Hal-Hal Utama yang Harus Diketahui Setiap Merek Tentang CCPA

Diterbitkan: 2019-12-21

Pada tahun 2018, pemberlakuan Peraturan Perlindungan Data Umum Eropa (GDPR) mengubah lanskap privasi data untuk bisnis di seluruh Eropa dan di seluruh dunia—dan telah menjadikan privasi dan keamanan data konsumen sebagai topik penting bagi siapa saja yang peduli dengan keterlibatan pelanggan.

Dengan Undang-Undang Privasi Konsumen California (CCPA) yang dijadwalkan untuk mulai diberlakukan pada 1 Januari 2020, revolusi privasi yang dimulai oleh GDPR telah menjadi rumah bagi perusahaan-perusahaan Amerika. Undang-undang baru ini adalah topik besar, dan bisa menakutkan bagi merek—terutama merek yang belum mulai bekerja untuk menjadi patuh. Meskipun Braze tidak dapat memberikan nasihat hukum kepada pelanggan kami atau orang lain, kami dapat memandu Anda melalui beberapa hal utama yang perlu Anda pikirkan terkait CCPA dan privasi data secara umum. Baca terus untuk mempercepat:

Dasar

Apa itu CCPA?

CCPA adalah singkatan dari California Consumer Privacy Act, yang awalnya disahkan oleh pemerintah negara bagian California pada Juni 2018. Undang-undang tersebut menciptakan privasi baru dan perlindungan konsumen bagi orang-orang yang tinggal di California. Penegakan CCPA akan dimulai pada 1 Januari 2020.

Mengapa California lulus CCPA?

Pada tahun 2018, menyusul serangkaian insiden privasi data—termasuk skandal Cambridge Analytica—sebuah kelompok advokasi bernama “Californias for Consumer Privacy” mengusulkan inisiatif pemungutan suara negara bagian yang akan melembagakan undang-undang privasi konsumen baru yang sangat ketat jika disahkan oleh pemilih.

Untuk mendahului upaya itu, legislatif California memperkenalkan dan mengesahkan CCPA, yang membuat California untuk Privasi Konsumen menarik inisiatif mereka. Meskipun CCPA dianggap sebagai terobosan baru dalam hal hak privasi data konsumen di Amerika Serikat, CCPA memiliki persyaratan yang kurang ketat daripada inisiatif yang diusulkan.

Hak apa yang dimiliki penduduk California di bawah CCPA?

Di bawah CCPA, penduduk California memiliki hak untuk mengetahui siapa yang mengumpulkan informasi pribadi (PI) mereka dan apa yang dilakukan dengan informasi tersebut, dan mereka memiliki hak untuk mengakses informasi tersebut, menghapusnya, memilih keluar dari "penjualan". ” atas informasi pribadi mereka, dan untuk menggunakan semua hak ini tanpa diskriminasi—yaitu, mereka tidak dapat disangkal manfaat atau hak yang diberikan kepada orang yang tidak memilih keluar.

Apakah CCPA berlaku untuk organisasi yang berbasis di luar California?

Undang-undang ini berlaku untuk organisasi mana pun yang menjalankan bisnis di California dengan pendapatan $25 juta atau lebih, serta bisnis yang mengumpulkan data dari 50.000 atau lebih penduduk California atau memperoleh setidaknya 50% pendapatan mereka dari "menjual" informasi pribadi. Itu kemungkinan besar mencakup sebagian besar perusahaan yang berbasis di negara bagian, serta banyak organisasi AS dan internasional dengan audiens yang mencakup penduduk California.

CCPA dan Data

Data apa yang diatur oleh CCPA?

CCPA hanya mencakup pengumpulan, penjualan, dan pengungkapan "informasi pribadi" sehubungan dengan tujuan bisnis. Namun, karena disahkan dengan tujuan menargetkan sejumlah besar data yang ditangani oleh perusahaan media sosial, pialang data, dan pengiklan perilaku online, ia memiliki sejumlah persyaratan ketat yang memberikan dampak luas.

Di bawah CCPA, PI mencakup segala sesuatu yang dapat mengidentifikasi individu—nama, alamat, email, nomor rekening bank, tanggal lahir, info biometrik, sidik jari, dll.—serta data rumah tangga, audio, suhu, dan informasi penciuman. Dengan demikian, definisi PI di bawah CCPA bisa dibilang menjadikan ini salah satu undang-undang terluas di dunia terkait dengan hak privasi.

Informasi apa yang harus diungkapkan merek kepada pelanggan berdasarkan CCPA?

CCPA mencakup persyaratan pengungkapan terperinci yang harus diperbarui setiap tahun; perusahaan harus mengungkapkan PI yang telah mereka kumpulkan, “jual”, dan ungkapkan untuk tujuan bisnis selama 12 bulan terakhir, dan memastikan bahwa penduduk California memiliki hak pengungkapan, akses, dan pilihan untuk tidak ikut terkait informasi pribadi mereka. Organisasi juga diharuskan untuk menjelaskan kategori PI yang mereka kumpulkan dan apa tujuan pengumpulan informasi itu—dan mereka harus melakukannya di titik pengumpulan, apakah itu situs web, acara, atau lainnya.

