Apa itu Undang-Undang Hak Privasi California (CPRA)?

Diterbitkan: 2020-06-25

Sebelum Undang-Undang Privasi Konsumen California (CCPA) bahkan memulai fase penegakan, pendukung privasi telah mengusulkan untuk membuatnya lebih keras dengan hukuman yang lebih ketat. California Privacy Rights and Enforcement Act of 2020 telah diajukan untuk membuat inisiatif pemungutan suara di seluruh negara bagian pada musim gugur.

Pembaruan 28 Sept 2021 - Badan Perlindungan Privasi California mencari komentar tentang CPRA, khususnya 8 poin yang tercakup dalam artikel CPRA ini.

 >>> Webinar IAB mendatang tentang perangkat untuk kepatuhan dan kesiapan CPRA. Toolkit CPRA mencakup daftar periksa item tindakan, bahasa kontraktual CPRA, dan banyak lagi.

Apa itu CPRA?

CPRA (California Privacy Rights Act) merupakan perluasan dari CCPA (California Consumer Privacy Act) yang diterapkan pada 1 Januari 2020. CPRA berupaya melindungi lebih banyak jenis informasi privasi, memberikan hak tambahan bagi konsumen, membentuk entitas pengawasan, dan hak merinci khusus untuk anak di bawah umur.

Kelompok yang sama yang mendorong agenda CCPA, California untuk Privasi Konsumen, mengirimkan lebih dari 900.000 tanda tangan untuk memenuhi syarat CPRA untuk pemungutan suara November 2020.

Apa itu CCPA?

CCPA memberikan hak khusus kepada konsumen California terkait pengumpulan, penggunaan, penyimpanan, dan penjualan data pribadi oleh bisnis. Ini adalah peraturan privasi yang paling ketat hingga saat ini di Amerika Serikat. Penegakan CCPA oleh California AG dimulai pada 1 Juli 2020. Ini memberi pengguna online enam hak utama ini:

  • Hak untuk mengetahui informasi pribadi apa yang sedang dikumpulkan
  • Hak untuk mengetahui apakah (dan bagaimana) informasi pribadi mereka dibagikan atau dijual
  • Hak untuk memilih keluar dari penjualan informasi pribadi
  • Hak untuk mengakses informasi mereka
  • Hak agar informasi pribadi mereka dihapus (dengan pengecualian)
  • Hak untuk tidak didiskriminasi dalam menjalankan haknya

Berdasarkan Undang-Undang, penjualan tidak terbatas pada transaksi keuangan semata. CCPA memberikan hak kepada konsumen atas data apa pun yang digunakan untuk apa yang disebutnya sebagai pertimbangan berharga. California AG memutuskan bahwa hal itu mencakup item seperti pertukaran data untuk penargetan atau penayangan iklan.

Di bawah CCPA, informasi pribadi melampaui item seperti nama pengguna, alamat, nomor telepon, atau data biometrik seperti sidik jari. Ini juga mencakup cookie dan riwayat penelusuran, alamat IP, ID iklan seluler (MAIDS), data geolokasi, pengenal perangkat, atau interaksi lain dengan iklan, situs web, atau aplikasi.

Untuk informasi lebih lanjut tentang CCPA, kunjungi Megalist of CCPA Resources, Checklists, and Guidance.

Bagaimana CPRA Berbeda dari CCPA?

CPRA berisi enam ekspansi utama pada CCPA, melangkah lebih jauh dalam hak konsumen dan batasan bisnis:

  • CPRA menetapkan kategori baru informasi pribadi sensitif (SPI)
  • Menambahkan batasan pada pelacakan
  • Menetapkan hak jalan hukum yang lebih luas bagi konsumen
  • Menambahkan perlindungan khusus untuk anak di bawah umur
  • Memberikan konsumen 'hak koreksi' untuk data pribadi
  • Mendirikan Badan Perlindungan Privasi California

Hak Konsumen Tambahan Berdasarkan CPRA

Kategori Baru Informasi Pribadi Sensitif (SPI)

  • Nomor KTP
  • Surat izin mengemudi
  • paspor
  • Agama
  • Balapan
  • Keanggotaan Serikat
  • Komunikasi pribadi
  • Data genetik dan informasi kesehatan lainnya
  • Informasi tentang kehidupan seks atau orientasi seksual

Batasan Pelacakan

CPRA juga memperkuat bahasa tentang geolokasi. Ini akan memberi konsumen kemampuan untuk mencegah bisnis melacak geolokasi konsumen untuk sebagian besar tujuan – termasuk periklanan – dalam radius sekitar 250 hektar.

