FAQ: Apa itu Undang-Undang Perlindungan Data Konsumen Virginia (VCDPA)?

Privasi data terus menjadi topik yang semakin relevan di zaman kita.

Undang-undang Perlindungan Data Konsumen Virginia (CDPA atau VCDPA Virginia) baru-baru ini diberlakukan oleh kedua kamar legislatif Virginia, memberlakukan pembatasan baru pada pengumpulan, pengungkapan, dan penggunaan informasi identitas pribadi (PII) penduduk Virginia oleh perusahaan yang tidak dikecualikan.

Pertanyaan VCDPA Dijawab di FAQ ini:

• Batasan apa yang ada di VCDPA baru?
• Perlindungan Konsumen Apa yang Disediakan oleh VCDPA?
• Siapa yang Akan Menegakkan VCDPA?
• Kepada Siapa VCDPA Berlaku?
• Kapan VCDPA Menjadi Efektif?
• Apa yang Perlu Diketahui Penerbit tentang VCDPA?

Batasan apa yang ada di VCDPA baru?

• Bahwa mereka menghormati permintaan spesifik dan dapat diverifikasi dari konsumen Virginia untuk mengungkapkan, memperbaiki, atau menghapus informasi pribadi;
• Bahwa mereka mengizinkan konsumen Virginia untuk menyisih dari pemrosesan data pribadi untuk tujuan tertentu (dan, selanjutnya, bahwa data sensitif tidak diproses tanpa keikutsertaan yang jelas);
• Bahwa perusahaan melakukan penilaian perlindungan atas tindakan pemrosesan data mereka (serta tindakan pemrosesan data pribadi lainnya “yang menimbulkan risiko bahaya yang tinggi bagi konsumen”);
• Bahwa perusahaan mempertahankan dan menerbitkan pemberitahuan dan pengungkapan privasi yang sesuai (dan mematuhinya); Dan
• Bahwa perusahaan dan pemroses datanya menyertakan klausul hukum khusus dalam perjanjian penggunaannya.

Untuk memastikan keamanan informasi pribadi pelanggan sehubungan dengan VCDPA baru, pemroses data sekarang harus mematuhi beberapa peraturan tambahan, sebagian besar terkait dengan penilaian perlindungan data, permintaan konsumen, dan pemberitahuan pelanggaran keamanan.

Pembaca dapat memeriksa teks lengkap VCDPA di sini .

Beberapa pengamat telah menarik kesejajaran antara Undang-Undang Privasi Konsumen California (CCPA, yang mulai berlaku pada tahun 2020) — tindakan privasi data signifikan pertama di Amerika Serikat — dan VCDPA baru-baru ini, yang disetujui lebih dari dua setengah tahun. Nanti. (Perhatikan CCPA itu sendiri diubah dan diperluas oleh Undang-Undang Hak Privasi California [CPRA] pada 1 Januari 2023.)

Namun, yang lain berpendapat bahwa Peraturan Perlindungan Data Umum (GDPR) UE yang jauh lebih kuat lebih mirip dengan VCDPA.

Tetapi VCDPA juga merupakan perangkat tindakannya sendiri. Meskipun VCDPA menetapkan batasan tertentu pada penargetan bisnis-ke-konsumen (B2C), ada juga sejumlah cara untuk mengatasi batasan ini.

Juga, sementara beberapa pembatasan ini mungkin berdampak pada upaya pemasaran B2C perusahaan, tampaknya menargetkan orang Virginia dalam konteks bisnis-ke-bisnis (B2B) atau bisnis-ke-pemerintah (B2G) masih merupakan permainan yang adil, jadi selama hal itu relevan dengan fungsi pekerjaan target dan tidak melanggar hukum apa pun. Tetapi jika Anda ingin menjangkau seorang Virginian saat dia bersantai dengan keluarganya (dan telepon) di sofa setelah hari yang panjang, Anda mungkin ingin menekan iklan bertarget Anda.

Perlindungan Konsumen Apa yang Disediakan oleh VCDPA?

