Conformitatea CCPA și CPRA: Ce trebuie să facă acum afacerile cu canabis | Cannabiz Media

Punerea în aplicare a Legea privind confidențialitatea consumatorilor din California (CCPA) a început la 1 iulie 2020. CCPA oferă consumatorilor care locuiesc în California un control semnificativ mai mare asupra modului în care companiile își folosesc informațiile personale. Ca urmare, toate companiile au trebuit să-și revizuiască datele, sistemele și procesele pentru a se asigura că sunt în deplină conformitate cu noile legi.

Abia vineri, 14 august 2020, procurorul general al statului a anunțat reglementările pentru punerea în aplicare a CCPA au fost aprobate și în vigoare imediat. Cu toate acestea, respectarea CCPA a devenit mai confuză pentru întreprinderi, deoarece, în unele cazuri, reglementările de executare a depășit ceea ce prevede statutul CCPA.

Povestea nu se terminase încă. De fapt, problemele de conformitate tocmai începeau.

În octombrie 2020, guvernatorul Californiei Gavin Newsom a semnat două amendamente la CCPA în lege. AB 1281 a extins scutirile parțiale pentru datele angajaților și datele între afaceri (B2B), care anterior trebuiau să expire la 1 ianuarie 2021. AB 713 a modificat scutirile CCPA legate de informațiile medicale și confidențialitatea sănătății.

Dar asta nu a fost tot. Avanză rapid până în noiembrie 2020, iar lucrurile au devenit și mai confuze.

La 3 noiembrie 2020, alegătorii din California au aprobat propunerea de vot 24, the Legea privind drepturile de confidențialitate din California din 2020 (CPRA) sau ceea ce unii oameni numesc CCPA 2.0. CPRA nu va intra în vigoare până la 1 ianuarie 2023, dar aduce cu sine chiar și mai multe schimbări pe care întreprinderile vor trebui să le respecte inclusiv

• Noua definiție a unei afaceri acoperite
• Limbă suplimentară despre partajarea datelor
• Drepturi suplimentare ale consumatorilor
• Noi reguli pentru o categorie de „informații personale sensibile”
• Noua definiție a „consimțământului”
• Modificări ale definiției „furnizorului de servicii”
• Dreptul privat de acțiune extins pentru încălcarea datelor
• Noi cerințe de divulgare
• Eliminarea perioadei de cura de 30 de zile
• Scutiri extinse pentru datele angajaților și B2B
• Înființarea Agenției pentru Protecția Confidențialității din California
• Și altele

Fiecare companie, inclusiv companiile cu canabis, ar trebui să înțeleagă cerințele actuale din CCPA și ce urmează în CPRA. Acum este momentul să începeți să revizuiți și să vă reînnoiți politicile și procedurile.

Pentru unele companii, respectarea acestor legi este o sarcină foarte mare, dar riscurile de nerespectare – în ceea ce privește procesele și sancțiunile bănești – sunt pur și simplu prea mari pentru a fi ignorate. Următoarele sunt 10 acțiuni inițiale pe care companiile de canabis le pot lua pentru a se conforma CCPA.

1. Definiți un buget de conformitate cu CCPA

Bugetul de conformitate cu CCPA al companiei dvs. de canabis depinde de o serie de factori. Important este că trebuie să luați în considerare angajarea de noi angajați pentru a gestiona conformitatea astăzi și în mod continuu. În plus, va trebui să instruiți angajații să urmeze noile fluxuri de lucru într-un efort de a îndeplini cerințele CCPA.

Deși cea mai mare parte a bugetului dvs. va fi utilizată pe termen scurt pentru a aduce compania în conformitate cu noile reglementări, va trebui, de asemenea, să investiți în monitorizarea continuă a conformității. CCPA va evolua probabil, iar alte state își intensifică deja eforturile pentru a adopta legi mai stricte privind confidențialitatea.

2. Angajați angajați cheie

Dacă afacerea dvs. nu are deja în personal un expert în conformitate, acum este momentul să angajați unul. În plus, veți avea nevoie de personal de securitate cu experiență pentru a implementa modificările necesare pe site-ul web, sistemele companiei dvs. și așa mai departe.

