Mulai dari pelacakan pengenalan wajah hingga pelanggaran data sidik jari, pelajari cara melawan pengumpulan data biometrik tanpa izin. Perlindungan Illinois BIPA, penyelesaian Meta $1.4B di Texas, putusan Clearview AI, dan hak data kategori khusus GDPR Pasal 9.
Wajah Anda, sidik jari, pola iris, cetak suara, dan bahkan DNA Anda adalah pengidentifikasi biologis unik—jauh lebih sensitif daripada kata sandi atau nomor kartu kredit, karena tidak dapat diubah jika dicuri atau disalahgunakan. Namun, perusahaan semakin banyak mengumpulkan data biometrik ini dengan pengawasan minimal, menyematkan pengenalan wajah di aplikasi media sosial, menggunakan pemindaian sidik jari untuk pencatat waktu di tempat kerja, menerapkan pemindai iris untuk akses gedung, dan mengambil miliaran foto dari internet untuk membangun basis data pengawasan—seringkali tanpa persetujuan yang jelas, keamanan yang memadai, atau pengungkapan tentang bagaimana data akan digunakan atau dibagikan.
Konsekuensi dari pengumpulan data biometrik tanpa izin sangat parah. Setelah geometri wajah atau templat sidik jari Anda dicuri dalam pelanggaran data, penjahat dapat menggunakannya untuk pencurian identitas selamanya—Anda tidak dapat memiliki wajah baru atau sidik jari baru. Sistem pengawasan biometrik memungkinkan pelacakan pervasif terhadap pergerakan Anda melalui ruang publik, toko, dan tempat kerja tanpa sepengetahuan Anda. Algoritma diskriminatif yang tertanam dalam sistem pengenalan wajah salah mengidentifikasi minoritas pada tingkat yang mengkhawatirkan, menyebabkan penangkapan yang salah (setidaknya enam kasus yang didokumentasikan di A.S. pada tahun 2024). Perusahaan mendapatkan keuntungan dengan menjual data biometrik Anda kepada pengiklan, pialang data, dan bahkan pemerintah otoriter.
Illinois memimpin pada tahun 2008 dengan memberlakukan Biometric Information Privacy Act (BIPA), undang-undang privasi biometrik terkuat di negara itu, yang memberikan hak tindakan pribadi kepada individu untuk menuntut perusahaan yang mengumpulkan data biometrik tanpa persetujuan dan pengungkapan tertulis. BIPA memberikan ganti rugi menurut undang-undang sebesar $1.000 per pelanggaran kelalaian dan $5.000 per pelanggaran sembrono/disengaja—artinya tidak diperlukan bukti kerugian aktual. Texas menyusul dengan Capture or Use of Biometric Identifier (CUBI) Act (amandemen 2023 memperkuat penegakan hukum). CCPA California mengklasifikasikan data biometrik sebagai informasi pribadi sensitif yang memerlukan perlindungan yang lebih tinggi. Dan GDPR Pasal 9 Uni Eropa memperlakukan data biometrik sebagai data "kategori khusus" yang memerlukan persetujuan eksplisit dan keamanan yang ketat.
Penyelesaian besar telah memvalidasi perlindungan ini: Meta membayar $1.4 miliar kepada Texas (2024) karena mengumpulkan data pengenalan wajah tanpa persetujuan, penyelesaian privasi terbesar oleh satu negara bagian. Meta sebelumnya membayar $650 juta untuk menyelesaikan gugatan class action BIPA Illinois atas penandaan foto Facebook. Clearview AI membayar $50 juta untuk menyelesaikan klaim Illinois atas pengambilan miliaran foto. Google membayar $100 juta untuk pengenalan wajah Google Photos (Illinois). Amazon Ring, Six Flags, Snapchat, TikTok, dan puluhan pemberi kerja telah membayar penyelesaian BIPA mulai dari $500.000 hingga $100 juta. Klaim BIPA individu secara teratur menghasilkan $5.000-$15.000 per orang. Panduan ini menunjukkan kepada Anda cara mengidentifikasi pelanggaran privasi biometrik, memahami hak-hak Anda, dan mengejar setiap jalur untuk mendapatkan kompensasi.
