Connecticut Data Privacy Act: Wie wir sicherstellen, dass Convert konform bleibt
Veröffentlicht: 2022-07-13
Mit der Einführung von Connecticut SB 6, allgemein als Connecticut Data Privacy Act oder „CTDPA“ bezeichnet, ist Connecticut in die Reihen der US-Bundesstaaten wie Kalifornien, Virginia, Colorado, Nevada und Utah eingetreten, die umfassende Datenschutzgesetze zum Schutz der Privatsphäre von Einzelpersonen verabschiedet haben. persönliche Informationen.
Trotz jahrzehntelanger Datenschutz- und Datensicherheitsvorschriften in den Vereinigten Staaten galten diese Vorschriften bisher nur für bestimmte Unternehmen, Bereiche und Datentypen.
Anstatt bestimmte Formen der Datenverarbeitung streng einzuschränken, verstärken diese neuen staatlichen Vorschriften den wachsenden Trend, die Persönlichkeitsrechte von Einzelpersonen umfassender zu schützen.
Immer mehr US-Bundesstaaten erlassen Gesetze zum Umgang mit Online-Informationen. Sehen Sie sich unsere Bewertungen der Datenschutzgesetze in an
- Utah,
- Kalifornien,
- Virginia,
- Nevada,
- Colorado
Der Unterschied zwischen Connecticut SB 6 und anderen Datenschutzgesetzen
Nachfolgend finden Sie eine Aufschlüsselung der Bestimmungen von Connecticut SB 6 im Vergleich zu denen von
- Das Verbraucherdatenschutzgesetz von Utah (UCPA)
- Das Colorado-Datenschutzgesetz (CPA)
- Das Datenschutzgesetz des Staates Nevada (SB200)
- Die Virginia-VCDPA
- CCPA (geändert durch das California Privacy Rights Act (CPRA))
- Die Europäische Datenschutz-Grundverordnung (DSGVO)
| Wichtige Bestimmungen | Connecticut SB6 | Utah UCPA | Colorado CPA | Nevada SB220 | Virginia CDPA | Kalifornien CCPA + CPRA | Europa DSGVO | ||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Verarbeitungsfähigkeit | |||||||||||||||||||||||||||||||||||||||||||||||
| Datenminimierung | Ja | Ja | Ja | – | Ja | Nein | Ja | ||||||||||||||||||||||||||||||||||||||||
| Zulässiger Zweck | Ja | Ja | Ja | – | Ja | Nein | Ja | ||||||||||||||||||||||||||||||||||||||||
| Individual Rechte | |||||||||||||||||||||||||||||||||||||||||||||||
| Recht auf Mitteilung über Verarbeitungstätigkeiten | Ja | Ja | Ja | Ja | Ja | Ja | Ja | ||||||||||||||||||||||||||||||||||||||||
| Recht auf Zugang zu personenbezogenen Daten | Ja | Ja | Ja | – | Ja | Ja | Ja | ||||||||||||||||||||||||||||||||||||||||
| Recht auf Datenübertragbarkeit. Daten sollten in einem leicht verwendbaren Format für die Übertragung von einer Entität/Plattform zu einer anderen verfügbar sein. | Ja | Ja | Ja | . | Ja | Ja | Ja | ||||||||||||||||||||||||||||||||||||||||
| Recht auf Berichtigung von Fehlern in personenbezogenen Daten | Ja | Nein | Ja | – | Ja | Nein | Ja | ||||||||||||||||||||||||||||||||||||||||
| Recht auf Löschung personenbezogener Daten | Ja | Ja | Ja | – | Ja | Ja | Ja | ||||||||||||||||||||||||||||||||||||||||
| Recht auf Deaktivierung von verhaltensbasierter Werbung | Ja | Ja | Nein | – | Ja | Nein | Ja | ||||||||||||||||||||||||||||||||||||||||
| Widerspruchsrecht gegen automatisierte Profilerstellung und Entscheidungsfindung | Ja | Ja | Nein | – | Ja | Nein | Ja | ||||||||||||||||||||||||||||||||||||||||
| Recht auf Nichtdiskriminierung bei der Ausübung dieser Rechte | Ja | Ja | Ja | – | Ja | Ja | Ja | ||||||||||||||||||||||||||||||||||||||||
| Recht auf Widerspruch gegen den Verkauf personenbezogener Daten | Ja | Ja | Ja | Ja | Ja | Ja | Nein | ||||||||||||||||||||||||||||||||||||||||