Cheia este să aveți o persoană care să fie trasă responsabilă pentru eforturile de conducere de conformare în cadrul companiei dvs., iar aceasta include respectarea CCPA. De obicei, această persoană ar fi la nivel executiv și poate avea un manager și alți profesioniști în personal (sau disponibili ca consultanți) pentru a-i ajuta. În funcție de dimensiunea afacerii dvs., conformarea ar putea necesita o întreagă echipă de oameni.

3. Dezvoltați procesele de cartografiere și păstrare a datelor

Guvernarea datelor este o parte importantă a conformității cu CCPA a afacerii dvs. de canabis. Trebuie să aveți procese în vigoare pentru a identifica modul în care sunt colectate informațiile personale, cum sunt clasificate, cum sunt stocate, unde sunt stocate, cum sunt protejate și cum afacerea dvs. previne partajarea, vânzarea sau distribuirea ilegală a acestor date.

CCPA include o prevedere care spune că companiile trebuie să poată furniza consumatorilor care solicită informațiile lor personale toate datele colectate în termenul permis de lege. Dacă afacerea dvs. nu are un proces în vigoare pentru a identifica și a mapa informațiile personale către sursele sale, răspunsul la aceste solicitări ar putea fi extrem de consumator de timp, dacă nu imposibil. De fapt, dacă procesele tale sunt inadecvate, afacerea ta cu canabis ar putea ajunge să se confrunte cu procese și penalități.

4. Dezvoltați un sistem de răspuns la cererea consumatorilor

CCPA oferă companiilor o perioadă de timp pentru a răspunde solicitărilor consumatorilor cu privire la informațiile personale colectate despre aceștia. Dacă compania dvs. nu are un sistem de răspuns în vigoare și nu poate produce informațiile solicitate, așa cum este permis de lege, atunci este posibil să nu puteți răspunde în mod adecvat în acest interval de timp. Din nou, afacerea dvs. s-ar putea confrunta cu procese costisitoare și penalități.

Este esențial ca afacerea dvs. să dezvolte un sistem de răspuns la cererea consumatorilor și cât mai mult din acel sistem ar trebui să fie automatizat posibil. Imaginează-ți dacă primești 10 sau 100 de solicitări într-o lună. Dacă sistemele nu sunt automatizate, este posibil ca afacerea dvs. să nu poată răspunde la timp la toate aceste solicitări și ar putea avea multe probleme – din punct de vedere juridic și financiar.

5. Creați un sistem de renunțare a consumatorilor

Conform CCPA, consumatorii din California au dreptul de a renunța la sistemele de urmărire și tehnologiile publicitare ale terților. Ca atare, trebuie să înțelegeți pe deplin toată tehnologia utilizată pe site-ul dvs. web, aplicațiile mobile și așa mai departe.

De asemenea, trebuie să creați un sistem de renunțare a consumatorilor, astfel încât consumatorii să poată renunța la urmărire în orice moment. La fel ca sistemul dvs. de răspuns la cererea consumatorilor (a se vedea numărul 4 de mai sus), sistemul dvs. de renunțare a consumatorilor ar trebui să fie automatizat în măsura posibilului. Deși acest lucru va include un cost mai mare astăzi pentru dezvoltare și implementare, veți economisi și mai mult timp și bani mai târziu dacă automatizați sistemul acum.

6. Actualizați Politicile de confidențialitate

Politicile de confidențialitate ale companiei dvs. de canabis trebuie actualizate pentru a respecta CCPA. Rețineți că actualizarea politicilor de confidențialitate se referă la actualizarea politicilor și notificărilor de confidențialitate interne și externe.

Cu alte cuvinte, această cerință legală nu se aplică doar politicii de confidențialitate publicate pe site-ul dvs. De asemenea, se referă la politicile legate de confidențialitate, dezvăluirile și notificările utilizate în întreaga afacere.

