ArtikelPanduan Lengkap untuk Undang-Undang Privasi Konsumen California

Cari tahu bagaimana Undang-Undang Privasi Konsumen California memengaruhi bisnis yang mengelola data penduduk dan apa yang dapat Anda lakukan untuk mengurangi risiko melanggar peraturan Undang-undang tersebut.

*Bagian ini ditulis pada tahun 2018. CCPA mulai berlaku pada 1 Januari 2020.

Beberapa bulan telah berlalu sejak kepanikan besar GDPR tahun 2018. Kita semua punya waktu untuk menyelesaikan kepatuhan, mengatur napas, dan menatap masa depan (tetapi jika Anda belum menangani kepatuhan GDPR atau tidak tahu apa itu GDPR , lihat artikel saya tentang GDPR untuk Situs Web Berbasis AS). Jadi apa selanjutnya untuk peraturan privasi pribadi untuk entitas yang berbasis di AS?

Ini adalah Undang-Undang Privasi Konsumen California (CCPA), yang ditandatangani menjadi undang-undang pada 23 September 2018. Kali ini kita semua harus dapat menghindari histeria yang kita lihat dengan GDPR. Semoga, kita semua melakukan penelitian dan uji tuntas jauh sebelum undang-undang tersebut mulai berlaku pada 1 Januari 2020.

Sebelum saya melanjutkan, harap perhatikan bahwa artikel ini menargetkan pemilik situs web bisnis-ke-bisnis (B2B) menengah hingga besar. Apakah organisasi Anda bersifat publik atau swasta tidak relevan, seperti halnya apakah organisasi Anda berbasis di California.

Saya menemukan sebagian besar posting blog tentang ini dan topik serupa sangat mencurigakan, jadi penelitian untuk artikel ini hanya bergantung pada teks undang-undang. Terlepas dari mana Anda mendapatkan informasi Anda, verifikasi dengan pengacara yang berspesialisasi dalam materi pelajaran. Jika perusahaan Anda berurusan dengan informasi pribadi sebagai bagian dari bisnis intinya, artikel ini bukan untuk Anda.

Inilah yang akan saya bahas:

• Apa itu Undang-Undang Privasi Konsumen California?
• Siapa yang dilindungi oleh CCPA?
• Apa sebenarnya yang dilindungi?
• Organisasi apa yang harus dipatuhi?
• Apa saja hak konsumen?
• Apa langkah-langkah untuk memastikan kepatuhan CCPA?
• Apa hukuman untuk ketidakpatuhan?

Mari selami!

Apa itu Undang-Undang Privasi Konsumen California?

Pada tahun 1972, para pemilih California mengamandemen Konstitusi California untuk memasukkan hak privasi di antara hak-hak yang "tidak dapat dicabut" dari semua orang. Amandemen tersebut menetapkan hak privasi yang sah dan dapat ditegakkan bagi setiap warga California. Dasar dari hak privasi ini adalah kemampuan individu untuk mengontrol penggunaan, termasuk penjualan, informasi pribadi mereka – AB 375, Bagian 2(a)

Untuk mendukung amandemen ini, sejumlah undang-undang California telah disahkan: Undang-Undang Perlindungan Privasi Online, Hak Privasi untuk Anak di Bawah Umur California dalam Undang-Undang Dunia Digital dan Shine the Light.

CCPA adalah undang-undang baru yang didasarkan pada undang-undang tersebut untuk lebih melindungi hak-hak penduduk. Ini dimulai sebagai inisiatif pemungutan suara yang diusulkan, tetapi para pendukungnya setuju untuk menariknya dengan syarat bahwa undang-undang baru dapat disahkan sebelum 28 Juni 2018.

Itu adalah batas waktu untuk menyelesaikan apa yang akan ada di surat suara. Untuk memenuhi ini, tagihan yang tidak sempurna (Assembly Bill 375) dibangkitkan setelah sebelumnya gagal mendapatkan daya tarik. Itu berlalu dengan terburu-buru. Inisiatif pemungutan suara dan AB 375 keduanya disebut sebagai Undang-Undang Privasi Konsumen California meskipun inisiatif pemungutan suara dan undang-undang yang dihasilkan terbukti sangat berbeda.

Anggota Majelis California khawatir bahwa jika undang-undang tidak disahkan tepat waktu, dan inisiatif berhasil masuk ke dalam pemungutan suara, para pemilih akan mengesahkan undang-undang yang akan sulit jika bukan tidak mungkin dipatuhi oleh bisnis.

