California menjadi yang terdepan (lagi) dalam hal privasi data – begini caranya

Catatan editor: WRAL TechWire baru-baru ini meluncurkan seri 5 bagian tentang undang-undang privasi data untuk memberikan kejelasan pada salah satu bidang hukum teknologi yang paling cepat berkembang dan paling kompleks. Ini adalah bagian 3. Posting sebelumnya tertanam dalam cerita ini.

Steve Britt adalah Penasihat untuk Cyber, Data Privacy & Technology (CIPP/E, CIPM), Parker Poe dan Sarah Hutchins adalah Partner untuk Cyber, Data Privacy & Technology (CIPP/US), Parker Poe.

+ + +

Sama seperti California adalah negara bagian pertama yang memberlakukan undang-undang pemberitahuan pelanggaran data pada tahun 2002 (Alabama adalah 50^th negara bagian pada tahun 2018), itu adalah negara bagian pertama yang memberlakukan undang-undang privasi data yang komprehensif pada tahun 2020, yang dikenal sebagai Undang-Undang Privasi Konsumen California (CCPA). Menggunakan GDPR sebagai panduan, tetapi memberikan capnya sendiri pada hasil akhirnya, California memiliki banyak kesamaan elemen dengan GDPR, termasuk:

• Definisi yang luas dari Informasi Pribadi, untuk memasukkan informasi apa pun yang berkaitan dengan atau dapat digunakan untuk mengidentifikasi seseorang, termasuk alamat IP (protokol internet), data perangkat, dan pengenal online lainnya,
• Adopsi sebagian besar (tetapi tidak semua) hak subjek data GDPR, dengan tunduk pada penjelasan yang jelas dan transparan tentang bagaimana hak-hak tersebut dapat dilaksanakan,
• Persyaratan untuk pemberitahuan privasi terperinci tentang data apa yang dikumpulkan, tujuan pengumpulan tersebut, dan apakah data tersebut dibagikan dengan pihak ketiga,
• Persyaratan untuk kontrak terbatas untuk jenis pihak ketiga tertentu yang dengannya data dibagikan,
• Pengenaan standar keamanan data berbasis risiko,
• Persyaratan pelatihan karyawan yang komprehensif untuk semua personel yang menangani informasi pribadi,
• Penyebab tindakan pribadi terbatas untuk pelanggaran data akibat kegagalan memberikan keamanan data yang wajar dengan ganti rugi menurut undang-undang sebesar $100-$750 per konsumen per insiden dalam tindakan tersebut, dan, akhirnya,
• Penegakan CCPA oleh lembaga pemerintah, dalam hal ini Jaksa Agung California.

Privasi data & Anda: Apa yang benar-benar perlu Anda ketahui dari sudut pandang hukum

Pada saat diundangkan, CCPA disebut sebagai GDPR-Ringan, tetapi itu benar-benar hanya benar dalam arti konseptual karena CCPA berbeda dari GDPR dalam beberapa hal yang berarti. Misalnya, CCPA:

• Tidak berlaku untuk organisasi nirlaba atau pemerintah dan karyawan yang dikecualikan dan kontak business-to-business (B2B) selama 3 tahun,
• Hanya berlaku untuk perusahaan nirlaba yang melakukan bisnis di California yang, bersama dengan afiliasi bermerek umum, memiliki pendapatan tahunan global sebesar $25,000,000 atau lebih, memproses data pada setidaknya 50,000 konsumen (termasuk perangkat mereka) atau menerima 50% dari pendapatan mereka dari penjualan dari informasi pribadi,
• Diberikan penyebab tindakan pribadi untuk kerusakan akibat pelanggaran data yang diakibatkan oleh kegagalan menyediakan keamanan data yang memadai (14 negara bagian sekarang mengizinkan penyebab tindakan pribadi dalam undang-undang pemberitahuan pelanggaran data mereka),
• Entitas yang dikecualikan diatur oleh Gramm-Leach-Bliley, Fair Credit Reporting Act, Driver's Privacy Protection Act dan informasi yang diatur oleh Health Insurance Portability and Accountability Act (HIPAA),
• Diperlukan tombol web di halaman beranda perusahaan berlabel “Jangan Menjual Informasi Pribadi Saya” untuk mentransfer informasi pribadi ke pihak ketiga yang tidak memenuhi syarat sebagai “penyedia layanan”,
• Didefinisikan sebagai "penjualan" data, transfer apa pun untuk "pertimbangan non-moneter" yang menangkap penyedia teknologi periklanan dan teknologi pemasaran, dan
• Tidak memerlukan cookie pop-up atau persetujuan afirmatif untuk komunikasi pemasaran.

