Undang-Undang Hak Privasi California (CPRA): Apakah Anda Siap untuk CCPA 2.0?
Diterbitkan: 2020-12-01
Pada Mei 2020, grup advokasi privasi Californians for Consumer Privacy mengumumkan bahwa mereka telah mengumpulkan 900.000 tanda tangan untuk menambahkan California Privacy Rights Act (juga dikenal sebagai CPRA, CCPA 2.0, Proposition 24 atau Prop 24) ke dalam pemungutan suara November 2020.
Pada 3 November, 56% warga California memberikan suara mendukung CPRA dalam Pemilihan Umum. Tindakan tersebut dimaksudkan untuk merevisi dan mensukseskan California Consumer Privacy Act (CCPA), setelah berlaku pada 1 Januari 2023.
Singkatnya, undang-undang tersebut memperluas hak privasi pengguna agar selaras dengan GDPR, membebankan tugas tambahan pada bisnis, dan menetapkan otoritas pemerintah pertama yang didedikasikan untuk penerapan dan penegakan privasi di AS, California Privacy Protection Agency (CPPA) .
CCPA telah memiliki dampak yang signifikan di luar California, menjadi standar privasi data di seluruh AS. Itulah mengapa RUU ini perlu diawasi dengan ketat — ini dapat berdampak pada bisnis bahkan jika mereka tidak berbasis di California. Di bawah ini kami telah menguraikan poin-poin utama yang perlu diketahui pemasar untuk mulai mempersiapkan persyaratan kepatuhan yang baru.
Badan Penegakan Privasi Baru
Ketika Peraturan Perlindungan Data Umum (GDPR) mulai berlaku, UE menunjuk Otoritas Perlindungan Data untuk menegakkan undang-undang tersebut. AS tidak memiliki otoritas yang sebanding untuk memaksakan hak privasi konsumen yang baru.
Di sinilah Badan Perlindungan Privasi California (CPPA) masuk. Perannya adalah untuk mengklarifikasi pedoman baru, menerapkan denda, dan mengadakan dengar pendapat tentang pelanggaran privasi.
Hak Konsumen Baru dan Konsep PII
CPRA memperkenalkan konsep baru (yang sudah ada di UE berkat GDPR) ke lanskap privasi data di California.
Berikut beberapa di antaranya, dijelaskan:
- Hak untuk memperbaiki – Memberikan hak kepada konsumen untuk mengoreksi informasi pribadi yang tidak akurat.
- Hak untuk membatasi – Memberikan hak kepada konsumen untuk membatasi penggunaan dan pengungkapan informasi pribadi yang sensitif.
- Informasi pengenal pribadi “sensitif” – Berdasarkan undang-undang baru, jenis informasi tertentu, seperti Nomor Jaminan Sosial, nomor paspor, lokasi geografis yang tepat, informasi biometrik, dll., akan ditandai sebagai “sensitif”.
Apa yang Berubah?
CCPA 2020
- Hak untuk Tahu
- Hak untuk Menghapus
- Hak untuk Menyisih dari Penjualan Pihak Ketiga
- Hak atas Nondiskriminasi
Secara implisit menyertakan PI sensitif dalam kumpulan data teregulasi yang lebih luas, tetapi tidak memberlakukan persyaratan dan larangan terpisah untuk PI sensitif (selain persyaratan verifikasi yang ditingkatkan).
CPRA 2023
- Hak untuk Tahu
- Hak untuk Menghapus
- Hak untuk Menyisih dari Penjualan dan Berbagi Pihak Ketiga
- Hak untuk Membatasi Penggunaan dan Pengungkapan PI Sensitif
- Hak untuk Koreksi
- Hak untuk Mengakses Informasi Tentang Pengambilan Keputusan Otomatis
- Hak untuk Menyisih dari Teknologi Pengambilan Keputusan Otomatis
- Hak untuk Membatasi PI Sensitif
- Kewajiban Audit
- Hak atas Nondiskriminasi
Memaksakan persyaratan dan batasan terpisah pada PI sensitif:
- Persyaratan pengungkapan
- Persyaratan penyisihan untuk penggunaan dan pengungkapan
- Standar persetujuan keikutsertaan untuk penggunaan dan pengungkapan
- Persyaratan batasan tujuan
Definisi Baru Penjualan Informasi Pribadi
CPRA akan menentukan apa yang dapat dilakukan perusahaan dengan informasi pribadi yang mereka kumpulkan dari penduduk California dengan cara baru. Di bawah CCPA, penjualan didefinisikan sebagai "bertukar data untuk beberapa jenis pertimbangan keuangan", definisi yang dianggap terlalu kabur oleh banyak orang. CPRA menyelesaikan masalah ini dengan membagi berbagi dan menjual informasi pribadi orang ke dalam dua kategori berbeda.