Kemudian pada tahun 2018, versi yang diubah melewati Senat Negara Bagian California (UU Senat 1121). Tetapi undang-undang tersebut masih belum sempurna dan kemungkinan akan ada amandemen lebih lanjut.

Sebelum kita masuk ke rincian hukum kita harus mengakui bahwa beberapa bagian dapat berubah. Mungkin hukum itu sendiri mungkin tidak akan pernah ditegakkan.

Saat ini ada inisiatif untuk menetapkan undang-undang privasi data federal yang akan mengesampingkan undang-undang privasi data negara bagian mana pun. Legislator federal mungkin merasa bahwa undang-undang California melampaui batas atau tidak berjalan cukup jauh, dan kemudian memaksakan undang-undang federal... Sebuah langkah yang mencerminkan tindakan yang diambil oleh Majelis Negara Bagian California.

Masuk akal bagi legislator negara bagian dan federal untuk waspada terhadap inisiatif yang didorong oleh pemilih dan kumpulan undang-undang negara bagian masing-masing. Bisnis dapat dibebani dengan arahan teknis yang tidak praktis atau beban yang luar biasa untuk mematuhi undang-undang dari 50 negara bagian yang berbeda.

Sebagai pengembang web, saya takut dengan kedua skenario ini. Tapi sebagai konsumen individu, saya kecewa dengan hukum California. Itu tidak cukup untuk melindungi data pribadi yang dapat diidentifikasi.

Apa pun yang terjadi, beberapa tahun ke depan akan sangat kacau, tapi di sinilah kita berdiri sekarang...

Siapa yang dilindungi oleh CCPA?

CCPA berlaku untuk semua orang yang tinggal di California. Teks undang-undang itu berbunyi:

Konsumen berarti orang perseorangan yang merupakan penduduk California, sebagaimana didefinisikan dalam Pasal 17014 Judul 18 Kode Regulasi California, sebagaimana yang dibacakan bagian tersebut pada tanggal 1 September 2017, bagaimanapun diidentifikasi, termasuk oleh pengenal unik apa pun. – AB 375, Bagian 3, 1798.140

Sebuah "manusia alami" hanya dapat dianggap sebagai manusia individu. Sebaliknya, "badan hukum", mungkin saja merupakan badan hukum. Pengertian penduduk adalah:

Yang dimaksud dengan “penduduk” sebagaimana dimaksud dalam undang-undang, meliputi (1) setiap orang yang berada di Negara selain untuk tujuan sementara atau sementara, dan (2) setiap orang yang berkedudukan di Negara yang berada di luar Negara untuk tujuan sementara atau sementara. Semua individu lainnya bukan penduduk. – Kode Regulasi California, Judul 18, Bagian 17014

Seorang teknolog yang cerdas di organisasi Anda mungkin menyarankan untuk memfilter pengguna menurut negara bagian, sehingga memberikan pengalaman yang berbeda kepada pengguna di California. Tetapi ada tiga kelemahan dalam pendekatan ini.

Pertama, penduduk California dilindungi terlepas dari apakah mereka berada di negara bagian pada saat itu. Kedua, alat yang kami gunakan untuk menentukan lokasi pengguna tidak sempurna. Dan ketiga, mempertahankan pengalaman situs web terpisah hanya untuk pengguna di California akan menjadi tambahan, tidak perlu beban.

Perhatikan bahwa di seluruh teks undang-undang (termasuk judulnya) kata "Konsumen" digunakan untuk mengartikan semua orang perseorangan yang merupakan penduduk California. Ini adalah pilihan yang aneh karena individu tidak diharuskan untuk membeli barang atau jasa untuk dilindungi oleh hukum.

Apa yang dilindungi?

CCPA melindungi informasi pribadi penduduk California. Informasi pribadi adalah informasi yang dapat dikaitkan dengan individu atau rumah tangga, baik secara langsung maupun tidak langsung.

Ketahuilah bahwa sangat mungkin untuk mengumpulkan data pada pengguna anonim, dengan Cookie atau alamat IP, misalnya, dan kemudian menghubungkan data tersebut dengan individu di kemudian hari. Ini berarti data "dapat dikaitkan" dengan seseorang.