Bagaimana CCPA mendefinisikan "menjual"?

CCPA mendefinisikan "penjualan" dengan sangat luas, mencakup aktivitas yang hanya akan diasosiasikan oleh sedikit orang dengan penjualan data. Berdasarkan CCPA, penjualan tidak hanya mengacu pada transfer informasi pribadi dengan imbalan uang—hukum juga menganggap penjualan mencakup “menyewa, melepaskan, mengungkapkan, menyebarkan, menyediakan, mentransfer, atau berkomunikasi secara lisan, tertulis, atau dengan cara elektronik atau lainnya, informasi pribadi konsumen oleh bisnis ke bisnis lain atau pihak ketiga untuk pertimbangan moneter atau berharga lainnya ."

Karena undang-undang tidak mendefinisikan “pertimbangan berharga lainnya”, dan karena definisi “menjual” mencakup berbagi data, banyak merek yang tidak menjual data (dalam arti bahasa sehari-hari) mungkin diminta untuk bertindak sebagai meskipun mereka melakukannya untuk mematuhi hukum. "Pertimbangan berharga lainnya" dianggap berarti nilai apa pun, jadi jika data pribadi dibagikan dengan pihak ketiga dan ada nilai apa pun dalam melakukannya untuk salah satu pihak, itu berpotensi menjadi "penjualan" di bawah CCPA—dan itu salah satu alasan mengapa CCPA dianggap sebagai salah satu undang-undang privasi terluas di dunia.

Apakah ada persyaratan khusus untuk merek yang dianggap "menjual" informasi pribadi berdasarkan CCPA?

Jika sebuah perusahaan “menjual” PI penduduk California di bawah CCPA, organisasi tersebut diharuskan menyertakan tautan “Jangan Jual Informasi Pribadi Saya” yang menonjol di situs webnya yang akan memungkinkan individu untuk memilih keluar dari “penjualan” informasi pribadi mereka. informasi. Merek yang gagal melakukannya menghadapi kemungkinan denda dan hukuman lainnya.

Apakah CCPA memiliki aturan tentang pengumpulan informasi dari anak di bawah umur?

CCPA memungkinkan orang dewasa untuk memilih keluar dari pengumpulan data dan melarang bisnis meminta kembali izin untuk mengumpulkan data mereka setidaknya selama 12 bulan setelah opt-out itu. Namun, untuk anak-anak di bawah 16 tahun, aturannya jauh lebih ketat dan memerlukan keikutsertaan untuk pengumpulan informasi pribadi mereka. Dan untuk anak di bawah usia 12 tahun, tidak ada PI yang dapat diambil tanpa persetujuan orang tua (misalnya, orang tua atau wali lainnya harus ikut serta untuk anak tersebut).

Apakah CCPA berlaku untuk data yang dikumpulkan sebelum undang-undang tersebut disahkan?

Jika perusahaan yang tunduk pada CCPA mengumpulkan informasi pribadi, maka perusahaan tersebut harus mematuhi persyaratan CCPA, meskipun data tersebut dikumpulkan sebelum tanggal 1 Januari 2020 untuk pemberlakuan CCPA. Ini berarti bahwa konsumen yang tinggal di California dapat menggunakan semua hak mereka sehubungan dengan informasi pribadi mereka—misalnya, konsumen tersebut dapat meminta merek Anda untuk menghapus data yang Anda kumpulkan tentang mereka lima tahun yang lalu, dan berdasarkan CCPA merek Anda akan diwajibkan untuk melakukannya.

Penegakan CCPA

Kapan batas waktu penegakan CCPA?

Meskipun CCPA awalnya disahkan pada Juni 2018, organisasi diberi waktu hingga 1 Januari 2020 sebelum mereka diwajibkan untuk mematuhi hukum.

Apa sanksi jika tidak mematuhi CCPA?

Jaksa Agung California berwenang untuk mendenda organisasi hingga $2.500 karena melanggar CCPA; namun, organisasi ini akan memiliki waktu 30 hari untuk menanggapi pemberitahuan ketidakpatuhan dan tidak akan didenda jika mereka mengatasi masalah tersebut selama jangka waktu tersebut. Satu hal penting yang harus dipahami—denda ini untuk setiap pelanggaran individu, jadi jika 100 orang terkena dampak pelanggaran, potensi dendanya adalah $250.000, bukan $2.500. Selain itu, jika ketidakpatuhan terbukti disengaja, denda dapat berjumlah hingga $7.500 per pelanggaran, meningkatkan potensi dampak keuangan yang signifikan bagi merek bahkan lebih tinggi.

CCPA juga mengizinkan penduduk California individu untuk mengajukan keluhan terhadap organisasi yang mereka yakini melanggar hukum, dengan potensi pembayaran hingga $750 per orang.

