When does the Vermont Data Privacy and Surveillance Act take effect?

The law takes effect on January 1, 2028, after being signed into law on June 16, 2026.

What makes this Vermont law stricter than other state privacy laws?

It requires opt-in consent for processing sensitive data, grants consumers a private right of action to sue, and restricts targeted advertising and behavioral profiling without explicit consent.

Which businesses are subject to the Vermont Data Privacy and Surveillance Act?

Businesses that control or process the personal data of 25,000 or more Vermont consumers annually, or those that derive 25% or more of gross revenue from selling personal data and process data of at least 12,500 consumers.

What categories of data require opt-in consent under this law?

Precise geolocation, health data, financial data, and data about minors all require opt-in consent before processing.

Can individual consumers bring lawsuits for violations of this law?

Yes, the law includes a private right of action that gives individual consumers legal standing to sue for certain violations, rather than leaving enforcement solely to state regulators.

Vermontin tietosuoja- ja valvontalaki: Mitä se tarkoittaa vuonna 2028

Vermontin kuvernööri allekirjoitti S.71:n, Vermontin tietosuoja- ja verkkovalvontalain, 16. kesäkuuta 2026, mikä tekee Vermontista yhden maan tiukimmista osavaltioista kuluttajatietosuojan suhteen. Laki astuu voimaan vasta 1. tammikuuta 2028, mutta lähtölaskenta on jo alkanut yrityksille saada käytäntönsä kuntoon. Kuluttajille Vermontin tietosuojalain valvontasäännökset edustavat yhtä kunnianhimoisimmista yrityksistä Yhdysvaltain osavaltioissa hillitä sitä, miten yritykset keräävät, käyttävät ja jakavat henkilötietoja.

Mitä Vermontin tietosuoja- ja verkkovalvontalaki todella edellyttää

Pohjimmiltaan laki antaa Vermontin asukkaille merkityksellisen hallinnan heidän henkilötietoihinsa. Se edellyttää yrityksiä hankkimaan nimenomaisen suostumuksen ennen arkaluonteisten tietoluokkien käsittelyä, mukaan lukien tarkka sijaintitieto, terveystiedot, taloustiedot ja alaikäisiä koskevat tiedot. Tämä nimenomainen suostumus -standardi on huomattavasti tiukempi kuin monissa muissa osavaltioiden laeissa esiintyvät opt-out-kehykset.

Yritysten on myös annettava selkeät ja helposti saatavilla olevat tietosuojailmoitukset, tehtävä tietosuoja-arviointeja riskialttiimmalle käsittelylle ja kunnioitettava kuluttajien pyyntöjä päästä käsiksi tietoihin, korjata, poistaa ja siirtää niitä. Lakiin sisältyy yksityisoikeudellinen kanneoikeus tietyistä rikkomuksista, mikä antaa yksittäisille kuluttajille laillisen aseman haastaa oikeuteen, ei pelkästään osavaltion sääntelyviranomaisille. Pelkästään tämä ominaisuus erottaa Vermontin useimmista Yhdysvaltain osavaltioiden tietosuojakehyksistä, joissa täytäntöönpano on jätetty kokonaan oikeuskanslereiden vastuulle.

Lain "verkkovalvonta"-osio on erityisen huomionarvoinen. Se asettaa erityisiä rajoituksia henkilötietojen käytölle kuluttajille kohdennettuun mainontaan ja rajoittaa sitä, miten yritykset voivat rakentaa käyttäytymisprofiileja ilman nimenomaista suostumusta.

Keitä laki koskee ja laaja verkko, joka nappaa odotettua useampia yrityksiä

Monet osavaltioiden tietosuojalait sisältävät liikevaihto- tai tietomääräkynnyksiä, jotka jättävät pienemmät yritykset velvoitteiden ulkopuolelle. Vermontin kynnykset ovat suhteellisen matalat. Laki koskee yrityksiä, jotka hallinnoivat tai käsittelevät vähintään 25 000 Vermontin kuluttajan henkilötietoja vuosittain, tai niitä, jotka saavat vähintään 25 prosenttia bruttotuloistaan henkilötietojen myynnistä ja käsittelevät vähintään 12 500 kuluttajan tietoja.

Vermontissa on noin 650 000 asukasta. Tämä tarkoittaa, että 25 000 kuluttajan kynnys edustaa vain noin neljää prosenttia osavaltion asukkaista. Yritykset, jotka toimivat valtakunnallisesti ja joilla on vaatimatonkin Vermontin käyttäjäkunta, voivat helposti ylittää tämän rajan. Tietovälittäjiin kohdistuu erityisesti korostettuja velvoitteita lain nojalla, mukaan lukien tiukemmat rajoitukset arkaluonteisten tietojen myynnille ja vaatimus rekisteröityä osavaltioon.

Lain nimessä oleva "verkkovalvonta"-ilmaus viestii sen tavoitteista selvästi. Alustat ja mainosteknologiayritykset, jotka nojaavat laajaan seurantaan rakentaakseen kuluttajaprofiileja, ovat suoraan lain piirissä.

Miten Vermontin laki vertautuu muuhun Yhdysvaltain osavaltioiden tietosuojalainsäädäntöön

Vermont on nyt noin kahdenkymmenen kattavan kuluttajatietosuojalainsäädännön omaavan osavaltion joukossa, mutta sen laki asettuu tiukempaan päähän. Kalifornian CPRA:ta pidetään usein Yhdysvaltain kultaisena standardina, mutta Vermontin vaatimus nimenomaisesta suostumuksesta arkaluonteisten tietojen käsittelyyn ja sen yksityisoikeudellinen kanneoikeus menevät pidemmälle kuin mitä Kalifornia tällä hetkellä edellyttää.

