Connecticut Poised to Become Fifth State to Enact Comprehensive Consumer Data Privacy Law

Op 4 mei 2022 keurde het parlement van Connecticut S.B. 6 goed, getiteld "Connecticut Data Privacy Act" (CDPA). Het wetsvoorstel ligt nu ter ondertekening bij gouverneur Ned Lamont. Hoewel algemeen wordt verwacht dat gouverneur Lamont het wetsvoorstel zal ondertekenen, heeft hij 15 dagen de tijd om de CDPA te ondertekenen, het na afloop van de 15 dagen in werking te laten treden of zijn veto uit te spreken. Als het wetsvoorstel wordt aangenomen, wordt Connecticut de vijfde staat die uitgebreide wetgeving inzake consumentenprivacy invoert, naast Californië, Virginia, Colorado en Utah. Als de wet wordt aangenomen, treedt deze op 1 juli 2023 in werking, dezelfde dag als de wet in Colorado.

Het wetsvoorstel bevat elementen uit de wetgeving van elk van deze andere rechtsgebieden, maar bevat ook enkele verschillen, zoals hieronder vermeld. Niettemin zullen de meeste organisaties die al maatregelen hebben genomen om te voldoen aan de Californische CCPA of CPRA, de naleving van de CDPA als een relatief kleine inspanning beschouwen.

Toepasselijkheid

Indien de CDPA wordt aangenomen, zal deze van toepassing zijn op bedrijven die gevestigd zijn in Connecticut of producten en diensten aanbieden die gericht zijn op inwoners van Connecticut als individuen, waarbij het bedrijf in het voorgaande kalenderjaar aan ten minste één van de volgende drempels voldeed:

Beheert of verwerkt de persoonsgegevens van 100.000 consumenten in Connecticut. In tegenstelling tot andere uitgebreide privacywetten sluit de CDPA echter expliciet persoonsgegevens uit die uitsluitend worden beheerd of verwerkt met het oog op het voltooien van een betalingstransactie, waardoor kaartgegevens die onderworpen zijn aan PCI-DSS en andere soortgelijke gegevens buiten het toepassingsgebied vallen; of
Verwerkt de persoonlijke gegevens van ten minste 25.000 consumenten in Connecticut en haalt meer dan 25% van zijn bruto-inkomsten uit de verkoop van persoonlijke gegevens.

Net als Virginia, Colorado en Utah bevat de voorgestelde wet geen financiële drempel. Toch stelt de CDPA de limiet voor het genereren van inkomsten uit de verkoop van persoonsgegevens aanzienlijk lager dan de 50% die doorgaans in de andere staten wordt gehanteerd. En net als Californië definieert de wet van Connecticut "verkoop" in brede zin, waarbij niet alleen de openbaarmaking van persoonsgegevens tegen geldelijke vergoeding wordt bedoeld, maar ook openbaarmakingen tegen andere waardevolle vergoedingen. Dit kan ertoe leiden dat meer bedrijven onder de CDPA vallen dan bedrijven die een gelijkwaardige hoeveelheid persoonsgegevens van inwoners van Colorado, Virginia of Utah verwerken. Bedrijven moeten met name rekening houden met hun verwerking van persoonsgegevens via analytische en advertentiecookies, aangezien deze over het algemeen worden beschouwd als verwerking tegen andere waardevolle vergoedingen. Informatie die op aanwijzing van de consument wordt bekendgemaakt, valt echter niet onder de definitie van "verkoop", en verwerkingsverantwoordelijken kunnen een "verkoop" die louter het gevolg is van het gebruik van cookies op een website, mogelijk vermijden door gebruik te maken van cookie-toestemmingsbeheerders en soortgelijke technologieën die de consument verplichten om uitdrukkelijk in te stemmen met het gebruik van cookies.

Vrijstellingen

De wet definieert 'consumenten' als inwoners van Connecticut, maar sluit expliciet personen uit die 'handelen in een commerciële of arbeidscontext'. Informatie die wordt verzameld in een business-to-business- of arbeidscontext valt dus niet onder de CDPA.

De wet sluit ook de volgende categorieën organisaties uit: (a) nationale en lokale overheden; (b) non-profitorganisaties; (c) instellingen voor hoger onderwijs; (d) nationale effectenverenigingen die zijn geregistreerd onder de Securities Exchange Act van 1934; (e) financiële instellingen die onder de Gramm-Leach-Bliley Act (GLBA) vallen; en (f) entiteiten en zakenpartners zoals gedefinieerd in de Health Insurance Portability and Accountability Act (HIPAA). De wet stelt bepaalde categorieën gegevens vrij, waaronder gegevens die vallen onder de HIPAA, de Fair Credit Reporting Act (FCRA), de Driver's Privacy Protection Act (DPPA) en de Family Educational Rights and Privacy Act (FERPA). De wet stelt ook bepaalde gegevens vrij die onderworpen zijn aan wetten die doorgaans niet zijn vrijgesteld van de uitgebreide wetten in de andere staten, waaronder de Farm Credit Act en de Airline Deregulation Act.

