Undang-Undang Privasi Konsumen California (CCPA) adalah undang-undang negara bagian California yang diberlakukan pada tahun 2020 yang melindungi dan menegakkan hak-hak warga California terkait privasi informasi pribadi (PI) konsumen.
Dalam dunia digital, data konsumen dipahami sebagai emas baru, sebuah substansi yang memiliki nilai potensial yang sangat besar bagi para pemasar. Namun, terlepas dari keinginan kepentingan perusahaan untuk menggali data ini, sebuah gerakan yang berkembang menegaskan bahwa konsumen yang diteliti berdasarkan data tersebut harus mempunyai hak untuk menentukan bagaimana informasi yang mereka hasilkan digunakan atau tidak.
Di California, tujuan gerakan itu telah diubah menjadi undang-undang, melalui pengesahan CCPA. Hal ini memberikan pukulan yang kuat bagi hak-hak konsumen dan keamanan siber dengan memberikan Negara Bagian California kerangka kerja yang mumpuni untuk menegakkan hukum dan peraturan privasi data dan memberikan jalur bagi penduduk California untuk mendapatkan hak bertindak pribadi, guna mencari bantuan hukum dari pelanggaran data.
Berlangganan Buletin IBM
Pedoman CCPA dirancang untuk memberikan serangkaian hak bagi konsumen California yang secara tegas menangani privasi data pribadi dan memberikan mereka perlindungan keamanan yang wajar. Hak-hak ini mencakup kemampuan warga California untuk mengajukan permintaan konsumen tentang data pelanggan mereka. Permintaan ini dapat mencakup cara:
Mencegah penjualan informasi pribadi mereka kepada perusahaan pihak ketiga (yaitu, Hak untuk Mencegah Penjualan Kembali) dengan mengeluarkan apa yang disebut sebagai arahan "Jangan jual informasi pribadi saya"
Meminta data tentang informasi pribadi apa pun yang telah dikumpulkan (Hak untuk Mengakses)
Meminta agar semua data yang dikumpulkan tentang konsumen tersebut dihapus (Hak untuk Dilupakan)
Berkat Badan Perlindungan Privasi California, penduduk California juga memiliki perlindungan yang bertujuan untuk memastikan bahwa penduduk diberi tahu secara tepat tentang perubahan data yang memengaruhi mereka, serta peraturan anti-diskriminasi yang mengamanatkan bahwa seseorang tidak dapat ditundukkan atau dihukum karena memilih untuk menggunakan hak-hak ini.
Meskipun sebagian besar konsumen memiliki gambaran umum tentang apa yang dimaksud dengan “data pribadi”, frasa tersebut dapat mempunyai arti yang berbeda bagi orang yang berbeda, dan jauh lebih banyak hal daripada yang dibayangkan sebelumnya.
Dalam konteks CCPA, data pribadi didefinisikan sebagai "informasi yang mengidentifikasi, berkaitan dengan, menjelaskan, secara wajar dapat dikaitkan dengan, atau secara wajar dapat dihubungkan, secara langsung atau tidak langsung, dengan konsumen atau rumah tangga tertentu."1
Pedoman CCPA mencakup contoh spesifik data pribadi berikut ini:
Nama
Alamat
Nomor Telepon
Alamat email
Alamat IP
Tanggal lahir
Nomor Jaminan Sosial
Nomor Surat Izin Mengemudi
Nomor paspor
Informasi rekening perbankan
Nomor kartu kredit/kartu debit
Data pendidikan dan kredensial
Data pribadi menjadi semakin berharga bagi pemasar ketika setiap jenis informasi dapat digabungkan melalui analisis data dan digunakan untuk membuat pandangan gabungan dari konsumen atau kelompok konsumen tertentu dan membuat kesimpulan yang lebih luas tentang tren pemasaran konsumen, misalnya. Beberapa bentuk lain dari PI yang dikumpulkan secara rutin dapat mengungkapkan hal yang sama, termasuk:
Preferensi belanja konsumen
Riwayat penelusuran pribadi
Sikap pribadi yang diartikulasikan
Perilaku pribadi yang ditentukan
Area lain yang menjadi perhatian melibatkan cookie dan bagaimana cookie digunakan sebagai pengidentifikasi unik oleh situs web. Termasuk cookie pihak pertama (yang dirancang untuk terhapus dengan sendirinya setelah tujuan bisnis mereka selesai) serta cookie pihak ketiga (yang tidak secara otomatis terhapus sendiri dan memiliki fungsi untuk mengumpulkan berbagai jenis data pribadi, termasuk informasi pribadi yang sensitif).
