Vermontský zákon o ochraně osobních údajů a sledování: Co znamená v roce 2028

Vermontský zákon o ochraně osobních údajů a sledování: Co znamená v roce 2028

Guvernér Vermontu podepsal 16. června 2026 zákon S.71, Vermontský zákon o ochraně osobních údajů a online sledování, čímž se Vermont stal jedním z nejpřísnějších států v zemi v oblasti ochrany spotřebitelských dat. Zákon nabývá účinnosti až 1. ledna 2028, ale odpočítávání pro firmy, aby uvedly své postupy do pořádku, již začalo. Pro spotřebitele představují ustanovení vermontského zákona o ochraně osobních údajů a sledování jeden z dosud nejambicióznějších pokusů amerického státu omezit, jak podniky shromažďují, používají a sdílejí osobní informace.

Co Vermontský zákon o ochraně osobních údajů a online sledování skutečně vyžaduje

V jádru dává zákon obyvatelům Vermontu smysluplnou kontrolu nad jejich osobními údaji. Po podnicích požaduje, aby před zpracováním citlivých kategorií informací získaly výslovný souhlas (opt-in), včetně přesné geolokace, zdravotních údajů, finančních údajů a údajů o nezletilých. Tento standard opt-in je výrazně přísnější než rámce založené na odhlášení (opt-out), které najdeme v mnoha jiných státních zákonech.

Podniky musí také poskytovat jasná a přístupná oznámení o ochraně soukromí, provádět posouzení vlivu na ochranu osobních údajů u rizikovějších zpracovatelských činností a vyřizovat žádosti spotřebitelů o přístup k údajům, jejich opravu, výmaz a přenositelnost. Zákon obsahuje individuální právo podat žalobu pro určitá porušení, což dává jednotlivým spotřebitelům právní legitimaci žalovat, ne pouze státním regulačním orgánům. Tento prvek sám o sobě odlišuje Vermont od většiny amerických rámců ochrany soukromí, kde je vymáhání ponecháno výhradně na generálních prokurátorech.

Část zákona týkající se „online sledování“ je obzvláště pozoruhodná. Zavádí specifická omezení používání osobních údajů pro cílenou reklamu spotřebitelům a limituje, jak mohou společnosti vytvářet behaviorální profily bez výslovného souhlasu.

Na koho se vztahuje a široká síť, která zachytí více společností, než byste čekali

Mnoho státních zákonů o ochraně soukromí obsahuje prahové hodnoty příjmů nebo objemu dat, které menší firmy vynechávají. Vermontské limity jsou poměrně nízké. Zákon se vztahuje na podniky, které kontrolují nebo zpracovávají osobní údaje 25 000 nebo více vermontských spotřebitelů ročně, nebo na ty, které odvozují 25 procent nebo více svých hrubých příjmů z prodeje osobních údajů a zpracovávají údaje alespoň 12 500 spotřebitelů.

Vermont má zhruba 650 000 obyvatel. To znamená, že práh 25 000 spotřebitelů představuje pouze asi čtyři procenta obyvatel státu. Společnosti, které působí celostátně a mají i skromnou vermontskou uživatelskou základnu, by mohly tento limit snadno překročit. Zejména obchodníci s daty čelí podle zákona zvýšeným povinnostem, včetně přísnějších omezení prodeje citlivých údajů a požadavku registrace u státu.

Zarámování „online sledování“ v názvu zákona jasně signalizuje jeho ambice. Platformy a reklamní technologické společnosti, které se spoléhají na všudypřítomné sledování při vytváření spotřebitelských profilů, jsou přímo v jeho působnosti.

Jak si vermontský zákon stojí v porovnání s ostatními americkými státními předpisy o ochraně soukromí

Vermont se nyní řadí mezi zhruba dvě desítky států s komplexní spotřebitelskou legislativou na ochranu soukromí, ale jeho zákon patří k těm přísnějším. Kalifornský CPRA je často uváděn jako americký zlatý standard, nicméně vermontský požadavek na opt-in pro zpracování citlivých údajů a individuální právo podat žalobu jdou dále, než co Kalifornie v současnosti vyžaduje.

