Lovgivning om databeskyttelse i de amerikanske stater: Det, du bør vide
Historien er opdateret med information om Montana’s databeskyttelseslov, som trådte i kraft den 1. oktober 2024, samt de fem stater, hvis love vil træde i kraft senest den 16. januar 2025.
Den 118. session af den amerikanske kongres slutter, og lovgiverne har igen ikke formået at vedtage en national databeskyttelseslov. Det betyder, at markedsførere snart skal overholde reglerne i 17 forskellige stater. Syv er allerede i kraft; ti yderligere vil træde i kraft inden januar 2026.
Det betyder 17 lidt forskellige hovedpine for markedsførerne at håndtere. Disse love har nogle ligheder. De giver forbrugerne rettigheder til at få adgang til, slette og fravælge salg af deres personlige oplysninger (PI). Der er dog også vigtige forskelle i deres anvendelsesområde, definitioner og krav.
Og som du måske har bemærket, er amerikanere et frække folk. Én eller flere stater kan vedtage databeskyttelseslove, der er meget anderledes end dem, der allerede er på plads. Synd for de forpinte MOps-folk, der skal håndtere dette.
Grib dybere: MarTechs Guide til GDPR – Den Generelle Databeskyttelsesforordning
Her er en liste over databeskyttelseslove, der er vedtaget i staterne. Den inkluderer korte beskrivelser af, hvem de gælder for, og deres krav. Vi er ikke advokater, så venligst gennemgå hver stats lov omhyggeligt for at sikre overholdelse, når I opererer i de pågældende jurisdiktioner.
Indholdsfortegnelse
- Stater med gældende databeskyttelseslove
- Stater med databeskyttelseslove, der endnu ikke er i kraft
- Iowa Data Privacy Act (Træder i kraft den 1. januar 2025)
- Tennessee Information Protection Act (Træder i kraft den 1. juli 2025)
- Texas Data Privacy and Security Act (Træder i kraft den 1. januar 2025)
- Delaware Personal Data Privacy Act (Træder i kraft den 1. januar 2025)
- New Hampshire Consumer Data Privacy Act (Træder i kraft den 1. januar 2025)
- New Jersey Consumer Data Privacy Bill (Træder i kraft den 16. januar 2025)
- Nebraska Data Privacy Act (Træder i kraft den 1. oktober 2025)
- Maryland Online Data Privacy Act (Træder i kraft den 1. oktober 2025)
- Indiana Data Privacy Law (Træder i kraft den 1. januar 2026)
- Kentucky Consumer Data Protection Act (Træder i kraft den 1. januar 2026)
Stater med gældende databeskyttelseslove
| STAT | LOV | TRÆDER I KRAFT |
| California | California Consumer Privacy Act | 1/1/2020 |
| Virginia | Virginia Consumer Data Protection Act | 1/1/2023 |
| Colorado | Colorado Privacy Act | 7/1/2023 |
| Connecticut | Connecticut Data Privacy Act | 7/1/2023 |
| Utah | Utah Consumer Privacy Act | 31/12/2023 |
| Oregon | Oregon Consumer Privacy Act | 7/1/2024 |
| Montana | Montana Consumer Data Privacy Act | 1/10/2024 |
California Consumer Privacy Act
Virksomheder, den gælder for:
- Årlig bruttoindkomst på mindst 25 millioner USD i det foregående regnskabsår.
- Køber, sælger eller deler PI for 100.000+ forbrugere eller husstande.
- Får 50%+ af årlige indtægter fra salg eller deling af forbrugernes PI.
Krav til virksomheder:
- Tillade forbrugerne at fravælge salget af PI.
- Tillade forbrugerne at begrænse behandlingen af følsomme PI.
- Implementere principper for dataminimering og formålsbegrænsning.
- Give forbrugerne en privatlivspolitik.
- Sikre at dine serviceudbydere overholder loven.
- Oprette en datalagringsperiode.
Virginia Consumer Data Protection Act
Gælder for virksomheder, der:
- Kontrollerer eller behandler PI for mindst 100.000 Virginia-borgere, eller
- Kontrollerer eller behandler PI for mindst 25.000 Virginia-forbrugere og får 50%+ af bruttoindkomsten fra salget af PI inden for et regnskabsår.
Kræver, at virksomheder skal:
- Tillade forbrugerne at fravælge salget af PI.
- Levere forbrugerne en privatlivspolitik.
- Have databehandlingsaftaler med dine databehandlere.
- Udføre en Privacy Impact Assessment af behandlingsaktiviteterne.