Illinois BIPA (740 ILCS 14/) adalah undang-undang privasi biometrik terkuat di A.S. Ini berlaku untuk setiap entitas swasta yang mengumpulkan, menangkap, menyimpan, atau menggunakan pengidentifikasi biometrik (geometri wajah, sidik jari, cetak suara, pemindaian iris, pemindaian retina, pemindaian tangan, pengenalan gaya berjalan) dari penduduk Illinois—bahkan jika perusahaan tersebut berbasis di tempat lain. Perusahaan harus: (1) mengembangkan dan menerbitkan kebijakan retensi dan penghancuran tertulis; (2) memberikan pemberitahuan tertulis bahwa data biometrik sedang dikumpulkan; (3) memperoleh persetujuan tertulis; (4) tidak pernah menjual, menyewakan, atau mengambil keuntungan dari data biometrik; (5) menggunakan kehati-hatian yang wajar untuk melindungi data biometrik (standar yang sama dengan data keuangan).
Kekuatan utama BIPA: hak tindakan pribadi. Anda dapat menuntut langsung di pengadilan negara bagian Illinois tanpa mengajukan keluhan administratif. Ganti rugi: $1.000 per pelanggaran kelalaian, $5.000 per pelanggaran disengaja/sembrono, ditambah biaya pengacara. Tidak diperlukan bukti kerugian aktual—pelanggaran itu sendiri menciptakan klaim. Pengadilan telah memutuskan bahwa setiap pemindaian dapat menjadi pelanggaran terpisah (misalnya, jika pemberi kerja memindai sidik jari Anda 500 kali untuk pencatat waktu selama 2 tahun, potensi ganti rugi: $500.000-$2.5M, meskipun pengadilan biasanya memberikan lebih sedikit). Batas waktu pengajuan gugatan: 5 tahun (terkadang 1 tahun untuk pelanggaran pelepasan tertulis—kompleks).
Common BIPA Violations:
Pelanggaran BIPA umum: Pemberi kerja mewajibkan pemindaian sidik jari tanpa persetujuan tertulis. Facebook menandai Anda di foto menggunakan pengenalan wajah tanpa persetujuan. Sistem keamanan memindai wajah Anda untuk masuk gedung tanpa pengungkapan. Pengecer menggunakan pengenalan wajah untuk pelacakan pelanggan tanpa pemberitahuan. Aplikasi menganalisis cetak suara Anda tanpa persetujuan.
Texas Business & Commerce Code Bab 503 (diperkuat 2023) melindungi pengidentifikasi biometrik (geometri wajah, cetak suara, pemindaian retina/iris, sidik jari, pemindaian tangan, dinamika penekanan tombol). Perusahaan harus: (1) memberi tahu individu bahwa data biometrik sedang ditangkap; (2) memperoleh persetujuan (dapat dalam syarat layanan, tetapi harus jelas); (3) menghancurkan data dalam waktu yang wajar setelah tujuan terpenuhi; (4) melindungi data dengan kehati-hatian yang wajar. Larangan: tidak dapat menjual, menyewakan, atau mengungkapkan data biometrik tanpa persetujuan.
Penegakan hukum: Jaksa Agung Texas dapat menuntut untuk mendapatkan perintah pengadilan dan $25.000 per pelanggaran. Hak tindakan pribadi: individu dapat menuntut ganti rugi aktual jika mereka menderita kerugian, ditambah biaya pengacara. Tidak seperti Illinois BIPA, Texas CUBI memerlukan bukti kerugian aktual untuk gugatan pribadi (beban yang lebih berat), tetapi penegakan hukum negara bagian telah agresif—penyelesaian Meta $1.4B diajukan oleh Jaksa Agung Texas di bawah CUBI + Texas DTPA. Gugatan class action dimungkinkan.