| Opt-in oder Opt-out für die Verarbeitung sensibler Informationen | Ablehnen | Ablehnen | Anmelden | – | Anmelden | Ablehnen | Anmelden | ||||||||||||||||||||||||||||||||||||||||
| Recht auf Beschwerde gegen die Ablehnung von Anträgen | Ja | Nein | Nein | – | Ja | Nein | Nein | ||||||||||||||||||||||||||||||||||||||||
| Rechenschaftspflicht/Governance | |||||||||||||||||||||||||||||||||||||||||||||||
| Datenschutzbewertungen | Ja | Nein | Ja | – | Ja | Nein | Ja | ||||||||||||||||||||||||||||||||||||||||
| Sicherheit | |||||||||||||||||||||||||||||||||||||||||||||||
| Angemessene Datensicherheit zum Schutz von Informationen | Ja | Nein | Ja | – | Ja | Ja | Ja | ||||||||||||||||||||||||||||||||||||||||
| Benachrichtigung bei Verletzung | Ja | Ja | Ja | – | Ja | Ja | Ja | ||||||||||||||||||||||||||||||||||||||||
| Datenübertragungen außerhalb des Europäischen Wirtschaftsraums (EWR) | |||||||||||||||||||||||||||||||||||||||||||||||
| Zusätzliche Maßnahmen für internationale Überweisungen | Ja | Ja | Ja | – | Nein | Nein | Ja | ||||||||||||||||||||||||||||||||||||||||
| Übertragungen an Dritte | |||||||||||||||||||||||||||||||||||||||||||||||
| Vertragliche Anforderungen in Dienstleistungsverträgen | Ja | Nein | Ja | – | Ja | Ja | Ja | ||||||||||||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||||||||||||||
| Einwilligung für Adtech-Cookies | Ja | Nein | Nein | – | Ja | Ja | Ja | ||||||||||||||||||||||||||||||||||||||||
| Einwilligung vor Direktmarketing eingeholt | Ja | Nein | Ja | – | Nein | Nein | Ja | ||||||||||||||||||||||||||||||||||||||||
| Strafverfolgungsbehörden | |||||||||||||||||||||||||||||||||||||||||||||||
| Generalstaatsanwalt | Handelsministerium von Utah | Generalstaatsanwalt | – | Generalstaatsanwalt | Generalstaatsanwalt, CPPA | DPA | |||||||||||||||||||||||||||||||||||||||||
| Operatives Datum | |||||||||||||||||||||||||||||||||||||||||||||||
| 1. Juli 2023 | 31. Dezember 2023 | 1. Juli 2023 | 1. Oktober 2019 | 1. Januar 2023 | 1. Januar 2020/ 1. Januar 2023 | 25. Mai 2018 | |||||||||||||||||||||||||||||||||||||||||
Es scheint sich ein Muster abzuzeichnen, wie staatliche Gesetzgeber umfassende Datenschutzgesetze angehen, wie in der obigen Tabelle dargestellt.
Der Connecticut SB 6 übernimmt wesentliche Abschnitte der Gesetze von Colorado und Virginia praktisch wörtlich, einschließlich der Definition personenbezogener Daten, des Umgangs mit sensiblen personenbezogenen Daten und der Durchführung von Datenschutz-Folgenabschätzungen.
Was sind die wichtigsten Bestimmungen von Connecticuts SB 6?
Im Folgenden sind einige der wichtigsten Bestimmungen des Connecticut SB 6 aufgeführt:
1. Gleiche Datenschutzrechte wie andere staatliche Gesetze
Das Connecticut Data Privacy Act legt eine Reihe individueller Datenschutzrechte fest, die denen im Utah UCPA, Colorado CPA, Virginia VCDPA und California CCPA/CPRA ähneln.
Diese Rechte umfassen das Anzeigen, Korrigieren, Kopieren und Löschen personenbezogener Daten.
Verbraucher können auch der Verarbeitung ihrer personenbezogenen Daten für Werbung, Datenverkauf und Profilbildung widersprechen.
SB 6 enthält wie die anderen staatlichen Datenschutzgesetze ein Opt-in-System für die Art der Datenverarbeitung, an der Kinder im Alter von 13 bis 16 Jahren beteiligt sind.
2. Datenschutzanfragen ohne technische Genehmigung
Was die Art und Weise betrifft, wie Anträge auf Datenschutzrechte eingereicht und bearbeitet werden, ähnelt das neue Gesetz von Connecticut eher dem CPA von Colorado als dem Gesetz von Virginia.
