Предприятиям, занимающимся каннабисом, нужна политика конфиденциальности

На дворе 2023 год, и многим предприятиям, занимающимся каннабисом, до сих пор не хватает одного важного рабочего документа: политики конфиденциальности. Я писал и говорил об этой проблеме годами. И дела не улучшаются. Итак, давайте поговорим об этом еще раз.

Начнем с того, что в Калифорнии уже очень давно (ну, «долго», по крайней мере, с точки зрения Интернета) требуется политика конфиденциальности. Под Калифорнийский закон, операторам коммерческих веб-сайтов, которые собирают «личную информацию через Интернет об отдельных потребителях, проживающих в Калифорнии, которые используют или посещают их коммерческий веб-сайт», необходима политика конфиденциальности. Это много, что нужно переварить. На английском языке владельцы веб-сайтов должны иметь политику конфиденциальности, если потребители из Калифорнии используют или посещают их веб-сайт.

Любой бизнес по производству каннабиса, который работает в Калифорнии и имеет веб-сайт, явно подчиняется этому требованию. А как насчет компании по производству каннабиса из Айовы? Что ж, пока жители Калифорнии используют или посещают его, это требование применяется. И если компания, занимающаяся каннабисом, не может с уверенностью сказать, что на ее веб-сайте нет пользователей/посетителей из Калифорнии, лучше всего просто получить политику конфиденциальности. Если вы прочитаете вышеуказанный закон, то увидите, что требования относительно выполнимы и не слишком строги. Но это еще не конец истории.

В 2018 году Калифорния приняла Калифорнийский закон о защите прав потребителей (CCPA). CCPA вдохновлен более ранним соглашением Европейского Союза Общее регулирование защиты данных (ВВП). Как и GDPR, CCPA кодифицировал множество прав потребителей в отношении их личной информации. И это наложило множество новых юридических требований на соответствующие предприятия (подробнее об этом ниже). В 2020 году избиратели Калифорнии приняли закон Положение 24, a/k/a, Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA), который внес изменения и дополнения в CCPA. И вы держите пари, что есть также правила иметь дело с.

Одним из множества требований, предъявляемых CCPA, было наличие политики конфиденциальности. И в отличие от предыдущего закона, требования CCPA гораздо более строгие. Видеть здесь например. Это также относится и к GDPR. Для любого бизнеса, на который распространяется один из этих новых режимов конфиденциальности, разработка соответствующей политики конфиденциальности является непростой задачей. Итак, вопрос на миллион долларов заключается в том, на кого распространяются эти законы? Для CCPA Генеральный прокурор Калифорнии говорит:

CCPA применяется к коммерческим предприятиям, которые ведут бизнес в Калифорнии и соответствуют любому из следующих требований:

• Иметь валовой годовой доход более 25 миллионов долларов США;
• Покупайте, продавайте или делитесь личной информацией 100,000 XNUMX или более жителей Калифорнии, домохозяйств или устройств; или
• Получайте 50 % или более своего годового дохода от продажи личной информации жителей Калифорнии.

Второй вопрос на миллион долларов заключается в том, что значит заниматься бизнесом. Конечно, CCPA не дает этому четкого определения. Но в другом месте закона CCPA говорится: «Для целей этого раздела коммерческое поведение осуществляется полностью за пределами Калифорнии, если компания собирала эту информацию, пока потребитель находился за пределами Калифорнии, ни одна часть продажи личной информации потребителя не происходила в Калифорнии». , и никакая личная информация, собранная во время пребывания потребителя в Калифорнии, не продается. Этот параграф не запрещает компании хранить, в том числе на устройстве, личную информацию о потребителе, когда потребитель находится в Калифорнии, а затем собирать эту личную информацию, когда потребитель и хранимая личная информация находятся за пределами Калифорнии».

Поэтому для предприятий можно с уверенностью предположить, что даже косвенные отношения с «Золотым штатом» могут подвергнуть их требованиям CCPA, если будет соблюден один из вышеуказанных пороговых значений. А это означает, что бизнесу нужна надежная политика конфиденциальности.

А как насчет GDPR? GDPR – это еще более широкий в рамках:

2. Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролером или обработчиком, не зарегистрированным в Союзе, если деятельность по обработке связана с:

(a) предложение товаров или услуг, независимо от того, требуется ли оплата от субъекта данных, таким субъектам данных в Союзе; или

(b) мониторинг их поведения в пределах Союза.

Компания, которая просто предлагает услуги, даже бесплатные, резидентам ЕС, может в конечном итоге попасть под действие GDPR. Честно говоря, это не относится к вашей обычной компании по производству каннабиса. Это с большей вероятностью затронет компании, занимающиеся коноплей/каннабиноидами, которые продают продукцию через электронную коммерцию. Но даже компании, производящие каннабис, могут попасть на территорию GDPR, приложив усилия в области маркетинга и продаж.

Если какой-либо из этих законов применим – или если бизнес вообще считает, что законы может применить – необходима политика конфиденциальности. Есть множество адвокатов истцов, которые подадут в суд, в некоторых случаях через коллективный иск, если компания не соблюдает политику конфиденциальности. Ситуация становится еще хуже, если политика конфиденциальности неточна или компания ее не придерживается.

Политика конфиденциальности — это ключевой (и часто требуемый по закону) документ для любой компании, производящей каннабис. Без этого возможно не только нарушение закона, но и судебный иск. Это не требует больших затрат, и, если все сделано правильно, можно сэкономить массу денег и пота на спине.

Прежде чем закончить пост, я должен упомянуть, что политика конфиденциальности — не единственное, о чем должны беспокоиться компании, занимающиеся каннабисом, когда дело касается защиты данных. CCPA, GDPR и другие законы налагают множество требований, помимо простой политики конфиденциальности. Например, см. этот мой пост некоторое время назад о CCPA и запросах на удаление. Это может оказаться невероятно сложным. И, как и в случае с политикой конфиденциальности, лучше заранее инвестировать в соблюдение закона о конфиденциальности, а не в адвоката в будущем.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://harrisbricken.com/cannalawblog/cannabis-businesses-need-privacy-policies/