Tuân thủ CCPA và CPRA: Những gì Doanh nghiệp Cần sa Cần Làm Bây giờ | truyền thông cần sa

Thực thi Đạo luật bảo mật người tiêu dùng California (CCPA) bắt đầu vào ngày 1 tháng 2020 năm XNUMX. CCPA cho phép người tiêu dùng cư trú tại California kiểm soát nhiều hơn đáng kể đối với cách các công ty sử dụng thông tin cá nhân của họ. Do đó, tất cả các công ty cần xem xét dữ liệu, hệ thống và quy trình của họ để đảm bảo họ tuân thủ đầy đủ các luật mới.

Mãi đến thứ Sáu, ngày 14 tháng 2020 năm XNUMX, Tổng chưởng lý của tiểu bang mới công bố các quy định cho thực hiện CCPA đã được phê duyệt và có hiệu lực ngay lập tức. Tuy nhiên, việc tuân thủ CCPA trở nên khó hiểu hơn đối với các doanh nghiệp, bởi vì trong một số trường hợp, quy định thi hành đã vượt quá những gì đạo luật CCPA yêu cầu.

Câu chuyện vẫn chưa kết thúc. Trên thực tế, các vấn đề tuân thủ chỉ mới bắt đầu.

Vào tháng 2020 năm XNUMX, Thống đốc California Gavin Newsom đã ký hai sửa đổi để CCPA thành luật. AB 1281 đã mở rộng các trường hợp miễn trừ một phần đối với dữ liệu nhân viên và dữ liệu giữa doanh nghiệp với doanh nghiệp (B2B), trước đây được ấn định là sẽ hết hạn vào ngày 1 tháng 2021 năm 713. AB XNUMX đã sửa đổi các trường hợp miễn trừ của CCPA liên quan đến thông tin y tế và quyền riêng tư về sức khỏe.

Nhưng đó không phải là tất cả. Tua nhanh đến tháng 2020 năm XNUMX, và mọi thứ thậm chí còn trở nên khó hiểu hơn.

Vào ngày 3 tháng 2020 năm 24, cử tri California đã bỏ phiếu thông qua dự luật XNUMX, Đạo luật về quyền riêng tư của California năm 2020 (CPRA) hoặc cái mà một số người gọi là CCPA 2.0. CPRA sẽ không có hiệu lực cho đến ngày 1 tháng 2023 năm XNUMX, nhưng nó thậm chí còn kéo theo nhiều thay đổi hơn mà các doanh nghiệp sẽ cần phải tuân thủ bao gồm

• Định nghĩa mới về doanh nghiệp được bảo hiểm
• Ngôn ngữ bổ sung về chia sẻ dữ liệu
• Quyền của người tiêu dùng bổ sung
• Quy định mới cho danh mục “thông tin cá nhân nhạy cảm”
• Định nghĩa mới về “sự đồng ý”
• Thay đổi định nghĩa về “nhà cung cấp dịch vụ”
• Mở rộng quyền hành động cá nhân đối với các vi phạm dữ liệu
• Yêu cầu tiết lộ mới
• Loại bỏ thời gian chữa bệnh 30 ngày
• Miễn trừ mở rộng cho nhân viên và dữ liệu B2B
• Thành lập Cơ quan Bảo vệ Quyền riêng tư California
• Và nhiều hơn nữa

Mọi công ty, bao gồm cả các doanh nghiệp cần sa, nên hiểu các yêu cầu hiện tại theo CCPA và những điều sắp xảy ra trong CPRA. Bây giờ là lúc để bắt đầu xem xét và cải tiến các chính sách và thủ tục của bạn.

Đối với một số công ty, việc tuân thủ các luật này là một nhiệm vụ rất lớn, nhưng rủi ro của việc không tuân thủ – về các vụ kiện và hình phạt tiền – lại quá lớn nên không thể bỏ qua. Sau đây là 10 hành động ban đầu mà các doanh nghiệp cần sa có thể thực hiện để tuân thủ CCPA.