Connecticut schließt sich Kalifornien und Colorado an, indem es von Unternehmen verlangt, Kunden die Möglichkeit zu bieten, gezielte Werbung oder Verkäufe durch eine Art technischen Mechanismus abzulehnen. Im Gegensatz zu Kalifornien und Colorado erfordert Connecticut SB 6 jedoch keine Genehmigung der technischen Mechanismenanforderungen durch die staatliche Regulierungsbehörde.
3. Allgemeine Definition des Verkaufs personenbezogener Daten
Gemäß Connecticut SB 6 bedeutet „Verkauf personenbezogener Daten“ den Austausch personenbezogener Daten gegen Geld oder eine andere geldwerte Gegenleistung mit einem Dritten.
Durch die Einbeziehung der „wertvollen Gegenleistung“ zusammen mit der monetären Gegenleistung bietet SB 6 eine umfassendere Definition des Verkaufs, ähnlich den Definitionen des kalifornischen CCPA und des Colorado CPA.
Es gibt mehrere Ausnahmen von der Definition des Verkaufs personenbezogener Daten, einschließlich der Offenlegung personenbezogener Daten auf Wunsch eines Verbrauchers, der Offenlegung innerhalb eines Unternehmens und der Offenlegung oder Übermittlung personenbezogener Daten an Dritte im Zusammenhang mit einer Übernahme, Insolvenz, oder eine andere Art von Transaktion.
4. Vollstreckung nur durch den Generalstaatsanwalt
Connecticut SB 6 folgt dem Muster, nur dem Generalstaatsanwalt die Verfolgung von Straftaten zu gestatten.
Der Generalstaatsanwalt von Connecticut muss ebenso wie der von Colorado eine 60-tägige Kündigungsfrist und die Möglichkeit bieten, Verstöße zu korrigieren.
Verstöße gegen SB 6 gelten als irreführende Handelspraktiken gemäß dem Gesetz des Staates über unlautere und irreführende Handlungen und Praktiken und können zu zivilrechtlichen Geldbußen von bis zu 5.000 US-Dollar führen, zusätzlich zu tatsächlichem Schadensersatz und Strafschadensersatz sowie Anwaltsgebühren und -kosten.
5. Verbesserte Sicherheit für sensible Informationen
Der Connecticut SB 6 bietet, wie mehrere andere Datenschutzgesetze, erweiterte Sicherheitsvorkehrungen für bestimmte Arten von Informationen.
Diese „sensiblen Daten“ umfassen Informationen über die Rasse, ethnische Zugehörigkeit, religiöse Überzeugungen, den psychischen oder physischen Gesundheitszustand oder die Diagnose, das Sexualleben, die sexuelle Orientierung, den Staatsbürgerschaftsstatus oder den Einwanderungsstatus einer Person; genetische und biometrische Daten, die zur Identifizierung verwendet werden können; von Kindern gesammelte Informationen; und Geolokalisierungsinformationen.
Die Verarbeitung sensibler Daten erfordert die Zustimmung des Verbrauchers und erhöht zwangsläufig das Schadenspotenzial für den Verbraucher, weshalb eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist.
6. Offenlegungen der Datenschutzrichtlinie
Connecticut SB 6 verlangt von Organisationen, ihre Datenschutzrichtlinien zu aktualisieren, um die folgenden Offenlegungen aufzunehmen:
- Die Arten von personenbezogenen Daten, die das Unternehmen verarbeitet;
- Warum das Unternehmen personenbezogene Daten verarbeitet;
- Eine oder mehrere sichere und vertrauenswürdige Möglichkeiten für Verbraucher, ihre Datenschutzrechte auszuüben, einschließlich der Möglichkeit, eine Entscheidung bezüglich eines Antrags auf Datenschutzrechte anzufechten;
- Die Kategorien personenbezogener Daten, die gegebenenfalls mit Dritten ausgetauscht werden;
- die Arten von Dritten, mit denen personenbezogene Daten ausgetauscht werden, falls vorhanden;
- Eine aktive E-Mail-Adresse, unter der ein Kunde das Unternehmen kontaktieren kann;
- Wenn ein Unternehmen personenbezogene Daten für gezielte Werbung verkauft oder verarbeitet, muss die Datenschutzerklärung dies angeben und wie Kunden sich dagegen entscheiden können.
Datenschutz-Compliance-Plan von Convert
Da immer mehr Datenschutzgesetze eingeführt werden, können wir erwarten, dass sich die Landschaft weiter verändert, mit noch mehr neuartigen Datenschutzgesetzen sowie mehr Runden von Kommentaren und Überarbeitungen.
