CCPA 및 CPRA 규정 준수 : 대마초 기업이 지금해야 할 일 | Cannabiz Media

의 시행 캘리포니아 소비자 개인 정보 보호법 (CCPA)는 1 년 2020 월 XNUMX 일에 시작되었습니다. CCPA는 캘리포니아에 거주하는 소비자에게 회사가 개인 정보를 사용하는 방법을 훨씬 더 많이 제어 할 수 있도록합니다. 결과적으로 모든 회사는 데이터, 시스템 및 프로세스를 검토하여 새로운 법률을 완전히 준수하는지 확인해야했습니다.

주 법무 장관은 14 년 2020 월 XNUMX 일 금요일까지 다음과 같은 규정을 발표했습니다. 구현 CCPA는 승인되었고 즉시 효력이 발생했습니다. 그러나 CCPA를 준수하는 것은 비즈니스에 더 혼란스러워졌습니다. 집행 규정 CCPA 법령에서 요구하는 것 이상이었습니다.

이야기는 아직 끝나지 않았습니다. 사실, 규정 준수 문제는 이제 막 시작되었습니다.

2020 년 XNUMX 월 Gavin Newsom 캘리포니아 주지사는 두 가지 수정안 법으로 CCPA에. AB 1281은 이전에 2 년 1 월 2021 일에 만료되도록 설정된 직원 데이터 및 B713B (Business-to-Business) 데이터에 대한 부분 면제를 확대했습니다. AB XNUMX은 의료 정보 및 건강 프라이버시와 관련된 CCPA의 면제를 수정했습니다.

하지만 그게 다가 아니 었습니다. 2020 년 XNUMX 월로 넘어 가면 상황이 더욱 혼란스러워졌습니다.

3 년 2020 월 24 일, 캘리포니아 유권자들은 투표 법안 XNUMX를 승인했습니다. 2020 년 캘리포니아 개인 정보 보호법 (CPRA) 또는 일부 사람들이 CCPA 2.0이라고 부르는 것. CPRA는 1 년 2023 월 XNUMX 일까지 효력이 발생하지 않지만 더 많은 변화 기업은 다음을 포함하여 준수해야합니다.

• 대상 사업의 새로운 정의
• 데이터 공유에 대한 추가 언어
• 추가 소비자 권리
• "민감한 개인 정보"범주에 대한 새로운 규칙
• “동의”의 새로운 정의
• "서비스 제공자"의 정의 변경
• 데이터 침해에 대한 개인 행동 권리 확대
• 새로운 공개 요건
• 30 일 치료 기간 제거
• 직원 및 B2B 데이터에 대한 연장 면제
• 캘리포니아 프라이버시 보호국 설립
• 그리고 더

대마초 사업을 포함한 모든 회사는 CCPA에 따른 현재 요구 사항과 CPRA에 포함될 내용을 이해해야합니다. 이제 정책 및 절차를 검토하고 개선 할 때입니다.

일부 회사의 경우 이러한 법률을 준수하는 것은 매우 큰 과제이지만, 소송 및 금전적 처벌 측면에서 비준수 위험은 무시하기에는 너무 큽니다. 다음은 대마초 기업이 CCPA를 준수하기 위해 취할 수있는 10 가지 초기 조치입니다.

1. CCPA 준수 예산 정의

대마초 사업의 CCPA 준수 예산은 여러 가지 요소에 따라 다릅니다. 중요한 점은 오늘날 그리고 지속적으로 규정 준수를 관리하기 위해 새로운 직원을 고용하는 것을 고려해야합니다. 또한 CCPA의 요구 사항을 충족하기 위해 직원들이 새로운 워크 플로를 따르도록 교육해야합니다.

예산의 대부분이 단기간에 사용되어 회사가 새로운 규정을 준수하도록하는 한편 지속적인 규정 준수 모니터링에 투자해야합니다. CCPA는 발전 할 것으로 보이며 다른 주에서는 이미보다 엄격한 개인 정보 보호법을 통과하려는 노력을 기울이고 있습니다.

2. 주요 직원 고용

비즈니스에 직원에 대한 규정 준수 전문가가없는 경우 지금 고용 할 시간입니다. 또한 회사 웹 사이트, 시스템 등에 필요한 변경 사항을 구현하려면 숙련 된 보안 직원이 필요합니다.

