Часто задаваемые вопросы о защите данных потребителей в Вирджинии (VCDPA)

1. Закон о защите данных потребителей в Вирджинии (VCDPA) — это комплексный закон о конфиденциальности в США, который будет применяться в Генеральной корпорации Вирджинии с 1 января 2023 г. Генпрокурор может запросят "убытки на сумму до 7500 долларов США за каждое нарушение".
2. VCDPA предоставляет различные права на конфиденциальность потребителям в Вирджинии. Предприятия, регулируемые VCDPA, будут иметь множество обязательств перед этими потребителями, включая предоставление раскрытия информации, реагирование аналогично запросам субъектов данных потребителей (DSR) общего регламента по защите данных (GDPR) и соблюдение определенных обязательств по обработке данных (например, минимизация данных, разумные методы обеспечения безопасности данных).
3. Хотя компании с надежными программами соответствия ТРЕБОВАНИЯМ GDPR могут начать работу с соответствием VCDPA, важно учитывать ключевые различия между GDPR и VCDPA . Соответствие требованиям не может выполняться в ночное время; Для понимания нормативных особенностей VCDPA и реализации внутренних средств и механизмов для обеспечения готовности к соответствию VCDPA пространствам данных требуется время.
4. Как подробно описано в разделе "Комплексные вопросы и ответы", корпорация Майкрософт предоставляет продукты и службы, помогающие клиентам обеспечить соответствие VCDPA и предоставлять определенные инструменты элементов для помощи клиентам в установке, реализации и обслуживании "обоснованных административных, технических и физических методов обеспечения безопасности данных для защиты конфиденциальности, целостности и специальных возможностей персональных данных", как того требует VCDPA.

VCDPA будет применяться к некоммерческим компаниям, которые в большем масштабе контролирует или обрабатывает персональные данные резидентов Вирджинии.

В частности, VCDPA применяется к организациям, которые проводят бизнес в штате Вирджиния или создают продукты или службы, предназначенные для резидентов Королевства, и, в течение календарного года: (1) контроль или обработка персональных данных по крайней мере 100 000 резидентов Вирджинии или (2) получение более 50 % валовой прибыли от продажи персональных данных (VCDPA не уточняет, относится ли порог дохода только к резидентам Вирджинии) и управление или обработка персональных данных по крайней мере 25 000 резидентов Вирджинии.

Обратите внимание, что, хотя VCDPA не определяет "проведение бизнеса в Вирджинии", регулируемый бизнес может предположить, что VCDPA будет применяться к ней, если есть какие-либо экономические действия, которые активирует налоговую ответственность или личную юрисдикцию в Вирджинии.

Нет. Как описано в разделе "Существуют ли какие-либо другие условия обработки данных, которые должны быть на месте?". Раздел , условия надстройки защиты данных продуктов и служб Майкрософт будут соответствовать требованиям VCDPA.

Многие права VCDPA, которые перечислены потребителям в Вирджинии, аналогичны правам, которые предоставляет GDPR, включая права потребителя, такие как права на доступ, удаление и переносимость персональных данных. Таким образом, регулируемый бизнес может просмотреть существующие решения GDPR, чтобы помочь им в обеспечении соответствия требованиям VCDPA.

В зависимости от уникальных обстоятельств вашего бизнеса и того, где вы разрабатываете программу конфиденциальности VCDPA, можно рассмотреть следующие пять ключевых шагов, чтобы начать процесс VCDPA:

• Обнаружение. Определите, какие персональные данные имеет ваш бизнес и где они находятся.
• Карта. Определите, как ваша бизнес-служба предоставляет личные данные третьим лицам.
• Управление: управление использованием персональных данных и доступом к ним.
• Защита: установите элементы управления безопасностью для предотвращения и обнаружения уязвимостей и нарушений безопасности данных, а также реагирования на них.
• Документ. Документирование программы реагирования на нарушение безопасности данных.

Кроме того, диспетчер соответствия требованиям Microsoft Purview — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия вашей организации и принимать меры для снижения рисков. Найдите шаблон для создания оценки на странице шаблонов оценки в диспетчере соответствия требованиям. Дополнительные сведения см. в статье об оценках сборки в диспетчере соответствия требованиям .

Вам нужно понять, какие обязательства вашей организации относятся к VCDPA и как вы их выполняете, хотя корпорация Майкрософт поможет вам в вашем пути.

VCDPA был подписан 2 марта 2021 г. Однако принудительное применение генерального защитника Штата Вирджиния (AG) начнется только 1 января 2023 г.

Некоторые организации исключаются из VCDPA, в том числе:

• Органы штата Вирджиния
• Финансовые учреждения, на которые распространяется действие "Gramm-Leach-Bliley"
• Охваченные сущности или бизнес-партнеры, которые управляются правилами конфиденциальности, безопасности и уведомлений о нарушении, установленными в соответствии с Актом о переносимости и подотчетности медицинского страхования.
• некоммерческие организации; и в учебных заведениях высшего образования.

