الأسئلة الشائعة: ما هو قانون حماية بيانات المستهلك في فرجينيا (VCDPA)؟

نشرت: 2023-05-15

لا تزال خصوصية البيانات موضوعًا أكثر صلة في عصرنا.

تم سن قانون حماية بيانات المستهلك في فرجينيا (CDPA أو VCDPA في فرجينيا) مؤخرًا من قبل مجلسي الهيئة التشريعية في فرجينيا ، وفرض قيودًا جديدة على جمع معلومات التعريف الشخصية (PII) الخاصة بالمقيمين في فرجينيا والكشف عنها واستخدامها من قبل الشركات غير المعفاة.

تمت الإجابة على أسئلة VCDPA في هذه الأسئلة الشائعة:

  • ما هي القيود الموجودة في VCDPA الجديد؟
  • ما هي حماية المستهلك التي يوفرها VCDPA؟
  • من سيفرض VCDPA؟
  • على من تنطبق VCDPA؟
  • متى أصبح VCDPA فعالاً؟
  • ما الذي يحتاج الناشرون لمعرفته حول VCDPA؟
ما هي القيود الموجودة في VCDPA الجديد؟
  • أنهم يحترمون طلبات محددة وقابلة للتحقق من المستهلكين في فرجينيا للكشف عن المعلومات الشخصية أو تصحيحها أو محوها ؛
  • أنها تسمح للمستهلكين في ولاية فرجينيا بإلغاء الاشتراك في معالجة البيانات الشخصية لأغراض محددة (علاوة على ذلك ، عدم معالجة البيانات الحساسة دون موافقة واضحة) ؛
  • أن تقوم الشركات بإجراء تقييمات الحماية لإجراءات معالجة البيانات الخاصة بها (بالإضافة إلى إجراءات المعالجة الأخرى للبيانات الشخصية "التي تمثل خطرًا متزايدًا لإلحاق الأذى بالمستهلكين") ؛
  • أن تحتفظ الشركات وتنشر إشعارات وإفصاحات الخصوصية المناسبة (وتلتزم بها) ؛ و
  • تقوم الشركات ومعالجي البيانات الخاصة بهم بتضمين بنود قانونية محددة في اتفاقيات الاستخدام الخاصة بهم.

من أجل ضمان سلامة المعلومات الشخصية للعملاء في ضوء VCDPA الجديد ، يجب على معالجي البيانات الآن الالتزام ببعض اللوائح الإضافية ، والتي تتعلق في الغالب بتقييمات حماية البيانات وطلبات المستهلك وإشعارات خرق الأمان.

يمكن للقراء فحص النص الكامل لـ VCDPA هنا .

رسم بعض المراقبين أوجه تشابه بين قانون خصوصية المستهلك في كاليفورنيا (قانون خصوصية المستهلك في كاليفورنيا ، الذي دخل حيز التنفيذ في عام 2020) - وهو أول إجراء مهم لخصوصية البيانات في الولايات المتحدة - و VCDPA الأخير ، الذي تمت الموافقة عليه منذ أكثر من عامين ونصف. لاحقاً. (لاحظ أن قانون خصوصية المستهلك في كاليفورنيا قد تم تعديله وتوسيعه من خلال قانون حقوق الخصوصية في كاليفورنيا [CPRA] في 1 يناير 2023.)

ومع ذلك ، يجادل آخرون بأن اللوائح العامة لحماية البيانات العامة (GDPR) للاتحاد الأوروبي هي أكثر تشابهًا مع VCDPA.

لكن VCDPA هي أيضًا مجموعة الإجراءات الخاصة بها بشكل واضح. بينما يضع VCDPA قيودًا معينة على استهداف الأعمال إلى المستهلك (B2C) ، هناك أيضًا عدد من الطرق للالتفاف على هذه القيود.

أيضًا ، في حين أن بعض هذه القيود قد يكون لها تأثير على جهود التسويق B2C للشركات ، يبدو أن استهداف فرد من فيرجين في سياق الأعمال التجارية إلى الأعمال (B2B) أو من الأعمال إلى الحكومة (B2G) لا يزال لعبة عادلة ، لذلك طالما أن القيام بذلك وثيق الصلة بوظيفة الهدف ولا ينتهك أي قوانين. ولكن إذا كنت ترغب في الوصول إلى أحد سكان فيرجينيا أثناء استرخائه مع أسرته (والهاتف) على الأريكة بعد يوم طويل ، فقد ترغب في الاتصال بإعلاناتك المستهدفة.