Note:
Prioritas penegakan hukum Jaksa Agung Texas (2024): Pengenalan wajah media sosial, pelacakan biometrik karyawan tanpa persetujuan, pelanggaran data yang mengekspos data biometrik, penjualan data biometrik kepada pihak ketiga.
CCPA (Cal. Civ. Code § 1798.100 et seq.) mengklasifikasikan "informasi biometrik" (karakteristik fisiologis, biologis, atau perilaku yang dapat digunakan untuk identifikasi, termasuk citra wajah, pemindaian iris, sidik jari, cetak suara, pola penekanan tombol, gaya berjalan) sebagai "informasi pribadi sensitif." Bisnis harus: (1) mengungkapkan pengumpulan data biometrik dalam kebijakan privasi; (2) menawarkan hak untuk memilih keluar (konsumen dapat membatasi penggunaan untuk tujuan yang diperlukan); (3) tidak menjual data biometrik tanpa persetujuan opt-in yang eksplisit. Pelanggaran: Jaksa Agung California atau Badan Perlindungan Privasi dapat mendenda $2.500 per pelanggaran ($7.500 untuk yang disengaja). Pelanggaran data: Jika data biometrik dilanggar karena kurangnya keamanan yang wajar, konsumen dapat menuntut $100-$750 per insiden, atau ganti rugi aktual (mana yang lebih besar), ditambah biaya pengacara. Tidak seperti Illinois BIPA, CCPA tidak memberikan ganti rugi menurut undang-undang untuk pengumpulan tanpa persetujuan jika tidak ada pelanggaran data.
RCW 19.375 mewajibkan bisnis yang mendaftarkan konsumen dalam sistem pengidentifikasi biometrik untuk: (1) memberikan pemberitahuan tujuan dan durasi pendaftaran; (2) memperoleh persetujuan; (3) menghancurkan data ketika tujuan terpenuhi atau dalam waktu 3 tahun. Pelanggaran ditegakkan oleh Jaksa Agung Washington di bawah Consumer Protection Act: hingga $7.500 per pelanggaran. Hak tindakan pribadi: konsumen dapat menuntut ganti rugi aktual, perintah pengadilan, dan biaya pengacara jika mereka menderita kerugian. Lebih kuat dari CCPA, tetapi lebih lemah dari Illinois BIPA (memerlukan bukti kerugian untuk ganti rugi individu).
GDPR Pasal 9 mengklasifikasikan data biometrik yang digunakan untuk identifikasi unik (pengenalan wajah, pencocokan sidik jari, pemindaian iris, DNA) sebagai data pribadi "kategori khusus" yang memerlukan persetujuan eksplisit (bukan hanya opt-in, tetapi persetujuan afirmatif, terinformasi, yang diberikan secara bebas) atau pengecualian Pasal 9 lainnya (misalnya, kepentingan publik yang substansial dengan dasar hukum). Pengontrol harus melakukan Penilaian Dampak Perlindungan Data (DPIA) untuk pemrosesan biometrik. Persyaratan keamanan ditingkatkan.
Pelanggaran: Hingga €20 juta atau 4% dari omset tahunan global (mana yang lebih tinggi). Individu dapat menuntut ganti rugi material dan non-material di bawah Pasal 82 (pengadilan UE telah memberikan €2.000-€10.000 untuk pelanggaran GDPR biometrik yang menyebabkan tekanan emosional, lebih tinggi jika terjadi pelanggaran data atau diskriminasi). Hak untuk penghapusan (Pasal 17): Anda dapat menuntut penghapusan data biometrik Anda jika persetujuan tidak valid atau data tidak lagi diperlukan. DPA Nasional (Otoritas Perlindungan Data) menegakkan—ajukan keluhan ke DPA di negara UE Anda.
Major GDPR Fines:
Denda biometrik GDPR utama: Clearview AI (denda €20M+ di beberapa negara UE untuk basis data pengenalan wajah ilegal), H&M (€35M untuk pengawasan karyawan), British Airways (£20M untuk pelanggaran data paspor biometrik).
