Podjetja s konopljo potrebujejo pravilnike o zasebnosti

Podjetja s konopljo potrebujejo pravilnike o zasebnosti

Časovni žig: 4. oktober 2023 10:00
Izvorno vozlišče: 2916781

Piše se leto 2023 in številnim podjetjem s konopljo še vedno manjka en pomemben operativni dokument: pravilnik o zasebnosti. O tem vprašanju sem pisal in govoril leta. In stvari ne gredo na bolje. Zato se še enkrat pogovorimo o tem.

Za začetek je Kalifornija zelo dolgo zahtevala pravilnike o zasebnosti (no, "dolgo", vsaj kar zadeva internet). Spodaj Kalifornijsko pravo, operaterji komercialnih spletnih mest, ki prek interneta zbirajo »osebne podatke o posameznih potrošnikih s prebivališčem v Kaliforniji, ki uporabljajo ali obiščejo njihovo komercialno spletno mesto«, potrebujejo pravilnik o zasebnosti. To je veliko za prebaviti. V angleščini morajo lastniki spletnih mest imeti pravilnik o zasebnosti, če potrošniki v Kaliforniji uporabljajo ali obiščejo njihovo spletno mesto.

Vsako podjetje s konopljo, ki deluje v Kaliforniji in ima spletno stran, jasno velja za to zahtevo. Kaj pa podjetje za konopljo s sedežem v Iowi? No, zahteva velja, dokler ga prebivalci Kalifornije uporabljajo ali obiskujejo. In če podjetje s konopljo ne more dokončno trditi, da njegovo spletno mesto nima uporabnikov/obiskovalcev iz Kalifornije, je najboljša praksa, da preprosto dobite pravilnik o zasebnosti. Če berete zgornji zakon, so zahteve razmeroma obvladljive in ne preveč intenzivne. A to še ni konec zgodbe.

Leta 2018 je Kalifornija prestala Kalifornijski zakon o zasebnosti potrošnikov (CCPA). CCPA se zgleduje po predhodnem besedilu Evropske unije Splošna uredba o varstvu podatkov (GDPR). Tako kot GDPR je tudi CCPA kodificiral vrsto pravic potrošnikov v zvezi z njihovimi osebnimi podatki. Veljavnim podjetjem je naložil številne nove pravne zahteve (več o tem spodaj). Leta 2020 so kalifornijski volivci sprejeli Prop. 24, a/k/a, Kalifornijski zakon o pravicah do zasebnosti (CPRA), ki je spreminjal in dopolnjeval ZPPPP. In lahko stavite, da tudi obstajajo predpisi imeti opravka z.

Ena od neštetih zahtev, ki jih je postavil CCPA, je bila politika zasebnosti. Za razliko od predhodne zakonodaje je zahteva CCPA veliko bolj robustna. Glej tukaj na primer. To velja tudi za GDPR. Za vsako podjetje, ki je predmet enega od teh novejših režimov zasebnosti, je priprava skladne politike zasebnosti izziv. Vprašanje za milijon dolarjev je torej, za koga veljajo ti zakoni? Za CCPA je Kalifornijski državni tožilec pravi:

CCPA velja za pridobitna podjetja, ki poslujejo v Kaliforniji in izpolnjujejo kar koli od naslednjega:

  • Imeti bruto letni prihodek nad 25 milijonov USD;
  • Kupovati, prodajati ali deliti osebne podatke 100,000 ali več prebivalcev Kalifornije, gospodinjstev ali naprav; oz
  • 50 % ali več svojega letnega prihodka pridobijo s prodajo osebnih podatkov prebivalcev Kalifornije.

Drugo vprašanje za milijon dolarjev tukaj je, kaj pomeni poslovati. Seveda pa CCPA tega ne opredeljuje jasno. Toda drugje v zakonu CCPA pravi: »Za namene tega naslova komercialno ravnanje poteka v celoti zunaj Kalifornije, če je podjetje te informacije zbralo, medtem ko je bil potrošnik zunaj Kalifornije, noben del prodaje osebnih podatkov potrošnika ni potekal v Kaliforniji. , in nobeni osebni podatki, zbrani, ko je bil potrošnik v Kaliforniji, se ne prodajajo. Ta odstavek podjetjem ne prepoveduje shranjevanja, vključno z napravo, osebnih podatkov o potrošniku, ko je potrošnik v Kaliforniji, in nato zbiranja teh osebnih podatkov, ko so potrošnik in shranjeni osebni podatki zunaj Kalifornije.«

Zato lahko podjetja varno domnevajo, da bi lahko tudi za tangencialna razmerja z Golden Stateom veljale zahteve CCPA, če je izpolnjen eden od zgornjih pragov. In to pomeni, da podjetje potrebuje trdno politiko zasebnosti.

Kaj pa GDPR? GDPR je še širše v obsegu:

2. Ta uredba se uporablja za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki, ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, pri čemer so dejavnosti obdelave povezane z:

(a) ponujanje blaga ali storitev tem posameznikom v Uniji, ne glede na to, ali se zahteva plačilo posameznika, na katerega se nanašajo osebni podatki; oz

(b) spremljanje njihovega vedenja, če se njihovo vedenje dogaja znotraj Unije.

Podjetje, ki preprosto ponuja storitve, tudi brezplačne, rezidentom EU, lahko postane predmet GDPR. Če smo pošteni, to ne bo veljalo za vaše vodeno podjetje za proizvodnjo konoplje. Verjetneje je, da bo vplivalo na podjetja s konopljo/kanabinoidi, ki prodajajo v e-trgovini. Toda tudi podjetja, ki se ukvarjajo s konopljo, lahko z marketinškimi in prodajnimi prizadevanji vstopijo na ozemlje GDPR.

Če kateri od teh zakonov velja – ali če podjetje sploh misli, da zakoni veljajo bi uporabite – potrebna je politika zasebnosti. Obstaja veliko odvetnikov tožnikov, ki bodo tožili, v nekaterih primerih s skupinsko tožbo, če podjetje ne upošteva politike zasebnosti. Stvari se še poslabšajo, če je politika zasebnosti netočna ali se je podjetje ne drži.

Politika zasebnosti je ključni (in pogosto zakonsko zahtevan) dokument za vsako podjetje s konopljo. Brez tega ne obstaja le verjetnost pravne kršitve, ampak morda tudi tožba. Ni treba, da stane roka in noga, in če je pravilno izvedeno, lahko prihranite kup denarja in potu.

Preden končam objavo, moram omeniti, da politika zasebnosti ni edina stvar, o kateri morajo skrbeti podjetja s konopljo, ko gre za varstvo podatkov. CCPA, GDPR in drugi zakoni nalagajo številne zahteve poleg zgolj politike zasebnosti. Na primer, glej tale moj post pred časom o CCPA in zahtevah za izbris. Te stvari se lahko neverjetno zapletejo. In tako kot pri pravilnikih o zasebnosti, je bolje že zgodaj investirati v skladnost z zakonodajo o zasebnosti, namesto da bi imeli zagovornika na poti.

Časovni žig:

Več od Harris Bricken