Jadi, jika CCPA berlaku untuk bisnis Anda, Anda harus mengungkapkan pengumpulan ini kepada individu tersebut saat data dikumpulkan - bahkan jika orang tersebut belum atau tidak akan pernah diidentifikasi. Karena mungkin untuk mengidentifikasi orang itu berarti Anda harus mematuhinya. Informasi pribadi termasuk, namun tidak terbatas pada:

(A) Pengidentifikasi seperti nama asli, alias, alamat pos, pengenal pribadi unik, alamat Internet Protocol pengenal online, alamat email, nama akun, nomor jaminan sosial, nomor SIM, nomor paspor, atau pengidentifikasi serupa lainnya.

(B) Setiap kategori informasi pribadi yang dijelaskan dalam subdivisi (e) dari Bagian 1798.80.

(C) Karakteristik klasifikasi yang dilindungi menurut hukum California atau federal.

(D) Informasi komersial, termasuk catatan properti pribadi, produk atau layanan yang dibeli, diperoleh, atau dipertimbangkan, atau riwayat atau kecenderungan pembelian atau konsumsi lainnya.

(E) Informasi biometrik.

(F) Internet atau informasi aktivitas jaringan elektronik lainnya, termasuk, namun tidak terbatas pada, riwayat penelusuran, riwayat pencarian, dan informasi mengenai interaksi konsumen dengan situs Web, aplikasi, atau iklan Internet.

(G) Data geolokasi.

(H) Audio, elektronik, visual, termal, penciuman, atau informasi serupa.

(I) Informasi profesional atau yang terkait dengan pekerjaan.

(J) Informasi pendidikan, didefinisikan sebagai informasi yang tidak tersedia untuk umum sebagai informasi pengenal pribadi sebagaimana didefinisikan dalam Undang-Undang Hak Pendidikan dan Privasi Keluarga (20 USC bagian 1232g, 34 CFR Bagian 99).

(K) Inferensi yang diambil dari salah satu informasi yang diidentifikasi dalam subdivisi ini untuk membuat profil tentang konsumen yang mencerminkan preferensi, karakteristik, tren psikologis, preferensi, kecenderungan, perilaku, sikap, kecerdasan, kemampuan, dan bakat konsumen tersebut.

– AB 375, Bagian 3, 1798.140

Organisasi apa yang harus dipatuhi?

Jika organisasi Anda tidak melakukan bisnis di Negara Bagian California, Anda bebas. Dan seseorang yang menelusuri situs web Anda dari dalam California tidak menunjukkan niat untuk melakukan bisnis di negara bagian tersebut. Tetapi jika perusahaan Anda melakukan bisnis di California, Anda harus bertanya pada diri sendiri beberapa pertanyaan:

1. Apakah organisasi Anda memiliki pendapatan kotor tahunan melebihi $25 juta? (Perhatikan bahwa angka tersebut menyesuaikan dengan Indeks Harga Konsumen).
2. Apakah organisasi Anda menangani informasi pribadi 50.000 atau lebih konsumen, rumah tangga, atau perangkat setiap tahun?
3. Apakah organisasi Anda mendapatkan 50 persen atau lebih pendapatan tahunannya dari penjualan informasi pribadi konsumen?

Jika Anda dapat menjawab ya untuk salah satu dari tiga pertanyaan ini, maka organisasi Anda harus mematuhinya. Jika organisasi Anda berada di bawah semua ambang batas ini tetapi dimiliki oleh entitas yang lebih besar (dengan kontrol lebih dari 50%) yang melebihi salah satu dari mereka, sekali lagi, organisasi Anda harus mematuhinya.

Apa saja hak konsumen?

Hak yang diberikan kepada penduduk California berdasarkan undang-undang ini memiliki banyak kesamaan dengan hak yang diberikan kepada warga negara Uni Eropa berdasarkan GDPR. Seperti GDPR, bisnis harus memberi tahu pengguna kapan mereka mengumpulkan data dan apa sebenarnya yang akan mereka lakukan dengannya sebelum informasi dikumpulkan:

Bisnis yang mengumpulkan informasi pribadi konsumen harus, pada atau sebelum titik pengumpulan, menginformasikan konsumen mengenai kategori informasi pribadi yang akan dikumpulkan dan tujuan penggunaan kategori informasi pribadi – AB 375, Bagian 3, 1798.100(b)

Dan mereka berhak meminta semua data mereka yang telah dikumpulkan oleh bisnis:

Konsumen berhak meminta bisnis yang mengumpulkan informasi pribadi konsumen mengungkapkan kepada konsumen tersebut kategori dan bagian spesifik dari informasi pribadi yang telah dikumpulkan bisnis – AB 375, Bagian 3, 1798.100(a)

Berdasarkan hal ini, konsumen memiliki hak untuk mengetahui kategori sumber dari mana informasi dikumpulkan, tujuan bisnis pengumpulan data, dan kategori pihak ketiga dengan siapa informasi tersebut dibagikan.

