaluasi apakah GDPR berlaku untuk bisnis Anda.

Apakah AS memiliki undang -undang perlindungan data yang serupa?

Sementara undang -undang federal belum membahas keamanan data dan pemrosesan data sejauh GDPR, undang -undang negara bagian berfungsi sebagai padanan GDPR di Amerika Serikat. Pada tahun 2022, lima negara bagian, termasuk Utah, Colorado, Virginia, Connecticut, dan California, semuanya menampilkan semacam hukum privasi konsumen. Sementara itu, lebih dari 15 negara bagian mempertimbangkan undang -undang mereka sendiri.

Melindungi data penduduk California

California Consumer Privacy Act (CCPA), disahkan pada tahun 2018, adalah yang pertama di AS sebagai tanggapan terhadap GDPR dan pelanggaran privasi data di negara bagian tersebut. Ini menawarkan peraturan perlindungan data yang serupa, meskipun diakui dalam skala yang terbatas.

• Informasi Pribadi vs. data pribadi: Meskipun sering digunakan secara bergantian, CCPA secara khusus membahas dan melindungi informasi pribadi yang dapat dikaitkan dengan a konsumen di California
• Konsumen vs. Subjek Data: Sementara GDPR melindungi setiap subjek data yang tinggal di UE (termasuk warga negara AS), ruang lingkup CCPA terbatas pada informasi penduduk California dan, lebih khusus lagi, konsumen
• Bisnis nirlaba vs. Prosesor Data: CCPA mengatur perusahaan spesifik dan nirlaba yang menangani data konsumen California, sementara GDPR memberikan pedoman peraturan untuk setiap Organisasi di dalam dan di luar Anggota UE menyatakan data itu, termasuk perusahaan multinasional
• Pengawasan yang Diperlukan: Sementara GDPR mensyaratkan perekrutan petugas perlindungan data (DPO) untuk mengawasi kepatuhan dan bertindak sebagai penghubung untuk tujuan audit, CCPA tidak memiliki persyaratan untuk pengawasan

Pada Januari 2023, California Privacy Rights Act (CRPA), amandemen CCPA, mulai berlaku. Ini diberikan untuk persyaratan baru, hak, dan mekanisme penegakan hukum untuk di dalam CCPA termasuk definisi yang jelas tentang siapa yang dipengaruhi oleh undang -undang dan perlindungan untuk “informasi pribadi yang sensitif.” Secara khusus:

• Memperluas ambang bisnis dari mereka yang membeli, menjual, atau membagikan informasi pribadi dari 50.000 penduduk hingga 100.000 atau lebih
• Mendefinisikan kategori baru informasi pribadi yang sensitif sebagai termasuk pengidentifikasi yang dikeluarkan pemerintah, informasi keuangan, data geolokasi, serta demografi seperti ras, agama, dan banyak lagi

Pada level tinggi, kedua kebijakan tersebut memberi orang yang lebih jelas dan mengontrol data pribadi mereka dan pemrosesan data tersebut. Mengenai GDPR, data kesehatan dan keuangan berada di bawah payung yang lebih besar dari informasi yang dapat diidentifikasi secara pribadi. Di Amerika Serikat, data serupa diatur secara luas melalui beberapa undang -undang federal.

Melindungi data kesehatan pasien

Undang -Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA), disahkan pada tahun 1996, mengatur informasi kesehatan yang dilindungi (PHI). Organisasi yang menangani PHI, termasuk “entitas tertutup” Seperti penyedia layanan kesehatan atau rekan bisnis seperti penagihan atau perusahaan EHR, bertanggung jawab untuk mematuhi peraturan HIPAA. Jika bisnis Anda memanfaatkan atau memproses catatan pasien, informasi pembayaran, data biometrik, atau informasi rencana kesehatan, Anda’kemungkinan tunduk pada kepatuhan HIPAA.

Mengatur pembayaran dan transaksi kartu kredit

Sementara itu, Gramm-Leach-Bliley Act (GLBA), diberlakukan pada tahun 1999, mewajibkan lembaga keuangan untuk memberi individu akses dan transparansi yang lebih besar ke dalam penggunaan data pribadi mereka. Mempertahankan kepatuhan GLBA termasuk mengkomunikasikan bagaimana data sensitif seperti pelanggan’Nama S, Alamat, Nomor Telepon, atau Akun dan Nomor Jaminan Sosial ditangani dan dibagikan. Mirip dengan CCPA dan CPRA dan GDPR, lembaga perlu menawarkan kesempatan untuk memilih keluar dari data mereka dibagikan dengan pihak ketiga.

