GDPR vs. CCPA: Segala sesuatu tentang Undang-Undang Privasi Konsumen California 2020 (dan Bagaimana Penumpukannya Terhadap GDPR)

GDPR Pasal 4, CCPA 1798.140

Subjek data, didefinisikan sebagai orang yang teridentifikasi atau dapat diidentifikasi yang terkait dengan data pribadi.

Konsumen, didefinisikan sebagai penduduk California yang:

• Di California selain untuk tujuan sementara atau sementara.
• Berdomisili di California tetapi saat ini berada di luar Negara Bagian untuk tujuan sementara atau sementara.

Konsumen meliputi:

• Pelanggan barang dan jasa rumah tangga.
• Para karyawan.
• Transaksi Bisnis-ke-Bisnis.

Meskipun GDPR maupun CCPA tidak berlaku untuk badan hukum, keduanya berlaku untuk orang perseorangan, tetapi dengan perbedaan dalam cara mendefinisikannya. CCPA dengan jelas menyatakan bahwa itu berlaku untuk penduduk California, sementara GDPR menggunakan istilah yang lebih kabur "subjek data UE" tanpa menyebutkan persyaratan tempat tinggal atau kewarganegaraan. CCPA juga melindungi data yang dapat ditautkan ke rumah tangga tertentu , bukan hanya individu seperti yang dilakukan GDPR.

GDPR Pasal 3, CCPA 1798.140

Pengontrol data dan pemroses data:

• Didirikan di UE yang memproses data pribadi dalam konteks aktivitas pendirian UE, terlepas dari apakah pemrosesan data dilakukan di dalam UE.
• Tidak didirikan di UE yang memproses data pribadi subjek data UE sehubungan dengan menawarkan barang atau jasa di UE, atau memantau perilaku mereka.

Setiap entitas nirlaba yang menjalankan bisnis di California, yang memenuhi salah satu dari berikut ini:

• Memiliki pendapatan kotor lebih dari $25 juta.
• Setiap tahun membeli, menerima, menjual, atau membagikan informasi pribadi lebih dari 50.000 konsumen, rumah tangga, atau perangkat untuk tujuan komersial.
• Berasal 50 persen atau lebih dari pendapatan tahunannya dari penjualan informasi pribadi konsumen.

Cakupan GDPR sangat luas: berlaku untuk semua organisasi, mulai dari bisnis hingga lembaga publik dan sektor nirlaba. Sementara itu, CCPA telah membatasi penerapannya pada perusahaan nirlaba yang memenuhi persyaratan yang sangat jelas.

Sehubungan dengan lokasi geografis, GDPR berlaku untuk perusahaan mana pun yang memproses data subjek data UE, di mana pun mereka berada. CCPA tidak jelas dalam hal ini: perusahaan yang berada di bawah yurisdiksinya harus "melakukan bisnis di California", tetapi tidak menjelaskan apakah perusahaan harus berlokasi di negara bagian atau memenuhi ambang batas keuntungan tertentu untuk memenuhi syarat seperti itu.

GDPR Pasal 4, CCPA 1798.140

Data pribadi adalah informasi apa pun yang berkaitan dengan subjek data yang teridentifikasi atau dapat diidentifikasi. GDPR melarang pemrosesan kategori khusus data pribadi yang ditentukan kecuali pembenaran yang sah untuk pemrosesan berlaku.

Informasi pribadi yang mengidentifikasi, berhubungan dengan, menjelaskan, dapat dikaitkan dengan, atau mungkin secara wajar dikaitkan, secara langsung atau tidak langsung, dengan konsumen atau rumah tangga tertentu.

GDPR berlaku untuk semua kategori data pribadi, sedangkan CCPA hanya berlaku untuk data yang tidak dicakup oleh undang-undang privasi federal yang ada seperti Gramm-Leach-Bliley Act (GLBA) atau Health Information Portability and Accountability Act (HIPAA).

GDPR Pasal 4, CCPA 1798.140

Data pseudonim dianggap sebagai data pribadi. Data anonim tidak dianggap sebagai data pribadi.

CCPA tidak membatasi kemampuan bisnis untuk mengumpulkan, menggunakan, menyimpan, menjual, atau mengungkapkan informasi konsumen yang dideidentifikasi atau dikumpulkan. Namun, CCPA menetapkan standar yang tinggi untuk mengklaim bahwa data tidak teridentifikasi atau dikumpulkan. Data pseudonim mungkin memenuhi syarat sebagai informasi pribadi menurut CCPA karena tetap dapat dikaitkan dengan konsumen atau rumah tangga tertentu.

Definisi "pseudonymization" di bawah GDPR dan CCPA sangat mirip karena pemrosesan data pribadi sedemikian rupa sehingga data pribadi tidak dapat lagi dikaitkan dengan orang yang diidentifikasi atau dapat diidentifikasi tanpa menggunakan informasi tambahan, oleh menempatkan langkah-langkah teknis dan organisasi yang menyimpan informasi tambahan yang diperlukan untuk identifikasi secara terpisah.