핵심은 회사의 선도적 인 준수 노력에 대해 책임을지고 CCPA 준수를 포함하는 한 사람을 확보하는 것입니다. 일반적으로이 사람은 경영자 수준이되며 관리자 및 기타 전문가가 직원 (또는 컨설턴트로 사용 가능)을 지원할 수 있습니다. 비즈니스 규모에 따라 규정 준수를 위해서는 전체 팀이 필요할 수 있습니다.

3. 데이터 매핑 및 보유 프로세스 개발

데이터 거버넌스는 대마초 비즈니스 CCPA 준수의 중요한 부분입니다. 개인 정보 수집 방법, 분류 방법, 저장 방법, 저장 위치, 보호 방법 및 비즈니스에서 불법적 인 데이터의 공유, 판매 또는 배포를 방지하는 방법을 식별 할 수있는 프로세스가 있어야합니다.

CCPA에는 기업이 개인 정보를 요청하는 소비자에게 법이 허용하는 기간 내에 수집 된 모든 데이터를 제공 할 수 있어야한다는 조항이 포함되어 있습니다. 비즈니스에 개인 정보를 식별하고 소스에 매핑하는 프로세스가없는 경우 이러한 요청에 응답하는 것은 불가능하지는 않지만 매우 시간이 많이 걸릴 수 있습니다. 실제로 프로세스가 부적절하면 대마초 사업이 소송과 처벌을받을 수 있습니다.

4. 소비자 요청 대응 시스템 개발

CCPA는 기업에 대해 수집 된 개인 정보에 대한 소비자의 요청에 응답 할 수있는 기간을 제공합니다. 회사에 대응 시스템이없고 법이 허용하는대로 요청 된 정보를 생성 할 수없는 경우 해당 기간 내에 적절하게 대응하지 못할 수 있습니다. 다시 말하지만, 귀하의 비즈니스는 결과적으로 값 비싼 소송과 처벌을받을 수 있습니다.

귀하의 비즈니스가 소비자 요청 응답 시스템을 개발하는 것이 중요하며, 해당 시스템의 많은 부분이 자동화되어야합니다. 한 달 안에 10 ~ 100 개의 요청을받는다고 상상해보십시오. 시스템이 자동화되어 있지 않은 경우, 비즈니스는 이러한 모든 요청에 ​​제 시간에 응답하지 못할 수 있으며 법적, 재정적으로 많은 문제를 겪을 수 있습니다.

5. 소비자 옵트 아웃 시스템 생성

CCPA에 따라 캘리포니아 소비자는 제 XNUMX 자 추적기 및 광고 기술을 거부 할 권리가 있습니다. 따라서 웹 사이트, 모바일 응용 프로그램 등에 사용되는 모든 기술을 완전히 이해해야합니다.

또한 소비자 옵트 아웃 시스템을 만들어야 소비자가 언제든지 추적을 옵트 아웃 할 수 있습니다. 소비자 요청 응답 시스템 (위 # 4 참조)과 마찬가지로 소비자 옵트 아웃 시스템은 가능한 한 자동화되어야합니다. 여기에는 오늘날 개발 및 구현에 더 많은 비용이 포함되지만 지금 시스템을 자동화하면 나중에 더 많은 시간과 비용을 절약 할 수 있습니다.

6. 개인 정보 보호 정책 업데이트

CCPA를 준수하려면 대마초 사업의 개인 정보 보호 정책을 업데이트해야합니다. 개인 정보 보호 정책 업데이트는 내부 및 외부 개인 정보 보호 정책 및 공지를 모두 업데이트하는 것을 의미합니다.

즉,이 법적 요구 사항은 웹 사이트에 게시 된 개인 정보 보호 정책에만 적용되는 것은 아닙니다. 또한 비즈니스 전체에서 사용되는 개인 정보 보호 관련 정책, 공개 및 통지를 나타냅니다.