Hak Hukum yang Lebih Luas

Hal ini juga memberikan hak hukum yang lebih luas kepada konsumen. Selain hukuman penegakan oleh negara, itu akan memberikan konsumen hak untuk menuntut bisnis untuk pelanggaran data lalai tanpa harus membuktikan dan kerugian finansial yang sebenarnya. Di bawah CPRA, jika perusahaan lalai dalam melindungi SPI Anda secara proaktif, atau item seperti kata sandi email Anda, Anda mungkin dapat menuntut.

Perlindungan Tambahan untuk Anak di Bawah Umur

CCPA melarang penjualan data pribadi siapa pun yang berusia di bawah 17 tahun tanpa persetujuan tertulis. Untuk anak di bawah 13 tahun, itu membutuhkan persetujuan orang tua. Di bawah Undang-Undang Hak Privasi California, situs diharuskan menanyakan usia pengguna, memerlukan persetujuan untuk ikut serta (bukan memilih keluar), dan denda tiga kali lipat untuk pelanggaran.

Hak Koreksi

CCPA memungkinkan konsumen untuk meminta penghapusan data pribadi dan memilih untuk tidak mengizinkan bisnis menjual data pribadi tetapi tidak mengizinkan koreksi. CPRA akan memungkinkan konsumen untuk meminta koreksi terhadap data yang disimpan jika tidak akurat.

Badan Perlindungan Privasi California

Penyewa utama CPRA adalah pembentukan Badan Perlindungan Privasi California untuk mengawasi privasi dan bertindak sebagai advokat konsumen. Inisiatif pemungutan suara meminta $ 10 juta dari Dana Umum negara bagian. “Pendanaan ini,” usulan inisiatif tersebut “akan sama dengan jumlah staf penegakan privasi yang kira-kira sama dengan yang dimiliki FTC (Federal Trade Commission) untuk mengawasi seluruh negara.”

Kepada Siapa CPRA Berlaku?

Organisasi tidak perlu berlokasi di California untuk terpengaruh. Baik CCPA dan CPRA akan berlaku untuk perusahaan yang melakukan bisnis dengan penduduk California.

Apa Tanggal Penting untuk CPRA?

Dengan asumsi inisiatif tersebut lolos dari proses verifikasi tanda tangan, CPRA akan mengikuti pemungutan suara di seluruh negara bagian pada 3 November 2020. Ini dapat disahkan menjadi undang-undang oleh mayoritas pemilih California.

Jika disahkan, beberapa ketentuan akan segera berlaku, termasuk pembentukan dan pendanaan Badan Perlindungan Privasi California. Ini termasuk bagian berikut:

  • 1798.145(m) dan (n)
  • 1798.160
  • 1798.185
  • 1798.199.10-.40
  • 1798.199.95

Anda bisa membaca spesifikasinya di sini.

Mayoritas UU tersebut tidak akan berlaku sampai 1 Januari 2023.

Tanggal Penting lainnya

  • 1 Juli 2021: Tanggal mulai proses pembuatan peraturan
  • 1 Januari 2022: proses “melihat ke belakang” selama 12 bulan dimulai. Sementara CPRA tidak akan berlaku sepenuhnya hingga 1 Januari 2023, itu akan berlaku untuk informasi pribadi yang dikumpulkan mulai Januari 2022 dengan beberapa pengecualian, seperti hak untuk mengakses dan mengoreksi.
  • 1 Juli 2022: Tanggal akhir untuk peraturan yang akan diadopsi
  • 1 Januari 2023: Tanggal efektif dan kedaluwarsa beberapa pengecualian

Gagasan di balik garis waktu yang rumit ini adalah untuk memberi waktu kepada pembuat undang-undang dan administrator untuk menyelesaikan pedoman. Ini juga memberi waktu bagi organisasi untuk mematuhinya.

