A kannabisz-vállalkozásoknak adatvédelmi szabályzatra van szükségük

2023 van, és sok kannabisz-üzletágnak még mindig hiányzik egy kritikus működési dokumentuma: az adatvédelmi szabályzat. Írtam és beszéltem erről a problémáról éveken át. És a dolgok nem javulnak. Szóval beszéljünk róla még egyszer.

Először is, Kaliforniában nagyon régóta megkövetelték az adatvédelmi szabályzatokat (jó, „hosszú ideig”, legalábbis az internet tekintetében). Alatt Kaliforniai törvény, azoknak a kereskedelmi webhelyeknek az üzemeltetőinek, amelyek „személyazonosításra alkalmas információkat gyűjtenek az interneten keresztül a Kaliforniában élő egyéni fogyasztókról, akik használják vagy meglátogatják kereskedelmi webhelyüket”, adatvédelmi szabályzatra van szükségük. Ezt nagyon meg kell emészteni. Magyarul, a webhelytulajdonosoknak adatvédelmi szabályzattal kell rendelkezniük, ha kaliforniai fogyasztók használják vagy látogatják a webhelyüket.

Minden, Kaliforniában működő és webhellyel rendelkező kannabisz-üzletre egyértelműen vonatkozik ez a követelmény. De mi a helyzet egy iowai székhelyű kannabiszcéggel? Nos, amíg a kaliforniai lakosok használják vagy látogatják, addig a követelmény érvényes. És hacsak a kannabisz-üzletág nem tudja határozottan kijelenteni, hogy webhelyének nincsenek kaliforniai felhasználók/látogatók, akkor a legjobb gyakorlat egy adatvédelmi szabályzat megszerzése. Ha elolvassa a fenti törvényt, akkor a követelmények viszonylag kezelhetők és nem túl intenzívek. De ezzel még nincs vége a történetnek.

2018-ban Kalifornia átment a Kaliforniai fogyasztói adatvédelmi törvény (CCPA). A CCPA-t az Európai Unió korábbi szabályai ihlették Általános adatvédelmi rendelet (GDPR). A GDPR-hoz hasonlóan a CCPA is számos fogyasztói jogot kódolt a személyes adataikra vonatkozóan. És számos új jogi követelményt támasztott a vonatkozó vállalkozásokkal szemben (erről lentebb). 2020-ban a kaliforniai szavazók elfogadták a Prop. 24, a/k/a, a California Privacy Rights Act (CPRA), amely módosította és kiegészítette a CCPA-t. És fogadunk, hogy ilyenek is vannak előírások foglalkozni vele.

A CCPA számtalan követelményének egyike az volt, hogy rendelkezzen adatvédelmi szabályzattal. A korábbi törvényekkel ellentétben a CCPA követelményei sokkal szilárdabbak. Lát itt például. Ez a GDPR esetében is így van. Minden olyan vállalkozás számára, amelyre ezen újabb adatvédelmi rendszerek valamelyike ​​vonatkozik, kihívást jelent egy megfelelő adatvédelmi szabályzat elkészítése. Tehát a millió dolláros kérdés az, hogy kikre vonatkoznak ezek a törvények? A CCPA esetében a Kalifornia főügyésze mondja:

A CCPA azokra a profitorientált vállalkozásokra vonatkozik, amelyek Kaliforniában folytatnak üzleti tevékenységet, és megfelelnek az alábbiak bármelyikének:

• Több mint 25 millió dollár éves bruttó bevétele legyen;
• 100,000 XNUMX vagy több kaliforniai lakos, háztartás vagy eszköz személyes adatainak megvásárlása, eladása vagy megosztása; vagy
• Éves bevételük legalább 50%-át a kaliforniai lakosok személyes adatainak eladásából szerezheti meg.

