• Beranda
  • Artikel
  • Tema
  • Panduan Utama untuk Kepatuhan Undang-Undang Privasi Konsumen California (CCPA)

Panduan Utama untuk Kepatuhan Undang-Undang Privasi Konsumen California (CCPA)

Diterbitkan: 2019-12-23

Undang-Undang Privasi Konsumen California tahun 2018 (CCPA) adalah undang-undang yang disahkan oleh California untuk melindungi data dan privasi penghuninya. CCPA bukan pengganti undang-undang privasi California saat ini, tetapi akan berfungsi bersama mereka.

Menurut CCPA, bisnis harus lebih terbuka tentang apa yang mereka kumpulkan dan bagaimana menggunakannya. Mereka juga harus mendapatkan persetujuan dari anak di bawah umur sebelum menjual informasi mereka. Selain itu, pengguna sekarang dapat mencegah bisnis menjual data mereka.

CCPA tidak berarti bahwa Anda tidak dapat lagi menjual informasi pengguna yang Anda kumpulkan. Namun, ketika menyangkut penduduk California, Anda harus melewati beberapa rintangan lagi.

CCPA mulai berlaku pada 1 Januari 2020, tetapi bisnis memiliki waktu hingga 1 Juli 2020, untuk sepenuhnya mematuhinya. Itu bukan alasan untuk menunda ini. Karena tindakan penegakan tidak akan dimulai selama beberapa bulan, bisnis memiliki waktu untuk menyesuaikan kebijakan, proses, dan situs web mereka.

Apa yang Dianggap CCPA sebagai “Data Pribadi”?

Data pribadi adalah segala sesuatu yang menggambarkan atau mengidentifikasi seseorang atau yang entah bagaimana terkait dengan individu atau rumah tangga. Itu termasuk:

  • Alamat email
  • Informasi pekerjaan
  • Geolokasi
  • alamat IP
  • Nama

Secara teknis, informasi yang tersedia untuk umum tidak dianggap sebagai data pribadi oleh CCPA. Itu adalah area abu-abu, dan yang terbaik adalah berbuat salah di sisi kepatuhan total daripada mengambil risiko. Selain itu, meskipun data pribadi satu pengguna tersedia untuk umum, itu tidak berlaku untuk semua pengguna Anda yang lain. Anda tetap harus patuh secara menyeluruh.

Apakah CCPA Mempengaruhi Bisnis Anda?

CCPA memengaruhi bisnis Anda jika Anda mengumpulkan dan memproses data dari penduduk California. Bisnis Anda, atau perusahaan induk atau anak perusahaan, juga harus memenuhi satu atau lebih hal berikut:

  • Pendapatan kotor tahunan Anda adalah $25 juta atau lebih
  • Setiap tahun, Anda membeli, menerima, atau menjual data pribadi dari 50.000 atau lebih perangkat, rumah tangga, atau penduduk California
  • Minimal 50% dari pendapatan tahunan Anda berasal dari penjualan data pribadi penduduk California

Anda tidak perlu memiliki bisnis yang berbasis di California untuk memenuhi ambang ini. Penduduk California dapat mengunjungi situs web Anda di mana pun bisnis Anda beroperasi. Bisnis di negara bagian AS lainnya, serta bisnis di seluruh dunia, harus mempertimbangkan CCPA.

Ukuran bisnis Anda juga tidak masalah, selain mengacu pada ambang batas. Bahkan usaha tunggal dan usaha kecil harus selaras dengan CCPA. Namun, bisnis yang memproses data untuk 4 juta konsumen atau lebih harus memenuhi persyaratan tambahan. Misalnya, mereka memiliki pedoman yang lebih ketat dalam hal pencatatan.

Jika Anda memenuhi ambang tetapi tidak mengumpulkan data (Anda tidak memiliki jenis alat pelacakan apa pun di situs web), Anda secara teknis mematuhi CCPA. Di sisi lain, jika Anda mengumpulkan info dari pelanggan California tetapi Anda belum memenuhi ambang batas, Anda tetap perlu mempersiapkan CCPA. Jika bisnis Anda berkembang pesat, Anda dapat secara tidak sengaja melebihi $25 juta dalam pendapatan atau 50.000 penduduk California sebelum Anda mematuhi CCPA.

Bagaimana Penduduk California Didefinisikan?

Menurut hukum California, penduduk adalah orang yang:

  • Berada di California untuk sesuatu selain alasan sementara atau sementara
  • Tinggal di California, meskipun saat ini mereka tidak berada di negara bagian tersebut karena alasan sementara atau sementara

Seseorang dapat tinggal di California dan tidak menjadi penduduk atau tinggal di luar California dan tetap menjadi penduduk. Untuk melindungi diri Anda sendiri, patuhi CCPA jika Anda memiliki alasan untuk berpikir bahwa banyak bisnis Anda berasal dari penduduk California.

