Apakah Anda siap untuk tindakan privasi konsumen california?

Beberapa perusahaan teknologi paling terkenal berkantor pusat di California, sebuah negara bagian yang pada 28 Juni 2018 mengeluarkan California Privacy Privacy Act of 2018 (CCPA). CCPA tidak akan berlaku hingga 1 Januari 2020, tetapi diharapkan akan mempengaruhi bisnis di seluruh California, Amerika Serikat dan, pada kenyataannya, seluruh dunia. CCPA akan memengaruhi cara bisnis dapat menangani data pelanggan, dan dianggap oleh banyak pihak sebagai hukum perlindungan data yang paling ketat dalam sejarah AS.

Jika Anda merasakan déjà vu, maka Anda tidak sendirian. Kembali pada bulan Mei, Peraturan Perlindungan Data Umum Uni Eropa (UE) mulai berlaku. GDPR telah menjadi topik hangat di PCMag. Meskipun hukum dibuat melintasi Atlantik, kenyataannya adalah, ia membuat tanda pada bisnis di seluruh dunia karena berlaku untuk semua warga negara Uni Eropa terlepas dari tempat mereka tinggal. Sama seperti GDPR, dampak CCPA baru akan memiliki implikasi yang luas di luar ruang lingkup negara asalnya. Kami berbicara dengan beberapa ahli untuk mempelajari lebih lanjut tentang CCPA dan beberapa implikasinya yang diharapkan.

CCPA dan Anda: Pengantar

CCPA menetapkan hak konsumen untuk meminta bisnis mengungkapkan jenis data apa yang dikumpulkan tentang mereka. Kecuali jika Anda menggunakan alat seperti jaringan pribadi virtual (VPN), itu cukup banyak kepastian bahwa banyak bisnis mengumpulkan informasi tentang Anda setiap kali Anda online. Mengatakan transparansi semacam ini yang akan dibawa CCPA adalah masalah besar akan meremehkan.

John Tsopanis adalah Manajer Produk Privasi di 1touch.io, sebuah perusahaan yang membantu bisnis memahami data pribadi yang mereka tangani. Tsopanis telah menghabiskan beberapa tahun terakhir melakukan konsultasi GDPR untuk perusahaan dan bersiap untuk melakukan hal yang sama dengan CCPA. Tsopanis menjelaskan CCPA dalam istilah dasar.

"Pada 1 Januari 2020, seorang penduduk California akan memiliki hak hukum untuk bertanya kepada perusahaan besar di Amerika: 'Apakah Anda memproses informasi saya?'" Kata Tsopanis. "Dalam 45 hari, perusahaan itu akan wajib menjawab dengan laporan yang merinci 12 bulan terakhir. Perusahaan harus menunjukkan kategori spesifik informasi pribadi apa yang mereka miliki tentang individu itu, dengan siapa mereka berbagi informasi, dan apa alasannya untuk memprosesnya. Mereka perlu memberikan informasi itu kepada penduduk California - semuanya 40 juta dari mereka - dalam jangka waktu."

Perbedaan Antara GDPR dan CCPA

Ada beberapa perbedaan mendasar antara apa yang dilakukan GDPR dan apa yang dicakup oleh CCPA. Sebagai permulaan, CCPA akan menggunakan basis opt-out untuk persetujuan sedangkan GDPR menggunakan basis opt-in. Ini pada dasarnya berarti bahwa pengguna harus secara aktif menjangkau perusahaan untuk mencari tahu tentang jenis informasi apa yang digunakan. Selain itu, GDPR berlaku untuk organisasi apa pun yang menyimpan data pribadi warga negara UE.

CCPA, di sisi lain, hanya berlaku untuk perusahaan nirlaba yang memproses data tentang penduduk California. Organisasi harus melakukan setidaknya $ 24 juta dalam pendapatan tahunan, menyimpan data 50.000 orang, atau melakukan setidaknya setengah dari pendapatan mereka dalam penjualan data pribadi. Jadi, jika Anda memiliki toko butik kecil dan tingkat operasi online Anda adalah halaman web yang mencantumkan jam dan alamat toko Anda, maka Anda tidak perlu terlalu khawatir tentang CCPA. Tetapi jika Anda menjalankan situs web e-commerce melalui penyedia turnkey atau mengelola situs web e-tail Anda sendiri melalui layanan hosting web umum, maka Anda harus memperhatikan.