VCDPA также обеспечивает защиту от различения, если потребители решили использовать свои права, и дает потребителям возможность отказаться от продажи своих персональных данных, целевой рекламы и определенного профилирования. Дополнительные сведения об использовании продуктов, служб и средств администрирования Майкрософт для поиска персональных данных и их "действий" см. в статьях "Запросы субъектов данных" и GDPR и CCPA.

VCDPA требует, чтобы регулируемый бизнес отвечал на запросы на право потребителя в течение 45 дней, и этот период можно продлить еще на 45 дней, если запрашивающего потребителя выдано уведомление с объяснением причины такой задержки. VCDPA также предоставляет потребителям право на обращение к компании с таким запросом через процесс, предоставляемый бизнесом, который должен быть недоступен. В течение 60 дней бизнес должен ответить на обращение в письменном виде. Если обращение отклонено, бизнес должен предоставить потребителю "сетевой механизм (если доступен) или другой метод", с помощью которого потребитель может отправить претензию в группу доступности.

Бизнес-обязательства в рамках VCDPA включают:

• Минимизация данных: ограничьте сбор персональных данных достаточными, релевантным и достаточно необходимыми (например, указанными и экспресс-целями для обработки).
• Ограничение назначения: обработка персональных данных только для целей, которые достаточно необходимы или совместимы с целями, раскрытыми для потребителя (например, в уведомлении о конфиденциальности).
• Контроль безопасности: создание, реализация и поддержка "обоснованных административных, технических и физических методов обеспечения безопасности данных" для защиты персональных данных потребителей.
• Non-Различения: не обрабатывать персональные данные способом, нарушающий законы штата или федерального антикритических законов. Кроме того, компаниям запрещено дискриминировать потребителей за использование их прав в рамках VCDPA (за некоторыми исключениями, в том числе для программ лояльности).
• Согласие: получение экспресс-согласия от потребителей, когда бизнес (1) обрабатывает конфиденциальные данные или (2) отклоает от целей обработки данных, раскрытых потребителю (например, в уведомлении о конфиденциальности компании).

"Персональные данные" определяются как любая информация, связанная или достаточно связываемая с идентифицированным или идентифицируемым физическом лицом, но не включающее неидентифицированные данные или общедоступные сведения. Определение VCDPA "персональные данные" примерно соответствует "персональным данным" в соответствии с GDPR.

"Конфиденциальные данные" — это категория персональных данных, которая включает в себя следующее:

• Персональные данные, которые показывают принадлежность или принадлежность к этнической принадлежности, ментальную или физическую диагностику, физическую ориентацию, ориентацию или состояние принадлежности;
• Обработка географических или биометрических данных для уникальной идентификации физического лица;
• персональные данные, собранные из известного дочернего элемента; Или
• Точные данные о географическом расположении.

Как упоминалось выше, VCDPA требует согласия потребителя перед обработкой данных в определенных обстоятельствах, в том числе перед обработкой конфиденциальных данных потребителя. "Согласие" определяется как "четкий проявительный акт, который означает свободное, конкретное, информируемое и однозначное соглашение потребителя об обработке персональных данных, связанных с клиентом", и может включать в себя "письменное заявление, в том числе заявление, написанное электронными средствами, или любое другое однозначное действие по предотвращению".

Следующие сведения должны быть включены в достаточно доступное и понятное уведомление о конфиденциальности:

• Категории обработанных персональных данных;
• Назначение для обработки персональных данных;
• Как потребители могут выполнять свои права в отношении своих персональных данных (например, право на исправление персональных данных);
• Категории персональных данных, совместно используемых третьими лицами (если таковых имеются);
• Категории третьих лиц, которым регулируемый бизнес предоставляет персональные данные (если таковые есть).
• Тот факт, что персональные данные продаются третьим лицам или обрабатываются для целевой рекламы и как отказаться (эта инструкция необходима только в том случае, если контроллер продает или обрабатывает данные для целевой рекламы); И
• Как потребители могут обжаловать решение о запросе прав, принятое бизнесом.

"Продажа персональных данных" определяется как "обмен персональными данными для денежных целей" компании третьим сторонам. VCDPA предоставляет потребителям право отказаться от продажи персональных данных.

Обратите внимание, что VCDPA указывает, что регулируемый бизнес не должен учитывать запросы на отказ от продажи в следующих раскрытиях:

• (i) обработчику (например, сущности, которая обрабатывает персональные данные от имени организации);
• (ii) стороннему поставщику для предоставления продукта или услуги, запрашиваемого потребителем;
• (iii) для аффилированного лица,
• (iv) информации, которую потребитель намеренно сделал общедоступной через канал мультимедиа и не ограничив такую информацию определенной аудиторией, и
• (v) в рамках слияния, приобретения и т. д., в котором третья сторона принимает на себя контроль над всеми или частью активов компании.