Státy jako Texas a Florida přijaly zákony s širokými výjimkami pro podniky a bez individuálního práva na žalobu, což v praxi činí vymáhání převážně bezzubým. Vermontský přístup je duchem blíže evropským zásadám ochrany osobních údajů, aniž by přímo kopíroval GDPR. Kombinace nízkých aplikačních prahů, výchozího nastavení opt-in pro citlivé údaje a práv jednotlivců podat žalobu vytváří na podniky skutečný tlak na odpovědnost.

Zákon také vymezuje činnost obchodníků s daty přísněji než většina státních rámců, což je významné vzhledem k tomu, jak velká část komerčního sledovacího hospodářství probíhá právě přes obchodníky s daty, a nikoli přes společnosti, se kterými spotřebitelé jednají přímo.

Co to znamená pro vaše datová práva, i když ve Vermontu nežijete

Státní zákony o ochraně soukromí mají zdokumentovanou tendenci vyvolávat celostátní politické změny. Když společnosti upraví své datové postupy, aby vyhověly přísnému státnímu zákonu, často uplatní tyto změny plošně, místo aby udržovaly oddělené systémy pro různé státy. Kalifornský zákon o ochraně soukromí vyvolal přesně tento efekt – firmy zavedly nové toky souhlasů a nástroje pro mazání dat pro všechny americké uživatele, nejen pro Kaliforňany.

Vermontský zákon by mohl spustit podobnou dynamiku, zejména v oblasti obchodníků s daty. Pokud podniky musí obyvatelům Vermontu nabídnout právo odhlásit se z prodeje jejich údajů, mnohé z nich shledají provozně jednodušší rozšířit tuto možnost všude. Pro spotřebitele mimo Vermont to představuje významný zisk v datových právech, která by jinak neměli.

Ustanovení zaměřená konkrétně na sledování stojí za pozornost i v širším kontextu. Legislativa, která se zaměřuje na behaviorální sledování a online dohled, je stále častěji součástí politické debaty i na federální úrovni. Vermontský přístup může ovlivnit, jak federální zákonodárci zarámují budoucí návrhy.

Právní ochrana samozřejmě sahá jen po určitou mez. Zákony stanovují minimální standardy, nikoli stropy, a vymáhání vyžaduje čas. Používání technických nástrojů na ochranu soukromí spolu s právními právy poskytuje spotřebitelům ucelenější obrázek. Například VPN omezuje, co třetí strany mohou pozorovat o vaší aktivitě při prohlížení na síťové úrovni, a doplňuje tak práva, která státní zákon poskytuje na straně ukládání a sdílení dat.

Konkrétní závěry

• Pokud podnikáte: Začněte co nejdříve prověřovat svůj inventář údajů. Leden 2028 se může zdát daleko, ale vybudování souladu se zákonem, včetně toků souhlasů, procesů posuzování a vyřizování žádostí subjektů údajů, vyžaduje čas.
• Pokud jste rezidentem Vermontu: Vaše práva podle tohoto zákona budou vymahatelná od 1. ledna 2028. Uchovávejte si záznamy o podaných žádostech o údaje a odpovědích, které obdržíte.
• Pokud žijete mimo Vermont: Sledujte, jak celostátní společnosti na tento zákon reagují. Nové nástroje pro odhlášení nebo možnosti souhlasu zavedené pro vermontské uživatele se mohou stát dostupnými i pro vás.
• Pro všechny: Právní ochrana a technické postupy na ochranu soukromí fungují nejlépe společně. Být informován o státní a federální legislativě týkající se sledování je prvním krokem k pochopení toho, jaká práva skutečně máte.

Vermontský zákon je významným mezníkem v pokračující snaze přiblížit americké standardy ochrany soukromí tomu, co spotřebitelé v jiných částech světa již očekávají. Zda vyvolá celostátní vlnu, bude záviset na tom, jak agresivně bude vymáhán a nakolik jsou společnosti ochotny budovat skutečně vyhovující datové postupy, nikoli jen minimální náhradní řešení.