GDPR Pasal 13, CCPA 1798.100

Pengontrol data harus memberikan informasi terperinci tentang pengumpulan data pribadi dan aktivitas pemrosesan datanya. Pemberitahuan harus menyertakan informasi spesifik tergantung pada apakah data dikumpulkan langsung dari subjek data atau pihak ketiga.

Bisnis harus memberi tahu konsumen tentang:

• Kategori informasi pribadi yang dikumpulkan.
• Tujuan penggunaan yang dimaksudkan untuk setiap kategori.

Baik GDPR dan CCPA mengharuskan organisasi untuk mengungkapkan apa yang mereka lakukan dengan data pribadi yang mereka kumpulkan. Namun CCPA mengharuskan perusahaan untuk mengungkapkan penjualan data dan aktivitas yang berkaitan dengan pemrosesan data dalam 12 bulan terakhir, sementara GDPR tidak memberikan batasan seperti itu.

GDPR Pasal 24, CCPA 1798.150

GDPR mengharuskan pengontrol data dan pemroses data untuk mengambil langkah-langkah teknis dan organisasional yang sesuai untuk memastikan tingkat keamanan yang sesuai dengan risiko.

CCPA tidak secara langsung memberlakukan persyaratan keamanan data. Namun, itu menetapkan hak tindakan untuk pelanggaran data tertentu yang dihasilkan dari pelanggaran kewajiban bisnis untuk menerapkan dan memelihara praktik dan prosedur keamanan yang wajar yang sesuai dengan risiko yang timbul dari hukum California yang ada.

• Kategori informasi pribadi yang dikumpulkan.
• Tujuan penggunaan yang dimaksudkan untuk setiap kategori.

Secara substansial serupa dalam pendekatan undang-undang meskipun langkah-langkah keamanan yang wajar dapat bervariasi sampai batas tertentu sesuai dengan keadaan organisasi dan interpretasi regulator.

GDPR Pasal 12 – Pasal 21 , CCPA 1798.120

Hak Individu yang Diperluas :

• mengakses informasi mereka;
• memiliki ketidakakuratan dikoreksi;
• memiliki informasi yang dihapus;
• mencegah pemasaran langsung;
• mencegah pengambilan keputusan dan pembuatan profil otomatis;
• portabilitas data.

Hak Individu yang Diperluas :

• mengakses informasi mereka;
• memiliki ketidakakuratan dikoreksi;
• memiliki informasi yang dihapus;
• mencegah pemasaran langsung;
• mencegah pengambilan keputusan dan pembuatan profil otomatis;
• portabilitas data.

Meskipun GDPR mengharuskan organisasi untuk mendapatkan persetujuan sebelumnya dari subjek data untuk pemrosesan data dan akses pihak ketiga ke data mereka, CCPA mengizinkan subjek data untuk memilih keluar dari penjualan data mereka dan mengharuskan bisnis memiliki tautan yang terlihat di bagian atas dari homepage mereka untuk tujuan ini.

Baik GDPR maupun CCPA menawarkan hak atas portabilitas data: yaitu untuk memberikan data pribadi mereka kepada konsumen dalam format yang umum digunakan dan dapat dibaca mesin yang kemudian dapat ditransmisikan ke entitas lain.

GDPR melangkah lebih jauh ke arah ini, menempatkan organisasi di bawah kewajiban untuk mentransfer informasi subjek data ke pengontrol data lain berdasarkan permintaan.

Di bawah CCPA, bisnis hanya diminta untuk memberikan informasi elektronik kepada konsumen dalam format yang mudah digunakan.

Meskipun hak penghapusan GDPR memiliki beberapa pengecualian penting seperti data yang diperlukan untuk menjalankan hak kebebasan berekspresi atau data yang diperlukan untuk mematuhi undang-undang negara anggota UE atau UE, CCPA memperluas pengecualian ini lebih lanjut dengan memasukkan tidak hanya kebebasan berbicara dan informasi. diperlukan untuk kontrak, tetapi, terutama, juga penggunaan internal yang sesuai dengan konteks di mana konsumen menyediakan data.

GDPR Pasal 8 , CCPA 1798.120

Usia default GDPR untuk persetujuan adalah 16, meskipun undang-undang masing-masing negara anggota dapat menurunkan usia tidak kurang dari 13 tahun.

Orang dengan tanggung jawab orang tua harus memberikan persetujuan untuk anak-anak di bawah usia persetujuan. Anak-anak harus menerima pemberitahuan privasi yang sesuai dengan usia.

Data pribadi anak-anak tunduk pada persyaratan keamanan yang ditingkatkan.

CCPA melarang penjualan informasi pribadi konsumen di bawah 16 tahun tanpa persetujuan.

Anak-anak berusia 13 – 16 tahun dapat langsung memberikan persetujuan. Anak-anak di bawah 13 tahun memerlukan persetujuan orang tua.

GDPR menekankan perlindungan khusus untuk anak-anak dan memberikan ketentuan khusus untuk melindungi data pribadi anak-anak ketika diproses untuk menyediakan layanan masyarakat informasi.

CCPA membuat aturan khusus untuk anak-anak sehubungan dengan "menjual" informasi pribadi, namun aturan ini tidak terbatas pada layanan masyarakat informasi.