Примусове виконання Каліфорнійський закон про конфіденційність споживачів (CCPA) почав діяти 1 липня 2020 року. CCPA дає споживачам, які проживають у Каліфорнії, значно більше контролю над тим, як компанії використовують їх особисту інформацію. У результаті всім компаніям необхідно було переглянути свої дані, системи та процеси, щоб переконатися, що вони повністю відповідають новим законам.
Лише в п’ятницю, 14 серпня 2020 року, генеральний прокурор штату оголосив про правила для здійснювати CCPA були затверджені та набули чинності негайно. Однак дотримання CCPA стало більш заплутаним для компаній, оскільки в деяких випадках нормативно-правові акти вийшли за рамки вимог статуту CCPA.
Хоча історія ще не закінчилася. Насправді проблеми з відповідністю тільки починалися.
У жовтні 2020 року підписав губернатор Каліфорнії Гевін Ньюсом дві поправки до CCPA. AB 1281 продовжив часткові винятки для даних співробітників і даних між компаніями (B2B), термін дії яких раніше мав закінчитися 1 січня 2021 року. AB 713 змінив винятки CCPA, пов’язані з медичною інформацією та конфіденційністю здоров’я.
Але це ще не все. Перемотайте вперед до листопада 2020 року, і все стало ще більш заплутаним.
3 листопада 2020 року виборці Каліфорнії схвалили пропозицію 24 для голосування Каліфорнійський закон про права на конфіденційність 2020 року (CPRA), або те, що деякі люди називають CCPA 2.0. CPRA не набуде чинності до 1 січня 2023 року, але він несе з собою навіть більше змін які підприємства повинні будуть дотримуватися в тому числі
- Нове визначення охопленого бізнесу
- Додаткова мова про обмін даними
- Додаткові права споживача
- Нові правила щодо категорії «чутлива персональна інформація»
- Нове визначення «згоди»
- Зміни до визначення «постачальник послуг»
- Розширене приватне право на позов у разі порушення даних
- Нові вимоги до розкриття інформації
- Зняття 30-денного періоду лікування
- Розширені винятки для даних співробітників і B2B
- Створення Каліфорнійського агентства із захисту конфіденційності
- І ще
Кожна компанія, включно з компаніями, що займаються продажем канабісу, повинна розуміти поточні вимоги CCPA та те, що передбачає CPRA. Настав час почати перегляд і оновлення ваших політик і процедур.
Для деяких компаній дотримання цих законів є дуже серйозним завданням, але ризики недотримання — у вигляді судових позовів і грошових штрафів — надто великі, щоб їх ігнорувати. Нижче наведено 10 початкових дій, які компанії, які займаються продажем марихуани, можуть зробити для дотримання CCPA.
1. Визначте бюджет відповідності вимогам CCPA
Бюджет вашого бізнесу з канабісу на відповідність CCPA залежить від низки факторів. Важливо, що вам потрібно розглянути наймання нових співробітників для керування відповідністю сьогодні та на постійній основі. Крім того, вам потрібно буде навчити працівників дотримуватися нових робочих процесів, щоб відповідати вимогам CCPA.
Хоча основна частина вашого бюджету буде використана в короткостроковій перспективі, щоб привести вашу компанію у відповідність з новими правилами, вам також потрібно буде інвестувати в постійний моніторинг відповідності. CCPA, ймовірно, розвиватиметься, і інші штати вже нарощують зусилля, щоб прийняти більш суворі закони про конфіденційність.
2. Найміть ключових співробітників
Якщо у вашій компанії ще немає спеціаліста з комплаєнсу, зараз саме час його найняти. Крім того, вам знадобиться досвідчений персонал служби безпеки, щоб внести необхідні зміни на веб-сайт, системи тощо вашої компанії.
Головне, щоб у вашій компанії була одна особа, яка відповідатиме за дотримання вимог законодавства, зокрема CCPA. Як правило, ця особа буде на керівному рівні та може мати менеджера та інших спеціалістів у штаті (або доступних як консультанти), які допомагатимуть їм. Залежно від розміру вашого бізнесу для дотримання вимог може знадобитися ціла команда людей.
3. Розробка процесів відображення та зберігання даних
Управління даними є важливою частиною дотримання вимог CCPA вашого бізнесу з канабісу. Ви повинні мати процеси, щоб визначити, як збирається особиста інформація, як вона класифікується, як зберігається, де зберігається, як захищається та як ваш бізнес запобігає незаконному обміну, продажу чи розповсюдженню цих даних.
