Connecticut · CTDPAWordPress-hosting med CTDPA-plugin indbygget i platformen.
Opt-out-signaler for salg og maalrettet reklame, opt-in for foelsomme data, et 45-dages svar-workflow og en Universal Opt-Out Mechanism, der respekterer Global Privacy Control-signaler direkte paa Cloudflare-edge — haandteret af Yovales compliance-MU-plugin. Du installerer det ikke. Du opdaterer det ikke. Du betaler ikke for det. Saadan ships hvert Yovale-site, paa alle planer. Samme platform haandterer ogsaa CCPA, VCDPA, CPA, TDPSA, OCDPA og MCDPA — en stak, hver delstats privatlivslov i USA.
Under CTDPA kan du fraskrive dig salg af persondata, maalrettet reklame og profiling. Du kan ogsaa se, rette, slette eller eksportere de data, vi har om dig, og appellere ethvert afslag.
Seks forpligtelser du skal opfylde.
Connecticut Data Privacy Act traadte i kraft 1. juli 2023 og goer Connecticut til den femte amerikanske delstat med en omfattende forbrugerprivatlivslov, ved siden af Californien, Virginia, Colorado og Utah. Den gaelder controllers, der behandler persondata for 100.000 eller flere indbyggere i Connecticut, eller fra 25.000 indbyggere hvis 25% eller mere af indtaegterne kommer fra salg af persondata. Haandhaevelse ligger hos Connecticut Attorney General under Connecticut Unfair Trade Practices Act (CUTPA), med civile boeder op til $5,000 pr. overtraedelse. Den 60-dages helbredelsesperiode udloeb 31. december 2024.
- 01
Opt-out for salg, maalrettet reklame, profiling
Forbrugere kan fraskrive sig salg af persondata, maalrettet reklame og profiling til stoette for beslutninger med juridiske eller tilsvarende betydelige effekter. Mekanismen skal vaere klar, synlig og fri for dark patterns.
- 02
Universal Opt-Out Mechanism (UOOM)
Siden 1. januar 2025 skal controllers anerkende og respektere en Universal Opt-Out Mechanism som Global Privacy Control (GPC). Et browsersignal taeller som gyldigt opt-out for salg og maalrettet reklame — intet klik paa consent-banneret kraeves. At ignorere GPC er den hyppigste udloeser for CTDPA-haandhaevelse.
- 03
OPT-IN for foelsomme data
Du maa ikke behandle foelsomme data uden udtrykkeligt samtykke. Foelsomme data omfatter racemaessig eller etnisk oprindelse, religioese overbevisninger, diagnose for mental eller fysisk sundhed, seksuel orientering, statsborgerskab og immigrationsstatus, genetiske eller biometriske data, praecis geolokation og persondata om et kendt barn.
- 04
Forbrugerrettigheder: indsigt, berigtigelse, sletning, portabilitet
Indbyggere i Connecticut kan bede om indsigt i de persondata du opbevarer, faa unoejagtigheder rettet, faa data slettet og modtage en portabel kopi i et let anvendeligt format. Du svarer inden 45 dage, kan forlaenges en gang med 45 dage naar det er rimeligt noedvendigt.
- 05
Appeal-proces inden 60 dage
Naar du afviser en forbrugeranmodning, skal du give indbyggeren en klar vej til at appellere afgoerelsen og svare paa appellen inden 60 dage. Afvises appellen, leverer du en skriftlig forklaring og en online-mekanisme til at indgive klage hos Connecticut Attorney General.
- 06
Kontrakter mellem controller og processor
Kontrakter mellem controller og processor skal angive behandlingsinstrukser, fortrolighed, sletning eller tilbagelevering af data ved serviceophoer, revisionsrettigheder samt assistance til forbrugeranmodninger. Yovale fungerer som din processor under en skriftlig kontrakt.
Indbygget i platformen. Intet plugin du installerer.
Yovale leverer CTDPA-compliance som signeret must-use plugin — del af selve hostingen, ikke noget du installerer fra WordPress-katalogen. Den er versions-pinnet, hentes fra R2 med SHA-256-verifikation og placeres i en per-site bind-monteret mu-plugins-mappe ved provisionering. GPC-detektion koerer paa Cloudflare-edge worker, foer nogen WordPress-kode eksekveres, saa opt-out-signaler virker selv paa cachet HTML.
GPC-bevidst consent-banner
Besoegende fra Connecticut ser CTDPA-opt-out-kontroller for salg, maalrettet reklame og profiling. Sec-GPC-headeren og DOM-signalet Global Privacy Control laeses paa edge — naar GPC er slaaet til, blokeres salg og maalrettet reklame, foer banneret overhovedet renderes, og audit-loggen noterer opt-out med GPC-oprindelse.
Privacy-portal
/.well-known/privacy paa hvert Yovale-site. Indbyggere i Connecticut indsender anmodninger om indsigt, berigtigelse, sletning og portabilitet uden support-ticket. Hver anmodning dukker op i Compliance-fanen i dit dashboard med en 45-dages SLA-timer. Identitetsverifikation klares af platformen — du skal kun gennemgaa og godkende.
Appeal-workflow med AG-klagelink
Naar en anmodning afvises, faar indbyggeren et et-klik appeal-link. Appellen aabner en separat sag med eget 60-dages SLA i dit dashboard, med den oprindelige afgoerelse vedhaeftet. Afviser du ogsaa appellen, vedhaefter platformen automatisk URL'en til Connecticut AG's online-klageformular, som CTDPA kraever.
Signeret processor-kontrakt
Forhaandssigneret controller-processor-kontrakt iht. CTDPA Public Act 22-15 § 7, som PDF i dit dashboard. Lister hver underprocessor (Cloudflare, Anexia, R2), formaalsbegraensning, fortrolighed, revisionsrettigheder, sletning ved serviceophoer og assistance til forbrugeranmodninger og konsekvensanalyser.