Osavaltiot kuten Texas ja Florida ovat säätäneet lakeja, joissa on laajempia yritysvapautuksia eikä yksityisoikeudellista kanneoikeutta, jättäen täytäntöönpanon käytännössä hampaatomaksi. Vermontin lähestymistapa on hengeltään lähempänä eurooppalaisia tietosuojaperiaatteita kopioimatta GDPR:ää suoraan. Matalien soveltuvuuskynnysten, arkaluonteisten tietojen oletusarvoisen opt-in-mallin ja yksilöllisen kanneoikeuden yhdistelmä luo todellista vastuupainetta yrityksille.

Laki vetää myös tiukemman ympyrän tietovälittäjien toiminnalle kuin useimmat osavaltioiden kehykset, mikä on merkittävää ottaen huomioon, kuinka suuri osa kaupallisesta valvontataloudesta kulkee tietovälittäjien kautta eikä niiden yritysten, joiden kanssa kuluttajat ovat suoraan vuorovaikutuksessa.

Mitä tämä tarkoittaa tieto-oikeuksillesi, vaikka et asuisi Vermontissa

Osavaltioiden tietosuojalaeilla on hyvin dokumentoitu taipumus saada aikaan kansallisia politiikkamuutoksia. Kun yritykset päivittävät tietokäytäntöjään noudattaakseen tiukkaa osavaltiolakia, ne usein soveltavat näitä muutoksia laajasti sen sijaan, että ylläpitäisivät erillisiä järjestelmiä eri osavaltioita varten. Kalifornian tietosuojalaki tuotti juuri tämän vaikutuksen, kun yritykset ottivat käyttöön uudet suostumuskäytännöt ja tietojen poistotyökalut kaikille Yhdysvaltain käyttäjille, ei vain kalifornialaisille.

Vermontin laki voi laukaista samankaltaisen dynamiikan, erityisesti tietovälittäjien osalta. Jos yritysten on tarjottava Vermontin asukkaille oikeus kieltäytyä tietojensa myynnistä, monet pitävät toiminnallisesti yksinkertaisempana laajentaa tämän vaihtoehdon koskemaan kaikkialla. Vermontin ulkopuolella asuville kuluttajille tämä merkitsee merkittävää lisäystä tieto-oikeuksiin, joita heillä ei muutoin olisi.

Valvontakohtaisia säännöksiä kannattaa seurata laajemmassa kontekstissa. Käyttäytymisen seurantaan ja verkkovalvontaan pureutuva lainsäädäntö on yhä useammin osa poliittista keskustelua myös liittovaltiotasolla. Vermontin lähestymistapa voi antaa vaikutteita siihen, miten liittovaltion lainsäätäjät muotoilevat tulevia esityksiä.

Oikeudellinen suoja ulottuu tietysti vain tiettyyn pisteeseen asti. Lait asettavat vähimmäistason, eivät enimmäistason, ja täytäntöönpano vie aikaa. Teknisten tietosuojatyökalujen käyttö yhdessä laillisten oikeuksien kanssa antaa kuluttajille täydellisemmän kuvan. Esimerkiksi VPN rajoittaa sitä, mitä kolmannet osapuolet voivat havaita selailutoiminnastasi verkkotasolla, täydentäen niitä oikeuksia, joita osavaltiolaki tarjoaa tietojen tallennuksen ja jakamisen osalta.

Käytännön toimet

Jos pyörität yritystä: Aloita tietovarantosi tarkistaminen nyt. Tammikuu 2028 saattaa tuntua kaukaiselta, mutta vaatimustenmukaisten suostumuskäytäntöjen, arviointiprosessien ja tietopyyntöputkien rakentaminen vie aikaa.
Jos olet Vermontin asukas: Oikeutesi tämän lain nojalla ovat täytäntöönpanokelpoisia 1. tammikuuta 2028 alkaen. Säilytä kirjaa tekemistäsi tietopyynnöistä ja saamistasi vastauksista.
Jos asut Vermontin ulkopuolella: Seuraa, miten valtakunnalliset yritykset reagoivat tähän lakiin. Vermontin käyttäjille käyttöön otetut uudet opt-out-työkalut tai suostumusvaihtoehdot saattavat tulla saatavillesi.
Kaikille: Oikeudelliset suojat ja tekniset tietosuojakäytännöt toimivat parhaiten yhdessä. Pysymällä ajan tasalla osavaltio- ja liittovaltiotason valvontalainsäädännöstä otat ensimmäisen askeleen sen ymmärtämiseksi, mitä oikeuksia sinulla todella on.

Vermontin laki on merkittävä virstanpylväs jatkuvassa pyrkimyksessä tuoda Yhdysvaltain tietosuojastandardit lähemmäs sitä, mitä kuluttajat muissa osissa maailmaa jo odottavat. Tuottaako se kansallisen heijastusvaikutuksen, riippuu siitä, kuinka aggressiivisesti sitä pannaan täytäntöön ja kuinka halukkaita yritykset ovat rakentamaan aidosti vaatimustenmukaisia tietokäytäntöjä minimaalisten kiertotien sijaan.