Apa yang dimaksud dengan Undang-Undang Privasi Konsumen California (CCPA)?

Dalam dunia digital, pemasar menganggap data konsumen sebagai emas baru, mengakui nilai potensinya yang sangat besar. Namun, terlepas dari keinginan kepentingan perusahaan untuk menggali data ini, sebuah gerakan yang berkembang menegaskan bahwa konsumen yang diteliti berdasarkan data tersebut harus mempunyai hak untuk menentukan bagaimana informasi yang mereka hasilkan digunakan atau tidak.

Di California, tujuan gerakan itu telah diubah menjadi undang-undang, melalui pengesahan CCPA. Ini merupakan pukulan kuat bagi hak-hak konsumen dan keamanan siber dengan memberikan kerangka kerja yang mumpuni bagi Negara Bagian California untuk menegakkan hukum dan peraturan privasi data. Ini memberi penduduk California jalur menuju hak tindakan pribadi, untuk mencari bantuan hukum dari pelanggaran data.

Pedoman CCPA dirancang untuk memberikan serangkaian hak bagi konsumen California yang secara tegas menangani privasi data pribadi dan memberikan mereka perlindungan keamanan yang wajar. Hak-hak ini mencakup kemampuan warga California untuk mengajukan permintaan konsumen tentang data pelanggan mereka. Permintaan ini dapat mencakup cara:

• Mencegah penjualan informasi pribadi mereka kepada perusahaan pihak ketiga (yaitu, Hak untuk Mencegah Penjualan Kembali) dengan mengeluarkan apa yang disebut sebagai arahan "Jangan jual informasi pribadi saya"
   

• Meminta data tentang informasi pribadi apa pun yang telah dikumpulkan (Hak untuk Mengakses)
   

• Meminta agar semua data yang dikumpulkan tentang konsumen tersebut dihapus (Hak untuk Dilupakan)

California Privacy Protection Agency memastikan bahwa penduduk California juga memiliki perlindungan dan diberi tahu dengan tepat tentang perubahan data yang mempengaruhi mereka. Ini juga memberlakukan aturan anti-diskriminatif yang mengamanatkan orang tidak dapat ditaklukkan atau dihukum karena mereka memilih untuk menggunakan hak-hak ini.

Meskipun sebagian besar konsumen memiliki gambaran umum tentang apa yang dimaksud dengan “data pribadi”, frasa tersebut dapat mempunyai arti yang berbeda bagi orang yang berbeda, dan jauh lebih banyak hal daripada yang dibayangkan sebelumnya.

Dalam konteks CCPA, data pribadi didefinisikan sebagai "informasi yang mengidentifikasi, berkaitan dengan, menjelaskan, secara wajar dapat dikaitkan dengan, atau secara wajar dapat dihubungkan, secara langsung atau tidak langsung, dengan konsumen atau rumah tangga tertentu."¹

Pedoman CCPA mencakup contoh spesifik data pribadi berikut ini:

• Nama

• Alamat

• Nomor Telepon

• Alamat email

• Alamat IP

• Tanggal lahir

• Nomor Jaminan Sosial

• Nomor Surat Izin Mengemudi

• Nomor paspor

• Informasi rekening perbankan

• Nomor kartu kredit/kartu debit

• Data pendidikan dan kredensial

Pemasar menemukan bahwa data pribadi menjadi lebih berharga ketika setiap jenis informasi digabungkan melalui analisis data. Mereka dapat menggunakannya untuk membuat tampilan gabungan dari konsumen atau kelompok konsumen tertentu. Mereka juga dapat membuat kesimpulan yang lebih luas tentang tren pemasaran konsumen, misalnya. Beberapa bentuk lain dari PI yang dikumpulkan secara rutin dapat mengungkapkan hal yang sama, termasuk:

• Preferensi belanja konsumen

• Riwayat penelusuran pribadi

• Sikap pribadi yang diartikulasikan

• Perilaku pribadi yang ditentukan

Area lain yang menjadi perhatian melibatkan cookie dan bagaimana cookie digunakan sebagai pengidentifikasi unik oleh situs web. Ini termasuk cookie pihak pertama, yang dirancang untuk menghapus diri mereka sendiri setelah tujuan bisnis mereka selesai. Dan ada cookie pihak ketiga, yang tidak secara otomatis menghapus sendiri. Cookie pihak ketiga memiliki fungsi untuk mengumpulkan berbagai jenis data pribadi, termasuk informasi pribadi yang sensitif.

Karena potensi penyalahgunaan cookie pihak ketiga oleh situs web, CCPA menganggap data yang dikumpulkan melalui situs web melalui penggunaan cookie sebagai PI dan oleh karena itu layak dilindungi.

Sebagian besar organisasi yang terkena dampak melakukan pendekatan terhadap kepatuhan CCPA bukan sebagai satu langkah, melainkan sebagai sebuah proses. Bagian pertama dari proses tersebut sering kali melibatkan perubahan pola pikir terhadap konsumen, dan menyadari bahwa kebutuhan privasi mereka penting dan memang memiliki hak-hak yang dapat ditegakkan.

