Virginia Consumer Data Protection Act (VCDPA), který vstoupil v platnost 1. ledna 2023, uděluje spotřebitelům významná práva nad jejich osobními údaji. Toto nařízení představuje významný milník v legislativě o ochraně osobních údajů ve Spojených státech, a pokud vaše firma nebo organizace spadá do jeho rozsahu, budete muset porozumět detailům VCDPA, abyste zůstali v souladu.
Tento článek je vaším průvodcem k pochopení VCDPA a jeho dopadů na podniky. Ponoříme se do hlavních principů a rozsahu, rozebereme žargon a vyjasníme požadavky, přičemž nabídneme praktické rady, jak podniknout kroky k dosažení a udržení souladu.
Vzhledem k tomu, že USA nemají federální zákon o ochraně osobních údajů, je VCDPA státním zákonem, který stanovuje pravidla ochrany dat při zacházení s osobními a citlivými informacemi obyvatel Virginie.
VCDPA si v zásadě klade za cíl dát spotřebitelům větší kontrolu nad tím, co se děje s jejich osobními údaji, a chránit jejich právo na soukromí. Stanovuje jasná pravidla pro podniky, jak tyto cenné údaje shromažďovat, používat a sdílet.
VCDPA usiluje o posílení postavení jednotlivců a budování důvěry mezi podniky a jejich zákazníky v digitálním věku, kde řádí hackeři a ochrana osobních údajů se stala prvořadou pro klid mysli každého z nás.
Jednoduše řečeno, účelem VCDPA je vytvořit bezpečnější a transparentnější digitální krajinu pro všechny zúčastněné.
Pojďme zjistit, zda vaše organizace spadá pod záštitu VCDPA, čímž se na vás budou vztahovat jeho pravidla.
Stačí odpovědět na tyto dvě otázky:
Provozuje vaše firma své záležitosti ve Virginii, nebo cílíte se svými produkty či službami na lidi, kteří tam bydlí?
Zacházíte také s osobními údaji nejméně 100 000 spotřebitelů během kalendářního roku nebo shromažďujete data od 25 000 a více spotřebitelů, přičemž více než 50 % vašich příjmů pochází z prodeje těchto osobních údajů?
Pokud jste odpověděli ANO na obě otázky, gratulujeme, jste v tom!
Ale pozor, ne každý jezdí na tomto datovém soukromém rodeu. Finanční instituce podle Gramm-Leach-Bliley Act, zdravotnické organizace dodržující HIPAA, neziskové organizace a vysoké školy jsou všichni vyňati.
Pojďme rozebrat některé klíčové pojmy, se kterými se ve VCDPA setkáte. Tyto nemusí být definovány stejně v zákonech jiných států o ochraně osobních údajů, takže je důležité věnovat tomu pozornost.
Zde jsou práva, která jsou spotřebitelům udělena podle VCDPA:
Potvrzení a přístup: Vaši uživatelé mají právo vědět, zda máte v záznamech jejich osobní údaje a jaké tyto údaje jsou. To by mohly být základní věci jako jméno a e-mail, ale třeba i historie nákupů a další specifika. Takže pokud se „Bob“ zeptá, musíte přiznat barvu.
Oprava: Pokud Bob v jeho údajích zaznamená překlep nebo něco, co mu nesedí, může vás požádat o opravu. Takže pokud je jeho jméno chybně napsáno jako „Bbo“, raději to opravíte.
Smazání: Bob vás také může požádat o smazání údajů, které jste od něj získali nebo které jste o něm shromáždili.
Přenositelnost: Pokud se Bob rozhodne přejít k jiné službě, může vás požádat o svá data ve formátu, který si snadno odnese.
Ne cílení: Vaši uživatelé jako Bob mohou říci „Ne“ cíleným reklamám a profilování dat. Představte si, že Bob procházel turistické boty na vašich stránkách a najednou všude online vidí turistické reklamy. No, může se z tohoto sledování odhlásit a zastavit, aby ho tyto reklamy pronásledovaly.