Karena potensi penyalahgunaan cookie pihak ketiga oleh situs web, CCPA menganggap data yang dikumpulkan melalui situs web melalui penggunaan cookie sebagai PI dan oleh karena itu layak dilindungi.
Sebagian besar organisasi yang terkena dampak melakukan pendekatan terhadap kepatuhan CCPA bukan sebagai satu langkah, melainkan sebagai sebuah proses. Bagian pertama dari proses tersebut sering kali melibatkan perubahan pola pikir terhadap konsumen, dan menyadari bahwa kebutuhan privasi mereka penting dan memang memiliki hak-hak yang dapat ditegakkan.
Mempertahankan kepatuhan CCPA berarti menjunjung tinggi berbagai konsumen California dengan memberi mereka pilihan tentang bagaimana inventaris data pribadi mereka dikelola (termasuk pilihan ikut serta). Hal ini juga berarti mengikuti setiap perubahan evolusioner dalam CCPA agar dapat mengimbangi teknologi baru (seperti biometrik) dan revisi kebijakan CCPA.
Agar mematuhi CCPA, diperlukan serangkaian langkah yang mungkin memerlukan waktu enam bulan atau bahkan satu tahun untuk mencapainya secara penuh. Meskipun demikian, masing-masing memainkan peran penting dalam membangun kepatuhan CCPA. (Karena persyaratan kepatuhan tertentu dapat dilakukan secara bersamaan, langkah-langkahnya ditandai dengan poin, bukan angka).
Langkah pertama adalah mendapatkan gambaran yang akurat tentang data konsumen yang telah dikumpulkan, serta membuat katalog dari berbagai lokasinya. Hal ini berkaitan dengan data konsumen "eksterior" yang dikumpulkan dari konsumen di luar perusahaan dan data konsumen yang dikumpulkan secara "internal" dari karyawan perusahaan dan pelamar kerja.
Sangatlah penting untuk menjaga keamanan semua data pribadi yang dikumpulkan, baik yang berasal dari konsumen maupun pelamar kerja. Ada juga ketentuan tambahan terkait perlindungan informasi yang dikumpulkan dari anak di bawah umur.
Pernyataan “pemberitahuan saat pengumpulan” harus dikeluarkan untuk semua konsumen (atau bahkan pekerja perusahaan dan pencari kerja). Yang penting, pemberitahuan privasi ini harus dikomunikasikan sebelum atau pada saat aktivitas pengumpulan data dimulai, bukan setelahnya.
Sebagian besar organisasi sekarang memiliki kebijakan privasi data yang terperinci untuk perusahaan mereka, dan memublikasikannya di situs web mereka.
Penting juga untuk mengonfigurasi cara yang efektif dan tepat waktu untuk menangani setiap permintaan yang terkait dengan informasi konsumen.
Aturan minimalisasi data harus dikembangkan dan diimplementasikan untuk memastikan bahwa organisasi hanya mengumpulkan jumlah minimum PI yang diperlukan untuk mencapai tujuan tertentu. Organisasi juga harus mempertimbangkan kemungkinan bahaya bagi konsumen jika data yang dikumpulkan dilanggar dan menerapkan tindakan pencegahan yang tepat (misalnya, penghapusan otomatis data yang dikumpulkan setelah digunakan).
Salah satu aspek kunci untuk mencapai kepatuhan adalah memastikan manajer perusahaan dan semua karyawan mengetahui persyaratan CCPA, terutama persyaratan yang secara langsung berdampak pada ruang lingkup pekerjaan mereka. Pembaruan dapat dilakukan melalui sesi pelatihan dan webinar.
Hukum dan peraturan sering kali dapat berubah dan diamandemen. (CCPA sendiri telah mengalami revisi semacam itu sebelum diluncurkan kembali pada tahun 2023). Oleh karena itu, sebaiknya Anda terus mengikuti perkembangan CCPA.
