Bagaimana GDPR akan memengaruhi merek AS

Penggunaan (dan penyalahgunaan) data merupakan tantangan unik bagi pembuat undang-undang dan otoritas penegak hukum. Tidak seperti barang dan jasa tradisional, aliran data tidak menghormati batasan internasional tradisional, dan laju perubahan teknologi berarti bahwa undang-undang privasi data selalu terlalu luas atau benar-benar ketinggalan zaman.

Secara khusus, regulator telah berjuang untuk mengembangkan praktik penegakan hukum yang efektif untuk perusahaan yang memiliki dampak besar di wilayah mereka tetapi secara fisik berbasis di tempat lain.

Ini adalah tema yang mendasari kasus Mahkamah Agung AS saat ini Amerika Serikat v. Microsoft Corp , yang baru-baru ini menyebabkan pengesahan Undang-Undang Penggunaan Data Luar Negeri (CLOUD) yang Sah yang secara efektif akan memungkinkan otoritas AS untuk memaksa perusahaan untuk memberikan permintaan data yang disimpan di server terlepas dari apakah mereka berada di AS atau di luar negeri.

Demikian pula, banyak yang masih belum pulih dari skandal Cambridge Analytica/Facebook, yang telah menunjukkan bagaimana manipulasi data individu oleh pihak asing berpotensi mengganggu politik dalam negeri.

Dalam konteks ini, mungkin tidak mengejutkan bahwa undang-undang privasi data penting UE yang akan datang, Peraturan Perlindungan Data Umum (GDPR), berupaya menerapkan standar perlindungan data yang ditingkatkan tidak hanya untuk perusahaan-perusahaan yang berbasis di UE, tetapi juga banyak di luarnya.

Dalam posting ini, saya memeriksa apa arti GDPR untuk merek AS dan langkah apa, jika ada, yang harus mereka ambil sekarang untuk mempersiapkan:

Apa itu GDPR, dan bagaimana hukum UE dapat berlaku untuk perusahaan AS?

Sederhananya, GDPR adalah bagian dari undang-undang UE yang berupaya melindungi data pribadi warga negara UE dengan mengatur cara organisasi mengumpulkan, menyimpan, dan memproses data tersebut.

Tidak seperti pendahulunya, Data Protection Directive, yang secara umum tidak mengatur perusahaan yang berbasis di luar UE, GDPR berlaku untuk semua pemrosesan data pribadi subjek data yang berada di UE yang aktivitas pemrosesannya terkait dengan: penawaran barang atau layanan untuk subjek data tersebut di UE (terlepas dari apakah pembayaran subjek data diperlukan); atau, pemantauan perilaku mereka sejauh perilaku mereka terjadi di dalam UE.

Ini berarti bahwa GDPR tidak hanya relevan bagi perusahaan multinasional yang mungkin berkantor pusat di AS, atau bagi perusahaan AS yang memiliki operasi bisnis langsung di UE, tetapi juga bagi banyak perusahaan AS yang tidak. Dalam konteks online, GDPR akan relevan jika:

• Anda memiliki kehadiran internet yang kuat di UE (bahkan jika Anda tidak menjual langsung ke UE)
• Anda adalah perusahaan e-niaga yang menerima mata uang UE dan/atau memiliki akhiran domain UE (seperti .co.uk, .fr, .de, dll.)
• Anda memiliki pengunjung UE dan Anda melakukan personalisasi di situs web Anda.

Biaya untuk melakukan kesalahan ini

Jika salah satu hal di atas berlaku untuk organisasi Anda, Anda harus meninjau dengan cermat praktik penanganan data Anda, dan menentukan apakah GDPR kemungkinan akan berlaku atau tidak untuk aktivitas online Anda. Salah satu alasan mengapa hal ini sangat penting adalah karena denda yang signifikan di bawah peraturan baru.

GDPR memperkenalkan hukuman serius bagi perusahaan yang tidak mematuhi aturan baru. Denda dapat mencapai hingga €20 juta, atau 4% dari omset organisasi di seluruh dunia — angka mana pun yang lebih besar.

Masih belum jelas bagaimana regulator UE akan memberlakukan hukuman ini pada perusahaan AS yang tidak memiliki kehadiran permanen di negara UE mana pun, tetapi skala denda potensial harus berarti bahwa bahkan perusahaan khusus AS harus menganggap serius aturan baru.

