Często zadawane pytania: Co to jest Ustawa o ochronie danych konsumentów stanu Wirginia (VCDPA)?

Prywatność danych jest w naszych czasach coraz ważniejszym tematem.

Ustawa Virginia Consumer Data Protection Act (Virginia's CDPA lub VCDPA) została niedawno uchwalona przez obie izby parlamentu stanu Wirginia, nakładając nowe ograniczenia na gromadzenie, ujawnianie i wykorzystywanie danych osobowych (PII) mieszkańców Wirginii przez korporacje, które nie są zwolnione.

Odpowiedzi na pytania VCDPA w tym FAQ:

• Jakie ograniczenia zawiera nowy VCDPA?
• Jakie zabezpieczenia konsumentów zapewnia VCDPA?
• Kto będzie egzekwował VCDPA?
• Kogo dotyczy VCDPA?
• Kiedy VCDPA zaczęła obowiązywać?
• Co wydawcy powinni wiedzieć o VCDPA?

Jakie ograniczenia zawiera nowy VCDPA?

• Aby honorowali konkretne, weryfikowalne prośby konsumentów z Wirginii o ujawnienie, poprawienie lub usunięcie danych osobowych;
• Aby umożliwić konsumentom z Wirginii rezygnację z przetwarzania danych osobowych w określonych celach (a ponadto, aby dane wrażliwe nie były przetwarzane bez jednoznacznej zgody);
• Aby firmy przeprowadzały oceny ochrony swoich działań związanych z przetwarzaniem danych (a także innych działań związanych z przetwarzaniem danych osobowych, „które stwarzają podwyższone ryzyko wyrządzenia szkody konsumentom”);
• Aby firmy utrzymywały i publikowały odpowiednie informacje o ochronie prywatności i ujawnienia (i przestrzegały ich); I
• Aby firmy i ich podmioty przetwarzające dane zawierały określone klauzule prawne w swoich umowach użytkowania.

Aby zapewnić bezpieczeństwo danych osobowych klientów w świetle nowej VCDPA, podmioty przetwarzające dane muszą teraz przestrzegać kilku dodatkowych przepisów, głównie związanych z ocenami ochrony danych, żądaniami konsumentów i powiadomieniami o naruszeniu bezpieczeństwa.

Czytelnicy mogą zapoznać się z pełnym tekstem VCDPA tutaj .

Niektórzy obserwatorzy dostrzegli podobieństwa między kalifornijską ustawą o ochronie prywatności konsumentów (CCPA, która weszła w życie w 2020 r.) — pierwszym znaczącym środkiem ochrony prywatności danych w Stanach Zjednoczonych — a niedawną ustawą VCDPA, która została zatwierdzona ponad dwa i pół roku później. (Uwaga: sama ustawa CCPA została zmieniona i rozszerzona ustawą o prawach do prywatności stanu Kalifornia [CPRA] 1 stycznia 2023 r.)

Inni jednak twierdzą, że znacznie bardziej solidne ogólne rozporządzenie o ochronie danych (RODO) UE jest bardziej analogiczne do VCDPA.

Ale VCDPA jest również wyraźnie własnym zestawem środków. Chociaż VCDPA nakłada pewne ograniczenia na targetowanie od biznesu do konsumenta (B2C), zdarza się również, że istnieje wiele sposobów na obejście tych ograniczeń.

Ponadto, chociaż niektóre z tych ograniczeń mogą mieć wpływ na działania marketingowe firm w sektorze B2C, wydaje się, że kierowanie ich do Wirginijczyków w kontekście business-to-business (B2B) lub business-to-government (B2G) jest nadal uczciwą grą, więc tak długo, jak jest to istotne dla funkcji docelowej i nie narusza żadnych praw. Ale jeśli chcesz dotrzeć do mieszkańca Wirginii, gdy po długim dniu odpoczywa na kanapie z rodziną (i telefonem), możesz ograniczyć reklamy ukierunkowane.

Jakie zabezpieczenia konsumentów zapewnia VCDPA?

