Colorado is de derde Amerikaanse staat, na Californië en Virginia, die een wet heeft aangenomen om de gegevens van zijn burgers te beschermen. De Colorado Privacy Act is op 7 juli 2021 door gouverneur Jared Polis in wet ondertekend. Deze nieuwe privacywet wordt van kracht in juli 2023. Dit is wat u, als eigenaar van een website, hierover moet weten.

Colorado Privacy Wet in een notendop

Volgens de Colorado General Assembly, de wetgevende macht van de staat Colorado, is het doel van dit wetsvoorstel het creëren en implementeren van privacyrechten voor persoonlijke gegevens en:

• "Is van toepassing op rechtspersonen die zaken doen of commerciële producten of diensten produceren die opzettelijk gericht zijn op inwoners van Colorado en die ofwel:
• Persoonsgegevens van meer dan 100.000 consumenten per kalenderjaar beheren of verwerken; of
• inkomsten halen uit de verkoop van persoonsgegevens en de persoonsgegevens van ten minste 25.000 consumenten beheren of verwerken; en
• is niet van toepassing op bepaalde gespecificeerde entiteiten, persoonsgegevens die onder de opgesomde staats- en federale wetten vallen, opgesomde activiteiten, en arbeidsgegevens.

Consumenten hebben het recht om af te zien van de verwerking van hun persoonsgegevens; toegang te krijgen tot de gegevens, deze te corrigeren of te wissen; of een draagbare kopie van de gegevens te krijgen. Het wetsontwerp definieert een "voor de verwerking verantwoordelijke" als een persoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Een "verwerker" is een persoon die ten behoeve van een voor de verwerking verantwoordelijke persoonsgegevens verwerkt."

De overeenkomsten en verschillen tussen de VS-wetgeving inzake gegevensbescherming

Zoals gezegd volgt de CPA de principes van haar tegenhangers de California Consumer Privacy Act (CCPA) en The Virginia Consumer Data Protection Act (VCDPA), die beide zijn gebaseerd op de principes van de Europese Algemene Verordening Gegevensbescherming, ook bekend als de GDPR.

Vaststelling van consumentenrechten: Al deze 3 wetten voorzien in rechten op toegang, verwijdering, correctie, portabiliteit en opt-out voor gerichte reclame, verkoop en bepaalde profileringsbeslissingen die wettelijke of soortgelijke gevolgen hebben. Een verschil tussen de CCPA en de CPA is dat consumenten in Colorado voor opt-out-verzoeken bij de verkoop gebruik moeten maken van een gevolmachtigde agent.

Besluiten inzake consumentenrechten aanvechten: Colorado's beroepsprocedure voor consumenten is vergelijkbaar met die van Virginia. Krachtens de CPA moet de voor de verwerking verantwoordelijke, indien een consument een geldig verzoek heeft, de consument in staat stellen tegen zijn beslissing in beroep te gaan. De voor de verwerking verantwoordelijke moet de consument ook de redenen voor de afwijzing van het verzoek meedelen en hem of haar informeren over het recht om contact op te nemen met de procureur-generaal "indien de consument bezorgd is over het resultaat van het beroep".

Opt-out-verzoeken: Anders dan in de Californische wet, die de algemene privacycontrole facultatief maakt, moeten de voor de verwerking verantwoordelijken zich in het kader van de CPA houden aan de universele opt-out. De technische specificaties voor dit proces worden nog besproken, maar zullen ruim voor de inwerkingtreding van de wet in juli 2023 worden bekendgemaakt.

Toestemming voor gegevensverwerking: Vergelijkbaar met de wet van Virginia, vereist de CPA opt-in toestemming voor de verwerking van gevoelige persoonsgegevens zoals:

• nationaliteit;
• ras of etnische afstamming
• godsdienstige overtuiging
• genetische of biometrische gegevens die worden gebruikt om een uniek individu te identificeren.

De Colorado Privacy Act vereist ook toestemming voor de verwerking van gegevens van kinderen jonger dan 13 jaar.

Verplichtingen van de verantwoordelijke voor de verwerking: CPA's lijst van plichten voor verantwoordelijken omvatten:

• transparantie;
• specificatie van het doel
• gegevensminimalisering;
• secundair gebruik vermijden;
• het vermijden van onwettige discriminatie;
• andere verplichtingen met betrekking tot gevoelige gegevens.

Deze lijken sterk op die welke in de CCPA en de VCDPA zijn vermeld.

Gegevensbeschermingsevaluaties: De CPA eist dat er DPA's (gegevensbeschermingsbeoordelingen) zijn voor activiteiten zoals gerichte reclame, verkoop, bepaalde profilering, en verwerking van gevoelige persoonsgegevens. Net als bij de VCDPA heeft de procureur-generaal van Colorado het recht om toegang te krijgen tot de DPA's van de voor de verwerking verantwoordelijke.

Kies een analytics tool die voldoet aan de CPA voor uw website

Hier bij Visitor Analytics, geholpen door een geweldig team van privacy-advocaten, doen we ons best om u op de hoogte te houden van de privacywetgeving en om u een analytics tool te bieden die altijd zal voldoen aan de voortdurende wettelijke veranderingen van over de hele wereld.

Visitor Analytics is in overeenstemming met de CPA, CCPA en VDCPA.

Als u onze tool nog niet heeft geprobeerd, kunt ugratis registreren en met een paar klikken uw Google Analytics historische gegevens importeren.