Diese Faktoren können sich alle darauf auswirken, wie Ihre Software konform ist und wie Ihre Datenschutzrichtlinie formuliert ist.
Wie also verfolgt Convert all diese Daten und stellt sicher, dass wir nichts übersehen?
1. Erstellen von Warnungen zu datenschutzrelevanten Schlüsselwörtern
Wir beginnen mit der Einrichtung von Google Alerts für die entsprechenden Begriffe. Unser System benachrichtigt uns jedes Mal, wenn neue Gesetze verabschiedet, ein neues Gesetz eingeführt oder ein Fall entschieden wird, der einen unserer Suchbegriffe enthält. Der folgende Screenshot zeigt einige dieser Warnungen.
Die Suchergebnisse sind möglicherweise nicht alle relevant, daher müssen wir die Warnungen sichten, um sicherzustellen, dass wir nur relevante Daten auswerten.
Jeder gute Rechercheur weiß, dass Sie sich nicht auf eine einzige Quelle für alle Ihre Informationen verlassen sollten. Aus diesem Grund ist Convert Mitglied mehrerer Datenschutzforen. Wir überprüfen auch wöchentlich die von der International Association of Privacy Professionals bereitgestellten Materialien.
Die IAPP veröffentlicht beispielsweise eine Vergleichstabelle zum Datenschutzrecht (siehe unten), die nützliche Informationen zu allen eingeführten Datenschutzgesetzen enthält.
2. Überprüfung der Websites von Datenschutzbehörden (DPAs)
Während es wichtig ist, den Überblick über neue Gesetzentwürfe, Gesetze und Satzungen zu behalten, ist es ebenso wichtig, die Datenschutzbehörden und ihre Auslegungen zu befolgen. Einrichtungen wie diese können Ihnen wichtige Informationen darüber liefern, was durchgesetzt wird und wie.
In einem kürzlich erschienenen Artikel haben wir dargelegt, wie die österreichische Datenschutzbehörde die Verwendung von Google Analytics illegal gemacht hat.
3. Datenschutzartikel lesen
Wir lesen Meinungsartikel und Geschichten über Datenschutz und Technologie sowie Branchenperspektiven zum Datenschutz und Informationen darüber, was die breite Öffentlichkeit über den aktuellen Datenschutz denkt.
Zu wissen, wie die Branche und die breite Öffentlichkeit über Datenschutz und Technologie denken, hilft uns, Muster bei der Durchsetzung und bei gesetzgeberischen Maßnahmen zu bewerten und zu beurteilen, wohin sich unser Sektor in Zukunft bewegt.
4. Aktualisierung von Richtlinien und relevanten Informationen
Es ist wichtig zu beachten, dass Convert sich nicht nur um die Datenschutzrichtlinien, sondern auch um die Allgemeinen Geschäftsbedingungen, Endbenutzer-Lizenzvereinbarungen, Haftungsausschlüsse, Verträge und die eigentlichen A/B-Tracking-Skripte kümmert.
Nachdem wir alle Informationen gesammelt haben, entscheiden wir, ob wir Änderungen an den Richtlinien vornehmen oder nicht, und aktualisieren sie dann.
5. Information der Website-Besucher
Da immer mehr Verbraucher prüfen, ob eine Website über eine Datenschutzrichtlinie verfügt und welche Datenschutzpraktiken in diesen Richtlinien angegeben sind, besteht der nächste Schritt darin, die Besucher unserer Website und die Benutzer von Convert über die von uns vorgenommenen Änderungen zu informieren. Alle neuen Gesetze verlangen, dass Datenschutzrichtlinien ihr Datum des Inkrafttretens oder das Datum der letzten Überarbeitung angeben. Wenn Ihre Datenschutzrichtlinie diese Offenlegung enthält, können Website-Benutzer leicht feststellen, ob die Richtlinie geändert wurde, indem sie einfach auf das Datum schauen.
Converts Plan für Connecticut SB 6
Wenn Sie bereits ein Convert-Konto haben, müssen Sie sich keine Sorgen machen! Wir behalten dieses neue Gesetz sowie alle Überarbeitungen oder Vorschriften für Sie im Auge. Wenn das Gesetz auf Sie zutrifft, werden Ihre Richtlinien überarbeitet, um die oben genannten Offenlegungen aufzunehmen, bevor das Gesetz in Kraft tritt.
Bei Convert überwachen wir die staatlichen Datenschutz- und Cybersicherheitsgesetze genau. Weitere Informationen zur „Vorbereitung auf den SB 6“ und andere neue US-Datenschutzgesetze finden Sie in unserer DSGVO-Roadmap .
