Bagaimana cara meminta perusahaan untuk menghapus data pribadi Anda - Studi kasus di AS
Kasus terjadi AS, pada bulan Februari, Whitney Merrill, seorang pengacara privasi yang tinggal di San Francisco, meminta perusahaan obrolan audio Clubhouse untuk mengungkapkan berapa banyak orang yang telah membagikan nama dan nomor teleponnya dengan perusahaan sebagai bagian dari fitur berbagi kontak, dengan harapannya, bahwa data tersebut untuk dihapus.
Saat dia menunggu kabar dari perusahaan, dia men-tweet tentang prosesnya dan juga menghubungi beberapa karyawan Clubhouse untuk meminta bantuan.
Hanya setelah itu, dan beberapa minggu setelah batas waktu 45 hari Undang-Undang Privasi Konsumen California bagi perusahaan untuk menanggapi permintaan penghapusan data, Clubhouse menanggapi dan memenuhi permintaannya untuk menghapus informasinya, kata Merrill.
“Mereka akhirnya memperbaikinya setelah banyak tekanan karena saya cukup beruntung bisa men-tweet tentang itu,” katanya.
Undang-Undang Privasi Konsumen California (CCPA) yang terkenal, yang mulai berlaku pada tahun 2020, memberikan hak kepada penduduk negara bagian untuk meminta perusahaan untuk tidak menjual data mereka, memberikan salinan data tersebut, atau menghapus data tersebut. Virginia dan Colorado juga telah mengesahkan undang-undang privasi konsumen, yang mulai berlaku pada tahun 2023.
Karena semakin banyak negara bagian yang mengadopsi undang-undang privasi — Massachusetts, New York, Minnesota, North Carolina, Ohio, dan Pennsylvania mungkin berikutnya, lebih banyak dari kita akan mendapatkan hak untuk meminta agar data kita dihapus. Beberapa perusahaan — termasuk Spotify, Uber, dan Twitter, memberi tahu kami bahwa mereka telah memenuhi permintaan dari orang-orang di luar California terkait penghapusan data.
Namun bukan berarti selalu berjalan mulus. Data sangat berharga bagi perusahaan, dan beberapa tidak membuatnya mudah untuk dihapus, kata pendukung privasi. Formulir permintaan penghapusan data sering disimpan, prosesnya rumit, dan hambatan untuk memverifikasi identitas Anda memperlambat segalanya. Terkadang data pribadi terikat dalam persyaratan hukum yang membingungkan, sehingga perusahaan tidak dapat membuangnya. Di lain waktu, beban teknis dan personel dari permintaan data terlalu berat untuk ditangani oleh perusahaan.
Menjalankan hak CCPA bisa menjadi perjuangan yang berat, Consumer Reports menemukan di penelitian tahun 2020 yang melibatkan lebih dari 400 konsumen California yang mengajukan permintaan “jangan jual data pribadi” ke pialang data terdaftar. Enam puluh dua persen dari waktu, peserta tidak tahu bagaimana cara mengirimkan permintaan atau tidak tahu apakah itu berhasil.
Itu bukan pertanda baik untuk penghapusan data, Maureen Mahoney, seorang analis Consumer Reports, mengatakan. Orang harus memverifikasi identitas mereka sebelum perusahaan dapat menghapus data, yang menimbulkan hambatan ekstra.
Tapi itu tidak berarti itu sia-sia. Banyak permintaan penghapusan data yang berhasil, menurut metrik perusahaan, dan segalanya menjadi lebih mudah jika Anda tahu di mana mencarinya. Sebagian besar perusahaan melakukan yang terbaik untuk mencari tahu bagaimana menangani undang-undang privasi tambal sulam dan masuknya permintaan hak data, kata Merrill.
“Kami telah tumbuh jauh lebih cepat tahun ini daripada yang pernah kami bayangkan, dan sejak musim semi telah membangun tim untuk menangani skala baru komunitas pengguna kami dengan lebih baik,” kata juru bicara Clubhouse Reema Bahnasy, seraya menambahkan bahwa waktu respons CCPA rata-rata perusahaan saat ini adalah 10 hari.
Jangan jual data saya! Kami akhirnya memiliki hukum untuk itu
Data apa yang sebenarnya dapat Anda minta untuk dihapus ?
Saat kami mengatakan "data Anda", yang kami maksud adalah informasi seperti nama, nomor telepon, email, dan alamat rumah Anda. Beberapa perusahaan mengumpulkan jauh lebih banyak, seperti usia, jenis kelamin, minat, lokasi waktu nyata, teman, dan perilaku Anda di aplikasi dan situs — dan kesimpulan tentang Anda berdasarkan hal-hal tersebut.