Cara Membuat Bisnis Anda Sesuai dengan CCPA

Untuk memenuhi persyaratan CCPA, bisnis Anda harus mengambil beberapa langkah, banyak di antaranya akan memerlukan perubahan kebijakan dan proses. Berikut cara membuat bisnis Anda mematuhi CCPA:

Perbarui kebijakan privasi Anda untuk memperjelas cara Anda mengumpulkan, menggunakan, dan mengubah data

Kemungkinan Anda sudah memiliki kebijakan privasi, tetapi perlu beberapa upaya untuk membuatnya sesuai dengan CCPA. Pada dasarnya, kebijakan privasi Anda memberi tahu pengguna data apa yang Anda kumpulkan dan apa yang Anda lakukan dengannya. Untuk CCPA, Anda harus lebih transparan dari sebelumnya tentang praktik data Anda. Berikut adalah tambahan yang harus Anda buat pada kebijakan privasi Anda:

  • Apa, mengapa, dan bagaimana Anda mengumpulkan dan memproses informasi pribadi
  • Bagaimana pengguna dapat mengakses, mengubah, atau menghapus data pribadi mereka yang telah Anda kumpulkan
  • Metode Anda untuk memverifikasi identitas pengguna yang membuat salah satu permintaan itu
  • Bagaimana data pribadi dijual dan bagaimana pengguna dapat memilih untuk tidak menjual data pribadinya

Ingatlah bahwa ini adalah persyaratan CCPA minimum. Jika Anda merasa ada lebih banyak proses pengumpulan data yang ingin diketahui pengguna, tambahkan.

Dapatkan persetujuan dari anak di bawah umur

Anda harus mendapatkan persetujuan dari anak di bawah umur antara 13 dan 16 tahun atau dari orang tua dari anak-anak di bawah 13 tahun. Anda dapat meminta persetujuan tepat saat mereka membuka situs web Anda atau sebelum Anda menjual data mereka. Bagaimanapun, Anda tidak dapat menjual data mereka sebelum mendapatkan persetujuan mereka. Simpan semua respons yang Anda terima, meskipun pengguna menolak persetujuan. Selain anak di bawah umur, Anda tidak memerlukan persetujuan pengguna sebelum mengumpulkan dan menggunakan data.

Izinkan pengguna mengubah informasi mereka

Bagian dari CCPA memberi pengguna California kemampuan untuk mengakses, mengubah, memindahkan, atau menghapus data pribadi mereka. Anda harus membuat metode bagi pengguna untuk mengirimkan jenis permintaan ini, dan salah satu metode tersebut harus berupa nomor bebas pulsa. Anda kemudian dapat menambahkan formulir kontak ke situs web Anda atau memberikan email atau alamat surat.

Verifikasi identitas pengguna saat mereka membuat permintaan

Setelah pengguna menghubungi untuk mengubah informasi mereka, Anda memerlukan cara untuk memverifikasi bahwa mereka adalah yang mereka katakan. Anda tidak dapat meminta bukti identifikasi melalui dokumen yang dikeluarkan pemerintah, seperti SIM. Sebagai gantinya, Anda dapat menggunakan jenis autentikasi yang sama dengan yang Anda gunakan saat orang tersebut mengirimkan datanya. Anda juga dapat mencoba memverifikasi identitas mereka dengan meminta mereka mengonfirmasi informasi yang mereka berikan sebelumnya.

Jika bisnis tidak dapat memverifikasi identitas pengguna, mereka harus mematuhi sebaik mungkin. Misalnya, pengguna ingin informasinya dihapus, tetapi bisnis tidak dapat memverifikasi identitas pengguna. Alih-alih menghapus informasi mereka, mereka menyimpannya tetapi membiarkan pengguna memilih untuk tidak menjual informasi mereka. Jika tidak ada cara untuk mematuhi, bisnis dapat menolak permintaan tersebut.

Tambahkan tautan "Jangan Jual Informasi Pribadi Saya" ke beranda Anda

Anda harus menempatkan tautan "Jangan Jual Informasi Pribadi Saya" ke tempat yang terlihat di beranda situs web Anda. Ini jika bagi pengguna untuk mengklik jika mereka ingin mencegah Anda menjual data pribadi mereka. Proses untuk memilih keluar dari penjualan data pengguna harus sesederhana dan semudah mungkin. Bisnis juga harus menanggapi permintaan opt-out. Menurut lembar fakta CCPA resmi, “… bisnis harus memperlakukan pengaturan privasi yang diaktifkan pengguna yang menandakan pilihan konsumen untuk memilih keluar sebagai permintaan keluar yang diajukan secara sah.”

