Часто задаваемые вопросы: Что такое Закон о защите данных потребителей штата Вирджиния (VCDPA)?

Конфиденциальность данных продолжает оставаться все более актуальной темой нашего времени.

Закон о защите данных потребителей Вирджинии (CDPA или VCDPA Вирджинии) был недавно принят обеими палатами законодательного собрания штата Вирджиния, налагая новые ограничения на сбор, раскрытие и использование информации, позволяющей установить личность (PII) жителей Вирджинии, не освобожденными корпорациями.

Ответы на вопросы VCDPA в этом FAQ:

• Какие ограничения есть в новом VCDPA?
• Какие средства защиты прав потребителей обеспечивает VCDPA?
• Кто будет обеспечивать соблюдение VCDPA?
• На кого распространяется VCDPA?
• Когда VCDPA вступила в силу?
• Что нужно знать издателям о VCDPA?

Какие ограничения есть в новом VCDPA?

• Чтобы они выполняли конкретные, поддающиеся проверке запросы потребителей из Вирджинии на раскрытие, исправление или удаление личной информации;
• Что они позволяют потребителям из Вирджинии отказаться от обработки персональных данных для определенных целей (и, кроме того, что конфиденциальные данные не будут обрабатываться без однозначного согласия);
• что фирмы проводят оценку защиты своих действий по обработке данных (а также других действий по обработке персональных данных, «представляющих повышенный риск причинения вреда потребителям»);
• Чтобы фирмы поддерживали и публиковали соответствующие уведомления о конфиденциальности и раскрытие информации (и соблюдали их); и
• Что фирмы и их обработчики данных включают конкретные юридические положения в свои соглашения об использовании.

Чтобы обеспечить безопасность личной информации клиентов в свете нового VCDPA, обработчики данных теперь должны соблюдать несколько дополнительных правил, в основном связанных с оценкой защиты данных, запросами потребителей и уведомлениями о нарушениях безопасности.

Читатели могут ознакомиться с полным текстом VCDPA здесь .

Некоторые наблюдатели проводят параллели между Калифорнийским законом о конфиденциальности потребителей (CCPA, вступившим в силу в 2020 г.) — первой серьезной мерой по обеспечению конфиденциальности данных в Соединенных Штатах — и недавним VCDPA, который принимался более двух с половиной лет. позже. (Обратите внимание, что CCPA был изменен и расширен Законом о правах на неприкосновенность частной жизни штата Калифорния [CPRA] 1 января 2023 года.)

Другие, однако, утверждают, что гораздо более надежный Общий регламент ЕС по защите данных (GDPR) больше похож на VCDPA.

Но VCDPA также представляет собой отдельный набор мер. Несмотря на то, что VCDPA накладывает определенные ограничения на таргетинг между бизнесом и потребителем (B2C), также существует ряд способов обойти эти ограничения.

Кроме того, хотя некоторые из этих ограничений могут повлиять на маркетинговые усилия фирм в сфере B2C, представляется, что таргетинг на жителей Вирджинии в контексте отношений между предприятиями (B2B) или между предприятиями и государством (B2G) по-прежнему является справедливой игрой, поэтому при условии, что это имеет отношение к должностным обязанностям объекта и не нарушает никаких законов. Но если вы хотите связаться с жителем Вирджинии, когда он или она отдыхает со своей семьей (и телефоном) на диване после долгого дня, вы можете уменьшить таргетированную рекламу.

Какие средства защиты прав потребителей обеспечивает VCDPA?

VCDPA предоставляет потребителям определенные права в отношении их личных данных. Эти меры защиты в соответствии с Законом включают:

1. Право просматривать, получать доступ и подтверждать личные данные
2. Право на удаление персональных данных
3. Право на исправление неточностей в персональных данных
4. Право на переносимость данных (т. е. упрощенный переносимый доступ ко всем частям персональных данных, хранящихся в компании)
5. Право отказаться от обработки любых персональных данных в целях таргетированной рекламы
6. Право отказаться от продажи персональных данных
7. Право отказаться от профилирования на основе личных данных
8. Право не подвергаться дискриминации за осуществление любого из вышеперечисленных прав

В соответствии с VCDPA, чтобы соответствовать требованиям, компании должны предоставлять потребителям информацию об их правах, а также о механизме осуществления этих прав. Закон также кодифицирует различные обязательства в отношении персональных данных для предприятий. Например, когда дело доходит до сбора и использования конфиденциальных персональных данных, таких как точные данные геолокации, данные о защищенных характеристиках пользователей, а также генетические или биометрические данные, фирмы, которые обязаны соблюдать Закон, должны сначала получить согласие.

VCDPA похож на CCPA тем, что VCDPA требует заключения специальных контрактов между компаниями и поставщиками услуг, которых они используют для обработки данных от своего имени. Эти контракты должны соответствовать требованиям Закона и определять обязательства поставщиков услуг в отношении обрабатываемых ими персональных данных.

Кроме того, VCDPA обязывает предприятия хранить личную информацию не дольше периода, необходимого для конкретной цели, и не дольше периода, необходимого для достижения заявленной цели. Эти концепции известны как ограничение цели и минимизация данных соответственно.

VCDPA также требует, чтобы предприятия внедрили и поддерживали адекватные политики безопасности данных для защиты конфиденциальности, целостности и доступности информации о клиентах.

