Håndhævelse af California Consumer Privacy Act (CCPA) begyndte den 1. juli 2020. CCPA giver forbrugere, der bor i Californien, markant mere kontrol over, hvordan virksomheder bruger deres personlige oplysninger. Som følge heraf skulle alle virksomheder gennemgå deres data, systemer og processer for at sikre, at de var i fuld overensstemmelse med de nye love.
Det var først fredag den 14. august 2020, at statens rigsadvokat bekendtgjorde reglerne til gennemføre CCPA blev godkendt og trådte i kraft med det samme. Overholdelse af CCPA blev dog mere forvirrende for virksomheder, fordi i nogle tilfælde håndhævelsesbestemmelser gik ud over, hvad CCPA-vedtægten kræver.
Historien var dog ikke slut endnu. Faktisk var overholdelsesproblemer lige begyndt.
I oktober 2020 underskrev Californiens guvernør Gavin Newsom to ændringsforslag til CCPA til lov. AB 1281 udvidede delvise undtagelser for medarbejderdata og business-to-business (B2B) data, som tidligere var indstillet til at udløbe den 1. januar 2021. AB 713 ændrede CCPA's undtagelser relateret til medicinsk information og helbredsbeskyttelse.
Men det var ikke alt. Spol frem til november 2020, og tingene blev endnu mere forvirrende.
Den 3. november 2020 godkendte vælgerne i Californien stemmeseddelforslag 24, den California Privacy Rights Act af 2020 (CPRA), eller hvad nogle mennesker omtaler som CCPA 2.0. CPRA træder først i kraft den 1. januar 2023, men det fører endda med sig flere ændringer som virksomheder skal overholde herunder
- Ny definition af en omfattet virksomhed
- Yderligere sprog om deling af data
- Yderligere forbrugerrettigheder
- Nye regler for en kategori af "følsomme personoplysninger"
- Ny definition af "samtykke"
- Ændringer i definitionen af "tjenesteudbyder"
- Udvidet privat søgsmålsret for databrud
- Nye oplysningskrav
- Fjernelse af 30-dages kurperioden
- Udvidede undtagelser for medarbejder- og B2B-data
- Etablering af California Privacy Protection Agency
- Og mere
Enhver virksomhed, inklusive cannabisvirksomheder, bør forstå de nuværende krav under CCPA og hvad der kommer i CPRA. Nu er det tid til at begynde at gennemgå og opdatere dine politikker og procedurer.
For nogle virksomheder er overholdelse af disse love en meget stor opgave, men risikoen for manglende overholdelse – i form af retssager og monetære sanktioner – er bare for store til at ignorere. Følgende er 10 indledende handlinger, som cannabisvirksomheder kan tage for at overholde CCPA.
1. Definer et CCPA-overholdelsesbudget
Din cannabisvirksomheds CCPA-overholdelsesbudget afhænger af en række faktorer. Vigtigt er det, at du skal overveje at ansætte nye medarbejdere til at styre compliance i dag og løbende. Derudover skal du træne medarbejderne til at følge nye arbejdsgange i et forsøg på at opfylde kravene i CCPA.
Mens størstedelen af dit budget vil blive brugt på kort sigt til at bringe din virksomhed i overensstemmelse med de nye regler, skal du også investere i løbende overvågning af overholdelse. CCPA vil sandsynligvis udvikle sig, og andre stater øger allerede indsatsen for at vedtage strengere privatlivslove.
2. Ansæt nøglemedarbejdere
Hvis din virksomhed ikke allerede har en overholdelsesekspert på personale, er det nu, du skal ansætte en. Desuden har du brug for erfarne sikkerhedspersonale til at implementere de nødvendige ændringer til din virksomheds hjemmeside, systemer og så videre.
Nøglen er at have én person, der holdes ansvarlig for at lede overholdelsesindsatsen i din virksomhed, og det inkluderer CCPA-overholdelse. Typisk vil denne person være på ledelsesniveau og kan have en leder og andre fagfolk ansat (eller tilgængelige som konsulenter) til at hjælpe dem. Afhængigt af din virksomheds størrelse kan overholdelse kræve et helt team af mennesker.
3. Udvikle datakortlægning og opbevaringsprocesser
Datastyring er en vigtig del af din cannabisvirksomheds CCPA-overholdelse. Du skal have processer på plads for at identificere, hvordan personlige oplysninger indsamles, hvordan de er kategoriseret, hvordan de opbevares, hvor de opbevares, hvordan de er beskyttet, og hvordan din virksomhed forhindrer ulovlig deling, salg eller distribution af disse data.