Selain itu, ada hak pribadi untuk bertindak berdasarkan CCPA—artinya individu dapat mengajukan tuntutan hukum, jika individu tersebut yakin bahwa perusahaan tidak mematuhi persyaratan keamanan CCPA dan telah terjadi pelanggaran data sehubungan dengan PI orang tersebut. Hak tindakan individu ini dapat mengarah ke gugatan class action, kemungkinan yang sangat serius di lingkungan litigasi California, di mana secara teoritis ada sejumlah pengacara penggugat yang dengan sabar menunggu kesempatan untuk mengajukan jenis tuntutan hukum ini, dan memulihkan penghargaan besar pada atas nama kelas besar penggugat. Penghargaan dapat melebihi kerusakan yang sebenarnya diderita, membuat kemungkinan ini sangat menakutkan bagi perusahaan yang tunduk pada CCPA. Selain itu, peraturan yang diusulkan di bawah tinjauan saat ini sedang mempertimbangkan untuk menerapkan hak tindakan pribadi untuk semua pelanggaran CCPA, alih-alih hanya mengizinkannya jika ada pelanggaran persyaratan keamanan undang-undang.

Di mana organisasi harus memulai dalam hal kepatuhan CCPA?

Organisasi harus memastikan bahwa mereka menyertakan pengungkapan yang sesuai di situs web mereka dan di semua titik pengumpulan informasi pribadi dari penduduk California. Mereka harus dapat memenuhi semua permintaan CCPA dan jika mereka dianggap “menjual” informasi pribadi penduduk CA, mereka harus dengan jelas mencantumkan tombol “Jangan Jual Data Saya” di situs web mereka.

Organisasi yang sudah mematuhi GDPR sedang dalam perjalanan menuju kepatuhan CCPA, tetapi persyaratan kedua undang-undang tersebut tidak sama, dan perusahaan didorong untuk meminta saran dari penasihat tepercaya mereka untuk memastikan bahwa mereka telah melakukan semua yang diperlukan untuk memastikan bahwa mereka memenuhi persyaratan CCPA sebelum 1 Januari 2020.

CCPA dan GDPR

Apa perbedaan CCPA dan GDPR?

Peraturan Perlindungan Data Umum (GDPR) Uni Eropa disahkan pada tahun 2016 dan terinspirasi oleh keyakinan implisit di sebagian besar Eropa bahwa individu di sana memiliki hak mendasar untuk mengontrol data pribadi mereka sendiri. CCPA, di sisi lain, mengikuti dari keyakinan bahwa negara bagian California telah ketinggalan dalam melindungi privasi penduduk mereka dan melindungi mereka dari penyalahgunaan PI (termasuk pencurian identitas, penipuan keuangan, kerusakan reputasi, pelecehan, dll.) .

Mengingat perbedaan ini, sementara GDPR berfokus terutama pada memastikan kepemilikan dan kontrol data pribadi oleh setiap individu yang terpengaruh, CCPA berfokus pada penargetan kemampuan perusahaan online untuk melakukan transaksi yang melibatkan sejumlah besar informasi pribadi tanpa sepengetahuan dan persetujuan penduduk California. Intinya, GDPR berlaku untuk semua aktivitas yang terlibat dalam pemrosesan data pribadi—termasuk menyimpan, mengakses, dan mentransfer data. CCPA, bagaimanapun, hanya berlaku untuk pengumpulan, "penjualan", dan pengungkapan informasi pribadi untuk tujuan bisnis.

Dengan cara apa CCPA dan GDPR saling melengkapi?

Baik CCPA maupun GDPR mengharuskan organisasi yang mengumpulkan informasi pribadi dari individu untuk mengungkapkan apa yang akan mereka lakukan dengan informasi pribadi tersebut dan kedua undang-undang tersebut memberikan sejumlah hak yang serupa kepada pihak ketiga sehubungan dengan informasi pribadi mereka sendiri. Selain itu, kedua undang-undang tersebut memerlukan persetujuan, transparansi, dan kontrol oleh individu atas informasi pribadi mereka sendiri, dan kedua undang-undang tersebut mengenakan denda karena gagal memenuhi persyaratan mereka.

Apakah perbedaan dalam lingkungan peraturan antara UE dan California masing-masing diharapkan berdampak pada penegakan CCPA dan GDPR?

Karena California adalah lingkungan yang secara signifikan lebih sadar hukum daripada Uni Eropa dan harapan bahwa regulator di California akan berusaha untuk menegakkan hukum secara ketat mulai tahun baru, kemungkinan kita akan melihat lebih banyak organisasi didenda karena gagal mematuhi CCPA daripada yang kami lakukan saat penegakan GDPR dimulai. Mengingat hal itu, organisasi yang memilih untuk menunggu dan melihat daripada secara agresif mengejar kepatuhan terhadap CCPA kemungkinan akan mengambil risiko serius.