CCPA містить положення, згідно з яким компанії повинні мати можливість надавати споживачам, які запитують їхню особисту інформацію, усі зібрані дані протягом терміну, дозволеного законом. Якщо у вашій компанії немає процесу ідентифікації та зіставлення особистої інформації з її джерелами, відповідь на ці запити може зайняти дуже багато часу, якщо не неможливо. Фактично, якщо ваші процеси є неадекватними, ваш бізнес з канабісу може в кінцевому підсумку зіткнутися з судовими позовами та штрафами.
4. Розробити систему реагування на запити споживачів
CCPA надає компаніям певний період часу, щоб відповісти на запити споживачів щодо зібраної про них особистої інформації. Якщо ваша компанія не має системи реагування та не може надати запитувану інформацію, як це дозволено законом, можливо, ви не зможете адекватно відповісти протягом цього терміну. Знову ж таки, ваш бізнес може зіткнутися з дорогими судовими процесами та штрафами.
Важливо, щоб ваш бізнес розробив систему реагування на запити споживачів, і якомога більша частина цієї системи повинна бути автоматизована. Уявіть, що ви отримуєте 10 або 100 запитів протягом місяця. Якщо системи не автоматизовані, ваш бізнес може не відповісти на всі ці запити вчасно та матиме багато проблем – юридичних і фінансових.
5. Створіть систему відмови споживача
Відповідно до CCPA споживачі Каліфорнії мають право відмовитися від трекерів і рекламних технологій сторонніх розробників. Таким чином, вам потрібно повністю розуміти всі технології, які використовуються на вашому веб-сайті, у мобільних додатках тощо.
Вам також потрібно створити систему відмови споживачів, щоб споживачі могли в будь-який час відмовитися від відстеження. Як і ваша система відповіді на запити споживачів (див. №4 вище), ваша система відмови споживачів має бути максимально автоматизована. Хоча сьогодні це включатиме вищі витрати на розробку та впровадження, ви заощадите ще більше часу та грошей пізніше, якщо автоматизуєте систему зараз.
6. Оновіть Політику конфіденційності
Політику конфіденційності вашої компанії, що займається продажем марихуани, потрібно оновити, щоб відповідати CCPA. Майте на увазі, що оновлення політики конфіденційності стосується оновлення як внутрішньої, так і зовнішньої політики конфіденційності та повідомлень.
Іншими словами, ця юридична вимога стосується не лише політики конфіденційності, опублікованої на вашому веб-сайті. Це також стосується політики конфіденційності, розкриття інформації та повідомлень, які використовуються у вашій компанії.
7. Розробка процесу реагування юридичних і регуляторних органів
Як ваша компанія відреагує, якщо регулятор запитає інформацію про ваші процеси дотримання вимог CCPA? Що робити, якщо споживач подає цивільний позов проти вашого бізнесу з канабісу, пов’язаний із його особистою інформацією відповідно до CCPA? І те, і інше може відбутися в певний момент часу, тому вам потрібні робочі процеси, щоб оптимізувати процес реагування, включаючи автоматизацію систем, наскільки це можливо.
Керівник відділу відповідності вашого бізнесу з виробництва канабісу (див. №2 вище) повинен контролювати процес реагування, але всі співробітники, які беруть участь у зборі та наданні запитаних даних, повинні розуміти, що від них очікується. Ці робочі процеси мають включати конкретні обов’язки та часові рамки.
8. Визначте політику та навчіть працівників
Кожен працівник каннабісного бізнесу повинен пройти навчання щодо CCPA та розуміти його важливість. Вони повинні повністю розуміти свої обов’язки та пройти навчання щодо робочих процесів, які вони повинні виконувати у відповідь на інформаційні запити від споживачів, регуляторів і судових позовів.
Навчання щодо дотримання вимог CCPA та конфіденційності не є одноразовим. У міру того, як закони розвиваються, і все більше штатів приймають нові положення щодо конфіденційності, необхідно буде постійно оновлювати навчання, щоб гарантувати, що ваш бізнес з марихуаною завжди повністю відповідає нормам.
9. Перевірте сторонні дані та постачальників послуг на відповідність
Якщо ваша компанія покладається на постачальників послуг або третіх сторін, щоб надавати, зберігати, керувати чи іншим чином збирати, ділитися, продавати чи поширювати дані з вашою компанією або від її імені, вам потрібно перевірити їхню дотримання вимог CCPA. Крім того, контракти слід оновити, щоб врахувати необхідні зміни відповідно до норм CCPA.