Semua pembagian data ini mungkin terasa tidak berbahaya, tetapi ini menciptakan masalah ketika sebuah perusahaan diretas dan informasi Anda jatuh ke tangan yang salah, atau ketika perusahaan menggunakannya untuk memengaruhi pengeluaran Anda dan keputusan lain tanpa persetujuan Anda, kata pendukung privasi.
Di bawah CCPA, bisnis seharusnya menyediakan setidaknya satu cara bagi konsumen untuk menghubungi dan meminta penghapusan data — yang mungkin berupa nomor telepon, formulir online, alamat email, atau formulir kertas. Perusahaan besar yang melayani lebih dari 10 juta konsumen California dalam setahun juga harus mengungkapkan dalam kebijakan privasi mereka berapa banyak permintaan untuk menghapus yang mereka terima selama tahun kalender sebelumnya dan berapa banyak yang mereka hormati.
Kami memeriksa situs web dan kebijakan privasi dari 11 aplikasi populer untuk melihat betapa mudahnya mengirimkan permintaan penghapusan data, dan apakah perusahaan mengungkapkan jumlah permintaan yang mereka terima. Dari 11, hanya satu, Yelp, tidak memiliki cara yang jelas untuk mengajukan permintaan, dan perusahaan segera memperbaiki masalah setelah kami menunjukkannya.
Ketika sampai pada pengungkapan penghapusan data, segalanya menjadi lebih rumit. Perusahaan di balik enam dari 11 aplikasi, termasuk Southwest Airlines dan Twitter, tidak membagikan berapa banyak permintaan yang mereka terima dan hormati. Twitter mengatakan pihaknya berencana untuk menambahkan informasi tersebut.
"Informasi ini akan dimasukkan dalam pembaruan di masa mendatang dan akan memberikan jumlah permintaan yang kami terima secara global karena ini adalah alat yang kami sediakan untuk setiap orang yang menggunakan layanan kami," kata juru bicara Twitter Katie Rosborough.
Jika 11 aplikasi kami merupakan indikasi, perusahaan melakukan pekerjaan dengan baik dengan menyediakan formulir atau alamat email tempat Anda dapat meminta penghapusan data. Menemukan formulir dan alamat tersebut tidak sepenuhnya intuitif, tetapi prosesnya cenderung terlihat serupa di seluruh situs web.
Pertama, buka situs web perusahaan dan gulir ke bawah ke bagian paling bawah beranda. Mungkin akan ada tautan yang mengatakan sesuatu seperti “privasi”, “kebijakan privasi”, “CCPA”, atau “hak privasi California Anda”.
Klik tautannya, dan Anda akan menemukan diri Anda di halaman yang didedikasikan untuk privasi atau CCPA. (Halaman CCPA sering muncul untuk semua pengunjung situs, karena membangun situs web yang berbeda untuk orang yang berbeda akan membutuhkan banyak pekerjaan ekstra untuk perusahaan.)
Gulir hingga Anda menemukan referensi untuk penghapusan data, atau gunakan CTRL+F untuk mencari kata "hapus". Perusahaan mungkin akan mencantumkan alamat email untuk perlindungan data, privasi, atau departemen hukum — atau memberikan formulir yang dapat Anda isi secara online.
Jika formulir tidak secara khusus mereferensikan penghapusan data, tidak apa-apa. Sertakan "permintaan penghapusan data" di tempat yang menonjol, seperti baris subjek, jika ada, dan beri tahu perusahaan bahwa Anda senang memverifikasi identitas Anda. Hayley Tsukayama, seorang aktivis legislatif di kelompok advokasi hak digital Electronic Frontier Foundation, juga menyarankan untuk merujuk hak CCPA Anda dalam permintaan tersebut.
CCPA memberi perusahaan waktu 45 hari kalender untuk menanggapi permintaan penghapusan awal Anda. Perusahaan mungkin akan meminta Anda untuk mengirimkan informasi tambahan atau mengatur janji temu untuk memverifikasi identitas Anda — sehingga tidak ada yang bisa berpura-pura menjadi Anda dan mencuri atau menghapus data Anda. Untuk memverifikasi, Anda mungkin perlu mengonfirmasi nama pengguna dan kata sandi akun Anda, memberikan sepotong data seperti nomor telepon Anda untuk diperiksa silang oleh perusahaan, atau, jarang, menunjukkan tanda pengenal resmi Anda. Anda seharusnya tidak pernah diminta untuk membuat akun agar data Anda dihapus, menurut CCPA.
Mengajukan permintaan penghapusan data tidak mudah, kata Merrill, jadi pastikan untuk menjaga nada bicara Anda tetap ramah dan tanggapi persyaratan verifikasi secepat mungkin.