Consumentenrechten

Net als de wetten in andere rechtsgebieden biedt de CDPA consumenten in Connecticut de volgende rechten:

Recht op toegang. Consumenten hebben het recht om te bevestigen of de verwerkingsverantwoordelijke persoonlijke informatie over die consument verwerkt en toegang te krijgen tot die persoonlijke gegevens, tenzij de bevestiging een bedrijfsgeheim van de verwerkingsverantwoordelijke zou onthullen.
Recht op correctie. Consumenten hebben het recht om onjuiste persoonsgegevens te corrigeren.
Recht op verwijdering. Consumenten hebben het recht om persoonlijke gegevens die door hen zijn verstrekt of over hen zijn verkregen, te laten verwijderen.
Recht op gegevensoverdraagbaarheid. Wanneer de verwerkingsverantwoordelijke de gegevens via geautomatiseerde middelen verwerkt, kunnen consumenten een kopie van hun persoonsgegevens krijgen in een overdraagbaar en direct bruikbaar formaat (voor zover dit technisch haalbaar is), zodat de consument de gegevens aan een derde partij kan doorgeven. Verwerkingsverantwoordelijken hoeven deze gegevens echter niet te verstrekken als hierdoor een bedrijfsgeheim zou worden onthuld.
Recht om af te zien. Net als bij de vereisten onder de CCPA-vereisten 'Verkoop mijn persoonlijke gegevens niet', waarbij een verwerkingsverantwoordelijke persoonlijke gegevens aan derden verkoopt of persoonlijke gegevens verwerkt voor gerichte reclame, hebben consumenten het recht om af te zien van de verwerking van hun persoonlijke gegevens voor gerichte reclame, verkoop van persoonlijke gegevens of profilering uitsluitend voor geautomatiseerde besluitvorming die een juridisch of ander soortgelijk effect op de consument heeft. Verwerkingsverantwoordelijken zullen verplicht zijn om "duidelijke en opvallende" links op hun website te plaatsen om consumenten in staat te stellen zich af te melden voor deze verwerking. Bovendien moeten verwerkingsverantwoordelijken vanaf 1 januari 2025 ook universele "opt-out-voorkeurssignalen" erkennen die aangeven dat een consument zich wil afmelden voor gerichte reclame en verkoop. Hoewel een dergelijk signaal tot op heden niet bestaat, moet het signaal voorrang krijgen boven alle andere instellingen.

Verwerkingsverantwoordelijken zijn verplicht om zonder onnodige vertraging op verzoeken van consumenten te reageren, maar in ieder geval uiterlijk 45 dagen na ontvangst van het verzoek. Deze termijn kan indien nodig met nog eens 45 dagen worden verlengd. Verwerkingsverantwoordelijken zijn ook verplicht om consumenten een methode te bieden om in beroep te gaan tegen weigeringen om aan verzoeken tot uitoefening van deze rechten te voldoen, samen met een methode om een klacht in te dienen bij de procureur-generaal van Connecticut als het beroep uiteindelijk wordt afgewezen.

Verplichtingen

De CDPA vereist ook dat verwerkingsverantwoordelijken bepaalde verplichtingen nakomen met betrekking tot de verwerking van persoonsgegevens:

Gegevensminimalisatie. Verwerkingsverantwoordelijken zijn verplicht om het verzamelen van persoonsgegevens te beperken tot alleen die gegevens die toereikend, relevant en redelijkerwijs noodzakelijk zijn voor de bekendgemaakte doeleinden waarvoor de gegevens worden verwerkt.
Beperking van het gebruik. Tenzij er een uitzondering van toepassing is (zoals toestemming van de consument), moeten verwerkingsverantwoordelijken het gebruik van persoonsgegevens over het algemeen beperken tot de doeleinden waarvoor deze zijn verzameld, en mogen zij deze niet verwerken voor doeleinden die niet redelijkerwijs noodzakelijk of verenigbaar zijn met de bekendgemaakte doeleinden.
Gegevensbeveiliging. De CDPA vereist dat verwerkingsverantwoordelijken redelijke administratieve, technische en fysieke maatregelen voor gegevensbeveiliging vaststellen, implementeren en handhaven om de vertrouwelijkheid, integriteit en toegankelijkheid van persoonsgegevens te beschermen. Deze maatregelen moeten passend zijn voor de omvang en aard van de persoonsgegevens die de verwerkingsverantwoordelijke verwerkt.
Toestemming voor de verwerking van "gevoelige gegevens".Verwerkingsverantwoordelijken mogen geen "gevoelige gegevens" verwerken zonder de vrijwillige, specifieke, geïnformeerde en ondubbelzinnige toestemming van de consument. Gevoelige gegevens omvatten gegevens die informatie geven over ras of etnische afkomst, religieuze overtuigingen, mentale of fysieke gezondheidstoestand of diagnose, seksleven, seksuele geaardheid, staatsburgerschap of immigratiestatus. Gevoelige gegevens omvatten ook genetische of biometrische gegevens die worden verwerkt met het oog op de unieke identificatie van de betrokkene, persoonsgegevens die zijn verkregen van een consument waarvan bekend is dat het een kind is, en nauwkeurige geolocatiegegevens (binnen een straal van 1750 voet). Verwerkingsverantwoordelijken moeten ook een doeltreffend mechanisme bieden waarmee consumenten hun toestemming kunnen intrekken. Dit mechanisme moet even eenvoudig zijn als de methode om toestemming te verkrijgen en moet zo snel mogelijk, uiterlijk 15 dagen na ontvangst, aan elke intrekking van toestemming voldoen.
Toestemming voor het verwerken van gegevens van kinderen. De CDPA vereist ook dat de verwerkingsverantwoordelijke toestemming verkrijgt voor het verwerken van persoonsgegevens voor gerichte reclame of voor de verkoop van persoonsgegevens wanneer de verwerkingsverantwoordelijke daadwerkelijk weet dat de consument tussen 13 en 16 jaar oud is en dit feit opzettelijk negeert.
Non-discriminatie. Controleurs mogen geen goederen of diensten weigeren, verschillende prijzen of tarieven voor goederen of diensten aanrekenen, of een ander kwaliteitsniveau van goederen of diensten aan de consument aanbieden omdat de consument besloot om een van zijn rechten uit te oefenen.

Verplichtingen inzake privacyverklaring

Net als de wetten in Californië, Colorado, Virginia en Utah, vereist de CDPA dat verwerkingsverantwoordelijken consumenten een duidelijke privacyverklaring verstrekken. De privacyverklaring moet het volgende bevatten:

De categorieën persoonsgegevens die door de verwerkingsverantwoordelijke worden verwerkt. In tegenstelling tot Californië worden de categorieën persoonsgegevens echter niet gedefinieerd in de CDPA.
De doeleinden van de verwerking.
Informatie over hoe consumenten hun rechten onder de CDPA kunnen uitoefenen en hoe de consument in beroep kan gaan tegen weigeringen om aan een verzoek te voldoen.
De categorieën persoonsgegevens die met derden worden gedeeld en de categorieën derden waarmee de persoonsgegevens worden gedeeld.
Elke verkoop van persoonsgegevens aan derden of het gebruik van persoonsgegevens voor gerichte reclame, samen met informatie over hoe de consument zich kan afmelden voor dergelijk gebruik.
Een geldig en actief e-mailadres dat wordt gebruikt om contact op te nemen met de verwerkingsverantwoordelijke.

Gegevensverwerkingsovereenkomsten

Net als de andere staten zal de CDPA vereisen dat verwerkingsverantwoordelijken gegevensverwerkingsovereenkomsten sluiten met verwerkers waarin wordt vastgelegd wat de verwerker wel en niet mag doen met persoonsgegevens wanneer hij namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Deze overeenkomst moet duidelijke instructies bevatten voor de verwerking van de persoonsgegevens, de aard en het doel van de verwerking, de categorieën van betrokkenen, de rechten en verantwoordelijkheden van de verwerker en de verwerkingsverantwoordelijke, en de duur van de verwerking.

Beoordelingen van gegevensbescherming

Verwerkingsverantwoordelijken zullen voor elke verwerkingsactiviteit die een verhoogd risico op schade voor de consument met zich meebrengt, een gegevensbeschermingsbeoordeling moeten uitvoeren. De CDPA specificeert dat dergelijke activiteiten onder meer de verwerking van persoonsgegevens voor gerichte reclame, de verkoop van persoonsgegevens, de verwerking met het oog op profilering (wanneer de profilering een redelijkerwijs te verwachten risico op aanzienlijke schade voor de consument met zich meebrengt) en de verwerking van gevoelige gegevens omvatten.