7. 법률 및 규제 기관 대응 워크 플로우 개발

규제 기관이 CCPA 준수 프로세스에 대한 정보를 요청하면 회사는 어떻게 대응합니까? 소비자가 CCPA에 따라 개인 정보와 관련된 대마초 사업에 대해 민사 소송을 제기하면 어떻게 되나요? 두 가지 모두 특정 시점에 발생할 수 있으므로 시스템 자동화를 포함하여 응답 프로세스를 간소화 할 수있는 워크 플로우가 필요합니다.

대마초 사업의 규정 준수 책임자 (위의 2 번 참조)는 대응 프로세스를 감독해야하지만 요청 된 데이터를 수집하고 제공하는 역할을하는 모든 직원은 예상되는 사항을 이해해야합니다. 이러한 워크 플로에는 특정 책임과 일정이 포함되어야합니다.

8. 정책 정의 및 직원 교육

모든 대마초 사업 직원은 CCPA에 대해 교육을 받고 그 중요성을 이해해야합니다. 이들은 자신의 책임을 완전히 이해하고 소비자, 규제 기관 및 법원의 정보 요청에 대한 응답으로 수행 할 워크 플로에 대해 교육을 받아야합니다.

CCPA 및 개인 정보 보호 규정 준수 교육은 일회성 문제가 아닙니다. 법률이 발전하고 더 많은 주가 새로운 개인 정보 보호 규정을 제정함에 따라 대마초 사업이 항상 완전하게 준수되도록하기 위해 지속적으로 업데이트 된 교육이 필요합니다.

9. 타사 데이터 및 서비스 제공 업체의 규정 준수 검토

회사에서 서비스 제공 업체 또는 타사를 통해 비즈니스를 제공하거나 비즈니스를 대신하여 데이터를 제공, 저장, 관리 또는 수집, 공유, 판매 또는 배포하는 경우 CCPA 준수를 검토해야합니다. 또한 CCPA 규정에 따라 필요한 변경 사항을 처리하도록 계약을 업데이트해야합니다.

대마초 사업체가 서비스 제공 업체와 제 XNUMX자를 지속적으로 감사하여 CCPA 및 기타 모든 연방 및 주 개인 정보 보호법을 지속적으로 준수하는지 확인해야합니다. 이는 장기적으로 회사의 위험을 줄이는 중요한 단계입니다.

10. 캘리포니아 및 기타 국가의 개인 정보 보호법 감시

CCPA는 계속 발전 할뿐만 아니라 국가는 개인 정보 보호법을 수정하고 있습니다 소비자가 회사에서 개인 정보를 사용하는 방식을 제어 할 수 있도록합니다. 다시 말하지만, 이러한 법률을 지속적으로 모니터링 할 수있는 올바른 준수 리더 및 팀이 필요하므로 대마초 사업이 필요에 따라 조치를 취할 수 있습니다.

CCPA 규정 준수에 대한 주요 내용

대마초 기업은 향후 비준수와 관련된 위험을 줄이기 위해 CCPA 및 CPRA를 완전히 준수하도록 지금 조치를 취해야합니다. 이 10 단계는 시작하는 데 도움이됩니다. 핵심은 CCPA 시행이 이미 시작 되었기 때문에 아직 수행하지 않은 경우 회사의 준수 전략 및 구현 작업을 지금 시작하는 것입니다.

CPRA의 시행은 1 년 2023 월 1 일까지 시작되지 않지만, CPRA가 2022 년 XNUMX 월 XNUMX 일 이후에 수집 된 개인 정보에 영향을 미친다는 점을 이해하는 것이 중요합니다. 즉, XNUMX 년 동안 사용할 수 없습니다. CPRA를 준수하기 위해 올바른 시스템을 배치하는 데는 XNUMX 년 밖에 걸리지 않습니다.

의지하는 기업의 경우 Cannabiz 미디어 라이센스 데이터베이스 리드를 생성하고 성장시키기 위해 이미 CCPA를 완전히 준수하고 있다는 확신을 가질 수 있습니다. 링크를 따라 자세한 내용을 확인할 수 있습니다 이메일 마케팅 및 CRM이 CCPA를 준수하도록하는 방법.

‍데모 예약 Cannabiz 미디어 라이센스 데이터베이스를 통해 비즈니스 성장에 도움이되는 방법을 알아보십시오.

‍원래 3/24/20을 출판했다. 12/4/20으로 업데이트되었습니다.