Pikirkan Anda anonim online? Sepertiga dari situs web populer adalah 'sidik jari' Anda.
Bagaimana jika saya tidak tinggal di California ?
Hanya penduduk California yang berhak atas penghapusan data berdasarkan CCPA. (Mengapa perusahaan memiliki hak atas data Anda dan Anda tidak pada hal lain. Dan ini dan yang lainnya).
Tetapi beberapa perusahaan mengatakan mereka akan menghormati permintaan penghapusan di mana pun Anda tinggal. Spotify, Uber, dan Twitter mengatakan mereka memperlakukan permintaan penghapusan dari lokasi geografis mana pun dengan sama. Netflix, Microsoft, Starbucks, dan UPS juga mengatakan mereka akan memperpanjang hak CCPA untuk semua orang Amerika.
Extending CCPA rights to all consumers is one way companies can practice “privacy by design,” Merrill said, adding that the security industry has set a good example by taking steps to protect consumers beyond what’s immediately necessary or legally required.
Memperluas hak CCPA untuk semua konsumen adalah salah satu cara perusahaan dapat mempraktikkan "privasi berdasarkan desain," kata Merrill, menambahkan bahwa industri keamanan telah memberikan contoh yang baik dengan mengambil langkah-langkah untuk melindungi konsumen di luar apa yang segera diperlukan atau diwajibkan secara hukum.
Apakah mengirimkan permintaan berarti data saya akan dihapus ?
Tidak. Permintaan penghapusan tunduk pada beberapa pengecualian luas. Beberapa perusahaan — seperti layanan keuangan — harus berpegang pada data tertentu untuk kepatuhan dan pelaporan hukum. CCPA juga memungkinkan perusahaan untuk menyimpan data Anda jika mereka menggunakannya untuk keamanan, debugging, atau perlindungan penipuan, atau "untuk memungkinkan penggunaan internal semata-mata yang sesuai dengan harapan konsumen berdasarkan hubungan konsumen dengan bisnis." Bahasa yang licin mudah dieksploitasi, kata Mahoney dari Consumer Reports.
Terkadang, perbedaan antara data yang memenuhi syarat untuk dihapus dan data yang tidak menjadi kabur. Eddie Lo, seorang pekerja teknologi di San Francisco, merasa frustrasi dan bingung, katanya, ketika hanya beberapa hari setelah melalui proses verifikasi identitas dengan aplikasi layanan keuangan Ellevest dan meminta perusahaan menghapus datanya, dia menerima apa yang tampak baginya menjadi email pemasaran yang memintanya untuk memperbarui datanya di file dengan perusahaan.
Ternyata, mengirim email kepada orang-orang yang meminta datanya dihapus bisa menjadi hak dan tanggung jawab Ellevest sebagai perusahaan jasa keuangan.
Direktur Pengalaman Klien Ellevest Patricia Selwood mengatakan bahwa email yang diterima Lo adalah "transaksional", bukan pemasaran, dan bahwa perusahaan bertindak sesuai dengan hukum.
Lo mengatakan seluruh proses terasa seperti latihan yang sia-sia.
Selain itu, CCPA tidak mewajibkan perusahaan untuk menghapus data pribadi yang telah dikumpulkan atau "di-deidentifikasi". Itu berarti jika mereka menggabungkan data Anda dengan data dari orang lain dengan cara yang mengaburkan data mana yang berasal dari siapa, mereka diizinkan untuk menyimpannya.
Tetapi menurut Tsukayama dari EFF, data pribadi yang tidak teridentifikasi adalah sebuah oxymoron. Dia menunjuk pada penelitian, seperti ini dari para peneliti di Eropa – yang telah menemukan cara untuk mengidentifikasi kembali persentase besar individu dalam kumpulan data yang dianonimkan.
Beberapa perusahaan yang sangat teduh menggunakan teknik desain yang disebut "pola gelap" untuk mencegah pelanggan mengakses dan menghapus data mereka, kata Tsukayama. Anda mungkin akrab dengan pola gelap dari pop-up di situs belanja yang mencoba mempersenjatai Anda untuk memberikan alamat email Anda, dengan opsi seperti, "Ya, saya ingin email," atau "Tidak, saya ingin tetap mengabaikan penjualan dan promosi penting.”
Perusahaan lain mengabaikan permintaan, menyembunyikan formulir, atau memerlukan bukti identitas yang tidak masuk akal, satu perusahaan dalam studi penyisihan data Consumer Reports meminta peserta untuk menyerahkan pernyataan tertulis yang diaktakan, kata Mahoney.
