Seiring dengan semakin seringnya kasus kebocoran data dan meningkatnya kekhawatiran tentang bagaimana perusahaan mengumpulkan serta menggunakan data pribadi, berbagai negara bagian di Amerika Serikat mulai menerapkan aturan perlindungan data yang lebih ketat. Salah satu regulasi terpenting adalah California Consumer Privacy Act (CCPA), sebuah undang-undang yang melindungi hak privasi konsumen yang tinggal di California.
CCPA menjadi tonggak penting dalam perlindungan data pribadi di Amerika Serikat, mirip dengan peran GDPR di Eropa.
Apa yang Dimaksud dengan CCPA Compliance?
CCPA compliance berarti perusahaan menerapkan kebijakan, proses, dan teknologi untuk memastikan hak-hak privasi konsumen California dihormati dan dilindungi sesuai aturan CCPA.
CCPA mengatur secara luas apa yang disebut sebagai data pribadi (personal data). Jenis data yang termasuk di dalamnya antara lain:
-
Identitas langsung seperti nama dan alamat email
-
Informasi biometrik
-
Nomor Jaminan Sosial (Social Security Number)
-
Riwayat browsing internet
-
Data lokasi atau alamat IP
-
Informasi pekerjaan atau profesional
-
Profil konsumen yang dibuat dari analisis data lainnya
Karena cakupan data pribadi ini sangat luas, sebagian besar perusahaan yang memenuhi kriteria wajib mematuhi CCPA.
Perlu diketahui juga bahwa CCPA diperbarui melalui California Privacy Rights Act (CPRA), yang memperkuat dan memperluas aturan perlindungan data sebelumnya.
Siapa yang Wajib Mematuhi CCPA?
CCPA berlaku untuk perusahaan berbadan usaha (for-profit). Organisasi nirlaba tidak termasuk dalam kewajiban ini.
Perusahaan wajib mematuhi CCPA jika:
-
Mengumpulkan data pribadi warga California, dan
-
Memenuhi salah satu dari kriteria berikut:
-
Pendapatan tahunan lebih dari USD 25 juta
-
Membeli, menerima, menjual, atau membagikan data pribadi 50.000 atau lebih warga, rumah tangga, atau perangkat di California
-
Mendapatkan 50% atau lebih pendapatan dari penjualan data pribadi warga California
-
Menariknya, meskipun perusahaan tidak berbasis di California, selama mengelola data warga California dan memenuhi kriteria di atas, perusahaan tetap wajib patuh terhadap CCPA. Inilah yang disebut jangkauan lintas wilayah (extraterritorial).
Untuk data kesehatan (PHI), jika perusahaan sudah mematuhi HIPAA, maka data tersebut dikecualikan dari aturan CCPA.
Hak-Hak Konsumen dalam CCPA
CCPA memberikan berbagai hak penting kepada konsumen, antara lain:
1. Hak Akses
Konsumen berhak meminta:
-
Data pribadi apa saja yang dikumpulkan perusahaan
-
Tujuan penggunaan data tersebut
-
Salinan data pribadi mereka
2. Hak atas Pemberitahuan
Perusahaan wajib memberi tahu konsumen:
-
Jenis data apa yang dikumpulkan
-
Untuk apa data tersebut digunakan
Pemberitahuan ini harus disampaikan sebelum atau saat data dikumpulkan.
3. Persetujuan (Consent)
-
Konsumen usia 13–16 tahun harus memberikan persetujuan aktif (opt-in)
-
Konsumen di bawah 13 tahun memerlukan persetujuan orang tua atau wali
4. Hak Menolak Penjualan Data (Opt-Out)
Konsumen berhak menolak penjualan data pribadinya.
Perusahaan wajib menyediakan tautan jelas di situs web bertuliskan “Do Not Sell My Personal Information”.
5. Kesetaraan (Non-Diskriminasi)
Perusahaan dilarang mendiskriminasi konsumen yang menggunakan haknya, seperti:
-
Menolak layanan
-
Menaikkan harga
-
Memberikan kualitas layanan yang lebih rendah
6. Hak Menghapus Data
Konsumen berhak meminta perusahaan:
-
Menghapus data pribadi mereka
-
Memastikan penyedia layanan pihak ketiga juga menghapus data tersebut
Sanksi Jika Melanggar CCPA
Pelanggaran CCPA dapat dikenakan denda:
-
Hingga USD 2.500 per pelanggaran
-
Hingga USD 7.500 per pelanggaran yang disengaja
Selain itu, konsumen juga memiliki hak gugatan pribadi jika data mereka bocor karena perusahaan gagal menerapkan keamanan yang memadai. Denda per konsumen bisa mencapai USD 750 per insiden.
Cara Mematuhi CCPA dengan Praktis
1. Perbarui Kebijakan Privasi
Pastikan kebijakan privasi menjelaskan:
-
Jenis data yang dikumpulkan
-
Tujuan penggunaan data
-
Hak konsumen
-
Cara opt-out penjualan data
2. Klasifikasikan Data
Ketahui:
-
Di mana data pribadi disimpan
-
Siapa yang mengaksesnya
-
Bagaimana data digunakan
3. Terapkan Keamanan Data
Gunakan:
-
Enkripsi data
-
Solusi Data Loss Prevention (DLP)
-
Audit keamanan secara rutin
4. Siapkan Proses Permintaan Konsumen
CCPA mewajibkan respons maksimal 45 hari, dengan kemungkinan perpanjangan hingga 90 hari jika diberitahukan terlebih dahulu.
5. Edukasi Karyawan
Pastikan karyawan memahami CCPA dan tahu cara mengarahkan konsumen untuk menggunakan hak mereka.
Bagaimana Endpoint Protector Membantu Kepatuhan CCPA?
Endpoint Protector adalah solusi DLP yang membantu perusahaan mematuhi CCPA dengan:
-
Menemukan dan melindungi data pribadi (PII)
-
Mengontrol perpindahan data melalui browser, cloud, dan aplikasi pesan
-
Mencegah transfer data tidak sah
-
Menerapkan enkripsi AES 256-bit untuk USB
Endpoint Protector bukan sekadar alat, tetapi penjaga data perusahaan, memastikan informasi sensitif tetap aman dari kebocoran maupun penyalahgunaan.
Kesimpulan
CCPA bukan hanya soal kepatuhan hukum, tetapi juga komitmen perusahaan terhadap kepercayaan konsumen. Dengan memahami hak konsumen, menerapkan proses yang tepat, dan menggunakan solusi keamanan yang andal, perusahaan dapat melindungi data sekaligus reputasinya di era digital.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan endpoint protector indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi endpointprotector.ilogoindonesia.id untuk informasi lebih lanjut!