Apa yang Berubah?
CCPA 2020
- Memiliki pendapatan tahunan $25+ juta;
- membeli atau menjual, ATAU menerima atau membagikan untuk tujuan komersial bisnis, PI dari 50.000+ konsumen, rumah tangga, atau perangkat; atau
- memperoleh setidaknya 50% dari pendapatan tahunan dari penjualan PI konsumen.
CPRA 2023
- Memiliki pendapatan tahunan $25+ juta;
- membeli, menjual, atau membagikan PI dari 100.000+ konsumen atau rumah tangga; atau
- memperoleh setidaknya 50% dari pendapatan tahunan dari penjualan atau pembagian PI konsumen.
Lebih Banyak Hak untuk Anak Di Bawah 16 Tahun
- Peningkatan denda administratif untuk berbagi informasi pribadi anak secara tidak sah : Setiap pelanggaran yang melibatkan informasi pribadi anak-anak di bawah 16 tahun akan dikenakan denda $7.500 per pelanggaran. Di bawah undang-undang saat ini, hukuman ini hanya diperuntukkan bagi pelanggaran yang disengaja. Denda maksimum $2.500 untuk semua tindakan tidak disengaja lainnya yang melibatkan orang berusia 16+ tahun tetap sama.
- Persyaratan persetujuan keikutsertaan untuk berbagi informasi pribadi anak di bawah 16 tahun : Berdasarkan CPRA, konsumen tidak hanya dapat memilih untuk tidak menjual PI mereka, tetapi juga memilih untuk tidak menjualnya kepada pihak ketiga secara khusus. Demikian pula, CCRA membahas kebutuhan bisnis untuk mengumpulkan persetujuan keikutsertaan afirmatif untuk membagikan atau menjual PI anak-anak di bawah 16 tahun. CPRA juga meminta pembuatan peraturan baru untuk “menetapkan spesifikasi teknis untuk sinyal preferensi penyisihan yang memungkinkan konsumen, atau orang tua atau wali konsumen, untuk menentukan bahwa konsumen berusia kurang dari 13 tahun atau paling sedikit 13 tahun dan kurang dari 16 tahun.”
Apa yang Baru untuk Kontraktor? Kewajiban Kontraktual untuk Penyedia Layanan
CPRA memperkenalkan istilah "kontraktor" untuk menggambarkan mereka yang kepadanya bisnis menyediakan informasi pribadi konsumen untuk tujuan bisnis sesuai dengan kontrak tertulis (mirip dengan "penyedia layanan" CCPA, yang merujuk pada orang yang memproses informasi pribadi " atas nama” suatu bisnis).
Sementara CCPA ambigu dalam definisi penyedia layanan dan penyedia sub-layanan, CPRA menetapkan aturan baru dengan sangat jelas. Setiap kontraktor atau penyedia layanan terikat oleh kontrak tertulis untuk bersikap transparan tentang setiap kolaborasi dengan subprosesor lain. Penyedia layanan tidak boleh menambah atau menyimpan data konsumen lainnya, memberikan bisnis hak untuk "mengambil langkah yang wajar dan tepat" untuk memastikan informasi pribadi tidak diperoleh atau digunakan secara tidak etis.
Apa yang Perlu Diketahui Pemasar Tentang CPRA
Memasuki tahun 2023, para pemasar perlu lebih memperhatikan data yang mereka kumpulkan dan gunakan untuk menjangkau konsumen, baik itu data pihak pertama maupun pihak ketiga, seperti pembentukan audiens dan informasi penargetan yang digunakan oleh pengiklan. Pengumpulan data apa pun, baik secara langsung maupun melalui penyedia layanan atau kontraktor lain, akan memerlukan persetujuan konsumen secara eksplisit . Setiap penggunaan, pembagian, atau penjualan informasi pribadi selanjutnya juga perlu diungkapkan.