7. Dezvoltați fluxuri de lucru de răspuns juridic și de reglementare

Cum va răspunde compania dumneavoastră dacă un organism de reglementare solicită informații despre procesele dvs. de conformitate cu CCPA? Ce se întâmplă dacă un consumator depune o acțiune civilă împotriva afacerii dvs. de canabis în legătură cu informațiile sale personale în temeiul CCPA? Ambele se pot întâmpla la un moment dat, așa că aveți nevoie de fluxuri de lucru pentru a eficientiza procesul de răspuns, inclusiv automatizarea sistemelor în măsura posibilului.

Liderul de conformitate al afacerii dvs. de canabis (vezi #2 de mai sus) ar trebui să supravegheze procesul de răspuns, dar toți angajații care au un rol în colectarea și furnizarea datelor solicitate trebuie să înțeleagă ce se așteaptă de la ei. Aceste fluxuri de lucru ar trebui să includă responsabilități și termene specifice.

8. Definiți politici și instruiți angajații

Fiecare angajat al afacerii cu canabis ar trebui să fie instruit cu privire la CCPA și să înțeleagă importanța acestuia. Aceștia ar trebui să își înțeleagă pe deplin responsabilitățile și să fie instruiți cu privire la fluxurile de lucru pe care se așteaptă să le efectueze ca răspuns la solicitările de informații din partea consumatorilor, autorităților de reglementare și acțiunilor în instanță.

CCPA și instruirea privind respectarea confidențialității nu este un lucru unic. Pe măsură ce legile evoluează și mai multe state adoptă noi reglementări privind confidențialitatea, va fi necesară o instruire actualizată în mod continuu pentru a vă asigura că afacerea dvs. cu canabis rămâne pe deplin conformă în orice moment.

9. Verificați datele terților și furnizorii de servicii pentru conformitate

Dacă compania dvs. se bazează pe furnizorii de servicii sau pe terți pentru a furniza, stoca, gestiona sau în alt mod colecta, partaja, vinde sau distribuie date cu sau în numele companiei dvs., atunci trebuie să verificați conformitatea acestora cu CCPA. În plus, contractele ar trebui actualizate pentru a aborda modificările necesare pe baza reglementărilor CCPA.

Este imperativ ca afacerea dvs. de canabis să auditeze furnizorii de servicii și terții în mod continuu pentru a se asigura că acestea continuă să respecte CCPA și toate celelalte legi federale și de stat privind confidențialitatea. Acesta este un pas critic care va reduce riscul companiei dvs. pe termen lung.

10. Monitorizați legile privind confidențialitatea din California și ale altor state

Nu numai CCPA va continua să evolueze, ci și altele statele modifică legile privind confidențialitatea pentru a pune consumatorii controlul asupra modului în care informațiile lor personale sunt folosite de companii. Din nou, aveți nevoie de liderul de conformitate și echipa potrivită pentru a monitoriza în permanență aceste legi, astfel încât afacerea dvs. cu canabis să poată lua măsuri după cum este necesar.

Principalele concluzii despre conformitatea cu CCPA

Companiile de canabis trebuie să ia măsuri acum pentru a se asigura că respectă pe deplin CCPA și CPRA pentru a reduce riscurile asociate cu neconformitatea în viitor. Acești 10 pași ar trebui să vă ajute să începeți. Cheia este să începeți să lucrați la strategia de conformitate și implementarea companiei dvs. acum, dacă nu ați făcut acest lucru deja, deoarece punerea în aplicare a CCPA a început deja.

Punerea în aplicare a CPRA nu începe până la 1 ianuarie 2023, dar este important să înțelegeți că CPRA afectează informațiile personale colectate la sau după 1 ianuarie 2022. Cu alte cuvinte, nu aveți doi ani pentru a crește. Într-adevăr, aveți doar un an pentru a pune în aplicare sistemele potrivite pentru a respecta CPRA.

Pentru afacerile care se bazează pe Baza de date Cannabiz Media License pentru a genera clienți potențiali și a crește, aceștia pot fi siguri că este deja pe deplin în conformitate cu CCPA. Puteți urma linkul pentru a afla mai multe despre cum să vă asigurați că marketingul prin e-mail și CRM respectă CCPA.

‍Planificați o demonstrație din baza de date Cannabiz Media License pentru a vedea cum vă poate ajuta afacerea să se dezvolte.

‍Publicat inițial 3/24/20. Actualizat 12/4/20.