Selain itu, pengguna berhak meminta agar data mereka dihapus dari catatan Anda dan dari catatan semua penyedia layanan Anda.

Konsumen berhak meminta bisnis menghapus informasi pribadi apa pun tentang konsumen yang telah dikumpulkan bisnis dari konsumen – AB 375, Bagian 3, 1798.105(a)

Jika bisnis inti Anda berurusan dengan data pribadi konsumen, ada hak tambahan yang perlu Anda sadari dan siapkan untuk menanggapinya. Tapi sekali lagi, artikel ini bukan untuk Anda.

Apa langkah-langkah untuk memastikan kepatuhan CCPA?

Pertama dan terpenting, Anda harus memberi tahu pengguna tentang semua pengumpulan data terlebih dahulu. Tidak seperti GDPR, CCPA tidak memerlukan mekanisme persetujuan positif. Misalnya, saat pengguna mengisi formulir, pernyataan sederhana yang mengungkapkan apa yang akan Anda lakukan dengan data sudah cukup. Pengguna tidak perlu mencentang kotak yang menjelaskan bahwa dia memahami dan menyetujui koleksi tersebut.

Anda harus memberi pengguna setidaknya dua metode untuk meminta data mereka, atau agar data mereka dihapus. Salah satu metode ini harus nomor bebas pulsa; yang lainnya hanya bisa berupa alamat situs web.

Semua permintaan harus diverifikasi dan ditanggapi dalam waktu 45 hari. Jangka waktu ini dapat diperpanjang dengan tambahan 45 hari selama Anda memberi tahu konsumen dalam jangka waktu 45 hari pertama. Pengungkapan Anda kepada pengguna harus mencakup pengumpulan data 12 bulan sebelumnya, jadi pastikan Anda dapat menyimpan dan mengambil data yang diperlukan mulai 1 Juli 2019.

Bisnis yang menerima permintaan konsumen yang dapat diverifikasi dari konsumen untuk mengakses informasi pribadi harus segera mengambil langkah-langkah untuk mengungkapkan dan memberikan, secara gratis kepada konsumen, informasi pribadi yang diperlukan oleh bagian ini – AB 375, Bagian 3, 1798.100(d)

Anda tidak berkewajiban untuk menanggapi permintaan data dari satu pengguna lebih dari sekali dalam periode 12 bulan.

Anda harus memperbarui kebijakan privasi Anda untuk mengungkapkan deskripsi hak konsumen sesuai dengan Bagian 1798.110, 1798.115, dan 1798.125 CCPA. Anda juga perlu mempresentasikan metode yang tersedia untuk membuat permintaan terkait data mereka.

Sebagaimana dinyatakan di atas, salah satu metode tersebut harus berupa nomor bebas pulsa. Anda juga harus mengungkapkan semua kategori informasi yang telah Anda kumpulkan dalam 12 bulan sebelumnya dan terus memperbarui informasi tersebut setidaknya setiap 12 bulan sekali.

Pada saat yang sama, Anda harus memastikan bahwa semua individu yang menangani pertanyaan konsumen tentang praktik privasi bisnis atau kepatuhan dengan judul ini diberitahu tentang semua persyaratan. Mereka juga perlu tahu bagaimana mengarahkan konsumen untuk menggunakan hak-hak mereka di bawah bagian-bagian itu.

Anda mungkin melihat beberapa orang menyarankan bahwa Anda harus memiliki tautan di beranda Anda yang berjudul "Jangan Jual Informasi Pribadi Saya", tetapi persyaratan itu khusus untuk bisnis yang menjual informasi pribadi konsumen. Seperti yang saya sebutkan sebelumnya di artikel ini, jika Anda menjual informasi pribadi konsumen, artikel ini bukan untuk Anda.