Courtney Bowman adalah Associate di departemen litigasi di firma hukum internasional Proskauer Rose LLP. Bowman menjelaskan mengapa CCPA akan mengharuskan perusahaan untuk memikirkan dengan hati-hati tentang penggunaan data mereka jauh melebihi tahun 2020. "Persyaratan 12 bulan itu berarti bahwa perusahaan harus melihat kebijakan privasi mereka setidaknya sekali setahun dan mencoba mencari tahu apakah ada yang berubah., " dia berkata.

"Mereka harus terus memantau data apa yang mereka jual atau mengungkapkan kepada pihak ketiga sehingga mereka dapat menyesuaikan kebijakan privasi mereka, " lanjut Bowman. "Undang-undang juga memberi konsumen hak untuk mengakses atau menghapus informasi pribadi mereka dalam beberapa situasi, dan bisnis perlu memastikan bahwa mereka benar-benar dapat mewujudkan hak itu dengan cepat. Itu akan mengharuskan perusahaan untuk terlibat dalam pemetaan data untuk mencari tahu di mana data mereka terletak, dan juga untuk berhubungan dengan departemen TI mereka untuk mencari tahu apa yang perlu mereka lakukan untuk memastikan bahwa mereka dapat memenuhi tanggung jawab mereka di bawah undang-undang tersebut."

Dampak Luas CCPA

Dalam bulan-bulan menjelang GDPR, tema utama dalam liputan kami adalah bahwa, di dunia global kami, GDPR akan memengaruhi bisnis di luar Eropa. Bagaimanapun, sebagian besar perusahaan besar melakukan bisnis di luar negeri dan harus mengubah operasi online mereka secara global untuk mematuhi hukum. Ketika kami berbicara dengan Tsopani, bagaimanapun, dia mengatakan perusahaan-perusahaan Amerika masih perlu memperhatikan CCPA secara khusus.

"Ketika datang ke perusahaan-perusahaan Amerika, GDPR terutama difokuskan pada organisasi-organisasi besar yang beroperasi di seluruh saluran. Dengan itu, kriteria untuk perusahaan-perusahaan yang memenuhi syarat jauh lebih besar dengan urutan besarnya, " kata Tsopanis. "Ada 40 juta orang di California; 50.000 bahkan tidak 0, 1 persen dari populasi. Saya pikir skala paparan untuk perusahaan-perusahaan Amerika secara signifikan lebih tinggi daripada yang sebelumnya di bawah GDPR."

Tsopanis menawarkan contoh raksasa makanan cepat saji, Wendy's. "Wendy's adalah perusahaan terbesar ke-999 di Fortune 1000 dan memiliki pendapatan tahunan $ 1, 2 miliar - 48 kali lebih tinggi dari ambang batas penerapan undang-undang ini. Paling tidak, ada 1.000 miliar dolar perusahaan di Amerika yang harus mematuhi undang-undang ini, dan jumlah pesanan signifikan lebih besar dari pada kategori $ 25 juta."

Kami mungkin tidak menganggap Wendy sebagai perusahaan teknologi tetapi mereka mengumpulkan informasi pengguna yang adil. Mereka juga merupakan contoh sempurna tentang bagaimana perusahaan dari semua jenis akan terpengaruh oleh CCPA. Ketika Anda mengunjungi situs web mereka, memesan makanan melalui sistem point-of-sale (POS) mereka, atau bahkan hanya menggunakan Wi-Fi di restoran Wendy setempat, perusahaan sedang mengumpulkan informasi Anda, dan di California, setidaknya, bahwa ' semua akan tunduk pada peraturan CCPA. Jika sebuah perusahaan sekecil Wendy's mengumpulkan begitu banyak data tentang pengguna, maka sangat menakutkan untuk memikirkan apa yang dikumpulkan oleh perusahaan besar. Sederhananya, CCPA akan memiliki implikasi yang sangat besar.

Penemuan Data Penting

Salah satu efek paling penting dari CCPA adalah bahwa orang Amerika pada akhirnya akan dapat mengungkap sejumlah besar pembelian data dan penjualan data yang telah dilakukan perusahaan. "RUU ini akan memungkinkan orang-orang Amerika untuk akhirnya mengungkap jaringan massa organisasi pembelian dan penjualan data yang sebelumnya sepenuhnya anonim. Ini akan mengarah pada perubahan budaya dramatis dalam cara privasi data dirasakan, dan, pada akhirnya di beberapa titik, mengarah ke hukum privasi federal yang harmonis, "kata Tsopanis.

