Håndhevelse av California Consumer Privacy Act (CCPA) begynte 1. juli 2020. CCPA gir forbrukere som bor i California betydelig mer kontroll over hvordan selskaper bruker deres personlige opplysninger. Som et resultat trengte alle selskaper å gjennomgå dataene, systemene og prosessene sine for å sikre at de var i full overensstemmelse med de nye lovene.
Det var først fredag 14. august 2020 at statens riksadvokat kunngjorde forskriften til iverksette CCPA ble godkjent og tre i kraft umiddelbart. Imidlertid ble det mer forvirrende for bedrifter å overholde CCPA, fordi i noen tilfeller håndhevingsbestemmelser gikk utover det CCPA-vedtektene krever.
Historien var imidlertid ikke over ennå. Faktisk var overholdelsesproblemer bare i gang.
I oktober 2020 signerte California-guvernør Gavin Newsom to endringer til CCPA til lov. AB 1281 utvidet delvise unntak for ansattes data og business-to-business (B2B) data, som tidligere var satt til å utløpe 1. januar 2021. AB 713 endret CCPAs unntak knyttet til medisinsk informasjon og helsepersonvern.
Men det var ikke alt. Spol frem til november 2020, og ting ble enda mer forvirrende.
3. november 2020 godkjente velgerne i California stemmeseddelforslag 24, den California Privacy Rights Act fra 2020 (CPRA), eller det noen refererer til som CCPA 2.0. CPRA trer ikke i kraft før 1. januar 2023, men det fører til og med med seg flere endringer som virksomheter må forholde seg til inkludert
- Ny definisjon av en dekket virksomhet
- Ytterligere språk om deling av data
- Ytterligere forbrukerrettigheter
- Nye regler for en kategori "sensitive personopplysninger"
- Ny definisjon av «samtykke»
- Endringer i definisjonen av "tjenesteleverandør"
- Utvidet privat søksmålsrett for datainnbrudd
- Nye opplysningskrav
- Fjerning av 30-dagers kurperioden
- Utvidede unntak for ansatte og B2B-data
- Etablering av California Privacy Protection Agency
- Og mer
Hvert selskap, inkludert cannabisbedrifter, bør forstå gjeldende krav under CCPA og hva som kommer i CPRA. Nå er tiden inne for å begynne å gjennomgå og fornye retningslinjene og prosedyrene dine.
For noen selskaper er overholdelse av disse lovene en veldig stor oppgave, men risikoen for manglende overholdelse – i form av søksmål og pengestraff – er rett og slett for stor til å ignorere. Følgende er 10 første handlinger som cannabisbedrifter kan ta for å overholde CCPA.
1. Definer et CCPA-overholdelsesbudsjett
Cannabisbedriftens CCPA-overholdelsesbudsjett avhenger av en rekke faktorer. Viktigere, du må vurdere å ansette nye medarbeidere for å administrere compliance i dag og på fortløpende basis. I tillegg må du lære opp ansatte til å følge nye arbeidsflyter i et forsøk på å oppfylle kravene i CCPA.
Mens mesteparten av budsjettet ditt vil bli brukt på kort sikt for å bringe bedriften din i samsvar med de nye forskriftene, må du også investere i løpende overvåking av samsvar. CCPA vil sannsynligvis utvikle seg, og andre stater øker allerede arbeidet med å vedta strengere personvernlover.
2. Ansette nøkkelmedarbeidere
Hvis bedriften din ikke allerede har en overholdelsesekspert på personalet, er det nå på tide å ansette en. I tillegg trenger du erfarent sikkerhetspersonale for å implementere de nødvendige endringene til bedriftens nettside, systemer og så videre.
Nøkkelen er å ha én person som holdes ansvarlig for å lede etterlevelsestiltak i bedriften din, og det inkluderer CCPA-overholdelse. Vanligvis vil denne personen være på ledernivå og kan ha en leder og andre fagpersoner i staben (eller tilgjengelig som konsulenter) for å hjelpe dem. Avhengig av størrelsen på virksomheten din, kan overholdelse kreve et helt team med mennesker.
3. Utvikle datakartleggings- og oppbevaringsprosesser
Datastyring er en viktig del av cannabisbedriftens CCPA-overholdelse. Du må ha prosesser på plass for å identifisere hvordan personlig informasjon samles inn, hvordan den er kategorisert, hvordan den er lagret, hvor den er lagret, hvordan den er beskyttet, og hvordan virksomheten din forhindrer ulovlig deling, salg eller distribusjon av disse dataene.
