Uden en tilsvarende føderal lov tilføjer VCDPA endnu et lag til amerikanske databeskyttelsesregler. Den trådte i kraft den 1. januar 2023. Hvis din virksomhed overholder CCPA/CPRA eller GDPR, vil det kræve minimale justeringer at opnå VCDPA-overensstemmelse. For dem, der endnu ikke er i overensstemmelse, er det afgørende at forstå ansvar og forbrugerrettigheder. En samtykkestyringsløsning kan hjælpe med at sikre overholdelse af cookies og sporing.
Få et gratis cookie-banner nu
Det er ligegyldigt, om du er i USA, Europa eller et andet sted.
Vigtige punkter
- Omfang og anvendelighed:
- VCDPA gælder for alle profitvirksomheder, der driver forretning i Virginia eller retter sig mod Virginia-beboere, uanset hvor de er baseret.
- Organisationer skal overholde, hvis de kontrollerer eller behandler data fra 100.000 eller flere forbrugere årligt, eller 25.000 eller flere forbrugere og genererer over 50% af deres indtægter fra salg af persondata.
- Forbrugerrettigheder og samtykke:
- Forbrugere kan til enhver tid fravælge dataindsamling, behandling og salg.
- Forudgående samtykke er nødvendigt for følsomme persondata, såsom data fra brugere under 13 år, sundheds- og biometriske data samt information om race, religion, politiske holdninger og seksuel orientering.
- Webstedscookies og målrettet reklame:
- Brugere skal have mulighed for at fravælge cookies og sporingsteknologier, der anvendes til målrettet reklame, opnåeligt gennem samtykkestyringsplatforme (CMP).
- Ligesom med GDPR-overholdelse skal virksomheder informere brugere om dataindsamling og give en fravalgsoption.
- Overensstemmelseskrav:
- Organisationer skal give privatlivsmeddelelser, der beskriver, hvilke data der indsamles, deres formål, og eventuelle tredjeparter, som data deles med.
- De bør etablere datasikkerhedspraksis, begrænse dataindsamling til nødvendige oplysninger og kun behandle data til oplyste formål, medmindre der opnås nyt samtykke.
- Håndhævelse og straffe:
- VCDPA håndhæves af Virginia Attorney General med bøder op til ,500 per overtrædelse.
- Organisationer har en 30-dages afhjælpningsperiode til at rette overtrædelsesproblemer inden der idømmes bøder.
Overholdelsestips
For at overholde VCDPA bør organisationer:
- Udføre en grundig datarevision for at forstå, hvilke persondata der indsamles og behandles.
- Implementere samtykkestyringsplatforme (CMP) til at håndtere brugerfravalg effektivt.
- Sørg for, at privatlivsmeddelelser er let tilgængelige og klart skrevet for at informere brugere om datapraksis.
- Etabler og oprethold stærke datasikkerhedsforanstaltninger.
- Overvåg og svar hurtigt på forbrugerforespørgsler vedrørende deres datarettigheder.
Ved at overholde disse praksisser vil organisationer kunne navigere i kompleksiteten af VCDPA og opretholde overholdelse, samtidig med at de respekterer forbrugernes databeskyttelse.
Virginia blev den anden stat i USA til at vedtage omfattende databeskyttelseslovgivning med Virginia Consumer Data Protection Act (VCDPA), som blev underskrevet til lov i marts 2021.
Gældende fra 1. januar 2023 påvirker VCDPA virksomheder og organisationer, der driver forretning i Virginia eller målretter produkter og tjenester til indbyggere i Virginia. Uanset om de er baseret i Virginia eller ej, skal alle relevante organisationer overholde VCDPA-kravene, hvis de opfylder overholdelseskriterierne.
Hvad er Virginia Consumer Data Protection Act (VCDPA)?
VCDPA er Virginias svar på bekymringer om databeskyttelse, inspireret af California Consumer Data Privacy Act (CCPA). Denne lov understreger forbrugernes ret til at fravælge indsamling, behandling og salg af personlige data. Selvom det tillader indsamling og behandling af personlige data uden samtykke, skal forbrugerne have mulighed for at fravælge til enhver tid. Dog er forudgående samtykke obligatorisk for følsomme personlige data, der er særskilt kategoriseret i VCDPA.
I modsætning til Den Europæiske Unions generelle databeskyttelsesforordning (GDPR), som kræver forudgående brugerens samtykke til indsamling af data, tillader VCDPA indsamling af data uden indledende samtykke, men kræver informeret og eksplicit brugerens samtykke svarende til GDPR.
Overholdelseskriterier fra 1. januar 2023: Websteder, virksomheder og organisationer skal overholde VCDPA, hvis de driver forretning i Virginia eller retter deres tjenester mod indbyggere i Virginia, forudsat at de opfylder de fastsatte grænser.
