Компанії, що займаються продажем канабісу, потребують політики конфіденційності

Зараз 2023 рік, і багатьом компаніям, які займаються продажем канабісу, досі не вистачає одного важливого робочого документа: політики конфіденційності. Я писав і говорив про це питання Протягом багатьох років. І справи не йдуть на краще. Тож давайте поговоримо про це ще раз.

Для початку Каліфорнія вимагає політики конфіденційності протягом дуже тривалого часу (ну, «довго», принаймні з точки зору Інтернету). Під Каліфорнійський закон, операторам комерційних веб-сайтів, які збирають через Інтернет «індивідуальну інформацію про окремих споживачів, які проживають у Каліфорнії, які використовують або відвідують його комерційний веб-сайт», потрібна політика конфіденційності. Це багато для перетравлення. Англійською мовою власники веб-сайтів повинні мати політику конфіденційності, якщо споживачі з Каліфорнії використовують або відвідують їхні веб-сайти.

Будь-який бізнес з канабісу, який працює в Каліфорнії та має веб-сайт, чітко підпадає під цю вимогу. Але як щодо компанії канабісу в Айові? Ну, до тих пір, поки жителі Каліфорнії користуються або відвідують його, вимога діє. І якщо компанія, що займається продажем канабісу, не може точно сказати, що на її веб-сайті немає користувачів/відвідувачів з Каліфорнії, найкраще просто отримати політику конфіденційності. Якщо ви прочитаєте наведений вище закон, вимоги є відносно керованими та не надто жорсткими. Але це ще не кінець історії.

У 2018 році Каліфорнія пройшла Закон про конфіденційність споживачів у Каліфорнії (CCPA). CCPA натхненний Європейським Союзом Загальні положення про захист даних (GDPR). Як і GDPR, CCPA кодифікував низку прав споживачів щодо їх особистої інформації. І це наклало низку нових правових вимог на відповідні підприємства (докладніше про це нижче). У 2020 році виборці Каліфорнії пройшли Правило 24, a/k/a, Закон Каліфорнії про права на конфіденційність (CPRA), яким внесено зміни та доповнення до ЗКУ. І ви можете посперечатися, що вони теж є правила мати справу з.

Однією з численних вимог CCPA була політика конфіденційності. І на відміну від попереднього законодавства, вимоги CCPA є набагато надійнішими. Побачити тут наприклад. Це також стосується GDPR. Для будь-якої компанії, яка підпадає під дію одного з цих новітніх режимів конфіденційності, складання відповідної політики конфіденційності є складним завданням. Тож питання на мільйон доларів полягає в тому, до кого застосовуються ці закони? Для CCPA, Про це заявив генеральний прокурор Каліфорнії:

CCPA поширюється на комерційні підприємства, які ведуть бізнес у Каліфорнії та відповідають будь-якій із наведених нижче вимог:

• Мати валовий річний дохід понад 25 мільйонів доларів США;
• Купувати, продавати або ділитися особистою інформацією 100,000 XNUMX або більше жителів Каліфорнії, домогосподарств або пристроїв; або
• Отримувати 50% або більше свого річного доходу від продажу особистої інформації жителів Каліфорнії.

Друге питання на мільйон доларів тут полягає в тому, що означає вести бізнес. Звичайно, CCPA не дає чіткого визначення цього. Але в іншому місці закону CCPA говорить: «Для цілей цієї назви комерційна поведінка має місце повністю за межами Каліфорнії, якщо компанія зібрала цю інформацію, коли споживач перебував за межами Каліфорнії, жодна частина продажу особистої інформації споживача не відбулася в Каліфорнії. , і жодна особиста інформація, зібрана під час перебування споживача в Каліфорнії, не продається. Цей пункт не забороняє компанії зберігати, в тому числі на пристрої, особисту інформацію про споживача, коли споживач перебуває в Каліфорнії, а потім збирати цю особисту інформацію, коли споживач і збережена особиста інформація знаходяться за межами Каліфорнії».

Таким чином, компанії можуть сміливо припускати, що навіть дотичні стосунки з Golden State можуть підпадати під дію вимог CCPA, якщо досягнуто одного з вищезазначених порогів. А це означає, що бізнесу потрібна надійна політика конфіденційності.

Що щодо GDPR? GDPR є ще ширше в обсязі:

2. Цей Регламент застосовується до обробки персональних даних суб’єктів даних, які перебувають у Союзі, контролером або процесором, не зареєстрованим у Союзі, де діяльність з обробки пов’язана з:

(a) пропозиція товарів або послуг таким суб’єктам даних у Союзі, незалежно від того, чи вимагається оплата суб’єкта даних; або

(b) моніторинг їх поведінки, оскільки їх поведінка відбувається в межах Союзу.

Компанія, яка просто пропонує послуги, навіть безкоштовні, жителям ЄС, може в кінцевому підсумку потрапити під дію GDPR. Чесно кажучи, це не стосується вашої загальнодоступної компанії канабісу. Це, швидше за все, вплине на компанії, що займаються продажем коноплі/канабіноїдів, які продають в електронній комерції. Але навіть компанії, які займаються продажем канабісу, можуть проникнути на територію GDPR, докладаючи зусиль з маркетингу та продажів.

Якщо будь-який із цих законів застосовний – або якщо бізнес навіть вважає закони може застосувати – потрібна політика конфіденційності. Є багато адвокатів позивачів, які подадуть до суду, у деяких випадках через груповий позов, якщо компанія не дотримується політики конфіденційності. Ситуація стає ще гіршою, якщо політика конфіденційності неточна або компанія її не дотримується.

Політика конфіденційності є ключовим (і часто вимагається законом) документом для будь-якої компанії, що займається продажем марихуани. Без цього існує ймовірність не лише порушення законодавства, а й судового позову. Це не вимагає витрат на руку та ногу, і якщо все зроблено правильно, можна заощадити купу грошей і поту на задній частині.

Перш ніж закінчити публікацію, я маю зазначити, що політика конфіденційності — це не єдине, про що мають турбуватися компанії, що займаються продажем марихуани, коли йдеться про захист даних. CCPA, GDPR та інші закони встановлюють численні вимоги, крім простої політики конфіденційності. Наприклад, див цей мій пост з деякого часу тому щодо CCPA та запитів на видалення. Цей матеріал може стати неймовірно складним. Як і у випадку з політикою конфіденційності, краще інвестувати в дотримання закону про конфіденційність на ранній стадії, а не в захисника.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://harrisbricken.com/cannalawblog/cannabis-businesses-need-privacy-policies/