DPA — это оценка, которая определяет и оценивает преимущества и потенциальные риски для потребителей, связанные с определенной обработкой персональных данных. В рамках VCDPA необходимо выполнить DPA для следующих действий: продажи персональных данных, при обработке конфиденциальных персональных данных, при обработке персональных данных для целевой рекламы, при обработке персональных данных для определенных целей профилирования и экземпляров, где обработка представляет значительный риск вреда для потребителей. Сведения о том, как использовать продукты, службы и средства администрирования Майкрософт для выполнения DPA, см. в статье "Оценка влияния на защиту данных для GDPR".

VCDPA требует, чтобыконтроллер (например, сущность, определяющий назначение и средства обработки персональных данных) и обработчик данных (например, сущность, обрабатывающий персональные данные от имени контроллера) влияли на соглашение, которое включает определенные условия обработки данных. Условия этого соглашения должны включать определенные положения, такие как инструкции по обработке данных, типы данных, на которые распространяется обработка, характер и назначение обработки, длительность обработки, права и обязательства обеих сторон. Кроме того, контракт должен включать обязательства, связанные с вычитанием, оценками, соблюдением конфиденциальности, удалением или возвратом персональных данных, а также демонстрацией соответствия обработчика требованиям VCDPA.

В некоторых случаях корпорация Майкрософт может считаться обработчиком данных при предоставлении услуг клиентам. В этом случае условия надстройки защиты данных продуктов и служб Майкрософт (DPA) уже соответствуют требованиям VCDPA, так как эти требования аналогичны договорным требованиям GDPR. Нет необходимости обновлять контракт вашей организации с корпорацией Майкрософт. Как описано в DPA, корпорация Майкрософт соблюдает все законы и нормативные акты, применимые к ее подготовке веб-служб, включая VCDPA.

VCDPA предоставляет группе доступности монопольный центр для принудительной подготовки в течение 30 дней в случае любых нарушений VCDPA. Группа доступности может обращаться за освобождением и убытками в размере до 7500 долл. США за каждое нарушение и любые "обоснованные расходы, понесенные при расследовании и подготовке дела, включая расходы защитника".

Обратите внимание, что VCDPA не предоставляет потребителям закрытое право на действие.

Помимо прочего, корпорация Майкрософт реализовала DSR, связанные с GDPR, глобально, поэтому мы уже можем помочь вам выполнить аналогичные требования VCDPA. Мы также просмотрели наши сторонние соглашения об общем доступе к данным и пошаговую процедуру, чтобы убедиться, что мы не продаем персональные данные, необходимые договорные условия и средства защиты.

Корпорация Майкрософт также помогает выполнить свои обязательства в рамках VCDPA, реализуя соответствующие технические и организационные меры, направленные на упрощение ответов на запросы потребителей, предоставление технических средств и механизмов соответствия требованиям и соблюдение инструкций по обработке данных.

В связи с характером облачных вычислений корпорация Майкрософт работает с моделью общей ответственности за веб-службы. Общая ответственность является важной темой, так как поставщики облачных служб и регулируемые предприятия отвечают за части облачной безопасности. Дополнительные сведения о наших рекомендациях по обеспечению безопасности и конфиденциальности см. в Центре управления безопасностью Майкрософт.

• Начните использовать оценку GDPR в диспетчере соответствия требованиям в рамках программы конфиденциальности VCDPA вашей организации.
• Создайте процесс для эффективного реагирования на запросы прав потребителей.
• Настройка политик для обнаружения, классификации, маркировки и защиты конфиденциальных данных с помощью Защита информации Microsoft Purview.
• Используйте возможности шифрования электронной почты для дополнительного контроля конфиденциальной информации.

VCDPA определяет ребенка как любого человека старше 13 лет. Предприятия, которые соответствуют требованиям проверяемого согласия в соответствии с правилом защиты конфиденциальности в Интернете для детей (COPPA), будут считаться соответствующими любым обязательствам по предоставлению родительского согласия в рамках VCDPA.

VCDPA обеспечивает обработку конфиденциальных данных ребенка в соответствии с требованиями COPPA .

Обязательства VCDPA не применяются к персональным данным, собранным и используемым в контексте занятости.

Существует много различий. Проще сосредоточиться на сходствах, в том числе:

• обязательства по прозрачности и предоставлению информации;
• Права потребителя на доступ, удаление и исправление персональных данных.

Важно отметить, что VCDPA требует, чтобы предприятия разрешали потребителям отказаться от продаж данных третьим лицам, целевой рекламы и определенного профилирования. Это более узкие и конкретные обязательства, чем широкое право GDPR на обработку, которое охватывает такие типы раскрытия, но не ограничивается раскрытием этих данных.

Кроме того, VCDPA также предоставляет потребителям право обратиться к компании с просьбой применить запрос субъекта данных с помощью процесса запроса, предоставляемого бизнесом, который должен быть "явно доступным". Такой процесс не является обязательным в GDPR.