Belum ada undang-undang privasi biometrik federal yang komprehensif, tetapi: (1) FTC Act Bagian 5: FTC dapat menuntut perusahaan atas praktik tidak adil/menipu jika mereka mengumpulkan data biometrik yang bertentangan dengan janji kebijakan privasi atau tanpa pengungkapan. Snapchat, TikTok, Facebook menyelesaikan keluhan FTC. (2) Children's Online Privacy Protection Act (COPPA): Melarang pengumpulan data biometrik dari anak di bawah 13 tahun tanpa persetujuan orang tua yang dapat diverifikasi. (3) Undang-undang federal yang diusulkan: National Biometric Information Privacy Act (tertunda, dimodelkan pada Illinois BIPA), Fourth Amendment is Not For Sale Act (membatasi pembelian data biometrik oleh pemerintah). (4) Lembaga federal: HHS HIPAA mencakup data biometrik yang dikumpulkan oleh entitas perawatan kesehatan. Pengenalan wajah TSA di bandara tunduk pada Privacy Act—pemulihan terbatas.
Jaksa Agung Texas menggugat Meta (Facebook) di bawah Texas CUBI dan Deceptive Trade Practices Act karena mengumpulkan jutaan data pengenalan wajah warga Texas melalui penandaan foto tanpa persetujuan. Fitur pengenalan wajah Facebook secara otomatis memindai wajah di foto yang diunggah untuk menyarankan tag, mengumpulkan geometri wajah. Penyelesaian: $1.4 miliar (penyelesaian privasi terbesar oleh satu negara bagian), dibayarkan selama 5 tahun. Meta setuju untuk berhenti menggunakan pengenalan wajah di Texas tanpa persetujuan eksplisit, menghapus data yang sebelumnya dikumpulkan, dan tunduk pada pemantauan. Signifikansi: Membuktikan bahwa Jaksa Agung negara bagian dapat mengamankan ganti rugi besar di bawah undang-undang biometrik negara bagian bahkan ketika undang-undang federal tidak ada.
Gugatan class action Patel v. Facebook menuduh pengenalan wajah penandaan foto Facebook melanggar Illinois BIPA dengan mengumpulkan dan menyimpan geometri wajah tanpa persetujuan tertulis dari 1.6 juta pengguna Illinois. Pengadilan federal menyetujui penyelesaian $650 juta (rata-rata $397 per orang, dengan beberapa menerima $300-$500 tergantung pada tahun penggunaan). Persyaratan: Penduduk Illinois dengan akun Facebook selama Juni 2011-Agustus 2021 di mana Anda atau teman muncul di foto. Signifikansi: Penyelesaian BIPA terbesar dan gugatan class action privasi terbesar pada saat itu. Menetapkan bahwa pengenalan wajah otomatis pada foto, bahkan jika diunggah oleh teman (bukan oleh Anda), memicu persyaratan persetujuan BIPA.
Clearview AI mengambil 30 miliar foto dari media sosial, situs web, dan internet publik untuk membangun basis data pengenalan wajah yang dijual kepada penegak hukum dan perusahaan swasta. Penduduk Illinois menggugat di bawah BIPA. Penyelesaian (2024): $50 juta (dibayarkan dalam saham Clearview kepada anggota kelas—struktur kontroversial), ditambah perintah pengadilan nasional: Clearview dilarang menjual akses ke basis data kepada perusahaan swasta di A.S., harus memberi tahu individu jika data biometrik mereka ada di basis data dan mengizinkan opt-out. Penyelesaian terpisah: Penyelesaian ACLU membatasi penggunaan Clearview. Beberapa negara UE mendenda Clearview €20 juta+ di bawah GDPR. Kasus-kasus yang sedang berlangsung di California, Vermont. Signifikansi: Menetapkan bahwa pengambilan foto publik untuk membangun basis data pengenalan wajah melanggar BIPA bahkan jika foto-foto tersebut diposting secara publik.