CCPA inkluderer en bestemmelse som sier at selskaper må kunne gi forbrukere som ber om deres personopplysninger alle data som samles inn innen tidsrammen som er tillatt i henhold til loven. Hvis virksomheten din ikke har en prosess på plass for å identifisere og kartlegge personlig informasjon til kildene, kan det være ekstremt tidkrevende om ikke umulig å svare på disse forespørslene. Faktisk, hvis prosessene dine er utilstrekkelige, kan cannabisvirksomheten din ende opp med søksmål og straffer.
4. Utvikle et responssystem for forbrukerforespørsel
CCPA gir bedrifter en periode til å svare på forbrukeres forespørsler om personopplysninger som samles inn om dem. Hvis bedriften din ikke har et responssystem på plass og ikke kan produsere den forespurte informasjonen slik loven tillater, kan det hende du ikke kan svare tilstrekkelig innenfor den tidsrammen. Igjen kan bedriften din møte kostbare søksmål og straffer som et resultat.
Det er viktig at bedriften din utvikler et svarsystem for forbrukerforespørsel, og så mye av dette systemet bør automatiseres som mulig. Tenk deg om du får 10 eller 100 forespørsler i løpet av en måned. Hvis systemene ikke er automatiserte, kan det hende at bedriften din ikke er i stand til å svare på alle disse forespørslene i tide og kan havne i mange problemer – juridisk og økonomisk.
5. Opprett et system for bortvalg for forbrukere
I henhold til CCPA har forbrukere i California rett til å velge bort tredjepartssporere og reklameteknologier. Som sådan må du fullt ut forstå all teknologi som brukes på nettstedet ditt, mobilapplikasjoner og så videre.
Du må også opprette et forbrukeroppt-out-system slik at forbrukere kan velge bort sporing når som helst. I likhet med ditt svarsystem for forbrukerforespørsel (se #4 ovenfor), bør ditt forbrukeropptredelsessystem være automatisert i den grad det er mulig. Selv om dette vil inkludere en høyere kostnad i dag for utvikling og implementering, vil du spare enda mer tid og penger senere hvis du automatiserer systemet nå.
6. Oppdater personvernregler
Cannabisbedriftens personvernregler må oppdateres for å overholde CCPA. Husk at oppdatering av personvernregler refererer til oppdatering av både interne og eksterne personvernregler og merknader.
Med andre ord, dette lovkravet gjelder ikke bare personvernreglene som er publisert på nettstedet ditt. Det refererer også til personvernrelaterte retningslinjer, avsløringer og merknader som brukes i hele virksomheten din.
7. Utvikle arbeidsflyter for juridiske og regulatoriske reaksjoner
Hvordan vil bedriften din reagere hvis en regulator ber om informasjon om CCPA-samsvarsprosessene dine? Hva om en forbruker anlegger et sivilt søksmål mot cannabisvirksomheten din relatert til deres personlige opplysninger under CCPA? Begge kan skje på et tidspunkt, så du trenger arbeidsflyter på plass for å effektivisere responsprosessen, inkludert automatisering av systemer i den grad det er mulig.
Cannabisbedriftens overholdelsesleder (se #2 ovenfor) bør overvåke responsprosessen, men alle ansatte som har en rolle i å samle inn og gi de forespurte dataene må forstå hva som forventes av dem. Disse arbeidsflytene bør inkludere spesifikke ansvarsområder og tidslinjer.
8. Definer retningslinjer og tren ansatte
Alle ansatte i cannabisvirksomheten bør få opplæring i CCPA og forstå viktigheten av den. De bør fullt ut forstå sitt ansvar og få opplæring i arbeidsflytene de forventes å utføre som svar på informasjonsforespørsler fra forbrukere, regulatorer og rettssaker.
CCPA og personvernopplæring er ikke en engangsting. Etter hvert som lover utvikler seg og flere stater vedtar nye personvernforskrifter, vil oppdatert opplæring kreves fortløpende for å sikre at cannabisvirksomheten din til enhver tid er fullstendig kompatibel.
9. Gjennomgå tredjeparts data og tjenesteleverandører for samsvar
Hvis bedriften din er avhengig av tjenesteleverandører eller tredjeparter for å levere, lagre, administrere eller på annen måte samle inn, dele, selge eller distribuere data med eller på vegne av bedriften din, må du gjennomgå deres CCPA-overholdelse. I tillegg bør kontrakter oppdateres for å håndtere nødvendige endringer basert på CCPA-regelverket.
