Apa Selanjutnya untuk Privasi? FAQ GDPR dan CCPA
Diterbitkan: 2020-01-29
Setelah berlaku pada 1 Januari 2020, Undang-Undang Privasi Konsumen California (CCPA) secara luas dianggap sebagai salah satu undang-undang privasi paling luas di Amerika Serikat hingga saat ini. CCPA membatasi pengumpulan dan penjualan informasi pribadi pelanggan, sekaligus memberikan perlindungan hukum tertentu terkait dengan informasi pribadi yang sama. Tetapi CCPA bukan hanya versi AS dari Peraturan Perlindungan Data Umum (GDPR) UE. Meskipun Anda tidak harus memulai dari awal jika Anda siap untuk GDPR, itu tidak berarti Anda memiliki semua basis Anda untuk CCPA.
Di blog ini kita akan membahas dasar-dasar CCPA, bagaimana perbandingannya dengan GDPR dan beberapa FAQ yang muncul seputar masing-masing dan penerapannya di bisnis AS yang bekerja di dalam negeri dan internasional.
Kepada siapa CCPA berlaku?
CCPA berlaku untuk setiap bisnis yang memenuhi satu atau lebih dari kondisi berikut:
- Melakukan bisnis di negara bagian California
- Dan memenuhi salah satu kriteria berikut:
- Pendapatan kotor tahunan lebih dari $25 juta;
- Sendiri atau dalam kombinasi, setiap tahun membeli, menerima untuk tujuan komersial bisnis, menjual, atau berbagi untuk tujuan komersial, sendiri atau dalam kombinasi, informasi pribadi dari setidaknya 50.000 konsumen, rumah tangga, atau perangkat; atau
- Memperoleh setidaknya 50 persen pendapatan tahunannya dari penjualan informasi pribadi konsumen.
Perbedaan terbesar antara GDPR dan CCPA terletak pada cakupan aplikasi, tingkat batasan pengumpulan, dan aturan seputar akuntabilitas atas pelanggaran dan tantangan atas ketidakpatuhan. Dalam bagan ini, Anda akan melihat beberapa perbedaan kecil namun penting antara GDPR dan CCPA.
| GDPR | CCPA | |
| Cakupan | Melindungi penduduk UE dari perusahaan yang berlokasi di dalam atau di luar UE. Meliputi pemrosesan dan pengumpulan serta penerapan data pribadi. | Melindungi penduduk CA dan berlaku untuk perusahaan dengan pendapatan >$25 juta, memperoleh 50% pendapatan dari informasi pribadi pelanggan atau memproses info tentang >50.000 penduduk Mencakup pengumpulan, pemrosesan, dan penjualan informasi Pribadi. |
| Data/Informasi Pribadi | Didefinisikan sebagai informasi apa pun yang berkaitan dengan seseorang, termasuk data yang tersedia untuk umum. | Didefinisikan sebagai informasi yang berhubungan, menggambarkan, atau dapat dihubungkan langsung atau tidak langsung dengan seseorang atau rumah tangga. |
| Hak atas Akses/Pengungkapan | Mengharuskan bisnis untuk memberi tahu pelanggan tentang hak-hak di tempat pengumpulan. | Mengharuskan bisnis untuk memberi tahu pelanggan pada atau sebelum titik pengumpulan mengenai kategori informasi Pribadi yang akan dikumpulkan dan tujuan pengumpulan. |
| Menyisih | Pelanggan dapat meminta pembatasan jenis data pribadi apa pun. | Bisnis harus memberikan pemberitahuan tentang hak menyisih dan memberi konsumen hak untuk menyisih dari penjualan PI, tetapi bukan pengumpulannya. Mereka harus menyediakan tautan 'Jangan jual informasi pribadi saya' di beranda mereka. |
| Penilaian Dampak Perlindungan Data (DPIA) | Membutuhkan DPIA untuk pemrosesan apa pun yang mungkin berisiko terhadap hak data subjek. | Tidak diperlukan DPIA tetapi merupakan tanggung jawab bisnis untuk menerapkan dan memelihara langkah-langkah keamanan yang sesuai untuk melindungi informasi pelanggan. |
Pertanyaan yang Sering Diajukan
Apakah ini berlaku untuk bisnis yang tidak berlokasi di California?