Вкрай важливо, щоб ваш бізнес з канабісом постійно перевіряв постачальників послуг і третіх осіб, щоб переконатися, що вони й надалі дотримуються CCPA та всіх інших федеральних законів і законів штату про конфіденційність. Це важливий крок, який зменшить ризик вашої компанії в довгостроковій перспективі.
10. Слідкуйте за законодавством Каліфорнії та інших штатів щодо конфіденційності
Не тільки CCPA продовжуватиме розвиватися, але й інші штати змінюють закони про конфіденційність надати споживачам контроль над тим, як компаніями використовується їх особиста інформація. Знову ж таки, вам потрібен належний керівник відділу відповідності та команда для постійного моніторингу цих законів, щоб ваш бізнес з канабісу міг вжити необхідних заходів.
Основні висновки щодо відповідності CCPA
Компанії, що займаються продажем канабісу, повинні вжити заходів зараз, щоб переконатися, що вони повністю відповідають вимогам CCPA та CPRA, щоб зменшити ризики, пов’язані з недотриманням у майбутньому. Ці 10 кроків допоможуть вам почати. Головне – розпочати роботу над стратегією відповідності вашої компанії та її впровадженням зараз, якщо ви цього ще не зробили, оскільки застосування CCPA вже почалося.
Застосування CPRA почнеться лише 1 січня 2023 року, але важливо розуміти, що CPRA впливає на особисту інформацію, зібрану 1 січня 2022 року або після цієї дати. Іншими словами, у вас немає двох років, щоб прискорити процес. Насправді у вас є лише один рік, щоб запровадити правильні системи для дотримання вимог CPRA.
Для підприємств, які покладаються на База даних ліцензій Cannabiz Media залучати потенційних клієнтів і розвиватися, вони можуть бути впевнені, що він уже повністю відповідає CCPA. Ви можете перейти за посиланням, щоб дізнатися більше як переконатися, що маркетинг електронної пошти та CRM відповідають CCPA.
TheСплануйте демонстраційну версію бази даних Cannabiz Media License, щоб дізнатися, як це може допомогти вашому бізнесу розвиватися.
TheСпочатку опубліковано 3/24/20. Оновлено 12.
Джерело: https://www.cannabiz.media/blog/ccpa-compliance-what-cannabis-businesses-need-to-do-now
- 100
- 2020
- 2021
- дію
- реклама
- ВСІ
- оголошений
- застосування
- Генеральний прокурор
- Серпня
- Автоматизований
- B2B
- бізнес
- Бізнес зростає
- бізнес для бізнесу
- підприємства
- Каліфорнія
- конопля
- CCPA
- Збір
- майбутній
- Компанії
- компанія
- дотримання
- споживач
- конфіденційність споживачів
- Споживачі
- продовжувати
- контрактів
- Суд
- CRM
- лікування
- Поточний
- дані
- Database
- розвивати
- розробка
- Розкриття інформації
- Ефективний
- електронний маркетинг
- співробітників
- виконавчий
- Face
- облицювання
- ШВИДКО
- Федеральний
- стежити
- Вперед
- п'ятниця
- Повний
- майбутнє
- Загальне
- управління
- Губернатор
- Рости
- здоров'я
- прокат
- Наймання
- Як
- HTTPS
- ідентифікувати
- незаконний
- У тому числі
- інформація
- питання
- IT
- липень
- ключ
- мова
- закон
- Законодавство
- судові процеси
- провідний
- УЧИТЬСЯ
- легальний
- рівень
- ліцензія
- LINK
- список
- карта
- Маркетинг
- Медіа
- медичний
- Mobile
- Мобільні програми
- гроші
- моніторинг
- порядок
- Інше
- Люди
- Політика
- політика
- недоторканність приватного життя
- закони про конфіденційність
- політика конфіденційності
- приватний
- професіонали
- захист
- Рамп
- зменшити
- правила
- Регулятори
- Вимога
- відповідь
- огляд
- Risk
- Правила
- sale
- безпеку
- продавати
- комплект
- Поділитись
- Розмір
- So
- старт
- почалася
- стан
- Штати
- зберігати
- Стратегія
- система
- Systems
- Технології
- Технологія
- Майбутнє
- треті сторони
- час
- Відстеження
- Навчання
- Оновити
- веб-сайт
- Що таке
- ВООЗ
- в
- слова
- рік
- років