Vigtige punkter i VCDPA
Omfang og definitioner:
- Generel databehandling: Der kræves ikke brugerens samtykke for generel databehandling, men det kræves for følsomme personlige data.
- Fravalg af målrettet reklame: Brugere skal kunne fravælge gennem samtykkestyringsplatforme (CMP) med samtykkebannere eller cookiebannere.
- Fair Information Practice Principles (FIPPs): Disse principper foreskriver lovlig databehandling og kræver klar oplysning om indsamlingens formål, privatlivsmeddelelser, politikker og detaljer om deling med tredjepart.
- Anvendelighed: Berører for-profit virksomheder, der enten er baseret i eller opererer i Virginia, hvis de opfylder overholdelsestærskler.
- Definitioner for salg og behandling:
- “Salg” indebærer udveksling af personlige data for monetære overvejelser.
- “Behandling” omfatter indsamling, brug, opbevaring, offentliggørelse, analyse, sletning eller ændring af personlige data.
- Følsomme personlige data: Omfatter data fra mindreårige under 13, sundheds- og biometriske data, geolokation og oplysninger om race, etnicitet, religion, politik og seksuel orientering.
- Anonymiserede data: Skal håndteres, så det ikke kan genknyttes til enkeltpersoner.
- Håndhævelse: Administreres af Virginia Attorney General, med bøder op til .500 per overtrædelse. Virksomheder får en 30-dages frist til at rette overtrædelser, før bøder pålægges.
Webstedscookies under VCDPA
VCDPA kræver en fravalgsmulighed for brugere mod dataindsamling via cookies eller sporinger til målrettet reklame. Målrettet reklame tilpasser markedsføring baseret på brugernes aktiviteter over tid og på tværs af forskellige websteder.
Overholdelse kan forenkles med en samtykkestyringsplatform, der registrerer og kontrollerer cookies baseret på brugerpræferencer udtrykt via samtykke eller cookie-bannere.
VCDPA-overholdelse for virksomheder og organisationer
Organisationer skal vide, hvilke personlige data de indsamler, behandler, gemmer og deler, og sikre databeskyttelse mod brud og misbrug.
For at overholde skal virksomheder og organisationer:
- Give privatlivsmeddelelser, der oplyser om, hvilken type data der behandles og deles, hvorfor, og med hvem det deles.
- Angiv, om data bruges til målrettet reklame, og giv fravalgsmekanismer.
- Etabler robuste datasikkerhedspraksis.
- Besvar forbrugeranmodninger inden for 45 dage, med mulige forlængelser under visse betingelser.
- Tillad klager mod afvisning af anmodninger (f.eks. på grund af utilstrækkelig identitetsverifikation).
- Begræns dataindsamling til det, der er nødvendigt for det oplyste formål, og få samtykke, hvis behandlingsformålene ændres.
Kontrollører skal have aftaler med processorer, der beskriver datatypen, behandlingsformålet og varigheden. Databehandlere skal sikre datakonfidentialitet, levere data efter anmodning, og slette data ved afslutning af tjenesten.
Overholdelse af VCDPA, CCPA/CPRA og GDPR
VCDPA synes mere lig GDOR end CCPA/CPRA, men adskiller sig på nogle områder som samtykkebestemmelser, operationel rækkevidde og definitioner af datasalg.
- Omfang: VCDPA påvirker færre enheder, ekskluderer regeringen, non-profit organisationer og visse uddannelsesinstitutioner.
- Personlige Data: Dækker et bredere udvalg af offentligt tilgængelige data i forhold til CCPA/CPRA.
- Bøder og Håndhævelse: VCDPA fastsætter højere bøder og bredere sanktioner, inklusive inddrivelse af advokatsalær og efterforskningsomkostninger.
- Salg Definition: Snævrere i VCDPA sammenlignet med Californiens bredere delingsdefinition.
- Forbrugerrettigheder: VCDPA giver mere omfattende fravalgsrettigheder for salg, målrettet annoncering og profilering, uden rettigheder til privat handling som CCPA tillader.
Privatlivsmeddelelser Under VCDPA
En privatlivsmeddelelse under VCDPA skal være klar, tilgængelig og beskrivende for:
- Kategorier af indsamlede og delte personlige data.
- Tredjeparter med adgang til dataene.
- Formålet med datainsamlingen.
- Instruktioner til fravalg af målrettet annoncering.
Forbrugerrettigheder under VCDPA
Beboere har ret til:
- Være opmærksomme på, om deres data indsamles.
- Få adgang til og modtage en kopi af deres data.
- Rette unøjagtigheder og anmode om sletning af data.
- Fravælge datainsamling til målrettet annoncering, salg eller profilering.
- Ingen diskrimination for at udøve deres rettigheder.