Jika menurut Anda sebuah perusahaan melalaikan tanggung jawab CCPA-nya, Anda dapat melaporkannya ke jaksa agung California di sini. Menandai perusahaan di media sosial adalah cara lain yang baik untuk menarik perhatian pada masalah, kata Mary Stone Ross, yang membantu penulis CCPA saat menjabat sebagai presiden kelompok advokasi California untuk Privasi Konsumen.
"Saya semua untuk mempermalukan publik," katanya. “Twitter adalah tempat yang tepat untuk memanggil perusahaan-perusahaan ini.”
Tidak ada jalan keluar dari Facebook, bahkan jika Anda tidak menggunakannya
Tidak bisakah seseorang melakukan ini untukku ?
Sebenarnya ya. CCPA mengizinkan agen resmi untuk mengajukan permintaan atas nama Anda — mereka hanya perlu membuktikan bahwa mereka memiliki izin Anda. Consumer Reports sedang mengerjakan alat yang dapat mengirimkan penolakan massal "jangan jual" atas nama penduduk California, kata Mahoney dan Yael Grauer, seorang reporter di publikasi tersebut. Jika Anda memiliki pemahaman teknis, alat sumber terbuka Bot Privasi dapat mengirim permintaan penghapusan data massal dari alamat email Anda.
Beberapa browser dan ekstensi — termasuk Brave dan Duck Duck Go — menyertakan sinyal yang disebut Kontrol Privasi Global, yang mengirimkan preferensi "jangan jual" Anda langsung ke situs web yang Anda kunjungi. Perusahaan lamban untuk menghormati sinyal tersebut, kata Mahoney dan Grauer, tetapi kantor jaksa agung California menjelaskan dalam FAQ CCPA bahwa bisnis harus memperlakukan Kontrol Privasi Global sebagai permintaan penyisihan yang valid. Konon, banyak perusahaan masih memilih untuk mengabaikannya, menurut Stone Ross.
Tunggu — ini semua tampaknya tidak efisien
Oh, Begitu.
Perusahaan yang Anda gunakan — dan bahkan yang belum pernah Anda dengar — menyedot data Anda sepanjang hari, kata pendukung privasi. Tidak mungkin mengirim permintaan penghapusan ke setiap perusahaan yang pernah mendapatkan nomor telepon Anda, misalnya, karena tidak ada cara untuk mengetahui siapa yang memilikinya.
Pendekatan yang lebih efektif, kata pengacara privasi Merrill, mungkin berfokus pada memilih keluar dari penjualan data Anda. Anda dapat melakukannya dengan mengirimkan permintaan "jangan jual", biasanya di tempat yang sama dengan saat Anda mengajukan permintaan penghapusan, atau melalui tautan "jangan jual data pribadi saya" di situs web perusahaan. Ini adalah perbedaan antara menangani pengumpulan data di masa sekarang dan mengelolanya untuk masa depan, katanya, menggambarkan skenario hipotetis di mana sebuah perusahaan menghapus data Anda hanya untuk membeli semuanya lagi dari pihak ketiga.
Perusahaan tidak berkewajiban untuk memenuhi permintaan ini dari orang-orang di luar California, tetapi banyak yang melakukannya, kata Grauer dari Consumer Reports. Jangan berbohong tentang di mana Anda tinggal, sarannya, tetapi silakan kosongkan bidangnya dan lihat apa yang terjadi.
Pada akhirnya, pendekatan Anda terhadap penghapusan data akan bergantung pada kekhawatiran Anda, kata Grauer, apakah itu pencurian identitas, konten yang ditargetkan, penguntitan, pelanggaran keamanan, atau masalah lain yang menyertai berbagi data yang merajalela..
Perlindungan yang lebih ketat bagi konsumen akan membuat semua ini tidak terlalu rumit, kata Mahoney dan Grauer. Tetapi pembuat kebijakan harus turun tangan.
“Saya pikir ini adalah hari-hari awal, dan saya berharap proses meningkat dari waktu ke waktu dan akan ada lebih banyak solusi yang dikembangkan untuk memudahkan konsumen menggunakan hak mereka untuk menghapus,” kata Mahoney.
It’s the middle of the night. Do you know who your iPhone is talking to?
Introducing the Help Desk: Making tech work for you
Help Desk is a new destination built for readers looking to better understand and take control of the technology used in everyday life. Meet the Help Desk team.
The latest: Workers are putting on pants to return to the office only to be on Zoom all day.
Data and Privacy: A guide to every privacy setting you should change now. We have gone through the settings for the most popular (and problematic) services to give you recommendations. Google | Amazon | Facebook | Venmo
Ask a question: Send the Help Desk your personal technology questions.
Read our answers: The Help Desk responded to a few technical dilemmas, like “Is my smart device listening to me?”
Go deeper: Tech in Your Life | Tech at Work | Your Data and Privacy | Internet Access | What’s New | Ethical Issues