Mirip dengan CCPA dan GDPR, ketidakpatuhan dengan HIPAA dan GLBA dapat secara signifikan memengaruhi suatu lembaga, dengan denda per pelanggaran lebih dari $ 100.000 untuk GLBA atau $ 50.000 untuk HIPAA. Ulangi pelanggaran HIPAA dapat meningkatkan denda hingga $ 250.000, memberikan insentif yang jelas untuk menjaga kepatuhan.

Membangun hak dengan lembaga pemerintah AS

Karena CCPA mengatur organisasi nirlaba, TI’terutama terbatas pada data yang dimanfaatkan untuk tujuan komersial. Undang -Undang Privasi 1974 memang mengatur bagaimana sektor publik mengelola data Anda.

Direkatkan sebagai tanggapan atas timbulnya database dan komputer yang sekarang dapat menyimpan banyak informasi, Undang -Undang Privasi memandu lembaga federal tentang perlindungan, pemeliharaan, dan penyebaran data. Undang -undang ini memberikan empat hak yang dimiliki warga AS tentang data pribadi mereka:

1. Agen diharuskan untuk berbagi catatan yang disimpan pada seseorang saat diminta
2. Agensi harus mengikuti “praktik informasi yang adil,” yang menentukan ruang lingkup dan kualitas lembaga data dapat mengumpulkan dan mengelola secara wajar.
3. Lembaga harus mematuhi pedoman pembatasan untuk berbagi data pribadi antar lembaga atau dengan orang lain.
4. Agen dapat digugat karena melanggar salah satu hak di atas.

Dia’penting untuk dicatat bahwa Undang-Undang Privasi tidak mencakup semua. Lembaga pemerintah yang bertanggung jawab atas penegakan hukum, seperti Biro Investigasi Federal (FBI) dan Badan Intelijen Pusat (CIA), dibebaskan dari undang -undang tersebut. Selain itu, tindakan tersebut memberi “penggunaan rutin” dan pengecualian lainnya seperti untuk digunakan dalam sensus AS.

Apa yang terjadi di masa depan untuk undang -undang perlindungan data di Amerika Serikat?

Mengenai setara dengan GDPR di Amerika Serikat, perlindungan data lebih merupakan jumlah bagiannya daripada pendekatan yang komprehensif. Legislasi seperti Undang -Undang Privasi Konsumen California atau Undang -Undang Perlindungan Data Konsumen Virginia memenuhi kebutuhan yang sama untuk undang -undang privasi di dalam perbatasan negara bagian individu.

Keberadaan transfer data lintas batas dan ekonomi global mendorong kebutuhan akan lebih banyak perusahaan AS untuk mencapai kepatuhan GDPR, tetapi itu’S bukan persyaratan universal.

Amerika Serikat’ Pendekatan untuk Perlindungan Data dan Kebijakan Transparansi telah menjadi tambal sulam selama beberapa tahun terakhir. Namun, 2022 melihat denda signifikan yang dipungut oleh Komisi Perdagangan Federal melalui pelanggaran privasi dan upaya baru dari Kongres untuk menciptakan kebijakan nasional yang kohesif tentang privasi data.

Komisi Perdagangan Federal melangkah pada pelanggaran kepatuhan

Secara khusus, FTC memesan game epik untuk membayar denda lebih dari $ 500 juta karena melanggar anak -anak’S Act Perlindungan Privasi Online (COPPA) melalui desain antarmuka pengguna yang menyesatkan atau “pola gelap” yang mendorong ribuan pembelian yang tidak disengaja dan keputusan privasi yang dibuat oleh anak -anak dan remaja.

Selain itu, koalisi lebih dari 40 pengacara jenderal mencapai penyelesaian penting dengan Google di utara $ 350 juta atas pemrosesan data lokasi mereka. Keputusan menandai momen penting dalam Peraturan Keamanan Informasi AS dan bagaimana perusahaan dapat dianggap bertanggung jawab secara finansial untuk melanggar undang -undang privasi tertentu.

