Zgodność z CCPA i CPRA: co firmy konopne muszą teraz zrobić | Cannabiz Media

Egzekwowanie prawa Ustawa o ochronie prywatności konsumentów w Kalifornii (CCPA) rozpoczęła się 1 lipca 2020 r. CCPA daje konsumentom mieszkającym w Kalifornii znacznie większą kontrolę nad tym, jak firmy wykorzystują ich dane osobowe. W rezultacie wszystkie firmy musiały dokonać przeglądu swoich danych, systemów i procesów, aby upewnić się, że są w pełni zgodne z nowymi przepisami.

Dopiero w piątek, 14 sierpnia 2020 r., Prokurator Generalny Stanu ogłosił przepisy dot. wdrożenia CCPA zostały zatwierdzone i weszły w życie natychmiast. Jednak przestrzeganie CCPA stało się bardziej mylące dla firm, ponieważ w niektórych przypadkach przepisy wykonawcze wykraczał poza to, czego wymaga statut CCPA.

Jednak historia jeszcze się nie skończyła. W rzeczywistości problemy ze zgodnością dopiero się zaczynały.

W październiku 2020 roku podpisał gubernator Kalifornii Gavin Newsom dwie poprawki do CCPA w ustawie. AB 1281 rozszerzył częściowe wyłączenia dotyczące danych pracowników i danych między przedsiębiorstwami (B2B), które wcześniej miały wygasnąć 1 stycznia 2021 r. AB 713 zmienił wyłączenia CCPA dotyczące informacji medycznych i prywatności dotyczącej zdrowia.

Ale to nie wszystko. Szybko do listopada 2020 r., a sprawy stały się jeszcze bardziej zagmatwane.

3 listopada 2020 r. Wyborcy z Kalifornii zatwierdzili propozycję głosowania 24, tj Kalifornijska ustawa o prawach do prywatności z 2020 r (CPRA) lub coś, co niektórzy nazywają CCPA 2.0. CPRA wejdzie w życie dopiero 1 stycznia 2023 r., ale przynosi ze sobą nawet więcej zmian których firmy będą musiały przestrzegać, m.in

• Nowa definicja działalności objętej ubezpieczeniem
• Dodatkowy język dotyczący udostępniania danych
• Dodatkowe prawa konsumenta
• Nowe zasady dotyczące kategorii „wrażliwych danych osobowych”
• Nowa definicja „zgody”
• Zmiany w definicji „usługodawcy”
• Rozszerzone prywatne prawo do działań w przypadku naruszeń danych
• Nowe wymogi informacyjne
• Usunięcie 30-dniowego okresu kuracji
• Rozszerzone wyłączenia dotyczące danych pracowników i B2B
• Ustanowienie Kalifornijskiej Agencji Ochrony Prywatności
• I więcej

Każda firma, w tym firmy zajmujące się konopiami indyjskimi, powinna rozumieć obecne wymagania wynikające z CCPA i tego, co nadchodzi w CPRA. Nadszedł czas, aby rozpocząć przegląd i zmianę zasad i procedur.

Dla niektórych firm przestrzeganie tych przepisów jest bardzo dużym zadaniem, ale ryzyko niezgodności – w postaci pozwów sądowych i kar pieniężnych – jest po prostu zbyt duże, by je zignorować. Poniżej znajduje się 10 wstępnych działań, które firmy konopne mogą podjąć, aby zachować zgodność z CCPA.

1. Zdefiniuj budżet zgodności z CCPA

Budżet Twojej firmy konopnej na zgodność z CCPA zależy od wielu czynników. Co ważne, należy rozważyć zatrudnienie nowych pracowników do zarządzania zgodnością już dziś i na bieżąco. Ponadto będziesz musiał przeszkolić pracowników, aby postępowali zgodnie z nowymi przepływami pracy, aby spełnić wymagania CCPA.

Podczas gdy większość Twojego budżetu zostanie wykorzystana w krótkim okresie na zapewnienie zgodności Twojej firmy z nowymi przepisami, będziesz także musiał zainwestować w bieżące monitorowanie zgodności. CCPA prawdopodobnie będzie ewoluować, a inne stany już zwiększają wysiłki na rzecz uchwalenia bardziej rygorystycznych przepisów dotyczących prywatności.

2. Zatrudnij kluczowych pracowników

Jeśli Twoja firma nie zatrudnia jeszcze eksperta ds. zgodności, nadszedł czas, aby go zatrudnić. Ponadto będziesz potrzebować doświadczonego personelu ds. bezpieczeństwa, który wprowadzi niezbędne zmiany na stronie internetowej Twojej firmy, w systemach i tak dalej.