CCPA indeholder en bestemmelse, der siger, at virksomheder skal være i stand til at give forbrugere, der anmoder om deres personlige oplysninger, alle data indsamlet inden for den tidsramme, der er tilladt ved lov. Hvis din virksomhed ikke har en proces på plads til at identificere og kortlægge personlige oplysninger til sine kilder, kan det være ekstremt tidskrævende, hvis ikke umuligt, at besvare disse anmodninger. Faktisk, hvis dine processer er utilstrækkelige, kan din cannabisvirksomhed ende med at blive udsat for retssager og sanktioner.
4. Udvikle et forbrugeranmodningssvarsystem
CCPA giver virksomheder en periode til at reagere på forbrugernes anmodninger om de personlige oplysninger, der indsamles om dem. Hvis din virksomhed ikke har et svarsystem på plads og ikke kan producere de anmodede oplysninger som tilladt ved lov, så er du muligvis ikke i stand til at reagere tilstrækkeligt inden for denne tidsramme. Igen kan din virksomhed stå over for dyre retssager og bøder som følge heraf.
Det er vigtigt, at din virksomhed udvikler et svarsystem for forbrugeranmodninger, og så meget af dette system bør automatiseres som muligt. Forestil dig, hvis du får 10 eller 100 anmodninger inden for en måned. Hvis systemerne ikke er automatiserede, er din virksomhed muligvis ikke i stand til at svare på alle disse anmodninger i tide og kan komme i en masse problemer – juridisk og økonomisk.
5. Opret et forbrugeropt-out-system
I henhold til CCPA har forbrugere i Californien ret til at fravælge tredjeparts trackere og reklameteknologier. Som sådan skal du fuldt ud forstå al teknologi, der bruges på dit websted, mobilapplikationer og så videre.
Du skal også oprette et forbrugeropt-out-system, så forbrugere til enhver tid kan fravælge sporing. Ligesom dit forbrugeranmodningssvarsystem (se #4 ovenfor), bør dit forbrugeropt-out-system være automatiseret i det omfang det er muligt. Selvom dette vil inkludere en højere omkostning i dag til udvikling og implementering, vil du spare endnu mere tid og penge senere, hvis du automatiserer systemet nu.
6. Opdater fortrolighedspolitikker
Din cannabisvirksomheds privatlivspolitikker skal opdateres for at overholde CCPA. Husk, at opdatering af privatlivspolitikker refererer til opdatering af både interne og eksterne privatlivspolitikker og meddelelser.
Med andre ord gælder dette lovkrav ikke kun for den privatlivspolitik, der er offentliggjort på din hjemmeside. Det henviser også til privatlivsrelaterede politikker, afsløringer og meddelelser, der bruges i hele din virksomhed.
7. Udvikle arbejdsgange for juridiske og regulatoriske reaktioner
Hvordan vil din virksomhed reagere, hvis en regulator anmoder om oplysninger om dine CCPA-overholdelsesprocesser? Hvad hvis en forbruger anlægger et civilt søgsmål mod din cannabisvirksomhed relateret til deres personlige oplysninger i henhold til CCPA? Begge dele kan ske på et tidspunkt, så du har brug for arbejdsgange på plads for at strømline responsprocessen, herunder automatisering af systemer i det omfang det er muligt.
Din cannabisvirksomheds overholdelsesleder (se #2 ovenfor) bør overvåge responsprocessen, men alle medarbejdere, der har en rolle i at indsamle og levere de anmodede data, skal forstå, hvad der forventes af dem. Disse arbejdsgange bør omfatte specifikke ansvarsområder og tidslinjer.
8. Definer politikker og uddanne medarbejdere
Enhver cannabisvirksomhedsmedarbejder bør uddannes i CCPA og forstå dens betydning. De bør fuldt ud forstå deres ansvar og blive trænet i de arbejdsgange, de forventes at udføre som svar på anmodninger om oplysninger fra forbrugere, regulatorer og retssager.
Træning i CCPA og overholdelse af privatlivets fred er ikke en engangsting. Efterhånden som love udvikler sig, og flere stater vedtager nye regler om beskyttelse af privatlivets fred, vil opdateret træning være påkrævet løbende for at sikre, at din cannabisvirksomhed til enhver tid forbliver fuldt ud kompatibel.
9. Gennemgå tredjepartsdata- og tjenesteudbydere for overholdelse
Hvis din virksomhed er afhængig af tjenesteudbydere eller tredjeparter til at levere, opbevare, administrere eller på anden måde indsamle, dele, sælge eller distribuere data med eller på vegne af din virksomhed, så skal du gennemgå deres CCPA-overholdelse. Derudover bør kontrakter opdateres for at imødekomme nødvendige ændringer baseret på CCPA-reglerne.
