CCPA- und CPRA-Konformität: Was Cannabis-Unternehmen jetzt tun müssen | Cannabiz Media

Durchsetzung der Gesetz zum Schutz der Verbrauchergesetze in Kalifornien (CCPA) begann am 1. Juli 2020. Die CCPA gibt Verbrauchern mit Wohnsitz in Kalifornien deutlich mehr Kontrolle darüber, wie Unternehmen ihre persönlichen Daten verwenden. Infolgedessen mussten alle Unternehmen ihre Daten, Systeme und Prozesse überprüfen, um sicherzustellen, dass sie die neuen Gesetze vollständig einhalten.

Erst am Freitag, den 14. August 2020, gab der Generalstaatsanwalt die Vorschriften bekannt implementieren Die CCPA wurden genehmigt und sofort wirksam. Die Einhaltung der CCPA wurde jedoch für Unternehmen verwirrender, da in einigen Fällen die Durchsetzungsbestimmungen ging über das hinaus, was das CCPA-Gesetz verlangt.

Die Geschichte war jedoch noch nicht vorbei. Tatsächlich fingen Compliance-Probleme gerade erst an.

Im Oktober 2020 unterzeichnete der Gouverneur von Kalifornien, Gavin Newsom zwei Änderungsanträge an die CCPA ins Gesetz. AB 1281 erweiterte teilweise Ausnahmen für Mitarbeiterdaten und B2B-Daten (Business-to-Business), die zuvor am 1. Januar 2021 abliefen. AB 713 änderte die Ausnahmen der CCPA in Bezug auf medizinische Informationen und Datenschutz.

Aber das war noch nicht alles. Schneller Vorlauf bis November 2020, und die Dinge wurden noch verwirrender.

Am 3. November 2020 stimmten die kalifornischen Wähler dem Wahlvorschlag 24 zu California Privacy Rights Act von 2020 (CPRA) oder was manche Leute als CCPA 2.0 bezeichnen. CPRA wird erst am 1. Januar 2023 wirksam, bringt aber sogar etwas mit sich weitere Änderungen dass Unternehmen einhalten müssen, einschließlich

• Neue Definition eines gedeckten Geschäfts
• Zusätzliche Sprache zum Teilen von Daten
• Zusätzliche Verbraucherrechte
• Neue Regeln für eine Kategorie „vertrauliche personenbezogene Daten“
• Neue Definition von "Zustimmung"
• Änderungen an der Definition von "Dienstleister"
• Erweitertes privates Klagerecht bei Datenschutzverletzungen
• Neue Offenlegungspflichten
• Entfernung der 30-tägigen Aushärtungszeit
• Erweiterte Ausnahmen für Mitarbeiter- und B2B-Daten
• Gründung der California Privacy Protection Agency
• Und mehr

Jedes Unternehmen, einschließlich Cannabisunternehmen, sollte die aktuellen Anforderungen der CCPA und die Bestimmungen der CPRA verstehen. Jetzt ist es an der Zeit, Ihre Richtlinien und Verfahren zu überprüfen und zu überarbeiten.

Für einige Unternehmen ist die Einhaltung dieser Gesetze eine sehr große Aufgabe, aber das Risiko einer Nichteinhaltung - in Bezug auf Klagen und Geldstrafen - ist einfach zu groß, um ignoriert zu werden. Im Folgenden sind 10 erste Maßnahmen aufgeführt, die Cannabisunternehmen ergreifen können, um die CCPA einzuhalten.

1. Definieren Sie ein CCPA-Compliance-Budget

Das CCPA-Compliance-Budget Ihres Cannabis-Geschäfts hängt von einer Reihe von Faktoren ab. Wichtig ist, dass Sie in Betracht ziehen, neue Mitarbeiter einzustellen, um die Compliance heute und kontinuierlich zu verwalten. Darüber hinaus müssen Sie Mitarbeiter darin schulen, neuen Arbeitsabläufen zu folgen, um die Anforderungen der CCPA zu erfüllen.

Während der Großteil Ihres Budgets kurzfristig verwendet wird, um Ihr Unternehmen mit den neuen Vorschriften in Einklang zu bringen, müssen Sie auch in die fortlaufende Überwachung der Einhaltung investieren. Die CCPA wird sich wahrscheinlich weiterentwickeln, und andere Staaten verstärken bereits ihre Bemühungen, strengere Datenschutzgesetze zu verabschieden.

2. Stellen Sie wichtige Mitarbeiter ein

Wenn Ihr Unternehmen noch keinen Compliance-Experten für Mitarbeiter hat, ist es jetzt an der Zeit, einen einzustellen. Darüber hinaus benötigen Sie erfahrenes Sicherheitspersonal, um die erforderlichen Änderungen an der Website, den Systemen usw. Ihres Unternehmens vorzunehmen.