Kluczem jest posiadanie jednej osoby, która jest odpowiedzialna za kierowanie działaniami w zakresie zgodności w Twojej firmie, w tym za zgodność z CCPA. Zazwyczaj taka osoba byłaby na szczeblu kierowniczym i może mieć kierownika i innych specjalistów w swoim personelu (lub dostępnych jako konsultanci), aby im pomóc. W zależności od wielkości Twojej firmy zgodność może wymagać całego zespołu ludzi.

3. Opracuj procesy mapowania i przechowywania danych

Zarządzanie danymi jest ważną częścią zgodności Twojej firmy z konopiami indyjskimi z CCPA. Musisz wdrożyć procesy identyfikujące, w jaki sposób dane osobowe są gromadzone, kategoryzowane, jak i gdzie są przechowywane, w jaki sposób są chronione oraz w jaki sposób Twoja firma zapobiega nielegalnemu udostępnianiu, sprzedaży lub dystrybucji tych danych.

CCPA zawiera przepis, który mówi, że firmy muszą być w stanie zapewnić konsumentom, którzy żądają ich danych osobowych, wszystkie zebrane dane w ramach czasowych dozwolonych przez prawo. Jeśli Twoja firma nie ma procesu identyfikowania i mapowania danych osobowych do ich źródeł, odpowiadanie na te prośby może być bardzo czasochłonne, jeśli nie niemożliwe. W rzeczywistości, jeśli Twoje procesy są nieodpowiednie, Twoja firma konopna może stanąć w obliczu procesów sądowych i kar.

4. Opracuj system odpowiedzi na prośby konsumentów

CCPA daje firmom czas na udzielenie odpowiedzi na prośby konsumentów o zebrane na ich temat dane osobowe. Jeśli Twoja firma nie ma systemu odpowiedzi i nie może przedstawić wymaganych informacji zgodnie z prawem, możesz nie być w stanie udzielić odpowiedniej odpowiedzi w tym terminie. W rezultacie Twoja firma może stanąć w obliczu kosztownych procesów sądowych i kar.

Istotne jest, aby Twoja firma opracowała system odpowiedzi na prośby konsumentów, a większość tego systemu powinna być zautomatyzowana. Wyobraź sobie, że otrzymujesz 10 lub 100 próśb w ciągu miesiąca. Jeśli systemy nie są zautomatyzowane, Twoja firma może nie być w stanie odpowiedzieć na wszystkie te żądania na czas i może wpaść w wiele problemów – prawnych i finansowych.

5. Utwórz system rezygnacji konsumentów

Zgodnie z CCPA konsumenci z Kalifornii mają prawo zrezygnować z zewnętrznych narzędzi śledzących i technologii reklamowych. W związku z tym musisz w pełni zrozumieć całą technologię używaną w Twojej witrynie, aplikacjach mobilnych i tak dalej.

Musisz także stworzyć system rezygnacji dla konsumentów, aby konsumenci mogli zrezygnować ze śledzenia w dowolnym momencie. Podobnie jak Twój system odpowiedzi na prośby konsumentów (patrz punkt 4 powyżej), Twój system rezygnacji konsumentów powinien być zautomatyzowany w możliwym zakresie. Chociaż będzie to wiązało się z wyższymi kosztami opracowania i wdrożenia dzisiaj, zaoszczędzisz jeszcze więcej czasu i pieniędzy później, jeśli zautomatyzujesz system teraz.

6. Zaktualizuj Politykę Prywatności

Polityka prywatności Twojej firmy konopnej musi zostać zaktualizowana, aby zachować zgodność z ustawą CCPA. Należy pamiętać, że aktualizacja polityki prywatności odnosi się do aktualizacji zarówno wewnętrznych, jak i zewnętrznych polityk i powiadomień dotyczących prywatności.

Innymi słowy, ten wymóg prawny dotyczy nie tylko polityki prywatności opublikowanej na Twojej stronie internetowej. Odnosi się to również do zasad, ujawnień i powiadomień związanych z prywatnością używanych w Twojej firmie.

7. Opracuj przepływy pracy w zakresie reagowania na kwestie prawne i regulacyjne

Jak zareaguje Twoja firma, jeśli organ regulacyjny zażąda informacji na temat Twoich procesów zgodności z CCPA? Co się stanie, jeśli konsument wniesie powództwo cywilne przeciwko Twojej firmie zajmującej się konopiami indyjskimi w związku z jego danymi osobowymi na mocy CCPA? Jedno i drugie może się zdarzyć w pewnym momencie, dlatego potrzebujesz przepływów pracy, aby usprawnić proces reagowania, w tym zautomatyzować systemy w możliwym zakresie.

