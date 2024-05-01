Setelah bertahun-tahun bekerja dan upaya yang gagal dalam legislasi, rancangan undang-undang privasi data federal baru-baru ini dirilis. Komite Energi dan Perdagangan DPR Amerika Serikat merilis Undang-Undang Hak Privasi Amerika pada 7 April 2024. Beberapa masalah menghalangi pengesahan undang-undang di masa lalu, seperti apakah negara bagian dapat mengeluarkan peraturan yang lebih ketat dan apakah individu dapat menuntut perusahaan atas pelanggaran privasi.
Dengan Undang-Undang Hak Privasi Data Amerika tahun 2024, pemerintah menetapkan kebijakan privasi nasional pertama yang menetapkan hak privasi data nasional dan juga menetapkan standar untuk keamanan data. Entitas tertentu dikecualikan dari undang-undang, termasuk usaha kecil, pemerintah, entitas yang bekerja atas nama pemerintah dan Pusat Nasional untuk Anak Hilang dan Tereksploitasi (NCMEC). Lembaga nirlaba penipuan hanya diharuskan mengikuti standar keamanan data. Dalam ketentuan Undang-Undang ini, Federal Trade Commission (FTC) akan mendirikan biro baru untuk menindak pelanggaran, yang dikategorikan sebagai praktik tidak adil atau menyesatkan menurut UU FTC.
“Rancangan undang-undang bipartisan dan bikameral ini adalah kesempatan terbaik yang kami miliki dalam beberapa dekade untuk menetapkan standar privasi data dan keamanan nasional yang memberi orang hak untuk mengontrol informasi pribadi mereka,” kata Ketua Komite DPR untuk Energi dan Perdagangan Cathy McMorris Rodgers (R-WA) dan Ketua Komite Senat untuk Perdagangan, Sains dan Transportasi Maria Cantwell (D-WA) dalam siaran persnya. “Undang-undang penting ini merupakan hasil dari upaya itikad baik selama bertahun-tahun di DPR dan Senat. UU ini mencapai keseimbangan yang berarti pada isu-isu yang penting untuk memindahkan undang-undang privasi data yang komprehensif melalui Kongres. “Orang Amerika berhak untuk mengontrol data mereka dan kami berharap rekan-rekan kami di DPR dan Senat akan bergabung dengan kami dalam membuat undang-undang ini ditandatangani menjadi undang-undang.”
Salah satu bagian penting dari UU ini adalah bahwa UU ini menggantikan undang-undang privasi negara bagian yang berbeda-beda saat ini, yang disebut sebagai preemption. Karena perusahaan harus mengikuti hukum di negara bagian tempat pelanggan tinggal, sulit untuk memastikan kepatuhan terhadap hukum yang berbeda di banyak negara bagian.
Namun, negara bagian masih dapat mengesahkan undang-undang privasi mereka sendiri dalam beberapa kasus, seperti hak-hak sipil dan perlindungan konsumen. Ketika menyusun APRA, para pembuat undang-undang mempertahankan standar-standar dari negara-negara bagian utama, seperti California, Illinois, dan Washington.
Draf 140 halaman APRA memerinci standar dan proses khusus mengenai privasi data. Berikut ini adalah lima bagian penting dari RUU yang baru.
Anggota parlemen menggunakan bahasa dari California Consumer Privacy Rights Act (CCPA) yang memberi individu yang dirugikan oleh pelanggaran data kekuatan untuk menuntut perusahaan. Dari proses gugatan, konsumen bisa mendapatkan kompensasi atas kerugian nyata, putusan pengadilan untuk menghentikan tindakan tertentu, penetapan hukum, serta penggantian biaya dan jasa pengacara yang pantas. Penduduk California juga dapat menerima ganti rugi berdasarkan undang-undang berdasarkan CCPA.
Organisasi akan diminta untuk memiliki kebijakan privasi yang memerinci proses pengumpulan data dan bagaimana konsumen dapat memilih keluar. Undang-undang ini juga membatasi pengumpulan dan transfer jenis data tertentu, seperti informasi biometrik atau genetik, tanpa persetujuan tegas individu kecuali secara tegas diizinkan oleh tujuan yang diizinkan.
APRA memberi orang Amerika kemampuan untuk menghentikan perusahaan dan broker data dari mentransfer atau menjual data mereka. Konsumen juga dapat memilih keluar dari iklan bertarget. Selain itu, Undang-undang mensyaratkan persetujuan dari konsumen bagi perusahaan untuk mentransfer data sensitif ke pihak ketiga.
Sebagai bagian dari undang-undang, FTC akan memelihara registri broker data. Semua broker data juga perlu menyimpan situs web publik yang mengidentifikasi diri mereka sebagai broker data. Konsumen, termasuk individu penyandang disabilitas, harus dapat mengendalikan data mereka dan memilih keluar dari pengumpulan data di situs web melalui mekanisme “jangan kumpulkan” (do not collect).
Sementara sebagian besar perusahaan dapat menunjuk petugas privasi atau data, pemegang data besar harus menunjuk keduanya bersama dengan persyaratan tambahan berikut seperti mengajukan ke FTC setiap tahun. Perusahaan tidak diharuskan untuk membuat posisi mandiri tetapi dapat menambahkan tanggung jawab ini ke peran yang ada.
Karena UU masih dalam rancangan diskusi, langkah selanjutnya belum ditetapkan. Belum ada tanggal resmi yang ditetapkan untuk pemungutan suara atau pengesahan RUU tersebut menjadi undang-undang. Karena implikasinya bagi perusahaan dan konsumen, orang Amerika harus hati-hati mengikuti diskusi, dan perusahaan harus mulai bersiap untuk mengikuti peraturan jika disahkan, yang akan mulai berlaku 180 hari setelah persetujuan.