Закон Вермонту про конфіденційність даних і спостереження: що він означає у 2028 році

Закон Вермонту про конфіденційність даних і спостереження: що він означає у 2028 році

Губернатор Вермонту підписав закон S.71, «Закон Вермонту про конфіденційність даних та онлайн-спостереження», 16 червня 2026 року, зробивши Вермонт одним із найсуворіших штатів у країні щодо захисту даних споживачів. Закон набирає чинності лише 1 січня 2028 року, але зворотний відлік для компаній, щоб упорядкувати свої практики, уже розпочався. Для споживачів положення закону Вермонту про конфіденційність даних і спостереження є однією з найамбітніших спроб окремого штату США приборкати те, як бізнес збирає, використовує та передає персональну інформацію.

Що насправді вимагає Закон Вермонту про конфіденційність даних та онлайн-спостереження

За своєю суттю закон дає жителям Вермонту справжній контроль над їхніми персональними даними. Він вимагає від бізнесу отримувати активну згоду (opt-in) перед обробкою чутливих категорій інформації, включно з точною геолокацією, медичними даними, фінансовими даними та даними про неповнолітніх. Цей стандарт активної згоди помітно суворіший, ніж моделі відмови (opt-out), передбачені багатьма іншими законами штатів.

Підприємства також зобов’язані надавати чіткі й доступні повідомлення про конфіденційність, проводити оцінки впливу на захист даних для видів обробки з підвищеним ризиком і задовольняти запити споживачів на доступ, виправлення, видалення та перенесення їхніх даних. Закон містить право на приватний позов за певні порушення, що надає окремим споживачам процесуальне право подавати до суду, а не лише державним регуляторам. Сама ця особливість вирізняє Вермонт з-поміж більшості американських систем конфіденційності, де правозастосування повністю покладено на генеральних прокурорів.

Особливо примітною є частина закону про «онлайн-спостереження». Вона встановлює конкретні обмеження на використання персональних даних для таргетованої реклами споживачам і лімітує можливості компаній створювати поведінкові профілі без явної згоди.

На кого поширюється закон, і широка сітка, що охоплює більше компаній, ніж ви очікуєте

Багато законів штатів про конфіденційність містять порогові значення за доходом або обсягом даних, які залишають менші компанії поза сферою дії. Пороги Вермонту порівняно низькі. Закон застосовується до підприємств, які контролюють або обробляють персональні дані 25 000 або більше споживачів Вермонту на рік, або тих, які отримують 25% або більше валового доходу від продажу персональних даних і обробляють дані щонайменше 12 500 споживачів.

Населення Вермонту становить приблизно 650 000 осіб. Це означає, що поріг у 25 000 споживачів – це лише близько чотирьох відсотків жителів штату. Компанії, які працюють на національному рівні й мають навіть скромну базу користувачів у Вермонті, можуть легко перетнути цю межу. Особливо посилені зобов’язання за законом покладаються на брокерів даних, включно з жорсткішими обмеженнями на продаж чутливих даних і вимогою реєструватися в штаті.

Формулювання «онлайн-спостереження» в назві закону чітко сигналізує про його амбіції. Платформи й рекламно-технологічні компанії, які покладаються на всеосяжне відстеження для створення споживчих профілів, безпосередньо підпадають під його дію.

Як закон Вермонту порівнюється з іншим законодавством штатів США про конфіденційність

Вермонт тепер належить до приблизно двох десятків штатів із комплексним законодавством про захист персональних даних споживачів, але його закон перебуває на суворішому краю спектра. CPRA Каліфорнії часто називають золотим стандартом США, проте вимога Вермонту про активну згоду на обробку чутливих даних та його право на приватний позов йдуть далі, ніж те, що наразі вимагає Каліфорнія.

Такі штати, як Техас і Флорида, ухвалили закони з ширшими винятками для бізнесу і без права на приватний позов, що на практиці робить правозастосування значною мірою безсилим. Підхід Вермонту ближчий за духом до європейських принципів захисту даних, хоча й не копіює GDPR безпосередньо. Поєднання низьких порогів застосовності, стандарту активної згоди для чутливих даних та права на індивідуальний позов створює реальний тиск відповідальності на бізнес.

Закон також окреслює вужче коло для діяльності брокерів даних, ніж більшість систем штатів, що є суттєвим, з огляду на те, яка частина комерційної економіки спостереження проходить через брокерів даних, а не через компанії, з якими споживачі взаємодіють безпосередньо.

Що це означає для ваших прав на дані, навіть якщо ви не живете у Вермонті

Закони штатів про конфіденційність мають добре задокументовану схильність спричиняти зміни в національній політиці. Коли компанії оновлюють свої практики роботи з даними, щоб відповідати суворому закону штату, вони часто застосовують ці зміни широко, замість того щоб підтримувати окремі системи для різних штатів. Закон Каліфорнії про конфіденційність справив саме такий ефект: компанії запровадили нові потоки згоди та інструменти видалення даних для всіх користувачів у США, а не лише для каліфорнійців.

Закон Вермонту може запустити подібну динаміку, особливо щодо брокерів даних. Якщо бізнес мусить запропонувати жителям Вермонту право відмовитися від продажу їхніх даних, багато хто визнає операційно простішим поширити цю опцію на всіх. Для споживачів за межами Вермонту це означає суттєве розширення прав на дані, яких вони інакше не мали б.

На положення, безпосередньо спрямовані проти спостереження, також варто звернути увагу в ширшому контексті. Законодавство, яке націлене на відстеження поведінки та онлайн-спостереження, дедалі частіше стає частиною політичних дискусій також на федеральному рівні. Підхід Вермонту може вплинути на те, як федеральні законодавці формулюватимуть майбутні пропозиції.

Звісно, правовий захист діє лише до певної межі. Закони встановлюють мінімальні стандарти, а не максимальні, а правозастосування потребує часу. Використання технічних інструментів приватності разом із юридичними правами дає споживачам повнішу картину. Наприклад, VPN обмежує те, що треті сторони можуть спостерігати про вашу активність в інтернеті на мережевому рівні, доповнюючи права, які надає закон штату щодо зберігання та передачі даних.

Практичні висновки

• Якщо ви керуєте бізнесом: Почніть перевіряти свій інвентар даних уже зараз. Січень 2028 року може здаватися далеким, але побудова відповідних потоків згоди, процедур оцінки та каналів обробки запитів суб’єктів даних потребує часу.
• Якщо ви житель Вермонту: Ваші права за цим законом можна буде реалізувати з 1 січня 2028 року. Зберігайте записи поданих вами запитів на отримання даних та отриманих відповідей.
• Якщо ви живете за межами Вермонту: Слідкуйте за тим, як національні компанії реагують на цей закон. Нові інструменти відмови або опції згоди, запроваджені для користувачів Вермонту, можуть стати доступними і для вас.
• Для всіх: Правовий захист і технічні практики приватності працюють найкраще разом. Бути поінформованим про законодавство щодо спостереження на рівні штату та федеральному рівні – це перший крок до розуміння того, які права ви насправді маєте.

Закон Вермонту є важливою віхою в триваючих зусиллях наблизити стандарти конфіденційності США до того, що споживачі в інших частинах світу вже очікують. Чи спричинить він національний хвильовий ефект, залежатиме від того, наскільки агресивно його застосовуватимуть і наскільки компанії будуть готові будувати по-справжньому відповідні практики роботи з даними, а не мінімальні обхідні рішення.