Colorado Privacy Act
Gælder for virksomheder, der:
- Har 100.000 Colorado-forbrugere+ i løbet af et år, eller
- Har 25.000 Colorado-forbrugere+ og genererer indtægter fra salget af PI, potentielt gennem en rabat på prisen på varer eller tjenester.
Kræver, at virksomheder skal:
- Give forbrugerne måder at fravælge salget af PI, målrettet reklame og profilering.
- Levere forbrugerne en privatlivspolitik.
- Udføre en databeskyttelseseffektvurdering, hvor der er risiko for forbrugerne.
Connecticut Data Privacy Act
Gælder for virksomheder, der:
- Behandler data indsamlet fra 100.000+ Connecticut-forbrugere, eksklusive PI, der kun kontrolleres eller behandles for at gennemføre en betalingstransaktion, eller
- Behandler data for 25.000+ Connecticut-forbrugere og får 25%+ af deres bruttoindkomst fra salg af PI.
Kræver, at virksomheder skal:
- Tillade forbrugerne at fravælge behandlingen af følsomme PI.
- Indsamle og behandle kun det minimum af data, der er nødvendigt til behandlingsformål.
- Levere forbrugerne en privatlivspolitik.
- Udføre databeskyttelsesvurderinger, hvor behandlingen kan udgøre en risiko.
Utah Consumer Privacy Act
Vil gælde for virksomheder, der:
- Har en årlig indtægt på 25 millioner USD+, og
- Kontrollerer eller behandler PI for 100.000+ Utah-borgere over et regnskabsår, og/eller
- Får 50%+ af bruttoindkomsten fra salget af PI og/eller
- Kontrollerer eller behandler PI for 25.000+ Utah-borgere.
Vil kræve, at virksomheder skal:
- Give forbrugerne mekanismer til at fravælge salget af PI eller målrettet reklame.
- Have behandlingsaftaler på plads.
- Levere forbrugerne en privatlivspolitik.
Oregon Consumer Privacy Act
Gælder for virksomheder, der:
- Kontrollerer eller behandler PI for 100.000+ Oregon-forbrugere, eller
- Kontrollerer eller behandler PI for 25.000+ Oregon-forbrugere og får 25%+ af bruttoindkomsten ved at sælge data.
Kræver, at virksomheder skal:
- Give adgang til, og rette, slette og modtage PI.
- Give en liste over de “specifikke tredjeparter”, som en kontrolanlægger videregiver PI til.
- Ret til at anmode om sletning af “afledte data.”
- Opnå samtykke til behandling af følsomme data.
- Opnå bekræftende samtykke til at profilere ungdomsdata.
- Lade forbrugerne fravælge målrettet reklame, datasalg og betydelige profilbeslutninger.
- Levere en privatlivspolitik til forbrugerne.
Montana Consumer Data Privacy Act
Vil gælde for virksomheder, der:
- Kontrollerer eller behandler PI for 50.000+ Montana-forbrugere, eller
- Kontrollerer eller behandler PI for 25.000+ Montana-forbrugere og får mindst 50% af bruttoindkomsten ved salg af data.
Vil kræve, at virksomheder skal:
- Reagere på forbrugernes anmodninger.
- Muliggøre fravalg af salg af data.
- Anerkende universelle fravalgsmekanismer.
- Give forbrugerne en privatlivspolitik og en privatlivspolitik.
- Indhente eksplicit samtykke før indsamling af følsomme data.
- Udføre databeskyttelseseffektvurderinger for behandling af følsomme data, salg af data eller brug af data til målrettet reklame og/eller profilering.
Stater med databeskyttelseslove, der endnu ikke er trådt i kraft
| STAT | LOV | TRÆDER I KRAFT |
| Iowa | Iowa Consumer Data Protection Act | 1/1/2025 |
| Delaware | Delaware Personal Data Privacy Act | 1/1/2025 |
| New Hampshire | New Hampshire Consumer Data Protection Act | 1/1/2025 |
| Texas | Texas Data Privacy and Security Act | 1/1/2025 |
| New Jersey | New Jersey Consumer Data Privacy Bill | 1/16/2025 |
| Tennessee | Tennessee Information Protection Act | 7/1/2025 |
| Maryland | Maryland Online Data Privacy Act | 10/1/2025 |
| Nebraska | Nebraska Data Privacy Act | 10/1/2025 |
| Indiana | Indiana Consumer Data Protection Act | 1/1/2026 |
| Kentucky | Kentucky Consumer Data Protection Act | 1/1/2026 |
Iowa Data Privacy Act (Træder i kraft den 1. januar 2025)
Vil gælde for virksomheder, der:
- Kontrollerer eller behandler PI for 100.000+ Iowa-forbrugere, eller
- Kontrollerer eller behandler PI for 25.000+ Iowa-forbrugere og får 50%+ af bruttoindkomsten ved salg af data.