Lider ds. zgodności Twojej firmy zajmującej się konopiami indyjskimi (patrz punkt 2 powyżej) powinien nadzorować proces odpowiedzi, ale wszyscy pracownicy, którzy odgrywają rolę w gromadzeniu i dostarczaniu wymaganych danych, muszą rozumieć, czego się od nich oczekuje. Te przepływy pracy powinny obejmować określone obowiązki i ramy czasowe.

8. Zdefiniuj zasady i przeszkol pracowników

Każdy pracownik firmy zajmującej się konopiami indyjskimi powinien zostać przeszkolony w zakresie CCPA i rozumieć jego znaczenie. Powinni w pełni rozumieć swoje obowiązki i zostać przeszkoleni w zakresie przepływów pracy, które będą wykonywać w odpowiedzi na prośby o udzielenie informacji od konsumentów, organów regulacyjnych i postępowania sądowe.

Szkolenie z zakresu CCPA i zgodności z zasadami prywatności nie jest sprawą jednorazową. Ponieważ prawa ewoluują, a coraz więcej stanów uchwala nowe przepisy dotyczące prywatności, wymagane będą bieżące szkolenia, aby zapewnić, że Twoja firma zajmująca się konopiami indyjskimi przez cały czas pozostaje w pełni zgodna z przepisami.

9. Przejrzyj zewnętrzne dane i dostawców usług pod kątem zgodności

Jeśli Twoja firma polega na usługodawcach lub osobach trzecich w zakresie dostarczania, przechowywania, zarządzania lub zbierania, udostępniania, sprzedawania lub rozpowszechniania danych w Twojej firmie lub w jej imieniu w inny sposób, musisz sprawdzić ich zgodność z CCPA. Ponadto umowy powinny być aktualizowane w celu uwzględnienia zmian wymaganych na podstawie przepisów CCPA.

Konieczne jest, aby Twoja firma konopna na bieżąco kontrolowała dostawców usług i strony trzecie, aby upewnić się, że nadal przestrzegają CCPA i wszystkich innych federalnych i stanowych przepisów dotyczących prywatności. Jest to kluczowy krok, który w dłuższej perspektywie zmniejszy ryzyko Twojej firmy.

10. Monitoruj przepisy dotyczące prywatności obowiązujące w Kalifornii i innych stanach

Nie tylko CCPA będzie nadal ewoluować, ale także inne stany modyfikują przepisy dotyczące prywatności dać konsumentom kontrolę nad tym, w jaki sposób ich dane osobowe są wykorzystywane przez firmy. Ponownie, potrzebujesz odpowiedniego lidera ds. zgodności i zespołu do ciągłego monitorowania tych przepisów, aby Twoja firma konopna mogła podjąć odpowiednie działania.

Kluczowe wnioski na temat zgodności z CCPA

Firmy zajmujące się konopiami indyjskimi muszą podjąć działania już teraz, aby zapewnić pełną zgodność z CCPA i CPRA, aby zmniejszyć ryzyko związane z nieprzestrzeganiem przepisów w przyszłości. Te 10 kroków powinno pomóc Ci zacząć. Kluczem jest rozpoczęcie pracy nad strategią i wdrażaniem zgodności w Twojej firmie teraz, jeśli jeszcze tego nie zrobiłeś, ponieważ egzekwowanie CCPA już się rozpoczęło.

Egzekwowanie CPRA rozpocznie się dopiero 1 stycznia 2023 r., ale ważne jest, aby zrozumieć, że CPRA dotyczy danych osobowych zebranych 1 stycznia 2022 r. lub później. Innymi słowy, nie masz dwóch lat na przyspieszenie. Naprawdę masz tylko rok na wdrożenie odpowiednich systemów, aby zachować zgodność z CPRA.

Dla firm, które opierają się na Baza danych licencji mediów Cannabiz aby generować potencjalnych klientów i rozwijać się, mogą być pewni, że jest już w pełni zgodny z CCPA. Możesz skorzystać z linku, aby dowiedzieć się więcej jak zapewnić zgodność marketingu e-mailowego i CRM z CCPA.

Aukcje internetowe dla Twojej strony!Zaplanuj demo Cannabiz Media License Database, aby zobaczyć, jak może pomóc w rozwoju Twojej firmy.

Aukcje internetowe dla Twojej strony!Pierwotnie opublikowany 3/24/20. Zaktualizowano 12/4/20.