Внимание владельцам бизнеса с веб-сайтами, а это почти все вы.
Ни для кого не стало сюрпризом, что еще один штат принял закон о конфиденциальности данных – и на этот раз это Содружество Вирджинии. Следуя по стопам своих законодательных предшественников (например, CCPA Калифорнии), законопроект Сената 1392 штата Вирджиния сосредоточен вокруг единственной цели – защиты потребительских данных:
" Пришло время найти значимый способ защиты данных граждан Содружества Вирджиния. Вирджиния находится в уникальном положении, чтобы быть лидером в этом вопросе. В Интернете имеется огромное количество данных. Конфиденциальность не является новой проблемой."
– Сенатор штата Дэвид Марсден
Хотя закон вступил в силу 3 марта, он вступит в силу не раньше 1 января 2023 года.
Затрагивает ли вашу компанию закон VCDPA?
Этот новый закон применяется к вам, если вы ведете бизнес в Вирджинии или продаете товары или услуги, ориентированные на жителей Содружества, и:
- Вы обрабатываете или контролируете данные 100 000 или более жителей Вирджинии, или
- Вы обрабатываете или контролируете данные 25 000 или более жителей Вирджинии и получаете 50 % дохода (валового) от продажи персональных данных.
Исключения включают организации, на которые распространяется действие HIPAA, высшие учебные заведения и некоммерческие организации, а также финансовые учреждения или данные, на которые распространяется действие Закона Грэмма-Лича-Блайли.
Как в VCDPA определяются понятия «персональные данные» и «обработка»?
«Персональные данные» обычно определяются как «любая информация, которая связана или разумно связана с идентифицированным или идентифицируемым физическим лицом. [Она] не включает обезличенные данные или общедоступную информацию».
«Процесс» и «обработка» определяются как «любая операция или совокупность операций, выполняемых ручными или автоматизированными средствами с персональными данными или наборами персональных данных, такие как сбор, использование, хранение, раскрытие, анализ, удаление или изменение персональных данных."
Какие права имеют ваши покупатели из Вирджинии в соответствии с этим новым законом?
- Выбор, будут ли доступны и/или обработаны их персональные данные
- Исправление ошибок в персональных данных
- Удаление личных данных
- Получение копии персональных данных в портативном, готовом к использованию (если это возможно) формате, чтобы их можно было передать другому «контролеру»
- Отказ от обработки персональных данных в целях таргетированной рекламы, продажи персональных данных или любого другого профилирования
Кроме того, ваши покупатели в Вирджинии будут иметь право потребовать от вас ответа в течение 45 дней на любые запросы относительно их прав на конфиденциальность. Вот почему вы так уверены, что это вступит в силу, ребята – «время колебаний прошло» и т. д.
Кроме того, «контролеры» (то есть вы, если вы подпадаете под действие этого законопроекта) будут иметь обязательства по оценке защиты данных – если вы знакомы с GDPR, вы наверняка слышали о них раньше.
Пришло время обновить и оптимизировать ваши процессы.
Что вам теперь нужно будет указать в вашей политике конфиденциальности, чтобы соответствовать требованиям VCDPA?
Если на вас распространяется действие этого нового закона, вот что вам теперь необходимо включить в раскрытие вашей политики конфиденциальности:
- Категории персональных данных, которые вы обрабатываете
- Ваши конкретные причины обработки этих данных
- Как ваши покупатели могут реализовать свои права на конфиденциальность (включая процедуру апелляции)
- По крайней мере один безопасный способ реализации этих прав для покупателей
- Какие данные (если таковые имеются) вы передаете сторонним организациям
- Если вы продаете (или не продаете) данные для таргетинга рекламы
- Как потребители могут отказаться от обработки таргетированной рекламы
Хорошо, и что все это значит для тебя?
Ну, в дополнение к очевидному – обновлению вашей политики конфиденциальности и внедрению новых процессов и процедур для поддержки запросов потребителей, связанных с конфиденциальностью – директор IMPACT по работе с сообществами и мероприятиями Стефани Байокки сказала вот что
(Инструменты, рекомендуемые ниже, и ссылки в них могут предоставлять IMPACT компенсацию за регистрацию. Это никоим образом не влияет на рекомендации IMPACT по этим инструментам.)
" Поскольку отдельные штаты продолжают принимать свои собственные законы о конфиденциальности (Калифорния, Невада, Вирджиния и другие), отслеживание всех требований соответствия может показаться утомительным.
Однако конечная цель всех этих законов очень схожа: защитить данные потребителей. Хотя каждый закон может иметь уникальные требования к соблюдению, все законы о конфиденциальности в Соединенных Штатах ориентированы на защиту личных данных потребителей. данные посредством сочетания раскрытия информации и практики.
Так же, как вы знаете, что нельзя покупать списки электронных писем и рассылать их по электронной почте без разрешения получателей, вы знаете, что нельзя брать потребительские данные без разрешения или использовать их неправильно. Или вы узнаете об этом во время принятия этих законов.
Обычно это сочетание явного сообщения о том, какие данные вы будете использовать и как, предоставление потребителям возможности получать и запрашивать удаление этих данных, а также предоставление потребителям возможности отказаться от использования их личных данных в дальнейшем.
Использование такого инструмента, как Termageddon, может помочь автоматически обновлять вашу политику конфиденциальности при изменении законов. Тем не менее, вам все равно необходимо убедиться, что кто-то несет ответственность за то, чтобы ваши методы работы с данными действительно менялись, когда это необходимо.
Конечно, этот закон не вступит в полную силу до 1 января 2023 года. Но если вы сможете следить за этими изменениями по мере их внедрения, у вас будет меньше шансов забыть или пропустить дату в будущее. Очень важно, чтобы кто-то из вашей организации (или внешний консультант) следил за соблюдением законов о конфиденциальности. Это не только укрепит доверие вашей аудитории, но и избавит вас от огромных штрафов.»
Кстати, Стефани права насчет штрафов. Согласно VCDPA, нарушители будут подвергнуты штрафу (до) в размере 7500 долларов за нарушение.
Даже если вы не находитесь в Вирджинии, если до этого момента вы не обращали внимания на законодательство о конфиденциальности данных, сейчас самое время. Флорида, Миннесота, Нью-Йорк, Оклахома и Вашингтон имеют аналогичные законопроекты, находящиеся на рассмотрении законодательных собраний штатов.