Der Schlüssel besteht darin, eine Person zu haben, die für die Leitung der Compliance-Bemühungen in Ihrem Unternehmen verantwortlich ist. Dazu gehört auch die CCPA-Compliance. In der Regel befindet sich diese Person auf Führungsebene und verfügt möglicherweise über einen Manager und andere Fachkräfte (oder steht als Berater zur Verfügung), um sie zu unterstützen. Abhängig von der Größe Ihres Unternehmens kann Compliance ein ganzes Team von Mitarbeitern erfordern.

3. Entwickeln Sie Datenzuordnungs- und Aufbewahrungsprozesse

Data Governance ist ein wichtiger Bestandteil der CCPA-Konformität Ihres Cannabisgeschäfts. Sie müssen über Prozesse verfügen, mit denen ermittelt werden kann, wie personenbezogene Daten erfasst, wie sie kategorisiert, wie sie gespeichert, wo sie gespeichert, wie sie geschützt und wie Ihr Unternehmen die illegale Weitergabe, den Verkauf oder die Verbreitung dieser Daten verhindert.

Die CCPA enthält eine Bestimmung, die besagt, dass Unternehmen in der Lage sein müssen, Verbrauchern, die ihre persönlichen Daten anfordern, alle Daten zur Verfügung zu stellen, die innerhalb des gesetzlich zulässigen Zeitrahmens erhoben werden. Wenn in Ihrem Unternehmen kein Prozess zum Identifizieren und Zuordnen persönlicher Informationen zu seinen Quellen vorhanden ist, kann die Beantwortung dieser Anfragen äußerst zeitaufwändig, wenn nicht unmöglich sein. In der Tat, wenn Ihre Prozesse unzureichend sind, könnte Ihr Cannabisgeschäft mit Klagen und Strafen konfrontiert werden.

4. Entwickeln Sie ein System zur Beantwortung von Verbraucheranfragen

Die CCPA gibt Unternehmen eine gewisse Zeit, um auf die Anfragen der Verbraucher nach den über sie gesammelten persönlichen Informationen zu antworten. Wenn Ihr Unternehmen nicht über ein Antwortsystem verfügt und die angeforderten Informationen nicht wie gesetzlich zulässig vorlegen kann, können Sie innerhalb dieses Zeitraums möglicherweise nicht angemessen reagieren. Auch hier könnte Ihr Unternehmen kostspielige Klagen und Strafen erleiden.

Es ist wichtig, dass Ihr Unternehmen ein Antwortsystem für Kundenanfragen entwickelt, und ein Großteil dieses Systems sollte so automatisiert wie möglich sein. Stellen Sie sich vor, Sie erhalten innerhalb eines Monats 10 oder 100 Anfragen. Wenn Systeme nicht automatisiert sind, kann Ihr Unternehmen möglicherweise nicht rechtzeitig auf alle diese Anfragen reagieren und kann rechtlich und finanziell in große Schwierigkeiten geraten.

5. Erstellen Sie ein Consumer-Opt-Out-System

Im Rahmen des CCPA haben kalifornische Verbraucher das Recht, Tracker und Werbetechnologien von Drittanbietern zu deaktivieren. Daher müssen Sie alle auf Ihrer Website, in mobilen Anwendungen usw. verwendeten Technologien vollständig verstehen.

Sie müssen auch ein Consumer-Opt-Out-System erstellen, damit Verbraucher das Tracking jederzeit deaktivieren können. Wie Ihr System zur Beantwortung von Kundenanfragen (siehe Nr. 4 oben) sollte auch Ihr System zur Deaktivierung von Kundenanfragen so weit wie möglich automatisiert werden. Während dies heute höhere Kosten für Entwicklung und Implementierung mit sich bringt, sparen Sie später noch mehr Zeit und Geld, wenn Sie das System jetzt automatisieren.

6. Aktualisieren Sie die Datenschutzrichtlinien

Die Datenschutzrichtlinien Ihres Cannabisunternehmens müssen aktualisiert werden, um die CCPA einzuhalten. Beachten Sie, dass sich das Aktualisieren von Datenschutzrichtlinien auf das Aktualisieren sowohl interner als auch externer Datenschutzrichtlinien und -hinweise bezieht.

Mit anderen Worten, diese gesetzliche Anforderung gilt nicht nur für die auf Ihrer Website veröffentlichten Datenschutzbestimmungen. Es bezieht sich auch auf datenschutzbezogene Richtlinien, Offenlegungen und Hinweise, die in Ihrem Unternehmen verwendet werden.

7. Entwickeln Sie Workflows für rechtliche und behördliche Maßnahmen

Wie wird Ihr Unternehmen reagieren, wenn eine Aufsichtsbehörde Informationen zu Ihren CCPA-Compliance-Prozessen anfordert? Was ist, wenn ein Verbraucher eine Zivilklage gegen Ihr Cannabisgeschäft im Zusammenhang mit seinen persönlichen Daten im Rahmen der CCPA einreicht? Beides kann zu einem bestimmten Zeitpunkt auftreten. Daher sind Workflows erforderlich, um den Reaktionsprozess zu optimieren und Systeme so weit wie möglich zu automatisieren.