Det er bydende nødvendigt, at din cannabisvirksomhed reviderer serviceudbydere og tredjeparter løbende for at sikre, at de fortsat overholder CCPA og alle andre føderale og statslige love om beskyttelse af personlige oplysninger. Dette er et kritisk skridt, der vil reducere din virksomheds risiko på lang sigt.
10. Overvåg Californiens og andre staters privatlivslovgivning
Ikke alene vil CCPA fortsætte med at udvikle sig, men andre stater ændrer privatlivslovgivningen at sætte forbrugerne i kontrol over, hvordan deres personlige oplysninger bliver brugt af virksomheder. Igen har du brug for den rette overholdelsesleder og team på plads til løbende at overvåge disse love, så din cannabisvirksomhed kan gribe ind efter behov.
Vigtige ting om CCPA-overholdelse
Cannabisvirksomheder er nødt til at handle nu for at sikre, at de er fuldt ud i overensstemmelse med CCPA og CPRA for at reducere de risici, der er forbundet med manglende overholdelse i fremtiden. Disse 10 trin skal hjælpe dig i gang. Nøglen er at begynde at arbejde på din virksomheds overholdelsesstrategi og implementering nu, hvis du ikke allerede har gjort det, fordi håndhævelsen af CCPA allerede er begyndt.
Håndhævelsen af CPRA starter ikke før 1. januar 2023, men det er vigtigt at forstå, at CPRA påvirker personlige oplysninger indsamlet på eller efter 1. januar 2022. Med andre ord, du har ikke to år til at skrue op. Du har egentlig kun et år til at sætte de rigtige systemer på plads for at overholde CPRA.
For virksomheder, der er afhængige af Cannabiz Media License Database for at generere kundeemner og vokse, kan de være sikre på, at det allerede er fuldt ud i overensstemmelse med CCPA. Du kan følge linket for at lære mere om hvordan du sikrer, at din e-mailmarketing og CRM overholder CCPA.
Planlæg en demo af Cannabiz Media License Database for at se, hvordan det kan hjælpe din virksomhed med at vokse.
Oprindeligt offentliggjort 3/24/20. Opdateret 12/4/20.
Kilde: https://www.cannabiz.media/blog/ccpa-compliance-what-cannabis-businesses-need-to-do-now- 100
- 2020
- 2021
- Handling
- Reklame
- Alle
- annoncerede
- applikationer
- Rigsadvokaten
- AUGUST
- Automatiseret
- B2B
- virksomhed
- Business Grow
- forretning til forretning
- virksomheder
- california
- cannabis
- CCPA
- Indsamling
- kommer
- Virksomheder
- selskab
- Compliance
- forbruger
- forbrugernes privatliv
- Forbrugere
- fortsæt
- kontrakter
- Ret
- CRM
- helbrede
- Nuværende
- data
- Database
- udvikle
- Udvikling
- Oplysninger
- Effektiv
- e-mail marketing
- medarbejdere
- udøvende
- Ansigtet
- vender
- FAST
- Federal
- følger
- Videresend
- Fredag
- fuld
- fremtiden
- Generelt
- regeringsførelse
- Guvernør
- Grow
- Helse
- leje
- Ansættelse
- Hvordan
- HTTPS
- identificere
- Ulovlig
- Herunder
- oplysninger
- spørgsmål
- IT
- juli
- Nøgle
- Sprog
- Lov
- Love
- Retssager
- førende
- LÆR
- Politikker
- Niveau
- Licens
- LINK
- Liste
- kort
- Marketing
- Medier
- medicinsk
- Mobil
- Mobile applikationer
- penge
- overvågning
- ordrer
- Andet
- Mennesker
- politikker
- politik
- Beskyttelse af personlige oplysninger
- lovgivning om beskyttelse af personlige oplysninger
- Privatlivspolitik
- private
- professionelle partnere
- beskyttelse
- Rampe
- reducere
- regler
- Regulators
- Krav
- svar
- gennemgå
- Risiko
- regler
- salg
- sikkerhed
- sælger
- sæt
- Del
- Størrelse
- So
- starte
- påbegyndt
- Tilstand
- Stater
- butik
- Strategi
- systemet
- Systemer
- Teknologier
- Teknologier
- Fremtiden
- tredje partier
- tid
- Sporing
- Kurser
- Opdatering
- Hjemmeside
- Hvad er
- WHO
- inden for
- ord
- år
- år
