Undang-Undang Privasi Data di Amerika Serikat

Undang-Undang Privasi Data di Amerika Serikat – Berlawanan dengan kebijaksanaan konvensional, Amerika Serikat memang memiliki undang-undang privasi data. Benar, tidak ada undang-undang privasi tingkat federal pusat, seperti GDPR UE. Sebaliknya ada beberapa undang-undang privasi federal yang berfokus secara vertikal, serta generasi baru undang-undang privasi berorientasi konsumen yang berasal dari negara bagian.

Undang-Undang Privasi AS tahun 1974

Kembali pada abad terakhir ketika database adalah puncak teknologi komputer, Kongres dan lainnya (benar) prihatin tentang potensi penyalahgunaan data pribadi yang dimiliki oleh pemerintah. Kongres mengesahkan Undang-Undang Privasi AS tahun 1974 yang penting, yang berisi hak dan pembatasan penting pada data yang dipegang oleh lembaga pemerintah AS, dan seharusnya terlihat sangat akrab bagi para ahli data di tahun 2019. Berikut ini adalah referensinya:

  • Hak warga negara AS untuk mengakses data apa pun yang dipegang oleh lembaga pemerintah. Dan hak untuk menyalin data itu.
  • Hak warga negara untuk memperbaiki kesalahan informasi
  • Instansi harus mengikuti prinsip minimalisasi data saat mengumpulkan data – paling tidak informasi yang “relevan dan perlu” untuk mencapai tujuannya.
  • Akses ke data dibatasi berdasarkan kebutuhan untuk mengetahui – misalnya, karyawan yang membutuhkan catatan untuk peran pekerjaan mereka.
  • Berbagi informasi antara lembaga federal (dan non-federal) lainnya dibatasi dan hanya diperbolehkan dalam kondisi tertentu
  • Poin ekstra jika Anda memperhatikan prinsip Privasi berdasarkan Desain yang tertanam dalam undang-undang privasi era 70-an yang inovatif ini!

HIPAA

Disahkan pada tahun 1996, Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) adalah undang-undang penting untuk mengatur asuransi kesehatan. Ini adalah undang-undang yang sangat kompleks dengan banyak bagian yang bergerak, tetapi mencakup privasi data dan bagian keamanan. Bagian perlindungan data HIPAA ditemukan di Aturan Keamanan. HIPAA juga menetapkan persyaratan kerahasiaan data yang dapat ditemukan di Aturan Privasi.

Jika Anda pernah mengisi formulir di kantor dokter Anda yang memungkinkan pasangan dan anggota keluarga lainnya untuk meninjau atau melihat informasi kesehatan Anda, apa yang disebut HIPAA sebagai informasi kesehatan yang dilindungi.

Aturan Privasi berisi daftar aturan yang berbelit-belit tentang siapa yang dapat melihat PHI. Namun singkatnya, penyedia layanan kesehatan atau entitas tertutup kurang lebih memiliki izin untuk menggunakan data pasien jika terkait dengan pengobatan, pembayaran, dan operasi perawatan kesehatan. Namun, menggunakan data untuk tujuan pemasaran atau menjual PHI memerlukan otorisasi eksplisit.

Persyaratan minimum yang diperlukan HIPAA adalah contoh yang baik dari prinsip-prinsip PbD yang diterapkan untuk berbagi PHI. Dikatakan bahwa entitas tertutup yang membagikan data untuk tujuan pemasaran selain yang disebutkan di atas harus membatasi siapa yang dapat melihatnya. Organisasi kesehatan seharusnya mengevaluasi data dan praktik mereka, dan menerapkan perlindungan untuk membatasi akses yang tidak perlu atau tidak pantas ke PHI. Akibatnya, akses berbasis peran untuk PHI.

COPPA

Kembali pada hari-hari awal Internet awal, sekitar tahun 2000, Children’s Online Privacy Protection Act (COPPA) mengambil langkah pertama untuk mengatur informasi pribadi yang dikumpulkan dari anak di bawah umur. Undang-undang secara khusus melarang perusahaan online meminta PII dari anak-anak berusia 12 tahun ke bawah kecuali ada persetujuan orang tua yang dapat diverifikasi.

Pembaruan aturan peraturan COPPA beberapa tahun yang lalu secara efektif memperluas jangkauan hukum dan memperluas jenis informasi pribadi yang akan dilindungi, termasuk nama layar, alamat email, nama obrolan video, serta foto, file audio, dan tingkat jalan. koordinat geografis.

Pembaruan ini juga memperluas cakupan privasi dan keamanan ke pihak ketiga yang menggunakan data anak-anak. Operator situs web asal harus mengambil langkah-langkah yang wajar untuk merilis informasi pribadi anak-anak hanya kepada perusahaan yang mampu menjaganya tetap aman dan rahasia.

 GLBA

Undang-undang akhir 90-an lainnya, Gramm-Leach-Bliley Act (GLBA) adalah lempengan besar hukum perbankan dan keuangan yang telah mengubur di dalamnya privasi data penting dan persyaratan keamanan. Perlindungan informasi pribadinya merupakan peningkatan besar dibandingkan undang-undang data keuangan konsumen sebelumnya, lihat Fair Credit Reporting Act (FCRA).

Secara keseluruhan, Gramm-Leach-Bliley Act melindungi informasi pribadi nonpublik (NPI), yang didefinisikan sebagai informasi yang dikumpulkan tentang individu sehubungan dengan penyediaan produk atau layanan keuangan, kecuali jika informasi tersebut tersedia untuk umum pada dasarnya PII dengan pengecualian untuk informasi keuangan yang tersedia secara luas, misalnya, catatan properti atau informasi hipotek tertentu.

Anda mungkin telah memperhatikan bahwa bank secara berkala mengirimkan pemberitahuan privasi data, menjelaskan kategori NPI yang dikumpulkan dan dibagikan bersama dengan opsi khusus. Itu karena perlindungan privasi GLBA yang agak terbatas. Konsumen dapat memilih keluar jika mereka tidak ingin informasi tersebut dikirim ke pihak ketiga yang “tidak berafiliasi”.

Namun, untuk perusahaan pihak ketiga yang berafiliasi dengan bank atau perusahaan asuransi bagian dari, “keluarga perusahaan” konsumen tidak memiliki kontrol privasi hukum di bawah GLBA untuk membatasi pembagian NPI. Itu celah yang cukup besar, dan GLBA sama sekali bukan model untuk undang-undang privasi era Internet.