VCDPA przyznaje konsumentom określone prawa dotyczące ich prywatnych danych. Te zabezpieczenia wynikające z ustawy obejmują:

1. Prawo do wglądu, dostępu i potwierdzenia danych osobowych
2. Prawo do usunięcia danych osobowych
3. Prawo do sprostowania nieścisłości danych osobowych
4. Prawo do przenoszenia danych (tj. uproszczonego, przenośnego dostępu do wszystkich danych osobowych posiadanych przez firmę)
5. Prawo do rezygnacji z przetwarzania danych osobowych w celach reklamy ukierunkowanej
6. Prawo do rezygnacji ze sprzedaży danych osobowych
7. Prawo do rezygnacji z profilowania na podstawie danych osobowych
8. Prawo do nie bycia dyskryminowanym za korzystanie z któregokolwiek z powyższych praw

Zgodnie z VCDPA, aby zachować zgodność, firmy muszą dostarczać konsumentom informacji o ich prawach, a także mechanizmie korzystania z tych praw. Ustawa kodyfikuje również różne obowiązki przedsiębiorców w zakresie danych osobowych. Jeśli chodzi o gromadzenie i wykorzystywanie wrażliwych danych osobowych, takich jak dokładne dane geolokalizacyjne, dane dotyczące chronionych cech użytkownika oraz dane genetyczne lub biometryczne, firmy podlegające ustawie muszą najpierw uzyskać zgodę.

VCDPA jest podobna do CCPA pod tym względem, że VCDPA zawiera specjalne umowy między firmami i dostawcami usług, z których korzystają, aby przetwarzać dane w ich imieniu. Umowy te muszą być zgodne z wymogami Ustawy i określać obowiązki usługodawcy w odniesieniu do przetwarzanych przez niego danych osobowych.

Ponadto VCDPA nakazuje, aby firmy przechowywały dane osobowe nie dłużej niż przez okres wymagany do określonego celu i nie dłużej niż przez okres niezbędny do osiągnięcia określonego celu. Koncepcje te są znane odpowiednio jako ograniczenie celu i minimalizacja danych.

VCDPA nakazuje również, aby firmy posiadały i utrzymywały odpowiednie zasady bezpieczeństwa danych w celu ochrony prywatności, integralności i dostępności informacji o klientach.

Środki bezpieczeństwa danych firmy są prawdopodobnie odpowiednie, jeśli są zgodne z uznanymi standardami branżowymi, biorąc pod uwagę wielkość i złożoność organizacji oraz przetwarzane przez nią dane osobowe; nie jest jednak jeszcze jasne, w jaki sposób te kryteria racjonalności zostaną wdrożone.

Wreszcie, VCDPA, podobnie jak ogólne rozporządzenie o ochronie danych (RODO) Unii Europejskiej, nakazuje organizacjom przeprowadzenie i udokumentowanie oceny ochrony danych przed przetwarzaniem danych wrażliwych lub podjęciem określonych działań z danymi osobowymi, takich jak ukierunkowana reklama, sprzedaż lub profilowy.

Kto będzie egzekwował VCDPA?

Prokurator generalny Wirginii będzie odpowiedzialny za egzekwowanie VCDPA i chociaż istnieje 30-dniowy okres karencji na naprawienie wszelkich naruszeń, dalsze łamanie prawa poza ten punkt może skutkować karą cywilną w wysokości do 7500 USD za incydent. Należy zauważyć, że ustawa nie zapewnia indywidualnym konsumentom prywatnego prawa do podjęcia działań prawnych, tak jak ma to miejsce w przypadku CCPA.

Jeśli chodzi o to ostatnie zastrzeżenie, aby zakwalifikować się jako konsument w ramach VCDPA, mieszkaniec Wirginii musi być osobą fizyczną „działającą wyłącznie w kontekście indywidualnym lub domowym”. (Porównaj to z CCPA, która nie ogranicza swojej definicji „konsumenta” do „osób fizycznych lub gospodarstw domowych”.) VCDPA wyjaśnia również, że żadne gwarancje nie są udzielane osobom, które „działają w kontekście handlowym lub zawodowym”.

Kogo dotyczy VCDPA?

Podobnie jak CCPA, VCDPA może dotyczyć firm, które nie mają siedziby w Wirginii, ale mimo to prowadzą działalność w tym stanie. Prawo to nakłada na firmy, które (1) prowadzą działalność w Wirginii lub sprzedają ją mieszkańcom Wirginii; oraz (2) albo: (a) przetwarzać lub kontrolować dane osobowe co najmniej 100 000 mieszkańców Wirginii; lub (b) przetwarzają lub kontrolują dane osobowe co najmniej 25 000 mieszkańców Wirginii i czerpią ponad 50% dochodu brutto ze sprzedaży danych osobowych podlegają VCDPA.