Mempertahankan kepatuhan CCPA berarti menjunjung tinggi berbagai konsumen California dengan memberi mereka pilihan tentang bagaimana inventaris data pribadi mereka dikelola (termasuk pilihan ikut serta). Hal ini juga berarti mengikuti setiap perubahan evolusioner dalam CCPA agar dapat mengimbangi teknologi baru (seperti biometrik) dan revisi kebijakan CCPA.

Agar mematuhi CCPA, diperlukan serangkaian langkah yang mungkin memerlukan waktu enam bulan atau bahkan satu tahun untuk mencapainya secara penuh. Meskipun demikian, masing-masing memainkan peran penting dalam membangun kepatuhan CCPA. (Karena persyaratan kepatuhan tertentu dapat dilakukan secara bersamaan, kami menggunakan poin-poin untuk langkah-langkah, bukan angka.)

Langkah pertama adalah mendapatkan gambaran yang akurat tentang data konsumen yang telah dikumpulkan, serta membuat katalog dari berbagai lokasinya. Hal ini berkaitan dengan data konsumen "eksterior" yang dikumpulkan dari konsumen di luar perusahaan dan data konsumen yang dikumpulkan secara "internal" dari karyawan perusahaan dan pelamar kerja.

Sangatlah penting untuk menjaga keamanan semua data pribadi yang dikumpulkan, baik yang berasal dari konsumen maupun pelamar kerja. Ada juga ketentuan tambahan terkait perlindungan informasi yang dikumpulkan dari anak di bawah umur.

Pernyataan “pemberitahuan saat pengumpulan” harus dikeluarkan untuk semua konsumen (atau bahkan pekerja perusahaan dan pencari kerja). Yang penting, pemberitahuan privasi ini harus dikomunikasikan sebelum atau pada saat aktivitas pengumpulan data dimulai, bukan setelahnya.

Sebagian besar organisasi sekarang memiliki kebijakan privasi data yang terperinci untuk perusahaan mereka, dan memublikasikannya di situs web mereka.

Penting juga untuk mengonfigurasi cara yang efektif dan tepat waktu untuk menangani setiap permintaan yang terkait dengan informasi konsumen.

Aturan minimalisasi data harus dikembangkan dan diimplementasikan untuk memastikan bahwa organisasi hanya mengumpulkan jumlah minimum PI yang diperlukan untuk mencapai tujuan tertentu. Organisasi juga harus mempertimbangkan kemungkinan bahaya bagi konsumen jika data yang dikumpulkan dilanggar dan menerapkan tindakan pencegahan yang tepat (misalnya, penghapusan otomatis data yang dikumpulkan setelah digunakan).

Salah satu aspek kunci untuk mencapai kepatuhan adalah memastikan manajer perusahaan dan semua karyawan mengetahui persyaratan CCPA, terutama persyaratan yang secara langsung berdampak pada ruang lingkup pekerjaan mereka. Pembaruan dapat dilakukan melalui sesi pelatihan dan webinar.

Hukum dan peraturan sering kali dapat berubah dan diamandemen. (CCPA sendiri telah mengalami revisi semacam itu sebelum diluncurkan kembali pada tahun 2023). Oleh karena itu, sebaiknya Anda terus mengikuti perkembangan CCPA.

Pialang data, pembelian dan penjualan PI, adalah bisnis yang berkembang pesat, yang oleh para ahli ditaksir mencapai USD 240 miliar secara global pada tahun 2021. Jumlah tersebut diperkirakan akan meningkat hampir dua kali lipat dan membengkak menjadi lebih dari USD 450 miliar per tahun pada akhir dekade ini^.2

Apa pun yang berharga seperti data harus dilindungi dengan ketat. Oleh karena itu, California Privacy Protection Agency (CPPA) diberdayakan untuk menyerang perusahaan yang melanggar penyewa CCPA. Hukuman CCPA dibatasi pada tingkat yang relatif rendah, baik USD 2.500 untuk kontak yang melanggar yang tidak disengaja atau USD 7.500 untuk pelanggaran yang disengaja. Perlu dicatat bahwa hukuman CCPA ini hanya berlaku untuk satu pelanggaran, seperti pelanggaran data yang melibatkan satu orang.

Namun kenyataannya, pelanggaran data jarang sekali melibatkan satu pihak yang terkena dampak. Sebaliknya, lebih merupakan event massal yang melibatkan ribuan atau bahkan ratusan ribu konsumen. Jadi, jika Anda mengalikan kemungkinan denda CCPA dengan sejumlah besar penduduk California, Anda bisa segera menghitung denda yang sangat besar.

CCPA memang menawarkan jalan keluar bagi perusahaan yang melanggar untuk tidak membayar denda yang cukup besar ini, dengan memberikan tenggang waktu 30 hari bagi pelanggar untuk memperbaiki kesalahan yang mereka lakukan. Jika pelanggar dapat meningkatkan langkah-langkah keamanan mereka dan "memperbaiki" masalah dalam waktu satu bulan, biaya penalti dapat dibebaskan. Jelas, perusahaan secara finansial berkewajiban untuk memperbaiki pelanggaran semacam itu, tetapi itu dapat terbukti sulit atau bahkan tidak mungkin dalam beberapa situasi. Ini karena pelanggaran seperti pelanggaran data sering melibatkan pengungkapan data yang tidak dapat dibalik.