Gugatan class action menuduh fitur pengelompokan pengenalan wajah Google Photos ("pengelompokan wajah" untuk mengatur foto berdasarkan orang) melanggar BIPA dengan mengumpulkan dan menyimpan geometri wajah tanpa persetujuan tertulis. Penyelesaian: $100 juta untuk penduduk Illinois yang menggunakan Google Photos dan muncul dalam foto antara Mei 2015-April 2023. Pembayaran rata-rata: $150-$400 per orang. Google setuju untuk memberikan pengungkapan BIPA yang lebih jelas dan memperoleh persetujuan sebelum pengenalan wajah di Illinois. Signifikansi: Penyelesaian BIPA besar pertama terhadap Google, menunjukkan layanan foto cloud tunduk pada BIPA.
FTC menggugat Amazon atas kamera bel pintu Ring: (1) memberikan karyawan akses tak terbatas ke rekaman video pelanggan, termasuk momen intim; (2) menggunakan pengenalan wajah pada video pelanggan untuk melatih AI tanpa persetujuan; (3) kegagalan keamanan yang menyebabkan peretas mengakses kamera. Penyelesaian: $5,8 juta untuk ganti rugi konsumen. Amazon setuju untuk menghapus data yang dikumpulkan secara tidak benar, menerapkan perlindungan privasi, dan berhenti menggunakan video pelanggan untuk pelatihan AI tanpa persetujuan eksplisit. Signifikansi: Menetapkan bahwa FTC akan menegakkan privasi biometrik berdasarkan Section 5, bahkan tanpa undang-undang biometrik federal tertentu.
Rosenbach v. Six Flags (Mahkamah Agung Illinois 2019) menetapkan preseden BIPA penting: Six Flags memindai sidik jari remaja untuk tiket musiman tanpa persetujuan atau pengungkapan tertulis. Mahkamah Agung Illinois memutuskan: Pelanggaran BIPA terjadi pada saat pengumpulan tanpa persetujuan—tidak diperlukan bukti kerugian aktual (membatalkan putusan pengadilan yang lebih rendah). Gugatan class action berikutnya diselesaikan sebesar $36 juta (pemegang tiket musiman Illinois 2013-2018 yang sidik jarinya dipindai). Pembayaran rata-rata: $200-$400 per orang. Signifikansi: Kasus penting yang menetapkan kekuatan BIPA bahkan tanpa kerugian nyata.
Gugatan class action menuduh lensa/filter augmented reality Snapchat (telinga anjing, pertukaran wajah, dll.) menggunakan pengenalan wajah untuk memetakan geometri wajah tanpa persetujuan BIPA. Penyelesaian: $35 juta untuk pengguna Snapchat Illinois Januari 2015-November 2022 yang menggunakan lensa. Rata-rata: $58 per orang. Snapchat setuju untuk memberikan pengungkapan BIPA di Illinois. Signifikansi: Menetapkan bahwa filter AR yang "menyenangkan" yang mengumpulkan geometri wajah tunduk pada BIPA—tidak dikecualikan sebagai "hiburan komersial."
Gugatan class action menggabungkan 21 tuntutan hukum yang menuduh TikTok: (1) mengumpulkan data pengenalan wajah dan sidik suara tanpa persetujuan (klaim BIPA Illinois); (2) membagikan data dengan Tiongkok; (3) melanggar privasi anak-anak. Penyelesaian: $92 juta (2021) untuk pengguna TikTok A.S. per Oktober 2021. Penggugat BIPA Illinois menerima pembayaran yang ditingkatkan ($167-$500 tergantung tingkat aktivitas). TikTok setuju untuk menghentikan praktik pengumpulan data tertentu dan memberikan pengungkapan privasi yang lebih jelas. Signifikansi: Salah satu penyelesaian BIPA besar pertama terhadap platform besar milik Tiongkok.
