Analog Amerika GDPR: apa yang perlu Anda ketahui tentang CCPA

Semakin banyak analogi GDPR di dunia. Baru-baru ini, RUU yang sama dikembangkan di India , sekarang Amerika Serikat sejalan. California mengambil contoh dari Eropa, menyetujui hukumnya sendiri yang mengatur aturan untuk bekerja dengan data pribadi pengguna.

Undang-undang Privasi Konsumen California, atau CCPA, akan mulai berlaku pada 1 Januari 2020. Selanjutnya, kami mempertimbangkan ketentuan utama undang-undang, yang dikembangkan dan diadopsi hanya dalam seminggu.


/ foto Ryan Brisco PD

Siapa yang jatuh di bawah hukum

Undang-undang baru ini tidak sekeras arahan Eropa, tetapi masih menyiratkan perubahan besar dalam kehidupan bisnis. Setiap pengguna internet di California memiliki hak untuk meminta dari perusahaan informasi yang dia kumpulkan tentang dirinya, dan daftar pihak ketiga yang kepadanya dia ketahui.

Berdasarkan hukum yang sama, pengguna sekarang dapat menuntut organisasi yang secara ilegal mengambil keuntungan dari PD-nya atau gagal memenuhi semua permintaannya tepat waktu.

CCPA mencakup perusahaan yang memproses data pribadi penduduk California (penduduk dapat berada di negara bagian dan di luar negeri) dan menerima pendapatan tahunan minimum $ 25 juta. Tetapi ada nuansa: jika pendapatan perusahaan kurang, tetapi menyimpan data pribadi lebih dari 50 ribu orang, aktivitasnya berada di bawah SSRA.

Undang-undang baru ini juga mengatur kegiatan perusahaan yang menerima lebih dari setengah laba (tidak peduli berapapun ukurannya) dari penjualan PD. Lokasi organisasi tidak masalah: tidak masalah jika berlokasi di California atau di luar negara bagian.

Apa yang dianggap data pribadi

Pengidentifikasi pribadi adalah setiap pengidentifikasi, biometrik, geolokasi, riwayat aktivitas di Internet dan informasi tentang pekerjaan atau pendidikan. Secara umum, setiap data yang dapat mengidentifikasi seseorang sampai di sana.

Pada saat yang sama, formulasi yang tidak jelas ditemukan dalam undang-undang. Misalnya, pengenal pribadi dapat menyertakan informasi tentang keluarga pengguna. Juga, seperti PD mengklasifikasikan informasi apa pun yang memungkinkan Anda untuk mengkompilasi profil pengguna: baik itu psikologis, perilaku, dll

Hak Pengguna

Secara hukum, pengguna menerima serangkaian hak "tradisional":

• Akses dengan benar. Pengguna dapat mengirim permintaan dan mendapatkan semua informasi yang dikumpulkan perusahaan tentangnya;
• Hak untuk dilupakan. Pengguna dapat meminta penghapusan informasi tentang dirinya dari server perusahaan dan server pihak ketiga;
• Hak untuk tahu. Atas permintaan, perusahaan harus mengungkapkan tujuan pengumpulan data pribadi dan sumbernya;
• Hak untuk menolak. Pengguna dapat menolak untuk mentransfer data mereka ke pihak ketiga.

Di sinilah letak perbedaan penting dari GDPR - menurut arahan Eropa, sebuah perusahaan perlu mendapatkan persetujuan pengguna untuk memproses PD. Di bawah hukum California, organisasi hanya perlu memproses permintaan dari pengguna.

Jika data pengguna hilang atau dicuri, perusahaan harus membayar 100 hingga 750 dolar untuk setiap korban.

Jika pengguna telah mengirim keluhan kepada perusahaan tentang pelanggaran yang terkait dengan data pribadinya, itu wajib menyelesaikan masalah dalam waktu satu bulan. Kalau tidak, dia akan didenda. Sekarang 7,5 ribu dolar.
Namun, di bawah CCRA, perusahaan tidak diharuskan untuk mengungkapkan fakta pelanggaran jika mereka belum menerima permintaan yang sesuai dari pengguna.

Jumlah denda dan pembayaran masih dapat berubah, tetapi dalam hal apa pun (dengan mempertimbangkan semua biaya teknis dan hukum), SSRA dapat menjadi ancaman keuangan bagi keberadaan banyak perusahaan.


/ foto Justin Lim PD

Diskon

Nuansa menarik lainnya - undang-undang melarang perusahaan mendiskriminasi pengguna yang menolak memberikan data pribadi mereka. Tetapi pada saat yang sama, itu menunjukkan kemungkinan memperkenalkan sistem imbalan bagi mereka yang setuju.

Secara formal, ini berarti (jika item tidak berubah) bahwa perusahaan dapat memberikan diskon kepada mereka yang membagikan data mereka dengan pihak ketiga dan menetapkan harga yang berbeda untuk pengguna tergantung pada pengaturan privasi mereka.

Ini tidak hanya menciptakan preseden teknologi yang menarik, tetapi juga budaya: de facto CCPA membentuk aturan permainan baru dimana perusahaan dapat membeli informasi dari pengguna yang sebelumnya mereka terima secara gratis.

Dalam residu kering

Secara resmi, hukum mulai berlaku pada 1 Januari 2020. Tetapi segera setelah mulai beroperasi, perusahaan harus segera dapat menyediakan data yang dikumpulkan kepada pengguna tentang mereka selama 12 bulan terakhir. Dengan demikian, batas waktu untuk implementasi semua solusi teknologi yang diperlukan untuk ini datang setahun sebelumnya - yaitu, hanya empat bulan kemudian.

Dengan pendekatan ini, tuntutan hukum pertama dapat diharapkan pada hari pertama arahan. Seperti halnya dengan GDPR dan pakaian untuk Facebook dan Google .


/ foto Katalog Buku CC

Raksasa IT besar secara bertahap, tetapi tidak secara terbuka, menentang undang-undang ini . Secara khusus, mereka membiayai organisasi publik yang berjuang melawannya.

Para ahli percaya bahwa hukum, yang diadopsi dengan terburu-buru, akan diamandemen dan dirancang dalam dua tahun. Namun, mereka tidak yakin bahwa perubahan itu akan signifikan. Poin-poin kunci kemungkinan akan tetap utuh.

Dengan demikian, SSRA adalah langkah pertama menuju pemahaman yang sama sekali baru tentang keamanan informasi di Amerika dan modifikasi sebagian besar praktik yang selama bertahun-tahun dianggap dasar dan tidak berubah.

---

PS Posting terkait dari blog IaaS kami:

• Cara menangani PD di cloud dan tidak melanggar hukum
• Apa yang harus dipertimbangkan PD dari sudut pandang regulator Rusia
• PD di cloud: yang bertanggung jawab atas pelanggan dan penyedia cloud

PPS Posting baru di blog kami di Habré:

• Bagaimana penyedia cloud mengelola lisensi perangkat lunak, dan mengapa blockchain diperlukan di sini
• Tiga bulan kemudian: bagaimana GDPR memengaruhi cookie