Hukum privasi data yang komprehensif berpotensi diperdebatkan

Dampak dari undang -undang yang ada telah menghidupkan kembali percakapan untuk setara komprehensif dengan GDPR di Amerika Serikat. Pada tahun 2022, Undang -Undang Privasi dan Perlindungan Data Amerika (ADPPA) melewati Komite Kongres dengan Dukungan Bipartisan. Tapi itu tidak pernah dibawa ke lantai di lantai Dewan Perwakilan Rakyat. RUU tersebut akan mendahului Undang -Undang Privasi Konsumen California dan tetap menjadi pilihan untuk debat dan keputusan pada tahun 2023.

Bagaimana memperhitungkan undang -undang privasi data yang berbeda

Dampak ketidakpatuhan tidak ada’t terbatas untuk denda dan hukuman kriminal. Dampak pelanggan dari pelanggaran data tampak besar, dan mempertahankan kepercayaan mereka seringkali dapat bergantung pada perusahaan Anda’Kemampuan untuk melindungi informasi mereka.

Dengan begitu banyak pedoman hukum, protokol, dan peraturan yang harus diikuti, bagaimana bisnis Anda dapat tetap di depan kurva keamanan data?

Membuat karyawan yang tepat untuk tim Anda

Dalam beberapa kasus, jalan ke depan cukup jelas. Bergantung pada bisnis Anda, GDPR mungkin memerlukan mempekerjakan petugas perlindungan data atau DPO. Tanggung jawab DPO termasuk mendidik karyawan tentang kepatuhan dan data dan melakukan audit keamanan reguler. DPO juga berfungsi sebagai titik kontak utama untuk mengakses data perusahaan untuk audit atau sebaliknya.

Petugas Perlindungan Data dan Kekhawatiran Keamanan dan Kepatuhan Lainnya sangat penting untuk memastikan bisnis Anda dapat memantau lanskap hukum keamanan informasi yang terus berubah. Dengan visibilitas yang jelas ke dalam bisnis Anda’ Praktik Data dan Keamanan Informasi, Peran seperti itu dapat lebih mulus memantau, memberi nasihat, dan menjaga postur kepatuhan Anda.

Bekerja dengan Mitra

Sambil mempekerjakan anggota tim untuk memantau dan menentukan dampak bisnis dari tren ini mungkin tidak ada di startup Anda’S peta jalan, Anda harus terus mengevaluasi cara mendekati keamanan untuk tahap khusus Anda. Itu berarti memperhatikan yayasan keamanan, alat, dan praktik data Anda untuk memahami bagaimana perubahan dalam kepatuhan peraturan dapat memengaruhi operasi bisnis Anda.

Tidak yakin harus mulai dari mana? Mulailah dengan berbicara dengan salah satu ahli kami.

Jelajahi lebih banyak konten

Apakah bisnis Anda menangani data yang dapat diidentifikasi secara pribadi?

Pelajari lebih lanjut tentang ruang lingkup GDPR karena berkaitan dengan data yang dapat diidentifikasi secara pribadi dan apa artinya bagi bisnis Anda.

Bagikan posting ini dengan jaringan Anda:

Akankah u.S. Mengadopsi undang -undang privasi data nasional yang mirip dengan GDPR?

Pernahkah Anda mendengar pertanyaannya, “Apakah Amerika adalah panci peleburan atau mangkuk salad?” Membiarkan’S menerapkan konsep itu untuk undang -undang privasi data. Hari ini, di u.S. Tidak ada hukum privasi data nasional yang konsisten. Sebaliknya bisnis mencoba memahami a ‘salad campur’ dari berbagai peraturan dan undang-undang yang ditegakkan oleh masing-masing negara bagian dan badan pengatur berbasis industri.

Kebutuhan akan undang -undang privasi data nasional

Karena teknologi terus berkembang dan mempengaruhi begitu banyak aspek kehidupan kita, lingkungan digital benar -benar menuntut kerangka kerja menyeluruh untuk memastikan dan menegakkan privasi data.