Pialang data, pembelian dan penjualan PI, adalah bisnis yang berkembang pesat, yang oleh para ahli ditaksir mencapai USD 240 miliar secara global pada tahun 2021. Jumlah tersebut diperkirakan akan meningkat hampir dua kali lipat dan membengkak menjadi lebih dari USD 450 miliar per tahun pada akhir dekade ini.2
Apa pun yang berharga seperti data harus dilindungi dengan ketat. Oleh karena itu, Badan Perlindungan Privasi California (CPPA) diberdayakan untuk menyerang perusahaan yang melanggar penyewa CCPA. Dan meskipun hukuman CCPA dibatasi pada tingkat yang relatif rendah (baik USD 2.500 untuk kontak yang melanggar yang terbukti tidak disengaja atau USD 7.500 untuk pelanggaran yang disengaja), perlu diperhatikan bahwa hukuman CCPA tersebut hanya berlaku untuk satu pelanggaran, seperti pelanggaran data yang melibatkan satu orang.
Namun kenyataannya, pelanggaran data jarang sekali melibatkan satu pihak yang terkena dampak. Sebaliknya, lebih merupakan event massal yang melibatkan ribuan atau bahkan ratusan ribu konsumen. Jadi, jika Anda mengalikan kemungkinan denda CCPA dengan sejumlah besar penduduk California, Anda bisa segera menghitung denda yang sangat besar.
CCPA memang menawarkan jalan keluar bagi perusahaan yang melanggar untuk tidak membayar denda yang cukup besar ini, dengan memberikan tenggang waktu 30 hari bagi pelanggar untuk memperbaiki kesalahan yang mereka lakukan. Jika pelanggar dapat meningkatkan langkah-langkah keamanan mereka dan "memperbaiki" masalah dalam waktu satu bulan, biaya penalti dapat dibebaskan. Tentu saja, perusahaan berkewajiban secara finansial untuk memperbaiki pelanggaran tersebut, tetapi hal itu bisa jadi sulit atau bahkan tidak mungkin dalam beberapa situasi, mengingat pelanggaran seperti pelanggaran data sering kali melibatkan pengungkapan data yang tidak dapat dibatalkan.
Cakupan CCPA terus berkembang dan berevolusi untuk mengimbangi pertumbuhan teknologi yang eksplosif, seperti Internet of Things (IoT).
Misalnya, CPPA baru-baru ini mengumumkan fokus perhatian baru, kendaraan "terhubung" (CV) yang dilengkapi dengan mekanisme pengumpulan data. Kendaraan modern memiliki sarana untuk mengumpulkan sejumlah informasi yang komprehensif tentang pengemudi serta data geolokasi, dan mengirimkan data tersebut. Mengingat ada lebih dari 35 juta kendaraan yang terdaftar di California, hal ini merupakan pekerjaan yang sangat besar. Namun menurut Direktur Eksekutif CPPA, hal ini merupakan kebutuhan yang perlu diperhatikan.
"Kendaraan modern secara efektif menghubungkan komputer di atas roda," kata Ashkan Soltani pada Juli 2023. "Kendaraan modern dapat mengumpulkan banyak informasi melalui aplikasi, sensor, dan kamera bawaan, yang dapat memantau orang-orang di dalam dan di dekat kendaraan. "3
Ungkapan "di dekat kendaraan" perlu diperhatikan karena menyiratkan bahwa tidak hanya data pengemudi yang dilindungi, tetapi juga siapa pun yang mungkin mengendarai mobil tersebut dan bahkan orang yang mungkin berjalan di dekat kendaraan dan yang gambar sesaatnya ditangkap oleh kamera di dalam mobil.
Pengumuman ini juga tampak penting karena, di dalamnya, otoritas CCPA digunakan untuk melindungi data pribadi yang dihasilkan melalui IoT, dalam hal ini, dari kendaraan yang terhubung. Pengumuman ini mungkin terbukti lebih signifikan jika menandakan niat agensi untuk memutuskan peningkatan jumlah kasus yang melibatkan hal-hal terkait IoT di tahun-tahun mendatang.
Ketika Uni Eropa (UE) memberlakukan Peraturan Perlindungan Data Umum (GDPR) pada bulan Mei 2018, UE meluncurkan kerangka kerja yang paling proaktif untuk melindungi informasi pribadi dan/atau konsumen. CCPA telah dikenal sebagai kebijakan privasi data paling ketat yang berlaku di AS. Akibatnya, beberapa pengamat ingin mengetahui perbandingan kedua standar tersebut.