Handhaving

De CDPA voorziet niet in een particulier recht van vordering. Hoewel erin wordt opgemerkt dat een schending van de CDPA als een oneerlijke handelspraktijk wordt beschouwd, lijkt het de deur te sluiten voor mogelijke consumentenclaims op grond van de Unfair Trade Practices Act van Connecticut, aangezien de handhaving uitsluitend aan de procureur-generaal van Connecticut wordt overgelaten. De procureur-generaal is verplicht om de verwerkingsverantwoordelijke in kennis te stellen van elke schending en, voor schendingen vóór 1 januari 2025, de verwerkingsverantwoordelijke 60 dagen de tijd te geven om de schending te herstellen. Na 1 januari 2025 kan de procureur-generaal naar eigen goeddunken de mogelijkheid bieden om de schending te herstellen. Overtredingen kunnen leiden tot civielrechtelijke sancties op grond van de Unfair Trade Practices Act van Connecticut, die kunnen oplopen tot 5.000 dollar voor opzettelijke overtredingen. De procureur-generaal van Connecticut kan ook billijke rechtsmiddelen inroepen.

Conclusie

De CDPA biedt consumenten in Connecticut dezelfde rechten met betrekking tot hun persoonsgegevens als de rechten die worden geboden in Californië onder de CCPA en CPRA, en in Colorado, Virginia en Utah wanneer die wetten van kracht worden. Bedrijven die nationaal actief zijn en al zijn begonnen met het naleven van deze andere wetten, zullen veel van dat werk kunnen gebruiken voor de CDPA. Bedrijven die anders misschien niet onder deze andere wetten zouden vallen, moeten hun activiteiten in Connecticut herzien en bepalen of ze onder de CDPA vallen. Als dat het geval is, moeten ze beginnen met het plannen van de naleving van de CDPA in de 14 korte maanden voordat deze van kracht wordt.

Voor meer informatie over de vereisten van de CDPA of andere in dit artikel genoemde privacywetgeving van de staat, kunt u contact opnemen met een van de partners of senior adviseurs van het Cybersecurity and Privacy-team van Foley & Lardner.

Disclaimer

Deze blog wordt ter beschikking gesteld door Foley & Lardner LLP ("Foley" of "het kantoor") voor informatieve doeleinden. Het is niet bedoeld om het juridische standpunt van het kantoor namens een cliënt over te brengen, noch is het bedoeld om specifiek juridisch advies te geven. Eventuele meningen in dit artikel weerspiegelen niet noodzakelijkerwijs de standpunten van Foley & Lardner LLP, haar partners of haar cliënten. Handel daarom niet op basis van deze informatie zonder advies te vragen aan een bevoegde advocaat. Deze blog is niet bedoeld om een advocaat-cliënt relatie te creëren en de ontvangst ervan vormt geen advocaat-cliënt relatie. Communicatie met Foley via deze website per e-mail, blogbericht of anderszins creëert geen advocaat-cliënt relatie voor welke juridische kwestie dan ook. Daarom wordt communicatie of materiaal dat u via deze blog naar Foley verzendt, hetzij via e-mail, blogpost of op een andere manier, niet behandeld als vertrouwelijk of als eigendom. De informatie op deze blog wordt gepubliceerd "AS IS" en is niet gegarandeerd volledig, nauwkeurig en/of up-to-date. Foley geeft geen verklaringen of garanties van welke aard dan ook, expliciet of impliciet, met betrekking tot de werking of inhoud van de site. Foley wijst uitdrukkelijk alle andere garanties, waarborgen, voorwaarden en verklaringen van welke aard dan ook af, hetzij uitdrukkelijk of impliciet, hetzij voortvloeiend uit een wet, wet, commercieel gebruik of anderszins, met inbegrip van impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, titel en niet-inbreuk. In geen geval zal Foley of een van haar partners, functionarissen, werknemers, agenten of filialen aansprakelijk zijn, direct of indirect, onder welke rechtsleer dan ook (contract, onrechtmatige daad, nalatigheid of anderszins), jegens u of iemand anders, voor claims, verliezen of schade, direct, indirect speciaal, incidenteel, bestraffend of gevolgschade, voortvloeiend uit of veroorzaakt door de creatie, het gebruik van of het vertrouwen op deze site (inclusief informatie en andere inhoud) of websites van derden of de informatie, middelen of het materiaal waartoe toegang wordt verkregen via dergelijke websites. In sommige rechtsgebieden kan de inhoud van deze blog worden beschouwd als advocaatreclame. Houd er, indien van toepassing, rekening mee dat eerdere resultaten geen garantie bieden voor een vergelijkbaar resultaat. Foto's zijn alleen voor dramaturgische doeleinden en kunnen modellen bevatten. Afbeeldingen impliceren niet noodzakelijkerwijs een huidige status als cliënt, partner of werknemer.