Menghilangkan kebingungan & ketidakefisienan

Bisnis saat ini tidak beroperasi di dalam perbatasan. Vendor, Pemasok, Pelanggan, dan Rekanan Bisnis Semua bekerja untuk meregangkan operasi di seluruh negara bagian dan perbatasan internasional. Seringkali, mereka juga beroperasi atau mengandalkan bisnis di berbagai industri. Harus menavigasi berbagai peraturan terkait federal, negara bagian, dan industri menciptakan kebingungan dan inefisiensi untuk entitas, penilai, dan badan pengatur.

Hindari beban kepatuhan yang berlebihan

Demikian pula, dengan banyak standar yang berlaku, proses pelaporan dan kepatuhan membutuhkan lebih banyak waktu, upaya, dan uang dari entitas.

Karena GDPR datang pertama (berlaku sejak Mei 2018), banyak perusahaan Amerika dan multinasional telah melakukan upaya untuk mencapai kepatuhan GDPR dan melanjutkan bisnis dengan pelanggan Eropa mereka. Untuk mencegah beban kepatuhan lebih lanjut, u.S. Legislasi privasi data harus mencoba untuk tetap dekat dengan standar yang sudah ditetapkan oleh GDPR.

Menjaga peraturan agar tidak menjadi usang

U.S. Hukum untuk privasi data yang saat ini ada di buku -buku ditulis di masa lalu dan dirancang untuk mengatur lingkungan yang berbeda. Sekarang, kita membutuhkan peraturan yang cukup fleksibel untuk mengatasi teknologi pengembangan dan masih berlaku di masa depan.

Memperkuat perlindungan privasi

Kesenjangan dan tumpang tindih adalah hasil alami dari banyak peraturan. Dalam beberapa kasus, mereka bahkan bertentangan satu sama lain. Namun, di era ketika data pribadi semakin rentan, melindungi privasi lebih penting dari sebelumnya. Peraturan harus komprehensif dan jelas – mencakup semua jenis informasi pribadi dalam segala bentuk – untuk memberikan tingkat perlindungan terkuat yang mungkin terjadi.

U.S. Undang -undang privasi data

Tidak ada undang -undang privasi data federal seperti GDPR di Amerika Serikat. Ada beberapa undang -undang nasional yang telah diberlakukan untuk mengatur penggunaan data di industri tertentu.

• 1974 – The U.S. Undang -Undang Privasiyang menguraikan hak dan pembatasan mengenai data yang dipegang oleh lembaga pemerintah AS.
• 1996 – – Undang -Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) yang mengatur privasi dan keamanan di industri perawatan kesehatan.
• 1999 – – Tindakan Gramm-Leach-Bliley (GLBA) yang mengatur bagaimana konsumen’ Informasi privasi nonpublik dikumpulkan dan digunakan dalam industri keuangan.
• 2000 – – Anak-anak’S ACT PRIVASI ONLINE (COPPA) mengambil langkah pertama dalam mengatur informasi pribadi yang dikumpulkan dari anak di bawah umur. Undang-undang secara khusus melarang perusahaan online meminta PII dari anak-anak 12-dan-bawah kecuali di sana’Persetujuan orang tua yang dapat diverifikasi.

Sekarang kami menemukan diri kami di tahun 2020. Dan sekarang telah ada kemajuan yang signifikan menuju kerangka kerja terpadu – di seluruh negara bagian dan industri – praktik terbaik privasi data dalam 20 tahun. FTC telah menjadi satu -satunya kekuatan penuntun dalam menghukum konglomerat teknologi dan media sosial yang telah menyesatkan pengguna tentang bagaimana data mereka dikumpulkan dan dijual kepada pihak ketiga.

Tapi denda bukanlah bentuk regulasi yang efektif dan mereka tidak’t membantu perusahaan untuk memahami dan menerapkan praktik terbaik. Apa’S yang dibutuhkan adalah kerangka kerja yang memandu entitas dalam mengembangkan kebijakan dan praktik privasi data yang efektif – dari bawah ke atas. Bukan hanya menghukum pelanggaran – dari atas ke bawah. Karena kenyataannya, kita mungkin di sini tentang kasus -kasus yang melibatkan Facebook dan zoom, tetapi berapa banyak contoh keamanan yang tidak efektif yang tidak diperhatikan?

