Undang-Undang Privasi Konsumen California (CCPA), dan Peraturan Perlindungan Data Umum (GDPR) adalah undang-undang privasi yang baru-baru ini disahkan untuk memperbarui undang-undang yang sudah ketinggalan zaman mengenai cara informasi pribadi ditangani, disimpan, dan diproses di era digital. Sejak menjamurnya layanan internet, telekomunikasi seluler, dan media sosial, para juru kampanye menuntut perubahan dalam cara bisnis menangani informasi pribadi.
CCPA disahkan pada 2018 dan mulai berlaku pada 1 Januari 2020. GDPR disahkan menjadi undang-undang pada Mei 2018. Kedua undang-undang tersebut memiliki rekomendasi dan persyaratan yang serupa. GDPR berfokus pada informasi pribadi warga negara Eropa, dan CCPA terkait dengan informasi pribadi warga California.
Yang penting, kedua undang-undang tersebut memiliki sinergi bersama yang berdampak pada bisnis di kedua sisi Atlantik. Bisnis apa pun di Amerika Serikat yang memproses informasi pribadi Eropa dan bisnis apa pun di Eropa yang memproses informasi pribadi AS harus mematuhi pedoman setiap undang-undang agar sesuai dengan aturan privasi.
Apa itu CCPA?
CCPA melindungi informasi pribadi penduduk California di Amerika Serikat. Ini termasuk data tentang identitas orang tersebut, informasi kesehatan sensitif, data biometrik, data geolokasi seluler, dan informasi keuangan atau aset apa pun. Tujuan dari tindakan privasi adalah untuk membatasi pengungkapan informasi sensitif atau kebocoran tak terduga yang disebabkan oleh pelanggaran data.
CCPA telah dirancang untuk memberi konsumen kendali atas informasi pribadi mereka dan memperkuat hukuman atas setiap pelanggaran informasi, baik ini karena kelalaian atau sebagai akibat dari peretasan data.
Tujuan undang-undang ini adalah untuk menegakkan hak-hak konsumen dan memberikan hak-hak baru kepada konsumen tentang data mereka. Ini termasuk hak untuk mengetahui dengan tepat informasi apa yang dimiliki seseorang oleh suatu bisnis. Inilah sebabnya mengapa Anda sekarang dapat mengunjungi situs-situs seperti Google dan Facebook dan mengunduh arsip terperinci tentang informasi apa yang mereka simpan tentang Anda.
Penduduk California juga memiliki hak untuk mengakses dan melihat data yang disimpan di dalamnya, dan yang terpenting, hak untuk menghapus data tersebut. Hak untuk ikut serta atau tidak ikut pengumpulan data telah dibuat. Elemen kunci lainnya termasuk hak atas layanan dan harga yang setara, dan hak untuk meminta ganti rugi jika informasi pribadi dilanggar.
Aturan baru menempatkan sejumlah persyaratan baru pada bisnis yang memproses data pribadi. Mereka harus dapat memberikan akses ke informasi pribadi, menghapus informasi pribadi berdasarkan permintaan, dan membuktikan pemusnahannya. Mereka juga harus memperkenalkan praktik manajemen persetujuan. Ini biasanya terlihat di situs web tempat perusahaan berbagi informasi dengan pihak ketiga. Organisasi memiliki kewajiban untuk mengungkapkan data apa yang dibagikan.
CCPA memberikan kontrol individu atas informasi apa yang dapat atau tidak dapat dijual tentang mereka. Bisnis diharuskan melakukan latihan inventaris data untuk mempelajari data pribadi dalam cakupan dan contoh data "menjual". Oleh karena itu, perlu memperbarui perjanjian tingkat layanan dengan pemroses data pihak ketiga agar sesuai.
Remediasi kesenjangan keamanan informasi dan kerentanan sistem harus segera diselesaikan dengan menerapkan program penguatan tata kelola data dan identifikasi data. Jika ada data yang disimpan di luar cakupan, data tersebut harus dihapus.
Apa itu GDPR?
GDPR dirancang untuk warga negara Eropa tetapi memengaruhi setiap entitas yang memproses data UE. Tujuan utamanya adalah untuk menstandardisasi undang-undang perlindungan data semua negara anggota UE.
Ada tujuh prinsip utama undang-undang GDPR. Ini berfokus pada keabsahan penyimpanan informasi pribadi dan memastikannya disimpan dengan cara yang adil dan transparan. Data harus disimpan untuk alasan tertentu dan melayani tujuan tertentu. Data pribadi tidak dapat disimpan tanpa batas waktu dan harus dimusnahkan setelah mencapai tujuannya.
Organisasi juga harus berkomitmen untuk meminimalkan data, hanya menyimpan informasi terbaru dan relevan yang akurat. Mereka harus mempertahankan integritas data dan memastikan kerahasiaan informasi pribadi ditegakkan.
Warga negara UE memiliki banyak hak baru sejak diperkenalkannya GDPR. Hak-hak ini meletakkan dasar dari apa yang dapat dan tidak dapat dilakukan oleh pihak ketiga dengan informasi pribadi. Orang berhak untuk diberi tahu tentang data pribadi apa yang disimpan oleh bisnis, dan individu tersebut memiliki hak untuk melihat dan mengakses informasi ini. Jika perlu, mereka berhak mengoreksi data.
Warga negara Uni Eropa dapat meminta informasi pribadi dihapus dan membatasi bagaimana informasi pribadi diproses. Mereka memiliki hak untuk menolak serta hak terkait dengan pengambilan keputusan dan pembuatan profil otomatis, seperti kriteria penerimaan kartu kredit.
CCPA vs GDPR
Jelas terlihat kesamaan mencolok antara CCPA dan GDPR. CCPA dapat dianggap sebagai mitra AS dari GDPR. Namun ada beberapa perbedaan yang signifikan. GDPR memengaruhi pengontrol data dan pemroses data di dalam dan di luar Uni Eropa, namun, CCPA hanya mengatur perusahaan yang “melakukan bisnis” di California.
Ada aturan lain seperti CCPA yang hanya berlaku untuk perusahaan dengan pendapatan kotor di atas $25 juta USD, dan perusahaan yang memproses informasi pribadi lebih dari 50.000 penduduk California. Hukuman yang diberikan untuk pelanggaran kedua undang-undang juga sangat berbeda. GDPR hingga 4% dari omset, atau 20 juta Euro (mana yang lebih besar). CCPA secara khusus $2500 per catatan untuk pelanggaran yang tidak disengaja dan $7500 untuk pelanggaran yang disengaja.
Ada perbedaan halus lainnya, tetapi yang terpenting kedua undang-undang tersebut ditetapkan dengan tujuan yang sama, yaitu untuk meningkatkan dan melindungi informasi pribadi dan pribadi. Kedua undang-undang tersebut menegakkan gagasan bahwa bisnis tidak dapat memanen data apa pun yang mereka pilih. Data memiliki nilai yang signifikan dan banyak raksasa teknologi di Silicon Valley telah menghasilkan keuntungan besar dengan menjual informasi pribadi. CCPA dan GDPR telah mengidentifikasi ini dan telah bertindak untuk melindungi kita masing-masing.