Ne prodejům: Pokud váš spotřebitel nechce, abyste prodávali jeho data, má právo se odhlásit. Nezapomeňte mu dát možnost tak učinit.
Citlivá data: Vzpomeňte na citlivá data, o kterých jsme mluvili dříve? Pro tento typ informací, jako jsou zdravotní záznamy nebo přesná poloha spotřebitele, je nemůžete získávat ani zpracovávat bez jeho výslovného a jednoznačného souhlasu.
VCDPA stanovuje některá základní pravidla na ochranu dat vašich spotřebitelů a vy je budete chtít dodržovat doslova. Zde je kontrolní seznam, který vám může pomoci začít cestu k souladu:
Oznámení o ochraně osobních údajů: Nejprve potřebujete jasné oznámení o ochraně osobních údajů, které je snadno dostupné na vaší webové stránce. Tímto způsobem říkáte uživatelům, jaká data shromažďujete, proč je shromažďujete a s kým je sdílíte.
Ochrana dat: Nastavte ve své firmě robustní bezpečnostní postupy, abyste zajistili, že data, která shromažďujete a kontrolujete, nepadnou do nesprávných rukou. Svůj systém řízení bezpečnosti informací můžete posoudit podle směrnic, jako je mezinárodní standard ISO 27001, a získat tak představu o oblastech, na kterých můžete potřebovat zapracovat.
Žádosti spotřebitelů: Nastavte proces, který spotřebitelům umožní podávat žádosti o uplatnění svých práv. Reagujte na tyto žádosti do 45 dnů a poskytněte spotřebitelům možnost se odvolat, pokud nebudou spokojeni s vaší odpovědí.
Smlouvy se zpracovateli: Ujistěte se, že máte smlouvu s jakoukoli třetí stranou, která zpracovává data shromažďovaná vaší společností. Smlouva musí obsahovat pokyny pro zpracování dat, účel zpracování dat a podrobnosti o zpracování.
Posouzení bezpečnosti dat: Posouzení ochrany dat podle VCDPA je hodnocení provedené k posouzení potenciálních přínosů pro firmu a rizik pro spotřebitele spojených se zpracováním spotřebitelských dat. Ochranná opatření ke snížení těchto rizik by měla být součástí posouzení. Posouzení musíte provést, pokud jste správcem dat a:
Posouzení ochrany dat nejsou pouze pro interní použití. Generální prokurátor Virginie může požadovat, aby firma nebo organizace zveřejnila relevantní posouzení ochrany dat v rámci vyšetřování.
Aby vaše organizace zůstala v souladu s předpisy, kterým podléhá, je také dobré učinit některé další kroky k ochraně spotřebitelských dat, která shromažďujete nebo zpracováváte.
Pamatujte, soulad není jen právní povinnost; je to způsob, jak budovat důvěru s uživateli, takže vaše pozornost k bezpečnosti dat by měla být 100% laser-ostrá.
Virginie nežertuje, pokud jde o ochranu osobních údajů, takže zde je to nejdůležitější o vymáhání:
Generální prokurátor Virginie je jediným subjektem odpovědným za to, aby všichni dodržovali nařízení VCDPA. Pokud zjistí, že vaše firma není v souladu, můžete čelit pokutám až do výše značných 7 500 USD za porušení. Ale je tu paprsek naděje – Generální prokurátor nejprve zašle písemné oznámení s uvedením porušovaných ustanovení a vy máte 30denní nápravnou lhůtu na nápravu věcí.
Nyní, když jste se ponořili do hlubin VCDPA, jste si dobře vědomi důležitosti ochrany dat a souladu. Nejde jen o dodržování pravidel; jde o získávání důvěry a zajištění budoucnosti vaší firmy.
Software pro prevenci ztráty dat (DLP) od Safetica může být vaším spolehlivým pomocníkem v této snaze o soulad a bezpečnost dat. Se Safetica můžete:
Je čas posílit svou obranu a udržet svá data v bezpečí. Prozkoumejte DLP software Safetica ještě dnes. Udělejme vaši bezpečnost dat skálopevnou!
Promluvme si o vašem souladu s VCDPA