When does the Vermont Data Privacy and Surveillance Act take effect?

The law takes effect on January 1, 2028, after being signed into law on June 16, 2026.

What makes this Vermont law stricter than other state privacy laws?

It requires opt-in consent for processing sensitive data, grants consumers a private right of action to sue, and restricts targeted advertising and behavioral profiling without explicit consent.

Which businesses are subject to the Vermont Data Privacy and Surveillance Act?

Businesses that control or process the personal data of 25,000 or more Vermont consumers annually, or those that derive 25% or more of gross revenue from selling personal data and process data of at least 12,500 consumers.

What categories of data require opt-in consent under this law?

Precise geolocation, health data, financial data, and data about minors all require opt-in consent before processing.

Can individual consumers bring lawsuits for violations of this law?

Yes, the law includes a private right of action that gives individual consumers legal standing to sue for certain violations, rather than leaving enforcement solely to state regulators.

Vermont adatvédelmi és online megfigyelési törvény: Mit jelent ez 2028-ban

Vermont Adatvédelmi és Online Megfigyelési Törvény: Mit jelent ez 2028-ban

Vermont kormányzója 2026. június 16-án aláírta az S.71-es törvényt, a Vermont Adatvédelmi és Online Megfigyelési Törvényt, ezzel Vermont az egyik legszigorúbb állammá vált az Egyesült Államokban a fogyasztói adatok védelme terén. A törvény csak 2028. január 1-jén lép hatályba, de a visszaszámlálás már elkezdődött a vállalatok számára, hogy rendbe tegyék gyakorlataikat. A fogyasztók szempontjából a vermonti adatvédelmi törvény megfigyelési rendelkezései az egyik legambiciózusabb kísérletet jelentik eddig egy amerikai állam részéről, hogy korlátozza, hogyan gyűjtik, használják és osztják meg a vállalkozások a személyes adatokat.

Mit követel meg valójában a Vermont Adatvédelmi és Online Megfigyelési Törvény

A törvény lényege, hogy értelmes ellenőrzést biztosít a vermonti lakosoknak személyes adataik felett. Előírja a vállalkozások számára, hogy a személyes adatok érzékeny kategóriáinak – beleértve a pontos földrajzi helymeghatározást, egészségügyi adatokat, pénzügyi adatokat és kiskorúakra vonatkozó adatokat – feldolgozása előtt aktív hozzájárulást (opt-in) szerezzenek. Ez az opt-in szabvány jelentősen szigorúbb, mint a sok más állami törvényben található opt-out keretrendszerek.

A vállalkozásoknak emellett világos, hozzáférhető adatkezelési tájékoztatókat kell biztosítaniuk, adatvédelmi hatásvizsgálatokat kell végezniük a magasabb kockázatú adatkezelési tevékenységek esetében, és teljesíteniük kell a fogyasztók hozzáférési, helyesbítési, törlési és adathordozhatósági kérelmeit. A törvény bizonyos jogsértések esetén magánjogi keresetindítási jogot biztosít, ami lehetővé teszi az egyéni fogyasztók számára, hogy pert indítsanak, ne csak az állami szabályozó hatóságok. Ez a jellemző önmagában megkülönbözteti Vermontot az amerikai állami adatvédelmi keretrendszerek többségétől, ahol a végrehajtás teljes egészében az államügyészekre van bízva.

A törvény „online megfigyelésre” vonatkozó része különösen figyelemre méltó. Külön korlátozásokat vezet be a személyes adatok fogyasztók célzott reklámozására történő felhasználására, és korlátozza, hogy a vállalatok kifejezett hozzájárulás nélkül hogyan építhetnek viselkedési profilokat.

Kire terjed ki, és a széles háló, amely több vállalatot fog meg, mint gondolnánk

Sok állami adatvédelmi törvény tartalmaz bevételi vagy adatmennyiségi küszöbértékeket, amelyek mentesítik a kisebb cégeket. Vermont küszöbértékei viszonylag alacsonyak. A törvény azokra a vállalkozásokra vonatkozik, amelyek évente 25 000 vagy több vermonti fogyasztó személyes adatait ellenőrzik vagy dolgozzák fel, vagy amelyek bruttó bevételük 25 százalékát vagy annál többet személyes adatok értékesítéséből szerzik, és legalább 12 500 fogyasztó adatait dolgozzák fel.

Vermont lakossága körülbelül 650 000 fő. Ez azt jelenti, hogy a 25 000 fogyasztós küszöb a állam lakosainak mindössze körülbelül négy százalékát jelenti. Azok a vállalatok, amelyek országosan működnek, és akár szerény vermonti felhasználói bázissal is rendelkeznek, könnyen átléphetik ezt a határt. Az adatbrókerekre különösen szigorúbb kötelezettségek vonatkoznak a törvény értelmében, beleértve az érzékeny adatok értékesítésének szigorúbb korlátozását és az államnál történő regisztráció kötelezettségét.

A törvény címében szereplő „online megfigyelés” keretezés egyértelműen jelzi ambícióit. Azok a platformok és reklámtechnológiai vállalatok, amelyek a fogyasztói profilok felépítése érdekében átható nyomon követésre támaszkodnak, teljes mértékben a hatálya alá tartoznak.