Ratusan pemberi kerja di Illinois telah digugat berdasarkan BIPA karena mewajibkan pemindaian sidik jari untuk jam kerja tanpa persetujuan tertulis: waralaba McDonald's (penyelesaian $50 juta), Mondelez/Nabisco ($5 juta), perusahaan truk, gudang, fasilitas kesehatan. Sebagian besar menyelesaikan kasus dengan $500-$5.000 per karyawan yang terkena dampak. Signifikansi: Menetapkan bahwa sistem biometrik di tempat kerja harus mematuhi BIPA—hubungan pemberi kerja-karyawan tidak menciptakan pengecualian. Dampak praktis: Sebagian besar pemberi kerja besar di Illinois sekarang menggunakan lencana alih-alih jam kerja biometrik.
Kasus privasi biometrik memerlukan pembuktian: (1) perusahaan mengumpulkan/menyimpan data biometrik Anda, (2) tanpa persetujuan/pengungkapan yang tepat, (3) melanggar hukum yang berlaku. Berikut cara mengumpulkan bukti:
Dokumentasikan data biometrik apa yang dikumpulkan: Pengenalan wajah (kamera keamanan, filter aplikasi, penandaan foto), pemindaian sidik jari (jam kerja, akses gedung, pembuka kunci ponsel), pemindaian iris/retina (keamanan bandara, akses keamanan tinggi), sidik suara (asisten suara, pusat panggilan), pengenalan gaya berjalan (sistem pengawasan). Bukti: Ambil foto perangkat/tanda, tangkapan layar izin aplikasi yang menunjukkan akses biometrik, tinjau kebijakan privasi yang menyebutkan pengenalan wajah atau data biometrik.
Untuk klaim BIPA Illinois, Anda harus menunjukkan bahwa perusahaan TIDAK memberikan: (1) pengungkapan tertulis bahwa data biometrik sedang dikumpulkan, (2) pengungkapan tertulis tentang tujuan dan durasi penyimpanan, (3) persetujuan tertulis (tanda tangan atau kotak centang yang menyetujui pengumpulan biometrik). Bukti: Tunjukkan bahwa Anda tidak pernah menandatangani formulir persetujuan biometrik. Jika persetujuan "tersembunyi" dalam syarat dan ketentuan umum atau kebijakan privasi tanpa bagian biometrik khusus, itu seringkali TIDAK memenuhi persyaratan "pengungkapan dan persetujuan tertulis" BIPA (pengadilan telah memutuskan BIPA memerlukan pengungkapan terpisah dan spesifik—bukan bahasa kebijakan privasi umum). Jika pemberi kerja menerapkan jam kerja sidik jari tanpa pelatihan atau formulir persetujuan, itu adalah bukti kuat. Periksa dokumen perekrutan—jika tidak ada persetujuan biometrik, Anda memiliki klaim.
BIPA Illinois: Anda harus menjadi penduduk Illinois atau karyawan fasilitas Illinois. CUBI Texas: Penduduk Texas. CCPA: Penduduk California. GDPR: Penduduk UE atau data Anda diproses oleh pengontrol di UE. Bukti: Buktikan domisili (tagihan utilitas, SIM, catatan pekerjaan yang menunjukkan lokasi kerja di Illinois). BIPA Illinois berlaku bahkan jika perusahaan berbasis di tempat lain—jika Anda tinggal/bekerja di Illinois dan mereka mengumpulkan data biometrik Anda, BIPA berlaku.
Tunjukkan bahwa perusahaan benar-benar mengumpulkan/menyimpan data biometrik: Tangkapan layar saran penandaan foto Facebook dengan nama Anda. Catatan pukulan jam kerja sidik jari (minta dari pemberi kerja berdasarkan hak akses data). Aplikasi yang meminta izin pengenalan wajah. Rekaman kamera pengawas (minta berdasarkan GDPR Article 15 / hak akses CCPA). Pemberitahuan pelanggaran data biometrik (jika perusahaan memberi tahu Anda tentang pelanggaran). Kesaksian ahli (analisis forensik yang menunjukkan aplikasi menggunakan pengenalan wajah meskipun tidak diungkapkan).
