When does the Vermont Data Privacy and Surveillance Act take effect?

The law takes effect on January 1, 2028, after being signed into law on June 16, 2026.

What makes this Vermont law stricter than other state privacy laws?

It requires opt-in consent for processing sensitive data, grants consumers a private right of action to sue, and restricts targeted advertising and behavioral profiling without explicit consent.

Which businesses are subject to the Vermont Data Privacy and Surveillance Act?

Businesses that control or process the personal data of 25,000 or more Vermont consumers annually, or those that derive 25% or more of gross revenue from selling personal data and process data of at least 12,500 consumers.

What categories of data require opt-in consent under this law?

Precise geolocation, health data, financial data, and data about minors all require opt-in consent before processing.

Can individual consumers bring lawsuits for violations of this law?

Yes, the law includes a private right of action that gives individual consumers legal standing to sue for certain violations, rather than leaving enforcement solely to state regulators.

Zakon o privatnosti podataka i nadzoru u Vermontu: Što znači 2028. godine

Guverner Vermonta potpisao je S.71, Zakon o privatnosti podataka i online nadzoru u Vermontu, 16. lipnja 2026., čime je Vermont postao jedna od najstrožih saveznih država u zemlji po pitanju zaštite podataka potrošača. Zakon stupa na snagu tek 1. siječnja 2028., ali odbrojavanje je već počelo kako bi tvrtke dovele svoje prakse u red. Za potrošače, odredbe o nadzoru u zakonu o privatnosti podataka Vermonta predstavljaju jedan od najambicioznijih pokušaja jedne američke savezne države da obuzda način na koji poduzeća prikupljaju, koriste i dijele osobne podatke.

Što Zakon o privatnosti podataka i online nadzoru u Vermontu zapravo zahtijeva

U svojoj srži, zakon daje stanovnicima Vermonta značajnu kontrolu nad njihovim osobnim podacima. Zahtijeva od poduzeća da dobiju privolu putem aktivnog pristanka (opt-in) prije obrade osjetljivih kategorija informacija, uključujući preciznu geolokaciju, zdravstvene podatke, financijske podatke i podatke o maloljetnicima. Taj standard aktivnog pristanka značajno je stroži od okvira pasivnog odbijanja (opt-out) koji se nalaze u mnogim drugim državnim zakonima.

Poduzeća također moraju pružiti jasne, dostupne obavijesti o privatnosti, provoditi procjene zaštite podataka za rizičnije aktivnosti obrade te udovoljavati zahtjevima potrošača za pristup, ispravak, brisanje i prijenos njihovih podataka. Zakon uključuje privatno pravo na tužbu za određene povrede, što pojedinačnim potrošačima daje pravni legitimitet za podnošenje tužbe, a ne samo državnim regulatorima. Sama ta značajka izdvaja Vermont od većine američkih državnih okvira privatnosti, gdje je provedba u potpunosti prepuštena državnim odvjetnicima.

Dio zakona o "online nadzoru" posebno je značajan. Postavlja posebna ograničenja na korištenje osobnih podataka za ciljano oglašavanje potrošačima i ograničava kako tvrtke mogu graditi profile ponašanja bez izričitog pristanka.

Na koga se odnosi i široka mreža koja obuhvaća više tvrtki nego što biste očekivali

Mnogi državni zakoni o privatnosti uključuju pragove prihoda ili količine podataka koji manje tvrtke ostavljaju izvan dosega. Pragovi u Vermontu su relativno niski. Zakon se primjenjuje na poduzeća koja kontroliraju ili obrađuju osobne podatke 25 000 ili više potrošača iz Vermonta godišnje, ili na ona koja ostvaruju 25 posto ili više svog bruto prihoda od prodaje osobnih podataka i obrađuju podatke najmanje 12 500 potrošača.

Vermont ima otprilike 650 000 stanovnika. To znači da prag od 25 000 potrošača predstavlja samo oko četiri posto stanovnika države. Tvrtke koje posluju na nacionalnoj razini i imaju čak i skromnu bazu korisnika u Vermontu lako bi mogle prijeći tu granicu. Posrednici podataka (data brokeri) posebno su suočeni s povećanim obvezama prema zakonu, uključujući stroža ograničenja prodaje osjetljivih podataka i zahtjev za registracijom kod države.

Okvir "online nadzora" u naslovu zakona jasno signalizira njegove ambicije. Platforme i tvrtke za tehnologiju oglašavanja koje se oslanjaju na sveprisutno praćenje radi izgradnje potrošačkih profila izravno su u fokusu.