Ketika Cambridge Analytica skandal pecah, itu mendapat perhatian jutaan orang, apakah mereka teknologis atau bukan. Itu membuat orang sangat khawatir tentang siapa yang mengumpulkan informasi mereka dan apa yang dilakukan dengan itu, dan CCPA, sebagian, merupakan tanggapan terhadap itu. Tsopanis berpendapat bahwa wahyu yang dihasilkan akan sangat besar.

"Untuk setiap jurnalis di negara ini, ini adalah anugerah. California adalah ekonomi $ 2, 7 triliun - terbesar kelima di dunia - dan dibangun di atas Data Besar. Setiap permintaan akses dari setiap perusahaan Fortune 1000 akan mengungkapkan seluruh jaringan perusahaan pembelian dan penjualan data yang akan datang di bawah pengawasan ketat, "Tsopanis menjelaskan. "Kami tidak tahu persis apa yang akan kami temukan ketika orang mulai mendapatkan laporan data mereka, tetapi pasti ada beberapa wahyu yang menarik."

Hanya 18 Bulan untuk Mempersiapkan

Jika kami belajar sesuatu dari GDPR, perusahaan perlu merencanakan sedini mungkin untuk siap menghadapi tenggat waktu. Dengan pemikiran itu, perusahaan-perusahaan Amerika tidak punya banyak waktu sama sekali. GDPR diadopsi pada April 2016, dan perusahaan memiliki sedikit lebih dari dua tahun penuh untuk beradaptasi dan mematuhi peraturan tersebut. Sejak CCPA mulai berlaku pada awal 2020, ini berarti perusahaan besar sekarang hanya memiliki 18 bulan untuk bersiap-siap.

Tenggat waktu itu kemungkinan akan membuat para profesional teknologi yang paling berpengalaman pun stres. "Jumlah pekerjaan yang perlu dilakukan dalam 18 bulan lebih besar daripada yang diperlukan untuk GDPR, dengan lebih sedikit waktu untuk melakukannya, dan dengan perusahaan-perusahaan Amerika yang berasal dari tingkat kematangan privasi yang lebih rendah daripada Eropa, " Tsopanis memperingatkan.

Untuk mematuhinya, veteran keamanan merekomendasikan perusahaan agar berhati-hati dalam mengembangkan proses mereka. "Dalam enam bulan ke depan, apa yang perlu dilakukan organisasi adalah mengembangkan semacam metode pelacakan informasi pribadi di seluruh organisasi, " kata Tsopanis. "Mereka membutuhkan cara untuk dengan mudah mengakses informasi pribadi apa yang dikirim ke pihak ketiga mana dan pada jam berapa, dan kemudian mereka harus dapat melacaknya selama 12 bulan hingga implementasi, dan siap untuk memberikan informasi itu atas permintaan ketika peraturan mulai berlaku.

"Ini pada dasarnya akan mengharuskan hampir semua perusahaan besar AS melakukan kegiatan identifikasi data utama, dan dapat mengotomatisasi dan menanggapi permintaan akses subjek data dari warga California pada tanggal penegakan, " Tsopanis melanjutkan. "Penting juga untuk dicatat bahwa, ketika undang-undang disahkan pada tahun 2020, mereka harus dapat memberikan laporan tentang informasi pengguna dalam 12 bulan sebelumnya. Ini secara efektif berarti bahwa bisnis harus melacak data itu pada 1 Januari 2019."

Dari perspektif hukum, Bowman mengatakan mungkin ada beberapa perubahan yang dilakukan sebelum batas waktu. "Kami berharap bahwa kami akan melihat beberapa revisi undang-undang sebelum diberlakukan, " katanya. "Karena itu dirancang cukup cepat, bahkan setelah diberlakukan mungkin ada beberapa daerah abu-abu yang tetap luar biasa dalam hal pemahaman kita tentang mereka. Lagipula, GDPR membutuhkan waktu bertahun-tahun untuk menyusun, dan masih ada beberapa bagian dari GDPR itu ambigu."