Virginia forbrugerdataprotokollov (VCDPA)

Uden en tilsvarende føderal lov tilføjer VCDPA et ekstra lag til amerikanske databeskyttelsesregler. Den trådte i kraft den 1. januar 2023. Hvis din virksomhed overholder CCPA/CPRA eller GDPR, vil det kræve minimale justeringer at opnå VCDPA-overholdelse. For dem, der endnu ikke er i overensstemmelse, er det afgørende at forstå ansvar og forbrugerrettigheder. En løsning til samtykkestyring kan hjælpe med at sikre overholdelse vedrørende cookies og sporingsformål.

Vigtige pointer

1. Anvendelsesområde og gyldighed:
   • VCDPA gælder for alle profitvirksomheder, der driver virksomhed i Virginia eller målretter Virginia-beboere, uanset hvor de er baseret.
   • Organisationer skal overholde, hvis de kontrollerer eller behandler data fra 100.000 eller flere forbrugere årligt, eller 25.000 eller flere forbrugere og opnår over 50 % af deres indtjening fra salg af personlige data.
2. Forbrugernes rettigheder og samtykke:
   • Forbrugere kan til enhver tid fravælge dataindsamling, -behandling og salg.
   • Forudgående samtykke kræves for følsomme persondata, såsom data fra brugere under 13 år, sundheds- og biometriske data, og information vedrørende race, religion, politiske synspunkter og seksuel orientering.
3. Cookies på hjemmesider og målrettet reklame:
   • Brugere skal have mulighed for at fravælge cookies og sporings-teknologier brugt til målrettet reklame, hvilket kan opnås gennem samtykkestyringsplatforme (CMP).
   • Ligesom ved GDPR-overholdelse skal virksomheder oplyse brugere om dataindsamling og give mulighed for fravalg.
4. Overholdelseskrav:
   • Organisationer skal give privatlivsmeddelelser, der beskriver, hvilke data der indsamles, formålet med indsamlingen og eventuelle tredjeparter, som dataene deles med.
   • De bør etablere datasikkerhedspraksis, begrænse dataindsamlingen til nødvendige oplysninger, og kun behandle data til oplyste formål, medmindre der indhentes nyt samtykke.
5. Håndhævelse og sanktioner:
   • VCDPA håndhæves af Virginia Attorney General med bøder på op til $7.500 per overtrædelse.
   • Organisationer har en 30-dages periode til at afhjælpe manglende overholdelse, før bøder pålægges.

Tips til overholdelse

For at overholde VCDPA bør organisationer:

• Gennemføre en grundig datarevision for at forstå, hvilke personlige data der indsamles og behandles.
• Implementere samtykkestyringsplatforme (CMP) for effektivt at håndtere brugerfravalg.
• Sikre, at privatlivsmeddelelser er let tilgængelige og klart skrevet for at informere brugerne om data-praksis.
• Etablere og vedligeholde robuste databeskyttelsesforanstaltninger.
• Overvåge og reagere hurtigt på forbrugerhenvendelser vedrørende deres datarrettigheder.

Ved at følge disse praksisser vil organisationer lette vejen gennem VCDPA’s kompleksiteter og opretholde overholdelse, mens de respekterer forbrugerens databeskyttelse.

Virginia blev den anden stat i USA til at vedtage omfattende databeskyttelseslovgivning med Virginia Consumer Data Protection Act (VCDPA), der blev underskrevet til lov i marts 2021.

Gyldig fra 1. januar 2023 påvirker VCDPA virksomheder og organisationer, der driver forretning i Virginia eller målretter produkter og tjenester mod Virginia-beboere. Uanset om de er baseret i Virginia eller ej, skal alle relevante organisationer opfylde VCDPA-kravene, hvis de opfylder overholdelseskriterierne.

Hvad er Virginia Consumer Data Protection Act (VCDPA)?

VCDPA er Virginias svar på databeskyttelsesbekymringer, inspireret af California Consumer Data Privacy Act (CCPA). Denne lov understreger forbrugernes ret til at fravælge indsamling, behandling og salg af personlige data. Det er tilladt at indsamle og behandle personlige data uden samtykke, men forbrugerne skal til enhver tid have mulighed for at fravælge. Dog er forudgående samtykke obligatorisk for følsomme persondata, der er særskilt kategoriseret inden for VCDPA.

I modsætning til Den Europæiske Unions generelle databeskyttelsesforordning (GDPR), der kræver forudgående brugersamtykke til dataindsamling, tillader VCDPA dataindsamling uden indledende samtykke, men kræver informeret og eksplicit brugersamtykke i overensstemmelse med GDPR.

Overholdelseskriterier fra 1. januar 2023: Hjemmesider, virksomheder og organisationer skal overholde VCDPA, hvis de driver forretning i Virginia eller målretter deres tjenester mod Virginia-beboere, forudsat at de opfylder de fastsatte tærskler.