ما هي حماية المستهلك التي يوفرها VCDPA؟

يمنح VCDPA المستهلكين حقوقًا محددة فيما يتعلق ببياناتهم الخاصة. تشمل هذه الحماية بموجب القانون ما يلي:

  1. الحق في الاطلاع على البيانات الشخصية والوصول إليها وتأكيدها
  2. الحق في حذف البيانات الشخصية
  3. الحق في تصحيح عدم الدقة في البيانات الشخصية
  4. الحق في إمكانية نقل البيانات (أي الوصول المبسط والمحمول إلى جميع أجزاء البيانات الشخصية التي تحتفظ بها الشركة)
  5. الحق في إلغاء الاشتراك في معالجة أي بيانات شخصية لأغراض إعلانية مستهدفة
  6. الحق في إلغاء الاشتراك في بيع البيانات الشخصية
  7. الحق في الانسحاب من التنميط بناءً على البيانات الشخصية
  8. الحق في عدم التعرض للتمييز بسبب ممارسة أي من الحقوق السابقة

بموجب VCDPA ، من أجل الامتثال ، يجب على الشركات تزويد المستهلكين بمعلومات حول حقوقهم بالإضافة إلى آلية لممارسة هذه الحقوق. كما يقنن القانون مختلف التزامات البيانات الشخصية للشركات. عندما يتعلق الأمر بجمع واستخدام البيانات الشخصية الحساسة مثل بيانات تحديد الموقع الجغرافي الدقيقة ، وبيانات عن سمات المستخدم المحمية ، والبيانات الجينية أو البيومترية ، على سبيل المثال ، يتعين على الشركات التي تخضع للامتثال للقانون الحصول على الموافقة أولاً.

يشبه VCDPA قانون CCPA من حيث أن VCDPA تفرض عقودًا خاصة بين الشركات ومقدمي الخدمات الذين يستخدمونها لمعالجة البيانات نيابة عنهم. يجب أن تتبع هذه العقود متطلبات القانون وأن تحدد التزامات مقدم الخدمة فيما يتعلق بالبيانات الشخصية التي يقوم بمعالجتها.

بالإضافة إلى ذلك ، تفرض VCDPA أن تحتفظ الشركات بالمعلومات الشخصية لمدة لا تزيد عن الفترة المطلوبة لغرض معين ولمدة لا تزيد عن الفترة اللازمة لتحقيق الغرض المعلن. تُعرف هذه المفاهيم باسم تحديد الغرض وتقليل البيانات ، على التوالي.

يفرض VCDPA أيضًا أن الشركات لديها سياسات أمان بيانات مناسبة وتحافظ عليها لحماية خصوصية معلومات العملاء وسلامتها وتوافرها.

من المحتمل أن تكون تدابير أمان البيانات الخاصة بالشركة مناسبة إذا التزمت بمعايير الصناعة المعترف بها ، مع الأخذ في الاعتبار حجم وتعقيد المنظمة والبيانات الشخصية التي تتعامل معها ؛ ومع ذلك ، لم يتضح بعد كيف سيتم تنفيذ معايير المعقولية هذه.

أخيرًا ، يفرض VCDPA ، مثل اللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي ، أن تقوم المؤسسات بإجراء وتوثيق تقييم حماية البيانات قبل معالجة البيانات الحساسة أو الانخراط في أنشطة معينة باستخدام البيانات الشخصية ، مثل الإعلان المستهدف أو البيع أو التنميط.

من سيفرض VCDPA؟

سيكون المدعي العام في فرجينيا مسؤولاً عن تطبيق VCDPA ، وعلى الرغم من وجود فترة سماح مدتها 30 يومًا لإصلاح أي انتهاكات ، فإن الاستمرار في خرق القانون بعد هذه النقطة يمكن أن يؤدي إلى عقوبة مدنية تصل إلى 7500 دولار لكل حادث. من المهم ملاحظة أن القانون لا يمنح المستهلكين الأفراد حقًا خاصًا في اتخاذ إجراء قانوني كما تفعل CCPA.

فيما يتعلق بهذا التحذير الأخير ، للتأهل كمستهلك بموجب VCDPA ، يجب أن يكون المقيم في فرجينيا شخصًا طبيعيًا "يتصرف فقط في سياق فردي أو منزلي." (قارن هذا مع CCPA ، الذي لا يقصر تعريفه "للمستهلك" على "الأفراد أو الأسر".) كما يوضح VCDPA أنه لا توجد ضمانات لمن "يتصرفون في سياق تجاري أو وظيفي".

على من تنطبق VCDPA؟

مثل CCPA ، يمكن لـ VCDPA أن تنطبق على الشركات التي لا يوجد مقرها في فرجينيا ولكنها مع ذلك تقوم بأعمال تجارية في الولاية. ينص هذا القانون على أن الشركات التي (1) تمارس نشاطًا تجاريًا في ولاية فرجينيا أو تقوم بالتسويق لسكان ولاية فرجينيا ؛ و (2) إما: (أ) معالجة البيانات الشخصية لـ 100،000 أو أكثر من سكان فرجينيا أو التحكم فيها ؛ أو (ب) معالجة البيانات الشخصية لـ 25000 أو أكثر من سكان فرجينيا أو التحكم فيها والحصول على أكثر من 50٪ من إجمالي الإيرادات من بيع البيانات الشخصية تخضع لـ VCDPA.