Terakhir, Anda tidak dapat mendiskriminasi pengguna yang telah menggunakan hak privasi mereka yang diberikan oleh CCPA. Diskriminasi termasuk menolak barang atau jasa, membebankan harga yang lebih tinggi atau memberikan tingkat atau kualitas barang dan jasa yang berbeda.

Anda dapat menawarkan insentif keuangan untuk pengumpulan informasi pribadi. Namun berhati-hatilah agar program insentif ini tidak bersifat memaksa atau riba.

Apa hukuman untuk ketidakpatuhan?

Hukuman yang dinilai oleh Jaksa Agung California relatif kecil dibandingkan dengan pelanggaran GDPR. Perhatikan bahwa jika terjadi dugaan pelanggaran, Anda akan diberikan waktu 30 hari untuk memperbaiki masalah tersebut, dan Anda hanya akan diminta untuk membayar denda jika Anda gagal melakukannya.

Jika Anda ditemukan melanggar dan tidak memperbaiki masalah, Anda akan menghadapi denda perdata sebesar $2.500 untuk pelanggaran yang tidak disengaja dan $7.500 untuk pelanggaran yang disengaja. Hukuman ini sangat ringan sehingga beberapa perusahaan pasti akan memilih untuk mengabaikan hukum. Tapi mereka melakukannya dengan risiko besar.

Biaya yang lebih besar yang ditimbulkan karena ditemukan melanggar CCPA adalah peningkatan risiko terkena tuntutan hukum class action. Kerusakan hukum dibatasi hingga $100 - $750 per konsumen per insiden atau kerusakan aktual, mana saja yang lebih besar. Tetapi karena pengelolaan data ribuan individu merupakan hal yang umum, kerugian total di seluruh class action bisa sangat besar.

Rekomendasi

Mungkin hal yang paling mengkhawatirkan tentang undang-undang baru ini adalah pengetahuan bahwa akan ada lebih banyak lagi yang akan datang. Entah kita akan mulai melihat lebih banyak undang-undang negara bagian yang dirancang untuk melindungi privasi data kita atau undang-undang federal yang akan disahkan dan mendahului atau mengesampingkan undang-undang negara bagian.

Mustahil untuk mengetahui apa yang mungkin termasuk dalam undang-undang masa depan ini, tetapi kita dapat membuat beberapa tebakan yang terpelajar. Dan ada beberapa praktik tambahan yang akan membantu memastikan kepatuhan di semua negara bagian dan UE:

• Tentukan proses untuk membuang data pelanggan setelah jangka waktu tertentu
• Memerlukan mekanisme persetujuan positif di semua titik pengumpulan data
• Kumpulkan lebih sedikit data!

Saran terakhir itu mudah diwujudkan dan membebaskan Anda dari banyak tanggung jawab. Ada banyak hal di sebagian besar situs web modern yang merekam, melacak, dan memanfaatkan aktivitas pengguna.

Sebagian besar dari hal-hal ini sebenarnya tidak mengumpulkan data untuk pemilik situs web; mereka mengumpulkan data untuk jaringan periklanan yang ditargetkan. Layanan "gratis" seperti analitik, hosting font, jaringan pengiriman konten, widget berbagi, dan sejenisnya sama sekali tidak gratis.

Anda membayarnya dengan privasi pengguna Anda. Jangan menggunakannya di situs web Anda jika memungkinkan, atau mengonfigurasinya sedemikian rupa sehingga Anda tidak lagi mengungkapkan data pribadi pengguna Anda.

Sumber daya

• RUU Majelis Negara Bagian California No. 375
• RUU Senat Negara Bagian California No. 1121
• Artikel Monitor Privasi Data di CCPA Biasanya saya menahan diri untuk tidak menautkan ke blog tetapi posting DPM dan Alan L. Friel, khususnya, secara konsisten sangat baik

Peraturan CCPA bisa sangat banyak. Mudah-mudahan, kami telah membantu mengkonsolidasikan semua yang perlu Anda ketahui. Saat Anda mempertimbangkan untuk mengaudit situs Anda, kami akan dengan senang hati mengobrol. Untuk wawasan lebih lanjut tentang pertimbangan web dan digital untuk merek Anda, berikut adalah beberapa kiat dan sumber daya untuk membantu:

• Pelajari apa yang diperlukan untuk membuat situs Anda dapat diakses.
• Cari tahu kunci keamanan situs web dan cara menjaga situs Anda tetap aman.
• Lihatlah cara membuat situs web bisnis yang menarik (dan mengonversi).