BIPA Illinois: TIDAK diperlukan bukti kerugian—pelanggaran itu sendiri menciptakan klaim. Gugatan pribadi CUBI Texas: Harus membuktikan kerugian aktual (tekanan emosional, waktu/biaya untuk mengatasi pelanggaran, risiko pencurian identitas). CCPA: Harus membuktikan pelanggaran data atau kerugian aktual. GDPR: Dapat memulihkan "kerugian non-materi" (tekanan emosional, kecemasan) tanpa kerugian finansial. Dokumentasikan kerugian: Catatan medis untuk kecemasan/terapi terkait pelanggaran. Waktu yang dihabiskan untuk mengatasi masalah (jam × tarif per jam yang wajar). Bukti upaya pencurian identitas jika data biometrik dilanggar. Tangkapan layar kontak yang mengganggu jika risiko penguntitan muncul.
Untuk ganti rugi BIPA yang lebih tinggi ($5.000 disengaja vs $1.000 kelalaian): Tunjukkan bahwa perusahaan mengetahui tentang BIPA. Bukti: Perusahaan memiliki karyawan/pelanggan Illinois (seharusnya mengetahui tentang BIPA). Gugatan BIPA sebelumnya terhadap perusahaan atau industri. Klausul kepatuhan BIPA dalam kontrak perusahaan. Email internal yang membahas BIPA (dapat ditemukan dalam litigasi). Jika perusahaan mengabaikan BIPA setelah diberitahu, itu sembrono/disengaja.
Periksa: (1) Apakah perusahaan mengumpulkan pengenalan wajah, sidik jari, pemindaian iris, sidik suara, atau data biometrik lainnya dari Anda? (2) Apakah Anda berada di yurisdiksi yang dilindungi (Illinois, Texas, California, UE, dll.)? (3) Apakah Anda memberikan persetujuan tertulis yang tepat (untuk BIPA, ini berarti pengungkapan dan persetujuan terpisah—bukan hanya syarat umum)? (4) Apakah perusahaan mengikuti prosedur yang disyaratkan (kebijakan retensi, jadwal penghancuran, langkah-langkah keamanan)? Jika perusahaan mengumpulkan data biometrik di Illinois tanpa persetujuan BIPA tertulis, Anda hampir pasti memiliki klaim—konsultasikan dengan pengacara segera (batas waktu 5 tahun, tetapi jangan menunda).
Minta data Anda untuk mengumpulkan bukti: Illinois: Kirim permintaan tertulis yang mengutip BIPA Section 15(c) yang meminta: (1) semua data biometrik yang dikumpulkan, (2) kebijakan retensi dan penghancuran tertulis, (3) daftar pihak ketiga dengan siapa data biometrik dibagikan, (4) tanggal pengumpulan dan penyimpanan. CCPA California: Minta "potongan informasi pribadi tertentu" termasuk data biometrik, sumber, penerima pihak ketiga. GDPR Article 15 UE: Minta semua data biometrik, tujuan pemrosesan, penerima, periode retensi, keberadaan pengambilan keputusan otomatis. Perusahaan harus menanggapi dalam 30-45 hari. Penolakan untuk memberikan data adalah bukti tambahan pelanggaran.
Sebelum mengajukan gugatan individu, periksa apakah ada gugatan class action untuk situasi Anda: Cari "[Nama Perusahaan] gugatan class action BIPA" atau "[Nama Perusahaan] gugatan biometrik". Periksa classaction.org, topclassactions.com, ilbipalitigation.com. Gugatan BIPA Illinois: Banyak yang tertunda terhadap pemberi kerja (manufaktur, perawatan kesehatan, ritel), perusahaan teknologi (aplikasi dengan pengenalan wajah), pemilik gedung (sistem akses gedung). Jika gugatan class action ada dan Anda memenuhi syarat, bergabunglah dengan mudah (ajukan formulir klaim saat penyelesaian disetujui). Jika tidak ada gugatan class action tetapi banyak orang yang terkena dampak, pengacara dapat mengajukan gugatan class action (lebih banyak daya tawar untuk penyelesaian).