Vil kræve, at virksomheder skal:
- Begrænse databehandling til specifikke formål.
- Levere forbrugerne en privatlivspolitik.
- Tillade forbrugerne at fravælge salget af PI.
- Reagere på forbrugeranmodninger om adgang, sletning, portabilitet, fravalg og andre.
- Have skriftlige kontrakter med serviceudbydere.
- Forsikre, at data er sikre.
Grib dybere: Hvorfor markedsførere bør bekymre sig om forbrugerens privatliv
Tennessee Information Protection Act (Træder i kraft den 1. juli 2025)
Vil gælde for virksomheder, der:
- Overgår 25 millioner USD i årlig indtægt, og
Kontrollerer eller behandler PI for 175.000+ Tennessee-forbrugere, og/eller - Kontrollerer eller behandler PI for 25.000+ Tennessee-forbrugere og får mindst 50% af bruttoindkomsten ved salg af data.
Vil kræve, at virksomheder skal:
- Levere forbrugerne en privatlivspolitik og en privatlivspolitik.
- Ære forbrugeranmodninger om at vide, få adgang til, slette og andre.
- Behandle data kun til de formål, det er indsamlet til.
- Tillade forbrugerne at fravælge salget af deres data.
- Have skriftlige kontrakter med serviceudbydere.
Texas Data Privacy and Security Act (Træder i kraft den 1. januar 2025)
Vil gælde for virksomheder, der:
- Engagerer sig i salget af PI, og
- Er ikke undtaget som en lille virksomhed i henhold til Small Business Administration.
Vil kræve, at virksomheder skal:
- Tillade fravalg af salget af PI.
- Ære forbrugeranmodninger.
- Indhente eksplicit samtykke til behandling af følsomme data.
- Udføre databeskyttelseseffektvurderinger.
- Have skriftlige kontrakter med serviceudbydere.
Delaware Personal Data Privacy Act (Træder i kraft den 1. januar 2025)
Vil gælde for virksomheder, der:
- Kontrollerer eller behandler PI for 35.000 Delaware-forbrugere, eller
- Får 20%+ af indtægterne fra salg af data for 10.000 Delaware-forbrugere.
Vil kræve, at virksomheder skal:
- Begrænse indsamlingen af PI til det, der er tilstrækkeligt, relevant og rimeligt nødvendigt.
- Indhente samtykke til behandling af følsomme data.
- Ære forbrugeranmodninger.
- Tillade forbrugerne at fravælge behandling gennem et fravalgspræference signal.
- Levere en privatlivspolitik til forbrugerne.
- Udføre databeskyttelsesvurderinger.
New Hampshire Consumer Data Privacy Act (Træder i kraft den 1. januar 2025)
Vil gælde for virksomheder, der:
- Kontrollerer eller behandler PI for mindst 35.000 unikke forbrugere, eksklusive PI, der kun kontrolleres eller behandles for at gennemføre en betalingstransaktion; eller
- Kontrollerer eller behandler PI for mindst 10.000 unikke forbrugere og får 25%+ af bruttoindkomsten fra salget af PI.
Vil kræve, at virksomheder skal:
- Give forbrugerne de samme beskyttelser for privatliv som i andre stater.
New Jersey Consumer Data Privacy Bill (Træder i kraft den 16. januar 2025)
Vil gælde for virksomheder, der:
- Kontrollerer eller behandler PI for 100.000+ New Jersey-forbrugere, eksklusive data, der kun behandles for at gennemføre en betalingstransaktion; eller
- Kontrollerer eller behandler PI for 25.000+ New Jersey-forbrugere, og kontrolanlæggeren får indtægter, eller modtager en rabat på prisen på varer eller tjenester, fra salget af PI.
Vil kræve, at virksomheder skal:
- Indsamle kun det minimum af data, der er nødvendigt til behandlingsformål og behandle det til tilstrækkelige formål;
- Indhente samtykke til behandling af følsomme eller børns data og give mekanismer til tilbagekaldelse af samtykke;
- Indhente samtykke til at behandle data om et barn til formål som målrettet reklame, salg af forbrugerens PI eller profilering, når kontrolanlæggeren har faktisk kendskab til eller bevidst overser, at forbrugeren er mindst 13 år gammel, men yngre end 17 år gammel;
- Informere forbrugerne om behandlingen, herunder formålene med behandlingen.