Bisnis tidak perlu berlokasi di negara bagian California untuk tunduk pada CCPA. Ini berarti bisnis apa pun yang 'berbisnis' melalui transaksi online dengan penduduk California atau memiliki karyawan yang tinggal di negara bagian tersebut.
Apakah perusahaan dapat didenda karena ketidakpatuhan?
Hak pribadi untuk bertindak di CCPA terbatas pada pelanggaran data. Di bawah hak tindakan pribadi, kerugian dapat terjadi antara $100 dan $750 per insiden per konsumen. California AG juga dapat menegakkan CCPA secara keseluruhan dengan kemampuan untuk memungut hukuman perdata tidak lebih dari $2.500 per pelanggaran atau $7.500 per pelanggaran yang disengaja.
Saya tidak berpikir kami benar-benar mengumpulkan informasi pribadi. Apakah CCPA berlaku?
CCPA memiliki deskripsi yang sangat luas tentang apa yang dimaksud dengan informasi pribadi. Jika Anda mengumpulkan resume untuk posting pekerjaan, situs web Anda melacak cookie atau jika Anda memiliki formulir 'Hubungi Kami' di situs web Anda, Anda mengumpulkan informasi pribadi.
Apakah ada pengecualian untuk bisnis B2B?
Semacam. Perusahaan B2B diberikan penangguhan hukuman terbatas untuk mematuhi setiap persyaratan CCPA terkait dengan transaksi dan komunikasi dengan organisasi, perusahaan, dan lembaga pemerintah lainnya. Informasi pribadi yang dikumpulkan selama komunikasi atau transaksi B2B dari atau tentang karyawan, pemilik, direktur, pejabat, atau kontraktor bisnis atau lembaga pemerintah dikecualikan dari sebagian besar persyaratan CCPA. Namun pengecualian ini akan berakhir pada akhir tahun 2020. Bahkan jika perusahaan B2B Anda tidak menjual informasi kontak bisnis, Anda tetap perlu menentukan sejauh mana informasi yang Anda kumpulkan untuk tujuan pemasaran harus mematuhi CCPA.
Bagaimana cara menutupi basis Anda?
CCPA mewajibkan perusahaan untuk menyimpan catatan terperinci dari semua kategori informasi pribadi sejak 1 Januari 2019. Anda harus mulai menginventarisir semua data yang telah Anda kumpulkan sejak tanggal tersebut. Anda juga perlu memperbarui pemberitahuan privasi Anda dan menambahkan tautan “Jangan Jual Informasi Pribadi Saya” ke beranda Anda.
Sumber Daya Tambahan untuk Pemilik Bisnis
Magento juga memberikan panduan yang sangat bagus dan lebih mendetail untuk memastikan situs Anda sesuai dengan GDPR dan CCPA. Ini tersedia di sini.
Untuk tinjauan yang lebih mendalam tentang undang-undang CCPA, harap baca artikel hebat ini dari Peninjauan Hukum Nasional .
Sementara CCPA memiliki beberapa batasan yang saat ini membatasinya di negara bagian California, ada sedikit keraguan bahwa itu akan bergema di seluruh AS dan dunia. California, bagaimanapun, adalah ekonomi terbesar ke-5 di dunia. Dengan sesuatu yang serumit undang-undang baru ini dan sama pentingnya dengan bisnis Anda, sebaiknya Anda berkonsultasi dengan pengacara Anda untuk memastikan apakah CCPA berlaku untuk bisnis Anda sebelum mengambil tindakan kepatuhan.
Berhubungan
Terhubung dengan salah satu pakar kami hari ini untuk mendiskusikan kebutuhan eCommerce Anda!
Hubungi kami