Bahkan setelah CCPA asli disahkan, itu diubah beberapa kali dan bagian-bagian tertentu diubah, seperti apa yang memenuhi syarat sebagai “informasi pribadi.” Undang-Undang Privasi Konsumen California (CCPA) ditandatangani menjadi undang-undang pada 28 Juni 2018. Perusahaan diberi waktu hingga Januari 2020 untuk mematuhi dan diberikan "masa tenggang" 6 bulan sebelum diberlakukan. Efektif 1 Juli 2020, penegakan bisa dimulai.

Proses serupa akan diadopsi oleh CPRA.

Apa yang Perlu Diketahui Penerbit tentang CRPA?

Sama seperti CCPA, CPRA akan mengambil langkah-langkah signifikan untuk mematuhinya. Informasi pribadi hanya akan dapat disimpan dan digunakan untuk tujuan khusus dan terbatas yang diizinkan berdasarkan Undang-undang. Ini akan memperluas apa yang dianggap sebagai informasi pribadi dan memerlukan pemberitahuan eksplisit untuk pengiriman iklan jika penerbit memilih untuk menjual informasi atau menggunakannya untuk menargetkan atau menayangkan iklan digital.

Daftar periksa untuk kepatuhan terhadap CCPA perlu diubah untuk memasukkan peraturan yang disempurnakan jika CPRA menjadi undang-undang. Bahkan jika disahkan, akan ada pedoman dan detail yang akan dimasukkan dalam pembuatan peraturan di masa mendatang yang tidak tersedia hari ini.

Sebagai Platform Manajemen Izin (CMP), Laksamana memantau peraturan izin privasi yang memengaruhi penerbit online di seluruh AS dan dunia. Untuk pertanyaan tentang CMP, kunjungi FAQ: Manajemen Izin.

Lebih Banyak Undang-Undang Perlindungan Data Akan Datang

Karena berita pelanggaran data, penyalahgunaan data konsumen, dan privasi terus menjadi perhatian publik, profil privasi data untuk konsumen dinaikkan. 84% orang yang mengambil bagian dalam studi Cisco melaporkan bahwa mereka menginginkan kontrol lebih besar atas data dan penggunaannya.

Untuk penerbit, ini baru permulaan. Selusin negara bagian telah memperkenalkan undang-undang perlindungan data dan privasi baru-baru ini, termasuk Illinois, Maine, Massachusetts, Nevada, New Jersey, dan Pennsylvania. Ada juga dorongan untuk membuat peraturan perlindungan data nasional dan pembentukan Badan Perlindungan Data.

Mematuhi CPR, CCPA, dan GDPR

Tetap up to date pada semua peraturan privasi dan nuansa GDPR, CCPA, dan kemungkinan lolosnya CPRA dapat menjadi mimpi buruk bagi penerbit. Itu sebabnya begitu banyak penerbit telah beralih ke bantuan luar dari Laksamana untuk mengelola privasi dan persetujuan pengunjung mereka. Salah satu platform manajemen konten (CMP) yang sesuai dengan IAB pertama di industri, Admiral secara otomatis mengidentifikasi pengunjung situs yang berasal dari IP California, menyediakan antarmuka pengguna kepada pengunjung untuk memilih keluar dari penjualan data, dan kompatibel dengan kerangka kerja IAB untuk mengirimkan informasi opt-out ke vendor hilir.

Admiral dapat diinstal dengan satu tag sederhana dan memungkinkan penerbit untuk mulai mengelola privasi pengunjung dan pengaturan persetujuan dengan lima menit mendaftar.

Hubungi Laksamana untuk demo hari ini.