Kiedy VCDPA zaczęła obowiązywać?

Ustawa VCDPA weszła w życie 1 stycznia 2023 r., więc firmy muszą ją teraz przestrzegać.

2 marca 2021 r. Wirginia stała się drugim stanem po Kalifornii, który wdrożył kompleksowe przepisy dotyczące ochrony danych, zwiększając tym samym stan, który staje się ogólnokrajowym zlepek przepisów o ochronie danych. (Stany Nevada i Maine również przyjęły przepisy dotyczące prywatności danych, chociaż nie są one uważane za „kompleksowe” zgodnie z definicją Międzynarodowego Stowarzyszenia Specjalistów ds. Prywatności [IAPP].)

Co wydawcy powinni wiedzieć o VCDPA?

Firmy powinny jak najszybciej ocenić swoje operacje przetwarzania danych osobowych, środki bezpieczeństwa danych, politykę prywatności i umowy z dostawcami usług, aby chronić się przed egzekwowaniem VCDPA. Sugerujemy również rozważenie szerszego obrazu, jeśli chodzi o reagowanie na żądania konsumentów dotyczące egzekwowania praw wynikających z CCPA lub VCDPA.

Admiral, platforma CMP (Consent Management Platform), śledzi przepisy dotyczące zgody na prywatność, które mają wpływ na wydawców internetowych w Stanach Zjednoczonych i na całym świecie. Zaleca się przeczytanie tzw CMP FAQ, jeśli masz jakiekolwiek pytania lub wątpliwości.

Oprócz wymogów regulacyjnych zbieranie zgody użytkowników może pomóc w stworzeniu cennego segmentu odwiedzających w celach marketingowych i przyniosło niektórym wydawcom wyższe stawki CPM.

Wkrótce zaczną obowiązywać bardziej rygorystyczne przepisy dotyczące prywatności danych

Zwrócono uwagę opinii publicznej na prywatność danych, ponieważ historie o naruszeniach danych, niewłaściwym wykorzystaniu danych klientów i prywatności stają się coraz bardziej powszechne. Zgodnie z wynikami ankiety Cisco, 84% respondentów chce teraz mieć więcej do powiedzenia na temat swoich danych i sposobu ich wykorzystania.

84% respondentów chce teraz mieć więcej do powiedzenia na temat swoich danych i sposobu ich wykorzystania. - Ankieta Cisco

To wierzchołek góry lodowej dla firm wydawniczych. Illinois, Maine, Massachusetts, Nevada, New Jersey i Pensylwania to tylko kilka stanów, które niedawno przyjęły przepisy dotyczące ochrony danych i prywatności.

Trwają również starania o ustanowienie federalnej agencji ochrony danych i krajowych zasad ochrony danych. W oczekiwaniu na to Tech Lab IAB stworzyło ogólną platformę prywatności, ustandaryzowany protokół zgodności. Platforma zarządzania zgodami Admiral jest zgodna z GPP i stworzona z myślą o elastyczności w różnych stanach i jurysdykcjach.

Zgodność z VCDPA, CPRA, CCPA i RODO

Dla wydawców nadążanie za wszystkimi przepisami dotyczącymi prywatności i złożonością RODO, CCPA, CPRA i VCDPA może być koszmarem. Aby lepiej zarządzać prywatnością i zgodą odwiedzających, wielu wydawców zwróciło się o pomoc do firmy Admiral.

Admiral jest jednym z pierwszych CMP, który przestrzega metodologii Interactive Advertising Bureau (IAB) w zakresie przesyłania informacji o rezygnacji do dalszych dostawców, automatycznego identyfikowania wizyt w witrynie z adresów IP Wirginii i zapewniania odwiedzającym interfejsu użytkownika umożliwiającego rezygnację z sprzedaż danych.

CMP firmy Admiral to najlepsze rozwiązanie do zarządzania zgodą na prywatność dla wydawców mediów. Umów się na prezentację już dziś.