Cannabisföretag behöver sekretesspolicyer

Cannabisföretag behöver sekretesspolicyer

Tidsstämpel: 4 oktober 2023 10:00
Källnod: 2916781

Det är 2023 och många cannabisföretag saknar fortfarande ett kritiskt driftsdokument: en integritetspolicy. Jag har skrivit och pratat om den här frågan i åratal. Och saker och ting blir inte bättre. Så låt oss prata om det en gång till.

Till att börja med har Kalifornien krävt sekretesspolicyer under mycket lång tid (nåja, "lång" åtminstone när det gäller internet). Under Kalifornien lag, operatörer av kommersiella webbplatser som samlar in "personligt identifierbar information via Internet om enskilda konsumenter bosatta i Kalifornien som använder eller besöker dess kommersiella webbplats" behöver en integritetspolicy. Det är mycket att smälta. På engelska måste webbplatsägare ha en integritetspolicy om konsumenter i Kalifornien använder eller besöker deras webbplats.

Alla cannabisföretag som är verksamma i Kalifornien och har en webbplats är helt klart föremål för detta krav. Men hur är det med ett Iowa-baserat cannabisföretag? Tja, så länge som invånare i Kalifornien använder eller besöker det, gäller kravet. Och om inte cannabisbranschen definitivt kan säga att dess webbplats inte har några användare/besökare i Kalifornien, är det bästa praxis att bara skaffa en integritetspolicy. Läser man ovanstående lag är kraven relativt hanterbara och inte för intensiva. Men det är inte slutet på historien.

2018 passerade Kalifornien California Consumer Privacy Act (CCPA). CCPA är inspirerad av Europeiska unionens tidigare Allmänna dataskyddsförordningen (GDPR). Liksom GDPR kodifierade CCPA en mängd konsumenträttigheter med avseende på deras personliga information. Och det införde en mängd nya juridiska krav på tillämpliga företag (mer om det nedan). 2020 passerade väljarna i Kalifornien Prop. 24, a/k/a, California Privacy Rights Act (CPRA), som ändrade och kompletterade CCPA. Och du slår vad om att det också finns föreskrifter att hantera.

Ett av de otaliga kraven som CCPA ställde var att ha en integritetspolicy. Och till skillnad från tidigare lag är CCPA:s krav mycket mer robust. Ser här. till exempel. Detta är även fallet för GDPR. För alla företag som omfattas av en av dessa nyare integritetsregimer är det en utmaning att utarbeta en kompatibel integritetspolicy. Så miljon dollarfrågan är, vem gäller dessa lagar för? För CCPA är Kaliforniens justitieminister säger:

CCPA gäller för vinstdrivande företag som gör affärer i Kalifornien och uppfyller något av följande:

  • Har en årlig bruttointäkt på över 25 miljoner USD;
  • Köp, sälj eller dela personlig information om 100,000 XNUMX eller fler invånare i Kalifornien, hushåll eller enheter; eller
  • Få 50 % eller mer av sina årliga intäkter från att sälja personuppgifter för invånare i Kalifornien.

Den andra miljonfrågan här är vad det innebär att göra affärer. Naturligtvis definierar CCPA inte det tydligt. Men på andra ställen i lagen säger CCPA "För syftet med denna titel sker kommersiellt beteende helt utanför Kalifornien om företaget samlade in den informationen medan konsumenten var utanför Kalifornien, ingen del av försäljningen av konsumentens personliga information skedde i Kalifornien , och ingen personlig information som samlats in medan konsumenten var i Kalifornien säljs. Denna paragraf ska inte förbjuda ett företag att lagra, inklusive på en enhet, personlig information om en konsument när konsumenten är i Kalifornien och sedan samla in den personliga informationen när konsumenten och lagrad personlig information är utanför Kalifornien."

Det är därför säkert för företag att anta att även tangentiella relationer till Golden State skulle kunna utsätta dem för CCPA:s krav så länge som ett av ovanstående tröskelvärden är uppfyllt. Och detta betyder att verksamheten behöver en robust integritetspolicy.

Hur är det med GDPR? GDPR är ännu bredare i omfattning:

2. Denna förordning är tillämplig på behandling av personuppgifter om registrerade som befinner sig i unionen av en registeransvarig eller registerförare som inte är etablerad i unionen, där behandlingsverksamheten är relaterad till:

a) Erbjudande av varor eller tjänster, oavsett om en betalning från den registrerade krävs, till sådana registrerade i unionen. eller

b) Övervakning av deras beteende i den mån deras beteende äger rum inom unionen.

Ett företag som helt enkelt erbjuder tjänster, även gratis, till invånare i EU kan hamna under GDPR. För att vara rättvis kommer detta inte att vara fallet för ditt företag inom cannabisbruket. Det är mer sannolikt att det påverkar hampa/cannabinoidföretag som säljer inom e-handel. Men även cannabisföretag kan gå in på GDPR-territorium med marknadsförings- och försäljningsinsatser.

Om någon av dessa lagar gäller – eller om ett företag ens tycker att lagarna kunde tillämpa – en integritetspolicy är nödvändig. Det finns gott om kärandes advokater där ute som kommer att stämma, i vissa fall genom grupptalan, om ett företag misslyckas med att tillämpa en integritetspolicy. Saker och ting blir ännu värre om integritetspolicyn är felaktig eller om företaget inte följer den.

En integritetspolicy är ett nyckeldokument (och ofta lagligt obligatoriskt) för alla cannabisföretag. Utan det är det sannolikt inte bara en lagöverträdelse, utan kanske också en rättegång. Det behöver inte kosta en arm och ett ben, och om det görs rätt kan det spara massor av pengar och svett på baksidan.

Innan jag avslutar inlägget bör jag nämna att en integritetspolicy inte är det enda cannabisföretag behöver oroa sig för när det kommer till dataskydd. CCPA, GDPR och andra lagar ställer många krav utöver att bara ha en integritetspolicy. Se till exempel detta mitt inlägg från ett tag tillbaka på CCPA och raderingsförfrågningar. Det här kan bli otroligt komplicerat. Och precis som med sekretesspolicyer är det bättre att tidigt investera i efterlevnad av integritetslagstiftningen, istället för försvarsadvokater på vägen.

Tidsstämpel:

Mer från Harris Bricken