Pendapat tamu: Peraturan Perlindungan Data Umum, atau GDPR – Dari mana semuanya dimulai

Namun, sejauh CCPA itu, sebelum tinta di atasnya bisa kering, pada November 2020, California memberlakukan California Privacy Rights Act (CPRA) dengan inisiatif pemungutan suara, efektif 1 Januari 2023. CPRA mengubah CCPA dan memperluasnya di beberapa cara-cara yang bermakna. Misalnya, CPR:

• Meningkatkan pemicu yurisdiksi pada CCPA menjadi pengumpulan data 100,000 konsumen (bukan 50,000) dan menurunkan cakupan "perangkat" konsumen
• Mengecualikan afiliasi bermerek umum dalam definisi bisnis tercakup kecuali bisnis California benar-benar membagikan informasi pribadi orang California dengan afiliasinya,
• Mencakup kategori baru informasi pribadi yang disebut “informasi sensitif” dan memperluas Hak untuk Tidak Memilih untuk mencakup data tersebut,
• Membuat kategori pengungkapan data pihak ketiga yang disebut "berbagi" dan memperluas tombol "Jangan Jual" menjadi "Jangan Jual atau Bagikan Informasi Pribadi Saya,"
• Memperluas hak datanya untuk mencakup karyawan bisnis dan kontak business-to-business (B2B), dan
• Menciptakan regulator privasi data negara bagian khusus pertama di negara (disebut California Privacy Protection Agency) dengan kekuatan regulasi yang luas, termasuk 22 area baru untuk potensi regulasi baru.

Kekuasaan yang luas dari Badan Perlindungan Privasi California (CPPA) tidak boleh diabaikan, terutama karena CCPA telah menjadi subjek dari empat putaran peraturan Jaksa Agung, dalam beberapa kasus memaksakan aturan di luar apa yang disediakan dalam undang-undang. Selain itu, penyebab tindakan pribadi California dan, di yurisdiksi tertentu lainnya, kemungkinan litigasi berdasarkan undang-undang pelanggaran data telah secara eksponensial meningkatkan risiko yang berkaitan dengan pengelolaan data.

Kompleksitas CCPA, sebagaimana diubah oleh CPRA, sudah menyaingi GDPR tetapi baik California dan Uni Eropa telah menyatakan tujuan untuk bekerja sama dalam pembatasan transfer lintas batas dan serangkaian inisiatif UE lainnya. Sementara itu, seperti yang akan kita lihat di artikel berikutnya, negara bagian AS lainnya mengambil petunjuk dari California.

Steve Britt, CIPP/E, CIPM, adalah pengacara cyber, privasi data & teknologi di firma hukum Parker Poe. Dia memfokuskan latihannya pada undang-undang dan peraturan keamanan siber dan privasi data. Britt menasihati kliennya tentang berbagai undang-undang perlindungan data. Dia dapat dihubungi di stevebritt@parkerpoe.com.

Sarah Hutchins, CIPP/US, adalah pengacara cyber, privasi data & teknologi di firma hukum Parker Poe. Dia membantu klien menavigasi litigasi bisnis, investigasi pemerintah, dan privasi data dan keamanan siber. Hutchins dapat dihubungi di sarahhutchins@parkerpoe.com.