متى أصبح VCDPA فعالاً؟

دخل VCDPA حيز التنفيذ في 1 يناير 2023 ، لذلك يجب أن تمتثل الشركات له حاليًا.

في 2 آذار (مارس) 2021 ، أصبحت فيرجينيا الولاية الثانية بعد كاليفورنيا التي تنفذ تشريعات شاملة لخصوصية البيانات ، مما يضيف إلى ما أصبح على الصعيد الوطني خليط من لوائح خصوصية البيانات. (أصدرت ولايتا نيفادا وماين أيضًا قوانين خصوصية البيانات ، على الرغم من أنها لا تعتبر "شاملة" كما حددتها الرابطة الدولية لمتخصصي الخصوصية [IAPP].)

ما الذي يحتاج الناشرون لمعرفته حول VCDPA؟

يجب على الشركات تقييم عمليات معالجة البيانات الشخصية ، وإجراءات أمان البيانات ، وسياسات الخصوصية ، وعقود مزود الخدمة في أقرب وقت ممكن لحماية أنفسهم من تطبيق VCDPA. نقترح أيضًا النظر في الصورة الأكبر عندما يتعلق الأمر بالاستجابة لمطالب المستهلكين لفرض الحقوق بموجب قانون حماية خصوصية المستهلك في كاليفورنيا أو قانون مكافحة الفساد والجرائم الاقتصادية.

يتتبع Admiral ، وهو نظام إدارة الموافقة (CMP) ، قوانين الموافقة على الخصوصية التي لها تأثير على الناشرين عبر الإنترنت في الولايات المتحدة وفي جميع أنحاء العالم. يوصى بقراءة ملف الأسئلة الشائعة حول CMP إذا كان لديك أي أسئلة أو مخاوف.

بالإضافة إلى التفويضات التنظيمية ، يمكن أن يؤدي جمع موافقة الزائر إلى إنشاء شريحة قيّمة من الزائرين للتسويق لها ، كما يؤدي إلى تحقيق تكلفة أعلى لكل ألف ظهور لبعض الناشرين.

ستكون هناك قوانين أكثر صرامة لخصوصية البيانات قريبًا

تم لفت انتباه الجمهور إلى خصوصية البيانات حيث أصبحت قصص انتهاكات البيانات والاستخدام غير السليم لبيانات العملاء والخصوصية أكثر شيوعًا. وفقًا لنتائج استطلاع أجرته شركة Cisco ، يريد 84٪ من المستجيبين الآن أن يكون لهم رأي أكبر في بياناتهم وكيفية استخدامها.

84٪ من المستجيبين يريدون الآن أن يتحدثوا أكثر عن بياناتهم وكيفية استخدامها. - مسح سيسكو

هذا هو غيض من فيض بالنسبة لشركات النشر. إن إلينوي وماين وماساتشوستس ونيفادا ونيوجيرسي وبنسلفانيا ليست سوى عدد قليل من الولايات التي تبنت مؤخرًا قوانين حماية البيانات والخصوصية.

هناك أيضًا جهود جارية لإنشاء وكالة حماية البيانات الفيدرالية وقواعد حماية البيانات الوطنية. توقعًا ، أنشأ المختبر التقني التابع لـ IAB منصة الخصوصية العامة ، وهي بروتوكول امتثال قياسي. منصة إدارة الموافقة في Admiral متوافقة مع GPP وتم تصميمها لتحقيق المرونة عبر الولايات والسلطات القضائية.

الامتثال لـ VCDPA و CPRA و CCPA و GDPR

بالنسبة للناشرين ، قد يكون الأمر بمثابة كابوس لمحاولة مواكبة جميع تشريعات الخصوصية وتعقيدات القانون العام لحماية البيانات (GDPR) و CCPA و CPRA و VCDPA. للتعامل بشكل أفضل مع خصوصية الزائر وموافقته ، سعى العديد من الناشرين للحصول على المساعدة من Admiral.

Admiral هي واحدة من أوائل برامج إدارة المحتوى (CMPs) التي تمتثل لمنهجية مكتب الإعلان التفاعلي (IAB) لنقل معلومات إلغاء الاشتراك إلى البائعين في نهاية المطاف ، وتحديد زيارات الموقع تلقائيًا من عناوين IP الخاصة بولاية فرجينيا ، ومنح الزائرين واجهة مستخدم لإلغاء الاشتراك في مبيعات البيانات.

يعد برنامج Admiral's CMP أفضل حل لإدارة الموافقة على الخصوصية للناشرين على وسائل الإعلام. جدولة عرض اليوم.

جدولة عرض توضيحي