A második millió dolláros kérdés itt az, hogy mit jelent üzletelni. Természetesen a CCPA ezt nem határozza meg egyértelműen. A törvény más részein azonban a CCPA kimondja: „E cím alkalmazásában a kereskedelmi magatartás teljes mértékben Kalifornián kívül zajlik, ha a vállalkozás akkor gyűjtötte be ezeket az információkat, amikor a fogyasztó Kalifornián kívül tartózkodott, és a fogyasztó személyes adatainak értékesítésének egyetlen része sem történt Kaliforniában. , és nem adnak el semmilyen személyes adatot, amelyet a fogyasztó Kaliforniában tartózkodott. Ez a bekezdés nem tiltja meg a vállalkozások számára, hogy a fogyasztóval kapcsolatos személyes adatokat tároljanak, beleértve az eszközöket is, amikor a fogyasztó Kaliforniában tartózkodik, majd ezeket a személyes adatokat gyűjtsék, ha a fogyasztó és a tárolt személyes adatok Kalifornián kívül vannak.

Ezért a vállalkozások nyugodtan feltételezhetik, hogy a Golden State-hez fűződő érintőleges kapcsolatok is alávethetik a CCPA követelményeit, amennyiben a fenti küszöbértékek valamelyike ​​teljesül. Ez pedig azt jelenti, hogy a vállalkozásnak szilárd adatvédelmi szabályzatra van szüksége.

Mi a helyzet a GDPR-ral? A GDPR az még szélesebb terjedelemben:

2. E rendeletet az Unióban tartózkodó érintettek személyes adatainak az Unióban nem letelepedett adatkezelő vagy adatfeldolgozó általi feldolgozására kell alkalmazni, ha az adatkezelési tevékenységek a következőkhöz kapcsolódnak:

a) áruk vagy szolgáltatások felajánlása az érintett érintetteknek az Unióban, függetlenül attól, hogy az érintett fizetése szükséges-e; vagy

b) magatartásuk nyomon követése, amennyiben magatartásuk az Unión belül történik.

A GDPR hatálya alá kerülhet egy olyan cég, amely egyszerűen szolgáltatásokat kínál, akár ingyenesen is az EU lakosainak. Az igazat megvallva, ez nem lesz így a kannabiszgyártó cégnél. Nagyobb valószínűséggel érinti az e-kereskedelemben értékesítő kender/kannabinoid cégeket. De még a kannabiszgyártó cégek is bejuthatnak a GDPR területére marketing és értékesítési erőfeszítésekkel.

Ha e törvények bármelyike ​​érvényes – vagy ha egy vállalkozás a törvényeket is gondolja tudott alkalmazni – adatvédelmi szabályzat szükséges. Rengeteg felperes ügyvédje van, akik bizonyos esetekben csoportos kereset útján pert indítanak, ha egy vállalkozás nem alkalmazza az adatvédelmi szabályzatot. A helyzet még rosszabb lesz, ha az adatvédelmi szabályzat pontatlan, vagy a vállalat nem tartja be azt.

Az adatvédelmi szabályzat kulcsfontosságú (és gyakran jogilag kötelező) dokumentum minden kannabiszgyártó cég számára. Enélkül nem csak jogsértés várható, hanem akár per is. Nem kell egy karba és egy lábba kerülnie, és ha jól csinálják, rengeteg pénzt és izzadságot takaríthat meg a hátsó részen.

A bejegyzés befejezése előtt meg kell említenem, hogy nem az adatvédelmi szabályzat az egyetlen, ami miatt a kannabiszgyártó cégeknek aggódniuk kell az adatvédelem terén. A CCPA, a GDPR és más törvények számos követelményt támasztanak az egyszerű adatvédelmi szabályzat meglétén túl. Például lásd ez a bejegyzésem egy ideje a CCPA és a törlési kérelmek kapcsán. Ez a dolog hihetetlenül bonyolult lehet. És az adatvédelmi irányelvekhez hasonlóan itt is jobb, ha az adatvédelmi törvények betartásába fektet be időben, ahelyett, hogy védőügyvédet kérne.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://harrisbricken.com/cannalawblog/cannabis-businesses-need-privacy-policies/