Der Compliance-Leiter Ihres Cannabis-Unternehmens (siehe Nr. 2 oben) sollte den Reaktionsprozess überwachen, aber alle Mitarbeiter, die eine Rolle bei der Erfassung und Bereitstellung der angeforderten Daten spielen, müssen verstehen, was von ihnen erwartet wird. Diese Workflows sollten spezifische Verantwortlichkeiten und Zeitpläne enthalten.

8. Richtlinien definieren und Mitarbeiter schulen

Jeder Mitarbeiter des Cannabis-Geschäfts sollte in der CCPA geschult sein und deren Bedeutung verstehen. Sie sollten ihre Verantwortlichkeiten vollständig verstehen und in den Arbeitsabläufen geschult sein, die sie als Reaktion auf Informationsanfragen von Verbrauchern, Aufsichtsbehörden und Gerichtsverfahren ausführen sollen.

CCPA- und Datenschutz-Compliance-Schulungen sind keine einmalige Sache. Da sich die Gesetze weiterentwickeln und immer mehr Staaten neue Datenschutzbestimmungen erlassen, sind fortlaufend aktualisierte Schulungen erforderlich, um sicherzustellen, dass Ihr Cannabisgeschäft jederzeit vollständig konform bleibt.

9. Überprüfen Sie die Daten- und Dienstanbieter von Drittanbietern auf Konformität

Wenn Ihr Unternehmen auf Dienstleister oder Dritte angewiesen ist, um Daten mit oder im Auftrag Ihres Unternehmens bereitzustellen, zu speichern, zu verwalten oder auf andere Weise zu sammeln, zu teilen, zu verkaufen oder zu verteilen, müssen Sie deren CCPA-Konformität überprüfen. Darüber hinaus sollten Verträge aktualisiert werden, um Änderungen zu berücksichtigen, die aufgrund der CCPA-Bestimmungen erforderlich sind.

Es ist unbedingt erforderlich, dass Ihr Cannabis-Unternehmen Dienstleister und Dritte fortlaufend prüft, um sicherzustellen, dass sie weiterhin die CCPA und alle anderen Datenschutzgesetze von Bund und Ländern einhalten. Dies ist ein entscheidender Schritt, der das Risiko Ihres Unternehmens langfristig verringert.

10. Überwachen Sie die Datenschutzgesetze von Kalifornien und anderen Staaten

Die CCPA wird sich nicht nur weiterentwickeln, sondern auch andere Staaten ändern Datenschutzgesetze den Verbrauchern die Kontrolle darüber zu geben, wie ihre persönlichen Daten von Unternehmen verwendet werden. Auch hier benötigen Sie den richtigen Compliance-Leiter und das richtige Team, um diese Gesetze kontinuierlich zu überwachen, damit Ihr Cannabis-Geschäft bei Bedarf Maßnahmen ergreifen kann.

Wichtige Hinweise zur CCPA-Konformität

Cannabis-Unternehmen müssen jetzt Maßnahmen ergreifen, um sicherzustellen, dass sie die CCPA und CPRA vollständig einhalten, um die Risiken zu verringern, die mit der Nichteinhaltung in der Zukunft verbunden sind. Diese 10 Schritte sollen Ihnen den Einstieg erleichtern. Der Schlüssel besteht darin, jetzt mit der Arbeit an der Compliance-Strategie und -Implementierung Ihres Unternehmens zu beginnen, falls Sie dies noch nicht getan haben, da die Durchsetzung des CCPA bereits begonnen hat.

Die Durchsetzung der CPRA beginnt erst am 1. Januar 2023, aber es ist wichtig zu verstehen, dass sich die CPRA auf personenbezogene Daten auswirkt, die am oder nach dem 1. Januar 2022 gesammelt wurden. Mit anderen Worten, Sie haben keine zwei Jahre Zeit, um hochzufahren. Sie haben wirklich nur ein Jahr Zeit, um die richtigen Systeme zur Einhaltung der CPRA einzurichten.

Für Unternehmen, die sich auf die Cannabiz-Medienlizenzdatenbank Um Leads zu generieren und zu wachsen, können sie sicher sein, dass sie bereits vollständig mit dem CCPA kompatibel sind. Sie können dem Link folgen, um mehr darüber zu erfahren So stellen Sie sicher, dass Ihr E-Mail-Marketing und Ihr CRM CCPA-konform sind.

Es gibt einen Teil der ...Planen Sie eine Demo der Cannabiz Media License Database, um zu sehen, wie sie Ihrem Unternehmen zum Wachstum verhelfen kann.

Es gibt einen Teil der ...Ursprünglich veröffentlicht am 3. Aktualisiert am 24.