文章分类
2022年5月10日,康涅狄格州成为第五个颁布全面数据隐私法的州。康涅狄格州的新隐私法将于2023年7月1日生效。该法律与加利福尼亚州、科罗拉多州、弗吉尼亚州和犹他州的立法者通过的隐私法相似,为康涅狄格州消费者提供了有关在该州开展业务的公司收集的个人数据的选择。该法律还对处理康涅狄格州消费者数据的企业规定了其他义务,如下所述。
2022年5月10日,康涅狄格州成为第五个颁布全面数据隐私法的州。康涅狄格州的新隐私法将于2023年7月1日生效。该法律与加利福尼亚州、科罗拉多州、弗吉尼亚州和犹他州的立法者通过的隐私法相似,为康涅狄格州消费者提供了有关在该州开展业务的公司收集的个人数据的选择。该法律还对处理康涅狄格州消费者数据的企业规定了其他义务,如下所述。
适用性
《康涅狄格州数据隐私法》(CTDPA)适用于在康涅狄格州开展业务的个人和企业,或生产针对康涅狄格州居民的产品或服务的个人和公司,这些居民在上一日历年控制或处理了至少(1)100000名康涅狄格州消费者的个人数据(不包括仅为处理支付交易而处理的数据);或(2)25000名康涅狄格州消费者,其总收入的25%以上来自个人数据销售。
根据CTDPA的定义,个人数据包括与已识别或可识别个人相关的信息。根据法律,未识别的数据或公开信息不是个人数据。
控制人义务
与最近通过的其他州隐私法一样,CTDPA对消费者数据的“控制者”和“处理者”施加了义务(尽管如下文所强调的,实质性的通知和权利响应义务属于数据控制者)。“控制者”决定处理个人数据的“目的和方式”;“处理器”代表“控制器”处理数据。
要求控制者:(1)将数据收集限制在“与处理数据的目的相关且合理必要”的范围内(如向客户披露的);(2) 建立、实施和维护合理的数据安全控制,除其他要求外:(3)在处理“敏感个人数据”(包括有关种族或族裔、宗教、健康状况、性生活或取向、公民身份或移民身份、基因或生物特征数据、儿童数据和精确地理位置数据的信息)时,规定同意和撤销同意。该法律还限制了针对13-16岁儿童的广告投放能力。
处理器义务
处理者必须遵守控制者的指示,并协助控制者履行《法案》规定的控制者义务。处理者还必须提供必要的信息,使控制者能够进行数据保护评估并记录数据保护评估,与数据主体权利请求合作,并协助数据控制者履行信息安全义务。
合同签订要求
控制器和处理器需要签订一份合同,以确定处理器代表控制器执行的任何处理的数据处理程序。合同必须包括某些必需的内容,涉及保密性、数据删除和返回、提供信息以证明合规性、分包和评估。
隐私声明要求
CTDPA要求控制器发布“合理可访问、清晰且有意义”的隐私声明。隐私声明必须包括:控制者处理的个人数据类别、处理个人数据类别的目的、消费者如何行使其权利、控制者与第三方共享的个人数据的类别(如果有的话)、控制者共享个人数据的第三方类别、,以及消费者可以联系控制器的电子邮件地址或其他在线机制。如果企业将消费者的个人数据“出售”给第三方或将其处理用于定向广告,则通知必须披露消费者行使其选择退出此类活动的权利的方式。“个人数据出售”包括为金钱或其他有价值的考虑交换个人数据。
此外,控制器必须在其网站上提供一个链接,使消费者能够选择退出目标广告(基于跨站点跟踪或目标定位)或出售消费者的个人数据。
消费者权利
CTDPA赋予消费者有关其数据的若干权利。康涅狄格州消费者有权访问、更正、删除和移植他们的数据。此外,企业必须为消费者提供针对性广告、数据销售和自动决策分析的选择退出。
要求控制器在收到请求后45天内对消费者请求作出响应。
执行
CTDPA并未明确规定消费者享有私人诉讼权(尽管我们注意到,与其他法律相关的这一事实并未阻止私人诉讼)。执法权仅授予康涅狄格州总检察长。该法律规定了颁布后的强制执行宽限期,这意味着从2023年7月1日起至2024年12月31日止,总检察长必须向企业提供涉嫌违法行为的通知,并为其提供60天的补救期。
您的企业遵守CTDPA需要记住的重要日期是:
- 2023年7月1日——CTPDA生效。完全遵守的建议目标日期。
- 2024年12月31日——强制执行宽限期的最后一天(确保届时纠正任何剩余的涉嫌违规行为)。
- 2025年1月1日——要求企业制定控制措施,以收集同意并响应消费者选择退出请求。康涅狄格州总检察长可自行决定提供机会纠正涉嫌的违法行为。
标签
- 登录 发表评论