Derfor slaar infrastruktur et plugin.
Typisk WordPress-CTDPA-plugin
- Laegger 200-500 ms til hver sideindlaesning (banner-JS, geo-lookup, DB-writes)
- Misser GPC-signaler — de fleste plugins laeser stadig ikke Sec-GPC, det stoerste CTDPA-hul
- Gemmer opt-out-signaler i wp_options — langsomt, utypet, brydes med object caching
- Opdateres via wp-admin — du vedligeholder det, du braekker det, du fejlfinder konflikter
- Koster $49-149/aar pr. site og daekker sjaeldent appeal-workflowet eller AG-linket
- Brydes ved hosting-skift; opt-out-historik og appeal-sager forsvinder
Yovales indbyggede tilgang
- 0 ms latens — GPC- og opt-out-tilstand beregnes paa edge worker, caches i CDN
- Sec-GPC og DOM-signaler laeses paa edge, foer noget banner renderes — uden helbredelsesperiode taeller det
- Audit log i dedikeret database, sboeg, blokerer aldrig rendering
- Opdateringer kommer via platformen — du ser dem ikke, du braekker dem ikke
- Inkluderet i hver plan ($149 / $249 / $499 pr. aar), ingen per-site compliance-gebyrer
- Foelger dit site for altid — opt-out- og appeal-historik er din at eksportere
14 regelsæt. én kontakt hver. alt automatisk.
- Opt-out for salg, maalrettet reklame, profiling
- Respekter GPC og UOOM (siden 1. januar 2025)
- Opt-in for foelsomme data
- Svar paa forbrugeranmodninger inden 45 dage
- Appeal-proces inden 60 dage
CTDPA + Yovale, besvaret.
Gaelder CTDPA mit site?
Den gaelder hvis du i et kalenderaar kontrollerer persondata for 100.000 eller flere indbyggere i Connecticut, eller fra 25.000 indbyggere hvis 25% eller mere af din bruttoomsaetning kommer fra salg af persondata — bemaerk at taersklen er lavere end VCDPA's 50%. Myndigheder, visse non-profits, HIPAA-omfattede enheder og FERPA-uddannelsesdata er undtaget. Ligger du under taersklerne er du ikke direkte daekket, men Yovale aktiverer samme beskyttelser som standard, saa dit site er klar naar du krydser dem.
Hvad aendrede sig 1. januar 2025?
To ting. For det foerste udloeb den 60-dages helbredelsesperiode 31. december 2024 — Connecticut AG skal ikke laengere give dig en chance for at rette en overtraedelse, foer han starter en haandhaevelsessag. For det andet skal controllers respektere en Universal Opt-Out Mechanism som Global Privacy Control. En browser, der sender headeren Sec-GPC: 1, behandles som et gyldigt opt-out for salg og maalrettet reklame, og du skal handle paa det, selv om besoegende aldrig klikker paa dit consent-banner. Yovales edge worker laeser baade Sec-GPC-headers og DOM-signalet, anvender opt-out foer enhver rendering og logger det.
Hvordan adskiller CTDPA sig fra CCPA?
Begge giver forbrugere opt-out for salg og maalrettet reklame plus ret til indsigt, sletning og portabilitet. CTDPA gaar laengere paa foelsomme data — den kraever OPT-IN, mens Californien bruger et opt-out-signal. CTDPA paalaegger ogsaa en formel appeal-proces ved afvisninger og haandhaeves af Connecticut Attorney General under CUTPA; ingen privat soegsmaalsret. Civile boeder topper ved $5,000 pr. overtraedelse mod $7,500 under CCPA. Yovale daekker begge regimer fra en platform.
Hvad regnes som foelsomme data og hvordan haandteres opt-in?
Foelsomme data under CTDPA omfatter racemaessig eller etnisk oprindelse, religioese overbevisninger, diagnose eller tilstand af mental eller fysisk sundhed, seksuel orientering, statsborgerskab eller immigrationsstatus, genetiske eller biometriske data der behandles for entydigt at identificere en person, praecis geolokation inden for 1.750 fod og persondata om et kendt barn under 13 aar. Yovales MU-plugin blokerer ethvert plugin eller script der beroerer en foelsom kategori, indtil forbrugeren aktivt har opted in via consent-UI.
Hvad sker der hvis jeg afviser en anmodning?
Platformen sender forbrugeren en afvisning med et et-klik appeal-link. Appellen aabner en separat sag i dit Compliance-dashboard med egen 60-dages SLA. Afviser du ogsaa appellen, vedhaefter Yovale automatisk et link til Connecticut Attorney Generals online-klageformular, som CTDPA kraever. Hvert skridt tidsstemples i audit-loggen.
Leverer I en processor-kontrakt?
Ja. En forhaandssigneret controller-processor-kontrakt der opfylder CTDPA's krav til processor-kontrakter ligger som PDF i dit dashboard. Vi staar som din processor, du er controller. Den lister hver underprocessor (Cloudflare, Anexia, R2), formaalsbegraensning, fortrolighedsvilkaar, revisionsrettigheder, tilbagelevering eller sletning af data ved serviceophoer samt vores pligt til at assistere med forbrugeranmodninger og konsekvensanalyser.
Send et CTDPA-kompatibelt WordPress-site live paa 60 sekunder.
Hvert Yovale-site er CTDPA-klar fra deploy. GPC respekteret paa edge. Opt-in for foelsomme data haandhaevet. Appeal-workflow aktivt. AG-klagelink tilsluttet. Start Growth-proeven og se dit foerste compliance-dashboard.