Cakupan CCPA terus berkembang dan berevolusi untuk mengimbangi pertumbuhan teknologi yang eksplosif, seperti Internet of Things (IoT).

Misalnya, CPPA baru-baru ini mengumumkan fokus perhatian baru, kendaraan "terhubung" (CV) yang dilengkapi dengan mekanisme pengumpulan data. Kendaraan modern memiliki sarana untuk mengumpulkan sejumlah informasi yang komprehensif tentang pengemudi serta data geolokasi, dan mengirimkan data tersebut. California memiliki lebih dari 35 juta kendaraan terdaftar, menjadikannya usaha besar. Namun menurut Direktur Eksekutif CPPA, hal ini merupakan kebutuhan yang perlu diperhatikan.

"Kendaraan modern secara efektif menghubungkan komputer di atas roda," kata Ashkan Soltani pada Juli 2023. "Kendaraan modern dapat mengumpulkan banyak informasi melalui aplikasi, sensor, dan kamera bawaan, yang dapat memantau orang-orang di dalam dan di dekat kendaraan. "³

Ungkapan “dekat kendaraan” patut diperhatikan. Ini berarti bahwa tidak hanya data driver yang dilindungi, tetapi juga siapa saja yang mungkin mengendarai mobil itu dan bahkan orang-orang yang berjalan di dekat kendaraan. Kamera on-board pada kendaraan dapat menangkap gambar sesaat orang-orang ini.

Pengumuman ini juga tampaknya signifikan karena menunjukkan CCPA menggunakan wewenangnya untuk melindungi data pribadi yang dihasilkan melalui IoT, dalam hal ini, dari kendaraan yang terhubung. Pengumuman ini mungkin terbukti lebih signifikan jika menandakan niat agensi untuk memutuskan peningkatan jumlah kasus yang melibatkan hal-hal terkait IoT di tahun-tahun mendatang.

Ketika Uni Eropa (UE) memberlakukan Peraturan Perlindungan Data Umum (GDPR) pada bulan Mei 2018, UE meluncurkan kerangka kerja yang paling proaktif untuk melindungi informasi pribadi dan/atau konsumen. CCPA telah dikenal sebagai kebijakan privasi data paling ketat yang berlaku di AS. Akibatnya, beberapa pengamat ingin mengetahui perbandingan kedua standar tersebut.

Dalam banyak hal, kedua standar ini sangat mirip. Baik GDPR maupun CCPA:

• Dipandu oleh naluri untuk melindungi dan memberdayakan warga negara secara individu
   

• Memberikan hak kepada konsumen untuk menolak data yang dikumpulkan dan mengoreksinya, jika data yang dikumpulkan salah
   

• Berikan hak kepada konsumen untuk mengakses informasi pribadi mereka, memindahkannya, atau (jika mereka memilih untuk melakukannya) menghapusnya secara permanen
   

• Menuntut agar konsumen diberi tahu secara pribadi jika keamanan data yang mereka kumpulkan dilanggar

Selain itu, ada juga perbedaannya. GDPR memiliki persyaratan transfer lintas batas yang tidak diperlukan di California yang hanya terdiri dari satu negara bagian. Demikian juga, CCPA menerapkan pembatasan pada penjualan PI, yang tidak dilakukan oleh GDPR.

Namun, ada lebih banyak persamaan daripada perbedaan antara GDPR dan CCPA. Kedua standar menghadapi tantangan dengan risiko pihak ketiga. Tantangan ini muncul ketika satu perusahaan pada dasarnya mengalihdayakan pengelolaan data pribadi ke perusahaan luar. Perusahaan pihak ketiga itu kemudian harus siap dan secara hukum dapat memikul tanggung jawab berbasis CCPA yang sama untuk PI. Ini adalah tanggung jawab yang sama dengan yang ditimbulkan oleh perusahaan asli setelah awalnya mengumpulkan atau membeli data yang dimaksud. Baik CCPA maupun GDPR mewajibkan perusahaan untuk membagikan kategori pihak ketiga yang mereka bagi informasi, informasi apa saja yang mereka bagikan kepada masing-masing pihak, dan alasannya.

GDPR dan CCPA juga memiliki sifat utama yang sama, kemampuan untuk secara finansial memberi sanksi finansial kepada penyedia layanan dan perusahaan lain yang melakukan pelanggaran ketidakpatuhan. Baru-baru ini, mereka menunjukkan kemampuan ini secara dramatis dengan denda penalti privasi data terbesar yang pernah dicatat.

Pada Mei 2023, Data Protection Commission (DPC) Irlandia mengenakan denda rekor sebesar EURO 1,2 miliar (sekitar USD 1,3 miliar) terhadap Meta (sebelumnya Facebook). Denda ini karena menggunakan data Eropa secara tidak sah dalam bisnis Amerika, termasuk Instagram.