VCDPA memberikan hak khusus kepada konsumen terkait data pribadi mereka. Perlindungan tersebut di bawah Undang-undang tersebut meliputi:

1. Hak untuk melihat, mengakses, dan mengonfirmasi data pribadi
2. Hak untuk menghapus data pribadi
3. Hak untuk memperbaiki ketidakakuratan dalam data pribadi
4. Hak portabilitas data (yaitu, akses portabel yang disederhanakan ke semua bagian data pribadi yang dipegang oleh perusahaan)
5. Hak untuk memilih keluar dari pemrosesan data pribadi apa pun untuk tujuan periklanan bertarget
6. Hak untuk memilih keluar dari penjualan data pribadi
7. Hak untuk memilih keluar dari pembuatan profil berdasarkan data pribadi
8. Hak untuk tidak didiskriminasi karena menggunakan salah satu dari hak-hak tersebut di atas

Di bawah VCDPA, agar dapat dipatuhi, perusahaan harus memberikan informasi kepada konsumen tentang hak-hak mereka serta mekanisme untuk menggunakan hak-hak tersebut. Undang-undang tersebut juga mengkodifikasi berbagai kewajiban data pribadi untuk bisnis. Dalam hal mengumpulkan dan menggunakan data pribadi yang sensitif seperti data geolokasi yang tepat, data tentang sifat pengguna yang dilindungi, dan data genetik atau biometrik, misalnya, perusahaan yang harus mematuhi Undang-Undang diharuskan untuk mendapatkan persetujuan terlebih dahulu.

VCDPA serupa dengan CCPA karena VCDPA mengamanatkan kontrak khusus antara perusahaan dan penyedia layanan yang mereka gunakan untuk memproses data atas nama mereka. Kontrak ini harus mengikuti persyaratan Undang-undang dan menetapkan kewajiban penyedia layanan sehubungan dengan data pribadi yang mereka proses.

Selain itu, VCDPA mengamanatkan bahwa bisnis menyimpan informasi pribadi tidak lebih lama dari jangka waktu yang diperlukan untuk tujuan tertentu dan tidak lebih lama dari jangka waktu yang diperlukan untuk mencapai tujuan yang dinyatakan. Konsep-konsep ini masing-masing dikenal sebagai batasan tujuan dan minimalisasi data.

VCDPA juga mengamanatkan agar bisnis memiliki dan memelihara kebijakan keamanan data yang memadai untuk melindungi privasi, integritas, dan ketersediaan informasi pelanggan.

Langkah-langkah keamanan data perusahaan kemungkinan memadai jika mereka mematuhi standar industri yang diakui, dengan mempertimbangkan ukuran dan kompleksitas organisasi dan data pribadi yang ditanganinya; namun, belum jelas bagaimana kriteria kewajaran ini akan diterapkan.

Terakhir, VCDPA, seperti Peraturan Perlindungan Data Umum (GDPR) Uni Eropa, mengamanatkan agar organisasi melakukan dan mendokumentasikan penilaian perlindungan data sebelum memproses data sensitif atau terlibat dalam aktivitas tertentu dengan data pribadi, seperti iklan bertarget, penjualan, atau pembuatan profil.

Siapa yang Akan Menegakkan VCDPA?

Jaksa Agung Virginia akan bertanggung jawab untuk menegakkan VCDPA, dan meskipun ada masa tenggang 30 hari untuk memperbaiki pelanggaran apa pun, terus melanggar hukum di luar titik ini dapat mengakibatkan hukuman perdata hingga $7.500 per insiden. Penting untuk dicatat bahwa Undang-Undang tersebut tidak memberi konsumen individu hak pribadi atas tindakan hukum seperti yang dilakukan CCPA.

Mengenai peringatan terakhir ini, untuk memenuhi syarat sebagai konsumen di bawah VCDPA, penduduk Virginia harus merupakan orang perseorangan yang “hanya bertindak dalam konteks individu atau rumah tangga”. (Bandingkan hal ini dengan CCPA, yang tidak membatasi definisi “konsumen” menjadi “individu atau rumah tangga”.) VCDPA juga mengklarifikasi bahwa tidak ada perlindungan yang diberikan kepada mereka yang “bertindak dalam konteks komersial atau pekerjaan”.

Kepada Siapa VCDPA Berlaku?