Selain itu, Anda tidak dapat meminta orang untuk membuat akun sehingga mereka dapat memilih keluar. Sementara beberapa bisnis mungkin ingin memerlukan akun sebagai sarana untuk mengidentifikasi pengguna, CCPA mencegah hal ini sebagai prasyarat untuk menyisih. Jika pengguna sudah memiliki akun dan begitulah cara Anda dapat memverifikasi identitas mereka, tidak apa-apa.

Simpan catatan pertukaran dengan pelanggan

Bisnis harus menyimpan catatan semua permintaan pengguna, dan mereka juga harus mencatat dan menyimpan tanggapan mereka kepada pengguna. Pertahankan catatan Anda selama minimal 24 bulan; agar lebih aman, pegang mereka tanpa batas.

Jangan membeda-bedakan berdasarkan permintaan privasi

CCPA mengatakan bahwa bisnis tidak dapat mendiskriminasi pengguna jika mereka menggunakan hak privasi mereka. Itu berarti bahwa jika pengguna mengatakan Anda tidak dapat menjual data mereka, Anda tidak dapat menolak layanan mereka atau menyesuaikan harga mereka sebagai pembalasan.

Ada kemungkinan bisnis akan menawarkan insentif kepada orang-orang yang mengizinkan penjualan data mereka. Dalam hal ini, Anda harus mengungkapkan rincian insentif, termasuk bagaimana Anda menghitung nilai data pribadi.

Hukuman karena Tidak Mematuhi CCPA

Jika Anda tidak mematuhi CCPA sebelum 1 Juli 2020, Jaksa Agung akan memberi tahu Anda. Anda memiliki waktu 30 hari untuk merespons dan mendapatkan informasi terbaru tentang kepatuhan. Jika Anda tidak mematuhinya dalam waktu 30 hari itu, Anda dapat mengajukan kasus perdata terhadap Anda. Dari sana, Anda dapat didenda $7.500 per pelanggaran , yang berarti per pengguna California. Misalnya, jika Anda mengumpulkan data dari 2.000 penduduk California, Anda mungkin didenda $7.500 x 2.000, yang merupakan total $15.000.000. Itu tagihan yang pasti ingin Anda hindari!

Perbedaan Antara CCPA dan GDPR

Meskipun pedoman CCPA terdengar mirip dengan GDPR, keduanya memiliki perbedaan utama. Meskipun bisnis Anda saat ini mematuhi GDPR, bukan berarti bisnis Anda akan otomatis mematuhi CCPA. Anda mungkin memenuhi beberapa pedoman CCPA, tetapi tidak semuanya. Beberapa pedoman CCPA yang mungkin melebihi GDPR adalah:

  • Menambahkan tautan "Jangan Jual Informasi Pribadi Saya" di beranda
  • Membuat metode bagi pengguna untuk meminta perubahan atau penghapusan informasi mereka
  • Mengidentifikasi identitas orang tersebut ketika mereka membuat permintaan semacam itu
  • Mendapatkan persetujuan dari anak di bawah umur sebelum menjual informasi mereka

Meskipun Anda mungkin memiliki beberapa proses yang telah disiapkan untuk GDPR, sebaiknya periksa kembali apakah metode Anda juga mematuhi CCPA. Ada perbedaan kecil, tetapi penting, di antara keduanya. Misalnya, di bawah CCPA, Anda harus menunjukkan kategori informasi pribadi yang telah Anda jual selama periode 12 bulan; ini bukan persyaratan GDPR. Di sisi lain, CCPA tidak memiliki persyaratan persetujuan cookie yang dimiliki GDPR.

Pikiran Akhir

Langkah pertama Anda adalah menilai apakah bisnis Anda harus mematuhi CCPA mulai 1 Januari 2020. Atau, pertimbangkan apakah bisnis Anda akan tumbuh ke titik di mana ia harus mematuhinya di masa mendatang. Jika demikian, yang terbaik adalah mengatur semuanya sekarang sehingga Anda tidak perlu berebut di kemudian hari dan berisiko didenda. Bagaimana tepatnya Anda menyiapkan situs web Anda untuk mematuhi CCPA bergantung pada proses dan tenaga kerja Anda saat ini. Anda dapat mengotomatisasi sebanyak mungkin atau, jika Anda tidak mengharapkan terlalu banyak perubahan atau permintaan penghapusan, Anda dapat memiliki beberapa karyawan yang membalas langsung ke pengguna.

Jika Anda belum memiliki kebijakan privasi, ini adalah kesempatan bagus untuk menulisnya, terlepas dari apakah Anda peduli dengan CCPA atau tidak. Lihat artikel kami tentang Cara Membuat Kebijakan Privasi untuk Situs Web Anda.

Gambar Unggulan melalui Sammby / shutterstock.com