Temukan pengacara yang berspesialisasi dalam: litigasi BIPA (Illinois), hukum privasi, perlindungan konsumen, hukum ketenagakerjaan (untuk klaim biometrik di tempat kerja). Sebagian besar pengacara BIPA bekerja berdasarkan biaya kontingensi (33-40% dari pemulihan, tanpa biaya di muka) karena: BIPA mengizinkan penggugat yang menang untuk memulihkan biaya pengacara dari tergugat. Ganti rugi berdasarkan undang-undang ($1.000-$5.000 per pelanggaran) membuat kasus layak secara ekonomi bahkan tanpa bukti kerugian. Konsultasi awal biasanya gratis. Pengacara akan mengevaluasi: kekuatan klaim, aset tergugat (tidak ada gunanya menggugat usaha kecil yang tidak mampu membayar putusan), apakah akan mengajukan gugatan individu atau class action, nilai penyelesaian potensial.
BIPA Illinois: Ajukan langsung di pengadilan negara bagian Illinois (tidak diperlukan pengajuan administratif). Yurisdiksi: Kabupaten tempat pelanggaran terjadi atau tempat tergugat berbisnis. CUBI Texas: Ajukan di pengadilan negara bagian Texas; mungkin perlu menunjukkan kerugian aktual untuk ganti rugi. California/negara bagian lain: Ajukan berdasarkan undang-undang privasi yang berlaku, hukum umum (pelanggaran privasi, kelalaian), atau tunggu penegakan hukum oleh Jaksa Agung. Banyak kasus diselesaikan sebelum persidangan: Pemberi kerja sering menyelesaikan klaim BIPA sebesar $2.000-$10.000 per karyawan untuk menghindari biaya litigasi dan preseden. Perusahaan teknologi dapat menyelesaikan lebih awal jika sertifikasi class action mungkin terjadi. Surat tuntutan (dari pengacara) kadang-kadang menghasilkan penyelesaian cepat jika pelanggaran jelas.
Penemuan: Pengacara Anda akan memanggil catatan perusahaan: kebijakan retensi data biometrik, dokumentasi sistem IT, formulir persetujuan (atau ketiadaannya), catatan siapa yang mengakses data biometrik Anda, komunikasi dengan vendor, gugatan sebelumnya. Saksi ahli: Analisis forensik sistem biometrik, analisis keamanan (jika terjadi pelanggaran data), perhitungan kerugian. Sertifikasi kelas (jika class action): Pengacara harus membuktikan kesamaan (semua anggota kelas memiliki klaim yang sama), kecukupan (penggugat perwakilan adalah tipikal), jumlah (cukup anggota kelas). Sidang atau arbitrase: Jika kasus tidak diselesaikan, sidang (juri atau hakim). Kasus BIPA sering diselesaikan selama penemuan ketika perusahaan menyadari bukti kuat. Banding: Hukum BIPA masih berkembang—beberapa kasus diajukan ke Mahkamah Agung Illinois untuk interpretasi hukum.
Anda juga dapat mengajukan pengaduan regulasi untuk menekan perusahaan dan melindungi orang lain: Jaksa Agung Illinois: Ajukan pengaduan yang menuduh pelanggaran BIPA (Jaksa Agung dapat menyelidiki atau bergabung dalam gugatan). Badan Perlindungan Privasi California: Ajukan pengaduan yang menuduh pelanggaran CCPA (dapat mengakibatkan denda). FTC: Ajukan pengaduan di reportfraud.ftc.gov jika perusahaan membuat janji privasi yang menipu atau melanggar COPPA (anak-anak). UE: Ajukan pengaduan ke Otoritas Perlindungan Data nasional (misalnya, ICO di Inggris, CNIL di Prancis) yang menuduh pelanggaran GDPR Article 9. Tindakan regulasi dapat berjalan paralel dengan gugatan pribadi dan meningkatkan tekanan penyelesaian.
Ikuti langkah-langkah ini untuk melindungi data biometrik Anda dan menuntut kompensasi atas pelanggaran