Inilah yang perlu dilakukan pemasar untuk bersiap-siap menghadapi CPRA:
1. Prioritaskan Transparansi di Perusahaan Anda
CPRA memperjelas bahwa bisnis harus transparan tentang data yang mereka kumpulkan. Jika Anda sudah memperhatikan bagaimana Anda mengumpulkan data, di mana Anda menyimpannya, berapa lama Anda menyimpannya, dan bagaimana Anda mengelolanya di seluruh siklus hidup, sekaranglah saatnya untuk membagikan semua tindakan ini kepada pengguna Anda. Dalam nada yang sama, di bawah CPRA, bisnis akan dibatasi dalam cara mereka menggunakan struktur persetujuan untuk mendorong pengguna melakukan tindakan tertentu. Jika ini adalah sesuatu yang dilakukan departemen pemasaran Anda, mulailah menganalisis bagaimana Anda mengumpulkan persetujuan untuk menghindari pola gelap dan persetujuan implisit.
2. Tinjau Kebijakan Cookie dan Pembaruan
Mirip dengan GDPR, CPRA membatasi fungsi berbagi data tertentu yang mencakup penggunaan cookie. Mulai inventarisasi cookie yang ada di situs web Anda dan perbarui kebijakan Anda untuk memastikannya sesuai dengan peraturan terbaru. Pastikan Anda memperbarui verbiage Anda untuk memasukkan semua klausa baru CPRA — apakah Anda mengumpulkan PI "sensitif"? Bagaimana cara pengguna menyisih dari teknologi pengambilan keputusan otomatis? Pastikan pertimbangan ini jelas bagi konsumen.
3. Tinjau Semua Kontrak dengan Mitra (Termasuk Penerbit)
Sebagai bisnis terikat CPRA, Anda harus memastikan mitra Anda memberikan tingkat kepatuhan yang sama terhadap undang-undang privasi seperti yang Anda lakukan. Tinjau semua kontrak Anda secara menyeluruh (libatkan hukum jika perlu) untuk memastikan semua data pengguna diperoleh melalui persetujuan eksplisit dan dikelola secara etis.
CPRA membatasi praktik penjualan data, terutama dalam hal penargetan audiens dan perilaku. Pastikan Anda memeriksa kemitraan Anda dengan penerbit dan mendukung mereka yang menggunakan kumpulan data pihak pertama dan telah memperoleh data yang mematuhi peraturan privasi ini.
4. Bekerja dengan Pakar Privasi
Apakah Anda mempekerjakan seseorang atau bekerja dengan konsultan atau agen eksternal, Anda memerlukan seorang spesialis untuk membantu Anda tetap mengikuti peraturan terbaru. CPRA mungkin bukan undang-undang privasi data terakhir yang akan memengaruhi bisnis Anda. Faktanya, undang-undang tersebut menetapkan standar baru yang kemungkinan akan diadopsi secara nasional di masa depan.
Apakah kamu siap?
Sekarang setelah RUU itu disahkan, bisnis harus terbiasa dengan persyaratan kepatuhan yang baru. Undang-undang tersebut mulai berlaku pada 1 Januari 2023 dan mulai berlaku pada 1 Juli 2023, tetapi undang-undang tersebut sudah dapat berlaku untuk informasi pribadi yang dikumpulkan oleh perusahaan paling lambat 1 Januari 2022.
Pemberitahuan lama untuk menyesuaikan diri dengan peraturan privasi baru mungkin terdengar berlebihan, tetapi hal-hal bisa menjadi rumit dengan cepat di organisasi yang lebih besar, terutama jika Anda bekerja dengan banyak mitra. Itu sebabnya kami menyarankan untuk segera memulai.
Ada pertanyaan? Convert adalah alat pengujian A/B yang paling sesuai dengan privasi di pasar. Pakar kami mengetahui semua seluk beluk peraturan privasi dan apa yang diperlukan untuk mematuhi sepenuhnya — kirimkan pertanyaan Anda kepada kami di sini.