Perbedaan antara u.S. dan undang -undang privasi data UE

Kita dapat’t membuat perbandingan yang adil karena ada’t (belum) a u.S. setara dengan GDPR. Pada dasarnya, UE menghormati privasi sebagai hak mendasar warga negara. GDPR adalah kerangka kerja perlindungan data pribadi yang komprehensif yang dirancang untuk melindungi hak -hak tersebut. Itu mengatur perusahaan yang beroperasi di negara -negara anggota UE serta entitas internasional yang berinteraksi dengan penduduk UE.

Beberapa peraturan yang diusulkan termasuk Undang -Undang Data Data Amerika, Undang -Undang Perlindungan Data Konsumen, dan Undang -Undang Perawatan Data. Namun, pada titik ini, tidak ada proposal yang mendapatkan cukup dukungan di Kongres untuk menjadi undang -undang baru.

Hukum nasional terdekat dalam kekuatan akan dibilang adalah HIPAA yang direkayasa untuk melindungi privasi pasien dan informasi perawatan kesehatan. Namun, kami kekurangan peraturan yang mencakup privasi konsumen dan keamanan data di semua industri.

Status privasi data yang tidak disatukan

Dalam beberapa tahun terakhir, kami’ve Seen States memperkenalkan peraturan privasi data konsumen mereka sendiri. Undang -Undang Privasi Konsumen California (CCPA) dan Undang -Undang Perlindungan Data Massachusetts adalah dua contoh yang kuat. Negara -negara lain telah memberlakukan undang -undang perlindungan data mereka sendiri yang berlaku untuk semua bisnis. Negara -negara ini termasuk:

• Arkansas
• Colorado
• Connecticut
• Florida
• Indiana
• Kansas
• Maryland
• Minnesota
• Nevada
• New Mexico
• Oregon
• Pulau Rhode
• Texas
• Utah

Masing -masing negara bagian ini telah mengembangkan dan mengadopsi undang -undang perlindungan data mereka sendiri yang mengharuskan perusahaan yang menyimpan informasi konsumen pribadi penduduk negara bagian untuk melindungi informasi itu. Dengan demikian ‘Mangkuk salad’ teka -teki. Tanpa perpaduan pasukan yang memerintah, masing -masing negara dibiarkan bertindak sendiri, dan kepatuhan menjadi membingungkan dan tidak konsisten.

Mengapa perusahaan multinasional perlu peduli dengan kepatuhan GDPR?

Afiliasi non-UE yang terkait dengan bisnis multinasional perlu peduli dengan GDPR karena mereka, kemungkinan besar, memiliki pelanggan yang tinggal di negara Uni Eropa. Jika data konsumen UE yang dikumpulkan perusahaan multinasional selama transaksi dapat diakses dari satu sistem pusat ke afiliasi di seluruh dunia, sangat penting bahwa perusahaan-perusahaan ini memahami bagaimana data mengalir untuk memastikan bahwa transfer data lintas batas mematuhi persyaratan GDPR.

Alasan lain yang sangat penting untuk menjadikan kepatuhan GDPR sebagai prioritas adalah bahwa ketidakpatuhan membuat perusahaan multinasional tunduk pada denda administrasi substansial yang ditunjuk oleh Otoritas Perlindungan Data (DPA) diberikan wewenang untuk memaksakan jika mereka menemukan penyebabnya. Hukuman untuk ketidakpatuhan GDPR adalah empat persen dari perusahaan’s Pendapatan tahunan bruto di seluruh dunia atau € 20 juta. Hukuman seperti itu berlaku bahkan jika entitas yang bertanggung jawab hanyalah anak perusahaan dengan hanya beberapa karyawan, menjadikannya penting bahwa perusahaan multinasional memastikan bahwa anak perusahaan juga ada di papan.

Selain itu, DPA memegang kekuatan untuk melarang atau melarang transfer data dari UE ke U.S. Parent Corporation Jika mereka menemukan masalah ketidakpatuhan.

Apakah Anda bingung tentang kepatuhan privasi data?

Bicara dengan i.S. Mitra, LLC. Kami dapat membantu organisasi Anda menentukan peraturan mana yang berlaku untuk aktivitas Anda dan membangun strategi untuk mencapai kepatuhan penuh.