Nøglepunkter i VCDPA

Omfang og definitioner:

• Generel databehandling: Der kræves ikke brugerens samtykke til generel databehandling, men det kræves for følsomme persondata.
• Fravalg af målrettet reklame: Brugere bør kunne fravælge via samtykkestyringsplatforme (CMP) med samtykke- eller cookie-bannere.
• Principper for retfærdig informationspraksis (FIPPs): Disse principper dikterer lovlig dataindsamling og kræver klar meddelelse om indsamlingens formål, privatlivsmeddelelser, politikker og delingsdetaljer med tredjeparter.
• Anvendelighed: Berører profitvirksomheder enten baseret eller opererende i Virginia, hvis de opfylder overholdelsestærskler.
• Salg- og behandlingsdefinitioner:
  • “Salg” indebærer udveksling af persondata for økonomisk modydelse.
  • “Behandling” inkluderer indsamling, anvendelse, lagring, videregivelse, analyse, sletning eller ændring af persondata.
• Sensitive persondata: Indeholder data fra mindreårige under 13 år, sundheds- og biometriske data, geolokation og information om race, etnicitet, religion, politik og seksuel orientering.
• De-identifierede data: Skal håndteres, så de ikke kan re-associeres med enkeltpersoner.
• Håndhævelse: Administreres af Virginias justitsminister, med bøder op til $7.500 per overtrædelse. Virksomheder får en 30-dages periode til at afhjælpe overtrædelser, før bøder pålægges.

Hjemmesidecookies under VCDPA

VCDPA kræver en fravalgsmulighed for brugere mod indsamling af data via cookies eller tracking til målrettet annoncering. Målrettet annoncering tilpasser markedsføring baseret på brugeres aktiviteter over tid og på tværs af forskellige hjemmesider.

Overholdelse kan forenkles med en samtykkehåndteringsplatform, der registrerer og kontrollerer cookies baseret på brugerpræferencer udtrykt via samtykke- eller cookie-bannere.

VCDPA-overholdelse for virksomheder og organisationer

Organisationer skal vide, hvilke persondata de indsamler, behandler, opbevarer og deler, og sikre databeskyttelse mod brud og misbrug.

For at overholde, skal virksomheder og organisationer:

• Give privatlivsmeddelelser, der oplyser om typen af data, der behandles og deles, hvorfor, og med hvem det deles.
• Oplyse, hvis data bruges til målrettet annoncering og give fravalgsmekanismer.
• Etablere robuste databeskyttelsespraksisser.
• Besvare forbrugerhenvendelser inden for 45 dage, med mulige forlængelser under visse betingelser.
• Tillad klager over afvisning af anmodninger (fx på grund af utilstrækkelig identitetsbekræftelse).
• Begræns dataindsamling til det, der er nødvendigt for det oplyste formål, og indhent samtykke, hvis behandlingsformål ændrer sig.

Kontrollører skal have aftaler med behandlere, der detaljerer datatypen, behandlingsformålet og varigheden. Behandlere skal sikre datakonfidensialitet, give data ved forespørgsel og slette data ved tjenestens afslutning.

Overholdelse med VCDPA, CCPA/CPRA og GDPR

VCDPA synes mere lig GDPR end CCPA/CPRA, men afviger i nogle aspekter som samtykkeprovisioner, operationel rækkevidde og definitioner af datasalg.

• Anvendelsesområde: VCDPA berører færre enheder, udelukker regeringer, nonprofitorganisationer og visse undervisningsinstitutioner.
• Persondata: Dækker et bredere udvalg af offentligt tilgængelige data sammenlignet med CCPA/CPRA.
• Bøder og håndhævelse: VCDPA foreskriver højere bøder og bredere sanktioner, inklusive dækning af advokatsalærer og efterforskningsomkostninger.
• Salg Definition: Snævrere i VCDPA sammenlignet med Californiens bredere delingsdefinition.
• Forbrugerrettigheder: VCDPA giver mere omfattende fravalgsrettigheder for salg, målrettet annoncering og profilering, uden private handlingsrettigheder som CCPA tillader.

Privatlivsmeddelelser under VCDPA

En privatlivsmeddelelse under VCDPA skal være klar, tilgængelig og beskrive:

• Kategorier af indsamlede og delte persondata.
• Tredjeparter med adgang til dataene.
• Formålet med dataindsamlingen.
• Instruktioner til at fravælge målrettet annoncering.

Forbrugerrettigheder under VCDPA

Beboere har ret til:

• Vide, om deres data indsamles.
• Få adgang til og modtage en kopi af deres data.
• Korrigere unøjagtigheder og anmode om sletning af data.
• Fravælge dataindsamling til målrettet annoncering, salg eller profilering.
• Ikke-diskrimination for udøvelse af deres rettigheder.