Меры безопасности данных фирмы, вероятно, являются адекватными, если они соответствуют признанному отраслевому стандарту, принимая во внимание размер и сложность организации и персональные данные, которые она обрабатывает; однако пока неясно, как эти критерии разумности будут реализованы.

Наконец, VCDPA, как и Общий регламент по защите данных (GDPR) Европейского Союза, обязывает организации выполнять и документировать оценку защиты данных перед обработкой конфиденциальных данных или участием в определенных действиях с персональными данными, таких как целевая реклама, продажа или профилирование.

Кто будет обеспечивать соблюдение VCDPA?

Генеральный прокурор Вирджинии будет нести ответственность за обеспечение соблюдения VCDPA, и, хотя существует 30-дневный льготный период для устранения любых нарушений, продолжение нарушения закона после этого срока может привести к гражданскому штрафу в размере до 7500 долларов США за инцидент. Важно отметить, что Закон не предоставляет отдельным потребителям частного права на судебный иск, как это делает CCPA.

Что касается этого последнего предостережения, чтобы квалифицироваться как потребитель в соответствии с VCDPA, житель Вирджинии должен быть физическим лицом, «действующим только в индивидуальном или домашнем контексте». (Сравните это с CCPA, который не ограничивает определение «потребителя» «физическими лицами или домашними хозяйствами».) VCDPA также разъясняет, что никакие гарантии не предоставляются тем, кто «действует в коммерческом или трудовом контексте».

На кого распространяется VCDPA?

Как и CCPA, VCDPA может применяться к компаниям, которые не базируются в Вирджинии, но тем не менее ведут бизнес в штате. Этот закон предписывает компаниям, которые (1) ведут бизнес в Вирджинии или продают товары жителям Вирджинии; и (2) либо: (а) обрабатывать или контролировать персональные данные 100 000 или более жителей Вирджинии; или (b) обрабатывать или контролировать персональные данные 25 000 или более жителей Вирджинии и получать более 50% валового дохода от продажи персональных данных, подпадает под действие VCDPA.

Когда VCDPA вступила в силу?

VCDPA вступил в силу 1 января 2023 года, поэтому компании должны соблюдать его в настоящее время.

2 марта 2021 года Вирджиния стала вторым штатом после Калифорнии, принявшим всеобъемлющее законодательство о конфиденциальности данных, дополнив тем, что становится общенациональным лоскутное одеяло правил конфиденциальности данных. (Штаты Невада и Мэн также приняли законы о конфиденциальности данных, хотя они не считаются «всеобъемлющими» в соответствии с определением Международной ассоциации профессионалов в области конфиденциальности [IAPP].)

Что нужно знать издателям о VCDPA?

Компании должны как можно скорее оценить свои операции по обработке персональных данных, меры безопасности данных, политики конфиденциальности и контракты с поставщиками услуг, чтобы защитить себя от правоприменения VCDPA. Мы также предлагаем рассмотреть более широкую картину, когда дело доходит до реагирования на требования потребителей по обеспечению соблюдения прав в соответствии с CCPA или VCDPA.

Admiral, CMP (платформа управления согласием), отслеживает законы о согласии на конфиденциальность, которые влияют на онлайн-издателей в США и во всем мире. Рекомендуется прочитать CMP FAQ, если у вас есть какие-либо вопросы или проблемы.

В дополнение к нормативным требованиям, сбор согласия посетителей может создать ценный сегмент посетителей для рынка и обеспечить более высокие цены за тысячу показов для некоторых издателей.

Скоро будут более строгие законы о конфиденциальности данных

Внимание общественности было привлечено к конфиденциальности данных, поскольку истории об утечке данных, ненадлежащем использовании данных клиентов и конфиденциальности становятся все более распространенными. Согласно результатам опроса Cisco, 84% респондентов теперь хотят больше высказываться о своих данных и о том, как они используются.

84% респондентов теперь хотят больше высказываться о своих данных и о том, как они используются. - Опрос Cisco

Это верхушка айсберга для издательских компаний. Иллинойс, Мэн, Массачусетс, Невада, Нью-Джерси и Пенсильвания — это лишь некоторые из штатов, которые недавно приняли законы о защите данных и конфиденциальности.

Также предпринимаются усилия по созданию федерального агентства по защите данных и национальных правил защиты данных. В ожидании этого техническая лаборатория IAB создала General Privacy Platform, стандартизированный протокол соответствия. Платформа Admiral Consent Management Platform совместима с GPP и создана для обеспечения гибкости в разных штатах и ​​юрисдикциях.

Соответствие VCDPA, CPRA, CCPA и GDPR

Для издателей это может быть кошмаром, пытаясь не отставать от всего законодательства о конфиденциальности и сложностей GDPR, CCPA, CPRA и VCDPA. Чтобы лучше справляться с конфиденциальностью и согласием посетителей, многие издатели обратились за помощью к Admiral.

Admiral является одним из первых CMP, которые соответствуют методологии Interactive Advertising Bureau (IAB) для передачи информации об отказе нижестоящим поставщикам, автоматической идентификации посещений сайта с IP-адресов Вирджинии и предоставления посетителям пользовательского интерфейса для отказа от продажи данных.

CMP от Admiral — это оптимальное решение для управления согласием на конфиденциальность для медиа-издателей. Запланируйте демонстрацию сегодня.