Cannabisbedrifter trenger personvernregler

Cannabisbedrifter trenger personvernregler

Tidsstempel: 4. oktober 2023 10:00
Kilde node: 2916781

Det er 2023 og mange cannabisbedrifter mangler fortsatt ett kritisk driftsdokument: en personvernpolicy. Jeg har skrevet og snakket om dette problemet I mange år. Og ting blir ikke bedre. Så la oss snakke om det en gang til.

Til å begynne med har California krevd personvernregler i veldig lang tid (vel, "lang" i det minste når det gjelder Internett). Under California lov, operatører av kommersielle nettsteder som samler inn "personlig identifiserbar informasjon via Internett om individuelle forbrukere bosatt i California som bruker eller besøker det kommersielle nettstedet" trenger en personvernpolicy. Det er mye å fordøye. På engelsk må nettstedeiere ha en personvernerklæring hvis California-forbrukere bruker eller besøker nettstedet deres.

Enhver cannabisbedrift som opererer i California og har et nettsted er tydeligvis underlagt dette kravet. Men hva med et Iowa-basert cannabisselskap? Vel, så lenge innbyggere i California bruker eller besøker det, gjelder kravet. Og med mindre cannabisvirksomheten definitivt kan si at nettstedet ikke har noen California-brukere/besøkende, er det beste praksis å bare få en personvernpolicy. Leser du loven ovenfor, er kravene relativt håndterbare og ikke for intense. Men det er ikke slutten på historien.

I 2018 passerte California California Consumer Privacy Act (CCPA). CCPA er inspirert av EUs tidligere Generell databeskyttelsesforordning (GDPR). I likhet med GDPR, kodifiserte CCPA en rekke forbrukerrettigheter med hensyn til deres personlige opplysninger. Og det påla en rekke nye juridiske krav til gjeldende virksomheter (mer om det nedenfor). I 2020 besto velgerne i California Prop. 24, a/k/a, California Privacy Rights Act (CPRA), som endret og supplert CCPA. Og du vedder på at det er det også forskrifter å håndtere.

Et av de utallige kravene som CCPA stilte var å ha en personvernpolicy. Og i motsetning til tidligere lover, er CCPAs krav mye mer robust. Se her. for eksempel. Dette er også tilfellet for GDPR. For enhver virksomhet som er underlagt et av disse nyere personvernregimene, er det en utfordring å utarbeide en kompatibel personvernpolicy. Så million dollar spørsmålet er, hvem gjelder disse lovene for? For CCPA er Det sier statsadvokaten i California:

CCPA gjelder for profittbedrifter som driver forretninger i California og oppfyller ett av følgende:

  • Ha en brutto årlig omsetning på over $25 millioner;
  • Kjøp, selg eller del personopplysningene til 100,000 XNUMX eller flere innbyggere i California, husholdninger eller enheter; eller
  • Få 50 % eller mer av deres årlige inntekter fra salg av personopplysninger til innbyggere i California.

Det andre millionspørsmålet her er hva det vil si å gjøre forretninger. Selvfølgelig definerer ikke CCPA det klart. Men andre steder i loven sier CCPA "For formålet med denne tittelen, foregår kommersiell oppførsel helt utenfor California hvis virksomheten samlet inn denne informasjonen mens forbrukeren var utenfor California, ingen del av salget av forbrukerens personopplysninger skjedde i California , og ingen personlig informasjon samlet inn mens forbrukeren var i California selges. Dette avsnittet skal ikke forby en virksomhet fra å lagre, inkludert på en enhet, personlig informasjon om en forbruker når forbrukeren er i California og deretter samle inn den personlige informasjonen når forbrukeren og lagret personopplysninger er utenfor California.»

Det er derfor trygt for bedrifter å anta at selv tangentielle forhold til Golden State kan underlegge dem CCPAs krav så lenge en av terskelverdiene ovenfor er oppfylt. Og dette betyr at virksomheten trenger en robust personvernpolicy.

Hva med GDPR? GDPR er enda bredere i sikte:

2. Denne forordningen gjelder for behandling av personopplysninger om registrerte som er i Unionen av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, der behandlingsaktivitetene er knyttet til:

a) tilbud av varer eller tjenester, uavhengig av om det kreves betaling fra den registrerte, til slike registrerte i Unionen; eller

(b) overvåking av deres oppførsel så langt deres oppførsel finner sted i Unionen.

Et selskap som ganske enkelt tilbyr tjenester, selv gratis, til innbyggere i EU, kan ende opp underlagt GDPR. For å være rettferdig, vil dette ikke være tilfellet for cannabisselskapet ditt. Det er mer sannsynlig at det påvirker hamp/cannabinoid-selskaper som selger i e-handel. Men selv cannabisselskaper kan gå inn i GDPR-territoriet med markedsførings- og salgsinnsats.

Hvis noen av disse lovene gjelder - eller hvis en bedrift til og med mener lovene kunne gjelder – en personvernerklæring er nødvendig. Det er mange saksøkers advokater der ute som vil saksøke, i noen tilfeller via gruppesøksmål, hvis en bedrift ikke bruker en personvernpolicy. Ting blir enda verre hvis personvernreglene er unøyaktige eller selskapet ikke følger dem.

En personvernerklæring er et nøkkeldokument (og ofte lovpålagt) for ethvert cannabisselskap. Uten det, er det ikke bare sannsynlig å være et lovbrudd, men også kanskje et søksmål. Det trenger ikke koste en arm og et ben, og hvis det gjøres riktig, kan det spare massevis av penger og svette på bakenden.

Før jeg avslutter innlegget, bør jeg nevne at en personvernpolicy ikke er det eneste cannabisselskapene trenger å bekymre seg for når det kommer til databeskyttelse. CCPA, GDPR og andre lover pålegger en rekke krav utover bare å ha en personvernpolicy. Se for eksempel dette innlegget mitt fra en stund tilbake på CCPA og slettingsforespørsler. Dette kan bli utrolig komplisert. Og som med personvernregler, er det bedre å investere i overholdelse av personvernlovgivningen tidlig, i stedet for forsvarer på veien.

Tidstempel:

Mer fra Harris Bricken