Kako se zakon Vermonta uspoređuje s drugim američkim državnim zakonima o privatnosti

Vermont je sada među gotovo dvadesetak saveznih država sa sveobuhvatnim zakonodavstvom o privatnosti potrošača, ali njegov zakon nalazi se na strožem kraju spektra. Kalifornijski CPRA često se navodi kao američki zlatni standard, ali zahtjev Vermonta za aktivnim pristankom za obradu osjetljivih podataka i privatno pravo na tužbu idu dalje od onoga što Kalifornija trenutno zahtijeva.

Države poput Teksasa i Floride donijele su zakone sa širim iznimkama za poduzeća i bez privatnog prava na tužbu, ostavljajući provedbu u praksi uglavnom bez zuba. Pristup Vermonta bliži je duhu europskih načela zaštite podataka, bez izravnog kopiranja GDPR-a. Kombinacija niskih pragova primjenjivosti, zadanog aktivnog pristanka za osjetljive podatke i prava pojedinca na tužbu stvara stvarni pritisak odgovornosti na poduzeća.

Zakon također čvršće obuhvaća aktivnosti posrednika podataka od većine državnih okvira, što je značajno s obzirom na to koliko se ekonomije komercijalnog nadzora odvija upravo preko posrednika podataka, a ne preko tvrtki s kojima potrošači izravno komuniciraju.

Što to znači za vaša prava na podatke čak i ako ne živite u Vermontu

Državni zakoni o privatnosti imaju dobro dokumentiranu tendenciju izazivanja nacionalnih političkih promjena. Kada tvrtke ažuriraju svoje prakse obrade podataka kako bi se uskladile sa strogim državnim zakonom, često primjenjuju te promjene na široj razini umjesto da održavaju odvojene sustave za različite države. Kalifornijski zakon o privatnosti proizveo je upravo takav učinak, pri čemu su tvrtke uvele nove obrasce za privolu i alate za brisanje podataka svim korisnicima u SAD-u, a ne samo stanovnicima Kalifornije.

Zakon Vermonta mogao bi pokrenuti sličnu dinamiku, osobito u vezi s posrednicima podataka. Ako poduzeća moraju ponuditi stanovnicima Vermonta pravo na isključenje iz prodaje njihovih podataka, mnogima će biti operativno jednostavnije proširiti tu opciju posvuda. Za potrošače izvan Vermonta to predstavlja značajan dobitak u pravima na podatke koja inače ne bi imali.

Odredbe specifične za nadzor također vrijedi promatrati u širem kontekstu. Zakonodavstvo koje cilja na praćenje ponašanja i online nadzor sve je više dio političkog razgovora i na saveznoj razini. Pristup Vermonta mogao bi oblikovati način na koji savezni zakonodavci formuliraju buduće prijedloge.

Naravno, pravne zaštite idu samo do određene mjere. Zakoni postavljaju minimalne standarde, a ne maksimume, a provedba zahtijeva vrijeme. Korištenje tehničkih alata za privatnost uz pravna prava potrošačima daje potpuniju sliku. VPN, na primjer, ograničava što treće strane mogu promatrati o vašim aktivnostima pregledavanja na mrežnoj razini, nadopunjujući bilo koja prava koja državni zakon pruža u pogledu pohrane i dijeljenja podataka.

Praktični savjeti

Ako vodite tvrtku: Počnite pregledavati svoj inventar podataka odmah. Siječanj 2028. može se činiti daleko, ali izgradnja usklađenih procesa za privolu, postupaka procjene i kanala za zahtjeve ispitanika zahtijeva vrijeme.
Ako ste stanovnik Vermonta: Vaša prava prema ovom zakonu bit će provediva od 1. siječnja 2028. Vodite evidenciju o zahtjevima za podatke koje podnesete i odgovorima koje primite.
Ako živite izvan Vermonta: Pratite kako nacionalne tvrtke reagiraju na ovaj zakon. Novi alati za isključenje ili mogućnosti privole uvedeni za korisnike u Vermontu mogli bi postati dostupni i vama.
Za sve: Pravne zaštite i prakse tehničke privatnosti najbolje djeluju zajedno. Informiranje o državnom i saveznom zakonodavstvu o nadzoru prvi je korak prema razumijevanju koja prava zapravo imate.

Zakon Vermonta značajan je biljeg u stalnom nastojanju da se američki standardi privatnosti približe onome što potrošači u drugim dijelovima svijeta već očekuju. Hoće li izazvati nacionalni valni učinak ovisit će o tome koliko se agresivno provodi i koliko su tvrtke spremne izgraditi istinski usklađene prakse obrade podataka umjesto minimalnih zaobilaznih rješenja.