- Implementere administrative, tekniske og fysiske datasikkerhedsforanstaltninger;
- Udføre en databeskyttelseseffektvurdering, hvor det er nødvendigt,
- Sikre, at der er skriftlige aftaler med serviceudbydere til behandling af data.
- Bekræfte, om en kontrolanlægger behandler forbrugerens PI og tilgår sådanne PI, eksklusive handelshemmeligheder;
- Rette unøjagtigheder i PI på anmodning.
- Slette PI på anmodning.
- Dataportabilitet.
- Lade forbrugerne fravælge behandling af PI til målrettet reklame eller salg af data.
Nebraska Data Privacy Act (Træder i kraft den 1. oktober 2025)
Vil gælde for virksomheder, der:
- Engagerer sig i salget af PI, og
- Er ikke undtaget som en lille virksomhed i henhold til Small Business Administration.
Vil kræve, at virksomheder skal:
- Tillade forbrugerne at
- Vide, hvilke PI der anvendes.
- Få adgang til PI, der anvendes.
- Slette PI, der anvendes.
- Fravælge salget af data eller behandling til målrettet reklame.
- Implementere tekniske og organisatoriske foranstaltninger til at beskytte dataene.
- Reagere hurtigt på forbrugeranmodninger.
Maryland Online Data Privacy Act (Træder i kraft den 1. oktober 2025)
Forbyder salg af personlige data. Virksomheder kan kun indsamle, behandle eller dele persondata, der er “strengt nødvendige for at levere eller opretholde et bestemt produkt eller en tjeneste, som forbrugeren har anmodet om.”
Vil gælde for virksomheder, der:
- Behandler data for 35.000+ forbrugere, eller
- Behandler data for 10.000+ forbrugere og får 20%+ af deres indtægter fra salg af data.
Vil kræve, at virksomheder skal:
- Tillade forbrugerne at
- Vide, hvilke PI der anvendes.
- Få adgang til PI, der anvendes.
- Slette PI, der anvendes.
- Fravælge salget af data eller behandling til målrettet reklame eller profilering.
Indiana Data Privacy Law (Træder i kraft den 1. januar 2026)
Vil gælde for virksomheder, der:
- Kontrollerer eller behandler PI for 100.000+ Indiana-forbrugere, eller
- Kontrollerer eller behandler PI for 25.000+ Indiana-forbrugere og får 50%+ af bruttoindkomsten ved salg af data.
Vil kræve, at virksomheder skal:
- Tillade forbrugerne at fravælge salget af PI.
- Give en omfattende privatlivspolitik.
- Udføre en databeskyttelseseffektvurdering i tilfælde af målrettet reklame.
- Begrænse databehandlingen til de tilsigtede formål.
- Indhente eksplicit samtykke til behandling af følsomme PI.
Kentucky Consumer Data Protection Act (Træder i kraft den 1. januar 2026)
Vil gælde for virksomheder, der:
- Behandler data for 100.000+ Kentucky-borgere, eller
- Behandler data for 25.000+ Kentucky-borgere og får 50%+ af overskuddet fra salg af PI.
Vil kræve, at virksomheder skal:
- Tillade forbrugerne at
- Vide, hvilke PI der anvendes.
- Få adgang til PI, der anvendes.
- Slette PI, der anvendes.
- Fravælge salget af data eller behandling til målrettet reklame.
- Implementere tekniske og organisatoriske foranstaltninger til at beskytte dataene.
- Reagere hurtigt på forbrugeranmodninger.
- Udføre databeskyttelseseffektvurderinger for højrisiko behandling.
Email:
Se vilkår.
OptiPrime – Global førende total-performance marketing “mate” for at drive virksomheders vækst effektivt. Løft din virksomhed med vores skræddersyede digitale marketingtjenester. Vi blander innovative strategier og banebrydende teknologi for at målrette din målgruppe effektivt og skabe effektfulde resultater. Vores datadrevne tilgang optimerer kampagner for maksimalt ROI.
OptiPrime strækker sig på tværs af kontinenter og strækker sig fra de historiske gader i Quebec, Canada til det dynamiske hjerteslag i Melbourne, Australien; fra den innovative ånd i Aarhus, Danmark til den pulserende energi i Ho Chi Minh City, Vietnam. Uanset om vi øger brandbevidstheden eller øger salget, er vi her for at guide din digitale succes. Begynd din rejse til nye højder med os!