Dalam banyak hal, kedua standar ini sangat mirip. Baik GDPR maupun CCPA:
Dipandu oleh naluri untuk melindungi dan memberdayakan warga negara secara individu
Memberikan hak kepada konsumen untuk menolak data yang dikumpulkan dan mengoreksinya, jika data yang dikumpulkan salah
Berikan hak kepada konsumen untuk mengakses informasi pribadi mereka, memindahkannya, atau (jika mereka memilih untuk melakukannya) menghapusnya secara permanen
Menuntut agar konsumen diberi tahu secara pribadi jika keamanan data yang mereka kumpulkan dilanggar
Selain itu, ada juga perbedaannya. GDPR memiliki persyaratan transfer lintas batas yang tidak diperlukan di California yang hanya terdiri dari satu negara bagian. Demikian juga, CCPA menerapkan pembatasan pada penjualan PI, yang tidak dilakukan oleh GDPR.
Namun, ada lebih banyak persamaan daripada perbedaan antara GDPR dan CCPA. Kedua standar tersebut harus bergulat dengan masalah pelik risiko pihak ketiga, saat suatu perusahaan pada dasarnya mengalihdayakan pengelolaan data pribadinya ke perusahaan luar. Jika hal ini terjadi, perusahaan pihak ketiga tersebut harus siap dan secara hukum dapat memikul tanggung jawab berbasis CCPA yang sama untuk PI yang ditanggung oleh perusahaan asli setelah mengumpulkan atau membeli data yang dimaksud. Baik CCPA maupun GDPR mewajibkan perusahaan untuk membagikan kategori pihak ketiga yang mereka bagi informasi, informasi apa saja yang mereka bagikan kepada masing-masing pihak, dan alasannya.
GDPR dan CCPA juga memiliki sifat utama yang sama, kemampuan untuk secara finansial memberi sanksi finansial kepada penyedia layanan dan perusahaan lain yang melakukan pelanggaran ketidakpatuhan. Ini ditunjukkan baru-baru ini secara dramatis dengan denda penalti privasi data terbesar yang pernah dicatat.
Pada bulan Mei 2023, Komisi Perlindungan Data Irlandia (DPC) menjatuhkan denda yang memecahkan rekor EURO 1,2 miliar (sekitar USD 1,3 miliar) terhadap Meta (perusahaan yang sebelumnya dikenal sebagai Facebook) karena menggunakan data Eropa secara tidak sah dalam bisnisnya di Amerika, termasuk Instagram.
Mengotomatiskan audit dan pelaporan kepatuhan, menemukan dan mengklasifikasikan sumber data dan data, memantau aktivitas pengguna dan menanggapi ancaman dalam hampir real-time.Guardium Insights mendukung pendekatan keamanan data yang modern dan zero-trust, dengan membantu mengungkap aktivitas yang tidak biasa di sekitar data sensitif dan mengurangi risiko paparan.
Dapatkan visibilitas yang lebih tajam dan insight yang kuat untuk membantu Anda dalam menyelidiki dan memperbaiki ancaman siber. Menerapkan kebijakan keamanan dan kontrol akses dalam waktu yang hampir real-time untuk memenuhi kebutuhan kepatuhan terhadap peraturan dengan cepat.
Sediakan pengalaman pelanggan tepercaya dengan pendekatan holistik dan adaptif terhadap privasi data berdasarkan prinsip zero trust dan perlindungan privasi data yang telah terbukti. Dengan solusi privasi data IBM, Anda bisa memperkuat perlindungan privasi data, membangun kepercayaan pelanggan, dan juga mengembangkan bisnis Anda.
Bersiaplah dengan lebih baik untuk menghadapi pelanggaran dengan memahami penyebabnya dan faktor-faktor yang meningkatkan atau mengurangi biaya. Belajarlah dari pengalaman lebih dari 550 organisasi yang menjadi korban pelanggaran data.
PII adalah data pribadi yang dapat digunakan untuk mengungkap identitas individu tertentu, seperti nomor Jaminan Sosial, nama lengkap, dan nomor telepon.
Keamanan informasi melindungi file dan data digital penting organisasi, dokumen kertas, media fisik, dan lainnya dari akses, pengungkapan, penggunaan, atau perubahan yang tidak sah.
Catatan kaki
1 “4 Types of Personal Data Under the California Consumer Privacy Act (CCPA),” Eric Andrews, situs web securiti (tautan berada di luar ibm.com)
2 “Data Brokers Market Outlook 2031,” Pasar Pialang Data, situs web Riset Pasar Transparansi (tautan berada di luar ibm.com)
3 “CPPA to Review Privacy Practices of Connected Vehicles and Related Technologies,” dilaporkan pada 23 Jul 2023 di situs web Badan Perlindungan Privasi California (tautan berada di luar ibm.com)