Cannabisvirksomheder har brug for privatlivspolitikker

Cannabisvirksomheder har brug for privatlivspolitikker

Tidsstempel: 4. oktober 2023 kl. 10
Kildeknude: 2916781

Det er 2023, og mange cannabisvirksomheder mangler stadig et kritisk driftsdokument: en privatlivspolitik. Jeg har skrevet og talt om dette problem årevis. Og tingene bliver ikke bedre. Så lad os tale om det en gang til.

Til at starte med har Californien krævet privatlivspolitikker i meget lang tid (nå, "lang" i det mindste med hensyn til internettet). Under Californien lov, operatører af kommercielle websteder, der indsamler "personligt identificerbare oplysninger via internettet om individuelle forbrugere bosat i Californien, som bruger eller besøger dets kommercielle websted", har brug for en privatlivspolitik. Det er meget at fordøje. På engelsk skal webstedsejere have en privatlivspolitik, hvis californiske forbrugere bruger eller besøger deres websted.

Enhver cannabisvirksomhed, der opererer i Californien og har et websted, er klart underlagt dette krav. Men hvad med et Iowa-baseret cannabisfirma? Nå, så længe indbyggere i Californien bruger eller besøger det, gælder kravet. Og medmindre cannabisvirksomheden endeligt kan sige, at dens hjemmeside ikke har nogen brugere/besøgende i Californien, er det bedste praksis bare at få en privatlivspolitik. Læser man ovenstående lov, er kravene relativt overskuelige og ikke for intense. Men det er ikke slutningen på historien.

I 2018 bestod Californien California Consumer Privacy Act (CCPA). CCPA er inspireret af EU's tidligere Generel databeskyttelsesforordning (GDPR). Ligesom GDPR kodificerede CCPA en række forbrugerrettigheder med hensyn til deres personlige oplysninger. Og det pålagde en række nye lovkrav til gældende virksomheder (mere om det nedenfor). I 2020 bestod vælgerne i Californien Prop. 24, a/k/a, California Privacy Rights Act (CPRA), som ændrede og supplerede CCPA. Og du satser på, at der også er regler at håndtere.

Et af de utallige krav, som CCPA stillede, var at have en privatlivspolitik. Og i modsætning til tidligere lov er CCPA's krav meget mere robust. Se link. for eksempel. Dette er også tilfældet for GDPR. For enhver virksomhed, der er underlagt en af ​​disse nyere privatlivsordninger, er det en udfordring at udarbejde en kompatibel privatlivspolitik. Så million dollar spørgsmålet er, hvem gælder disse love for? For CCPA er Californiens justitsminister siger:

CCPA gælder for profitvirksomheder, der driver forretning i Californien og opfylder et af følgende:

  • Har en brutto årlig omsætning på over $25 millioner;
  • Køb, sælg eller del personlige oplysninger om 100,000 eller flere californiske beboere, husholdninger eller enheder; eller
  • Få 50 % eller mere af deres årlige indtjening fra salg af personoplysninger for indbyggere i Californien.

Det andet spørgsmål om millioner dollars her er, hvad det vil sige at drive forretning. Selvfølgelig definerer CCPA det ikke klart. Men andre steder i loven siger CCPA: "Med henblik på denne titel finder kommerciel adfærd sted helt uden for Californien, hvis virksomheden indsamlede disse oplysninger, mens forbrugeren var uden for Californien, fandt ingen del af salget af forbrugerens personlige oplysninger sted i Californien. , og ingen personlige oplysninger indsamlet, mens forbrugeren var i Californien, sælges. Dette afsnit skal ikke forbyde en virksomhed i at gemme, herunder på en enhed, personlige oplysninger om en forbruger, når forbrugeren er i Californien, og derefter indsamle disse personlige oplysninger, når forbrugeren og gemte personlige oplysninger er uden for Californien."

Det er derfor sikkert for virksomheder at antage, at selv tangentielle forhold til Golden State kan underkaste dem CCPA's krav, så længe en af ​​ovenstående tærskler er opfyldt. Og det betyder, at virksomheden har brug for en robust privatlivspolitik.

Hvad med GDPR? GDPR er endnu bredere i omfang:

2. Denne forordning finder anvendelse på behandling af personoplysninger om registrerede, der befinder sig i Unionen af ​​en dataansvarlig eller databehandler, der ikke er etableret i Unionen, hvor behandlingsaktiviteterne er relateret til:

a) udbud af varer eller tjenesteydelser, uanset om der kræves betaling fra den registrerede, til sådanne registrerede i Unionen eller

b) overvågning af deres adfærd, for så vidt deres adfærd finder sted inden for Unionen.

En virksomhed, der blot tilbyder tjenester, endda gratis, til indbyggere i EU, kan ende med at være underlagt GDPR. For at være retfærdig vil dette ikke være tilfældet for dit cannabis-firma. Det er mere sandsynligt, at det påvirker hamp/cannabinoid-virksomheder, der sælger i e-handel. Men selv cannabisvirksomheder kan gå selv ind i GDPR-området med markedsførings- og salgsindsats.

Hvis nogen af ​​disse love gælder – eller hvis en virksomhed selv mener lovene kunne gælder – en privatlivspolitik er nødvendig. Der er masser af sagsøgeres advokater derude, som vil sagsøge, i nogle tilfælde via gruppesøgsmål, hvis en virksomhed undlader at anvende en privatlivspolitik. Tingene bliver endnu værre, hvis privatlivspolitikken er unøjagtig, eller virksomheden ikke overholder den.

En privatlivspolitik er et nøgledokument (og ofte lovpligtigt) for enhver cannabisvirksomhed. Uden det er der ikke kun en lovovertrædelse, men måske også en retssag. Det behøver ikke at koste en arm og et ben, og hvis det gøres rigtigt, kan det spare masser af penge og sved på bagenden.

Inden jeg afslutter indlægget, skal jeg nævne, at en privatlivspolitik ikke er det eneste, cannabisvirksomheder skal bekymre sig om, når det kommer til databeskyttelse. CCPA, GDPR og andre love stiller adskillige krav ud over blot at have en privatlivspolitik. Se f.eks dette mit indlæg fra et stykke tid tilbage på CCPA og sletteanmodninger. Disse ting kan blive utroligt komplicerede. Og ligesom med privatlivspolitikker er det bedre at investere i overholdelse af privatlivslovgivningen tidligt i stedet for forsvarsadvokat på vejen.

Tidsstempel:

Mere fra Harris Bricken