Det er avgjørende at din cannabisvirksomhet reviderer tjenesteleverandører og tredjeparter fortløpende for å sikre at de fortsetter å overholde CCPA og alle andre føderale og statlige personvernlover. Dette er et kritisk skritt som vil redusere bedriftens risiko på lang sikt.
10. Overvåk California og andre staters personvernlover
Ikke bare vil CCPA fortsette å utvikle seg, men andre stater endrer personvernlovgivningen å gi forbrukerne kontroll over hvordan deres personopplysninger brukes av selskaper. Igjen, du trenger den rette overholdelseslederen og teamet på plass for å kontinuerlig overvåke disse lovene, slik at cannabisvirksomheten din kan iverksette tiltak etter behov.
Viktige ting om CCPA-overholdelse
Cannabisbedrifter må ta grep nå for å sikre at de er fullstendig i samsvar med CCPA og CPRA for å redusere risikoen forbundet med manglende overholdelse i fremtiden. Disse 10 trinnene skal hjelpe deg i gang. Nøkkelen er å begynne å jobbe med bedriftens overholdelsesstrategi og implementering nå hvis du ikke allerede har gjort det fordi håndhevelsen av CCPA allerede har begynt.
Håndhevelsen av CPRA starter ikke før 1. januar 2023, men det er viktig å forstå at CPRA påvirker personopplysninger som samles inn på eller etter 1. januar 2022. Med andre ord, du har ikke to år på deg til å øke. Du har egentlig bare ett år på deg til å sette de riktige systemene på plass for å overholde CPRA.
For virksomheter som er avhengige av Cannabiz medielisensdatabase for å generere potensielle kunder og vokse, kan de være trygge på at den allerede er fullstendig i samsvar med CCPA. Du kan følge lenken for å lære mer om hvordan du sikrer at din e-postmarkedsføring og CRM overholder CCPA.
Planlegg en demo av Cannabiz Media License Database for å se hvordan den kan hjelpe virksomheten din til å vokse.
Opprinnelig publisert 3/24/20. Oppdatert 12/4/20.
Kilde: https://www.cannabiz.media/blog/ccpa-compliance-what-cannabis-businesses-need-to-do-now- 100
- 2020
- 2021
- Handling
- Annonsering
- Alle
- annonsert
- søknader
- Justisminister
- August
- Automatisert
- B2B
- virksomhet
- Business Grow
- forretning til forretning
- bedrifter
- california
- cannabis
- CCPA
- Samle
- kommer
- Selskaper
- Selskapet
- samsvar
- forbruker
- forbrukernes personvern
- Forbrukere
- fortsette
- kontrakter
- Court
- CRM
- kur
- Gjeldende
- dato
- Database
- utvikle
- Utvikling
- Børsmeldinger
- Effektiv
- emalje
- e-post markedsføring
- ansatte
- utøvende
- Face
- vendt
- FAST
- Federal
- følge
- Forward
- Fredag
- fullt
- framtid
- general
- styresett
- Guvernør
- Grow
- Helse
- leie
- Ansetter
- Hvordan
- HTTPS
- identifisere
- ulovlig
- Inkludert
- informasjon
- saker
- IT
- Juli
- nøkkel
- Språk
- Law
- Lover
- Søksmål
- ledende
- LÆRE
- Lovlig
- Nivå
- Tillatelse
- LINK
- Liste
- kart
- Marketing
- Media
- medisinsk
- Mobil
- Mobilapplikasjoner
- penger
- overvåking
- rekkefølge
- Annen
- porsjoner
- Politikk
- politikk
- privatliv
- personvernlover
- personvernregler
- privat
- fagfolk
- beskyttelse
- Rampe
- redusere
- forskrifter
- Regulatorer
- Krav
- svar
- anmeldelse
- Risiko
- regler
- salg
- sikkerhet
- selger
- sett
- Del
- Størrelse
- So
- Begynn
- startet
- Tilstand
- Stater
- oppbevare
- Strategi
- system
- Systemer
- Technologies
- Teknologi
- Fremtiden
- tredjeparter
- tid
- Sporing
- Kurs
- Oppdater
- Nettsted
- Hva er
- HVEM
- innenfor
- ord
- år
- år