Kepatuhan bisa sederhana, tetapi bukan hanya latihan kotak centang

Berlawanan dengan kepercayaan populer, kepatuhan terhadap GDPR dapat dicapai dengan sederhana dan tanpa banyak sumber daya. Namun, ini bukan latihan kotak centang yang mudah dan beberapa langkah mungkin memerlukan masukan dari berbagai pemangku kepentingan dalam organisasi Anda.

Untuk panduan yang lebih mendetail tentang persyaratan baru, regulator Inggris Raya telah menerbitkan ringkasan GDPR, yang merupakan titik awal yang bagus jika Anda baru saja tiba di sini. Namun, untuk perusahaan yang tidak terbiasa dengan undang-undang perlindungan data UE, mematuhi GDPR mungkin juga memerlukan perubahan mendasar dalam cara konsep data:

1.) Data pribadi vs PII

Definisi "data pribadi" di bawah GDPR jauh lebih luas daripada konsep AS yang serupa tentang "informasi pengenal pribadi" (PII).

PII, sebagaimana dipahami di AS, biasanya terbatas pada pengidentifikasi seperti nama, nomor jaminan sosial, tanggal dan tempat lahir, dan catatan biometrik, medis, pendidikan, keuangan, dan pekerjaan. Sebaliknya, data pribadi di UE berarti informasi apa pun yang berkaitan dengan orang alami yang teridentifikasi atau dapat diidentifikasi, atau "subjek data". Itu mencakup pengidentifikasi yang termasuk dalam definisi PII AS dan juga termasuk pengidentifikasi online seperti alamat email, ID cookie, alamat IP, kebiasaan menjelajah, data lokasi, dan sebagainya.

Dalam praktiknya, definisi luas dari data pribadi ini berarti bahwa aktivitas seperti personalisasi situs web ditangkap oleh GDPR, meskipun personalisasi tersebut hanya melibatkan penggunaan dasar analitik berdasarkan ID cookie atau alamat IP pengguna.

2.) Prinsip Perlindungan Data, dan persetujuan

GDPR mengakui bahwa bisnis memiliki kepentingan yang sah dalam mengumpulkan dan menggunakan data pribadi (misalnya, untuk tujuan memahami bagaimana pengunjung berinteraksi dengan situs web perusahaan). Namun, dalam melakukannya, perusahaan diharuskan mengikuti "prinsip perlindungan data" tertentu seperti memastikan transparansi dengan subjek data.

Selain itu, ada kalanya persetujuan pengunjung diperlukan sebelum data mereka dapat dikumpulkan, yang menurut GDPR memerlukan lebih dari sekadar merujuk pada pernyataan privasi online. GDPR menghilangkan persetujuan tersirat dan kotak yang telah dicentang sebelumnya, dan menempatkan tanggung jawab pada perusahaan untuk menunjukkan bahwa subjek data telah sepenuhnya memahami dan menyetujui apa yang diminta untuk mereka setujui.

3.) Kepemilikan

Tidak seperti di AS, di mana semua data yang dikumpulkan dari situs web biasanya dianggap milik pemilik situs web itu, di UE, data pribadi milik subjek data yang bersangkutan. Oleh karena itu, individu tersebut memiliki hak untuk mengontrol bagaimana data mereka diproses, yang tercermin dalam hak luas subjek data berdasarkan GDPR untuk mengakses, mengambil salinan, dan mewajibkan perusahaan untuk menghapus data mereka. Perusahaan diharuskan untuk mematuhi permintaan tersebut sesuai dengan tenggat waktu yang ketat, atau menghadapi tindakan penegakan hukum yang berpotensi berat dari regulator lokal.

Demikian pula, persyaratan yang jauh lebih ketat juga diterapkan di mana pihak ketiga terlibat. Secara khusus, subjek data harus diberi tahu ke perusahaan mana data mereka dibagikan, dan organisasi hanya boleh melibatkan pihak ketiga yang dapat menjamin tingkat keamanan data yang sesuai. Ini harus dibuktikan dengan dokumen kontrak khusus yang memenuhi persyaratan konten GDPR. Memahami perbedaan konseptual ini akan menjadi kunci bagi perusahaan yang ingin mematuhi GDPR.

Membungkus

GDPR akan mengubah cara perusahaan berinteraksi dengan data — tidak hanya di UE tetapi di seluruh dunia. Merek AS, terutama yang memiliki kehadiran internet yang kuat, harus meninjau dengan cermat praktik penanganan data mereka, dan menentukan apakah GDPR kemungkinan akan berlaku atau tidak untuk aktivitas online mereka. Kekhawatiran apa pun harus didiskusikan dengan penasihat jauh sebelum tanggal efektif GDPR untuk menghindari denda yang cukup besar berdasarkan peraturan baru.