Seperti CCPA, VCDPA dapat berlaku untuk perusahaan yang tidak berbasis di Virginia namun tetap menjalankan bisnis di negara bagian tersebut. Undang-undang ini mengamanatkan perusahaan yang (1) menjalankan bisnis di Virginia atau memasarkan ke penduduk Virginia; dan (2) baik: (a) memproses atau mengontrol data pribadi 100.000 atau lebih penduduk Virginia; atau (b) memproses atau mengontrol data pribadi dari 25.000 atau lebih penduduk Virginia dan memperoleh lebih dari 50% pendapatan kotor dari penjualan data pribadi tunduk pada VCDPA.

Kapan VCDPA Menjadi Efektif?

VCDPA mulai berlaku pada 1 Januari 2023, sehingga perusahaan harus mematuhinya saat ini.

Pada tanggal 2 Maret 2021, Virginia menjadi negara bagian kedua setelah California yang menerapkan undang-undang privasi data yang komprehensif, menambah apa yang menjadi nasional tambal sulam peraturan privasi data. (Negara bagian Nevada dan Maine juga telah mengesahkan undang-undang privasi data, meskipun tidak dianggap "komprehensif" seperti yang didefinisikan oleh International Association of Privacy Professionals [IAPP].)

Apa yang Perlu Diketahui Penerbit tentang VCDPA?

Perusahaan harus menilai operasi pemrosesan data pribadi, tindakan keamanan data, kebijakan privasi, dan kontrak penyedia layanan mereka sesegera mungkin untuk melindungi diri dari penegakan VCDPA. Kami juga menyarankan untuk mempertimbangkan gambaran yang lebih besar dalam menanggapi permintaan konsumen untuk menegakkan hak berdasarkan CCPA atau VCDPA.

Admiral, CMP (Consent Management Platform), melacak undang-undang persetujuan privasi yang berdampak pada penerbit online di Amerika Serikat dan di seluruh dunia. Anda disarankan untuk membaca FAQ CMP jika Anda memiliki pertanyaan atau masalah.

Selain mandat peraturan, mengumpulkan izin pengunjung dapat membentuk segmen pengunjung yang berharga untuk dipasarkan, dan telah menghasilkan CPM yang lebih tinggi untuk beberapa penayang.

Akan Segera Ada Undang-undang Privasi Data yang Lebih Ketat

Perhatian publik telah tertuju pada privasi data karena cerita tentang pelanggaran data, penggunaan data pelanggan yang tidak tepat, dan privasi semakin umum. Menurut hasil survei Cisco, 84% responden sekarang ingin lebih banyak berbicara tentang data mereka dan bagaimana data itu digunakan.

84% responden sekarang menginginkan lebih banyak suara atas data mereka dan bagaimana data itu digunakan. - Survei Cisco

Ini adalah puncak gunung es bagi perusahaan penerbitan. Illinois, Maine, Massachusetts, Nevada, New Jersey, dan Pennsylvania hanyalah beberapa negara bagian yang baru-baru ini mengadopsi undang-undang perlindungan data dan privasi.

Ada juga upaya yang dilakukan untuk membentuk badan perlindungan data federal dan peraturan perlindungan data nasional. Sebagai antisipasi, Tech Lab IAB telah membuat Platform Privasi Umum, sebuah protokol kepatuhan standar. Platform Manajemen Persetujuan Admiral mematuhi GPP dan dibangun untuk fleksibilitas di seluruh negara bagian dan yurisdiksi.

Mematuhi VCDPA, CPRA, CCPA, dan GDPR

Bagi penerbit, mencoba mengikuti semua undang-undang privasi dan kerumitan GDPR, CCPA, CPRA, dan VCDPA bisa menjadi mimpi buruk. Untuk menangani privasi dan izin pengunjung dengan lebih baik, banyak penerbit telah meminta bantuan dari Admiral.

Admiral adalah salah satu CMP pertama yang mematuhi metodologi Interactive Advertising Bureau (IAB) untuk mentransmisikan informasi penyisihan ke vendor hilir, yang secara otomatis mengidentifikasi kunjungan situs dari alamat IP Virginia, dan memberi pengunjung antarmuka pengguna untuk menyisih dari penjualan data.

CMP Admiral adalah solusi manajemen izin privasi dengan nilai terbaik untuk penerbit media. Jadwalkan demo hari ini.