Hogyan viszonyul Vermont törvénye más amerikai állami adatvédelmi jogszabályokhoz

Vermont most körülbelül két tucat olyan állam közé tartozik, amelyek átfogó fogyasztói adatvédelmi jogszabállyal rendelkeznek, de törvénye a szigorúbbak közé tartozik. Kalifornia CPRA-ját gyakran az amerikai aranyszabványnak tekintik, de Vermont opt-in követelménye az érzékeny adatok feldolgozásához és a magánjogi keresetindítási joga tovább megy, mint amit Kalifornia jelenleg megkövetel.

Az olyan államok, mint Texas és Florida, szélesebb körű vállalkozói mentességekkel és magánjogi keresetindítási jog nélkül fogadtak el törvényeket, így a végrehajtás a gyakorlatban nagyrészt fogatlan. Vermont megközelítése szellemiségében közelebb áll az európai adatvédelmi elvekhez, anélkül, hogy közvetlenül másolná a GDPR-t. Az alacsony alkalmazhatósági küszöbök, az érzékeny adatokra vonatkozó opt-in alapértelmezés és az egyéni perindítási jogok kombinációja valódi elszámoltathatósági nyomást gyakorol a vállalkozásokra.

A törvény az adatbrókerek tevékenységét is szorosabb körbe vonja, mint a legtöbb állami keretrendszer, ami jelentős, tekintve, hogy a kereskedelmi megfigyelési gazdaság nagy része az adatbrókereken keresztül zajlik, nem pedig azokon a vállalatokon, amelyekkel a fogyasztók közvetlenül érintkeznek.

Mit jelent ez az adataidra vonatkozó jogok szempontjából, még akkor is, ha nem Vermontban élsz

Az állami adatvédelmi törvényekről jól dokumentált, hogy hajlamosak országos politikai változásokat előidézni. Amikor a vállalatok frissítik adatkezelési gyakorlataikat, hogy megfeleljenek egy szigorú állami törvénynek, gyakran széles körben alkalmazzák ezeket a változtatásokat, ahelyett, hogy külön rendszereket tartanának fenn a különböző államok számára. Kalifornia adatvédelmi törvénye pontosan ezt a hatást váltotta ki, amikor a cégek új hozzájárulási folyamatokat és adat törlési eszközöket vezettek be az összes amerikai felhasználó számára, nem csak a kaliforniaiaknak.

Vermont törvénye hasonló dinamikát indíthat el, különösen az adatbrókerek körében. Ha a vállalkozásoknak biztosítaniuk kell a vermonti lakosok számára a jogot, hogy leiratkozzanak adataik értékesítéséről, sokan működésileg egyszerűbbnek találják majd ezt a lehetőséget mindenhol kiterjeszteni. A Vermonton kívüli fogyasztók számára ez értelmes nyereséget jelent az adatvédelmi jogok terén, amelyeket egyébként nem kapnának meg.

A megfigyelés-specifikus rendelkezéseket tágabb összefüggésben is érdemes figyelni. A viselkedési nyomon követést és az online megfigyelést célzó jogszabályok egyre inkább a szakpolitikai vita részét képezik szövetségi szinten is. Vermont megközelítése befolyásolhatja, hogy a szövetségi törvényhozók hogyan fogalmazzák meg a jövőbeli javaslatokat.

Természetesen a jogi védelem csak egy bizonyos pontig terjed. A törvények alsó határokat szabnak, nem felsőket, és a végrehajtás időbe telik. A technikai adatvédelmi eszközök és a jogi jogok együttes használata teljesebb képet ad a fogyasztóknak. Egy VPN például korlátozza, hogy a harmadik felek mit figyelhetnek meg a böngészési tevékenységedből hálózati szinten, kiegészítve mindazt, amit egy állami törvény az adatok tárolása és megosztása terén biztosít.

Hasznosítható tanulságok

Ha vállalkozást vezetsz: Kezdd el most felülvizsgálni az adatleltáradat. 2028 januárja távolinak tűnhet, de a megfelelő hozzájárulási folyamatok, értékelési eljárások és adatalany kérelmi csatornák kiépítése időbe telik.
Ha vermonti lakos vagy: Az e törvény szerinti jogaid 2028. január 1-jétől lesznek érvényesíthetők. Őrizd meg a benyújtott adatkérelmek és a kapott válaszok nyilvántartását.
Ha Vermonton kívül élsz: Figyeld, hogyan reagálnak az országos vállalatok erre a törvényre. A vermonti felhasználók számára bevezetett új leiratkozási eszközök vagy hozzájárulási lehetőségek a számodra is elérhetővé válhatnak.
Mindenkinek: A jogi védelem és a technikai adatvédelmi gyakorlatok együtt működnek a legjobban. Az állami és szövetségi megfigyelési jogszabályokról való tájékozódás az első lépés annak megértéséhez, hogy milyen jogokkal rendelkezel valójában.

Vermont törvénye jelentős mérföldkő azon folyamatos erőfeszítésekben, amelyek célja, hogy az amerikai adatvédelmi szabványokat közelebb hozzák ahhoz, amit a fogyasztók a világ más részein már elvárnak. Az, hogy országos tovagyűrűző hatást vált-e ki, attól függ, milyen agresszíven hajtják végre, és a vállalatok mennyire hajlandóak valóban megfelelő adatkezelési gyakorlatokat kiépíteni a minimális kiskapuk helyett.