1. Xác định Ngân sách Tuân thủ CCPA

Ngân sách tuân thủ CCPA của doanh nghiệp cần sa của bạn phụ thuộc vào một số yếu tố. Điều quan trọng là bạn cần xem xét việc thuê nhân viên mới để quản lý việc tuân thủ ngay hôm nay và trên cơ sở liên tục. Ngoài ra, bạn sẽ cần đào tạo nhân viên tuân theo các quy trình công việc mới nhằm nỗ lực đáp ứng các yêu cầu của CCPA.

Mặc dù phần lớn ngân sách của bạn sẽ được sử dụng trong thời gian ngắn để giúp công ty của bạn tuân thủ các quy định mới, nhưng bạn cũng sẽ cần đầu tư vào việc giám sát tuân thủ liên tục. CCPA có thể sẽ phát triển và các tiểu bang khác đã tăng cường nỗ lực để thông qua các luật nghiêm ngặt hơn về quyền riêng tư.

2. Thuê nhân viên chủ chốt

Nếu doanh nghiệp của bạn chưa có chuyên gia tuân thủ trong đội ngũ nhân viên, bây giờ là lúc để thuê một chuyên gia. Hơn nữa, bạn sẽ cần nhân viên bảo mật có kinh nghiệm để thực hiện các thay đổi cần thiết đối với trang web, hệ thống của công ty bạn, v.v.

Điều quan trọng là phải có một người chịu trách nhiệm dẫn đầu các nỗ lực tuân thủ trong công ty của bạn và điều đó bao gồm cả việc tuân thủ CCPA. Thông thường, người này sẽ ở cấp điều hành và có thể có người quản lý và các chuyên gia khác trong đội ngũ nhân viên (hoặc có sẵn với tư cách là chuyên gia tư vấn) để hỗ trợ họ. Tùy thuộc vào quy mô doanh nghiệp của bạn, việc tuân thủ có thể yêu cầu cả một nhóm người.

3. Phát triển quy trình lập bản đồ và lưu giữ dữ liệu

Quản trị dữ liệu là một phần quan trọng trong việc tuân thủ CCPA của doanh nghiệp cần sa của bạn. Bạn phải có sẵn các quy trình để xác định cách thu thập thông tin cá nhân, cách phân loại, cách lưu trữ, nơi lưu trữ, cách bảo vệ thông tin và cách doanh nghiệp của bạn ngăn chặn việc chia sẻ, bán hoặc phân phối bất hợp pháp dữ liệu đó.

CCPA bao gồm một điều khoản quy định rằng các công ty phải có khả năng cung cấp cho người tiêu dùng yêu cầu thông tin cá nhân của họ tất cả dữ liệu được thu thập trong khung thời gian được pháp luật cho phép. Nếu doanh nghiệp của bạn không có sẵn quy trình để xác định và ánh xạ thông tin cá nhân tới các nguồn của nó, thì việc đáp ứng các yêu cầu này có thể rất tốn thời gian nếu không muốn nói là không thể. Trên thực tế, nếu quy trình của bạn không đầy đủ, doanh nghiệp cần sa của bạn có thể phải đối mặt với các vụ kiện và hình phạt.

4. Phát triển hệ thống phản hồi yêu cầu của người tiêu dùng

CCPA cho các công ty một khoảng thời gian để phản hồi các yêu cầu của người tiêu dùng về thông tin cá nhân được thu thập về họ. Nếu công ty của bạn không có sẵn hệ thống phản hồi và không thể cung cấp thông tin được yêu cầu theo luật cho phép, thì bạn có thể không phản hồi đầy đủ trong khung thời gian đó. Một lần nữa, doanh nghiệp của bạn có thể phải đối mặt với các vụ kiện và hình phạt tốn kém.

Điều cần thiết là doanh nghiệp của bạn phải phát triển một hệ thống phản hồi yêu cầu của người tiêu dùng và càng nhiều hệ thống đó phải được tự động hóa càng tốt. Hãy tưởng tượng nếu bạn nhận được 10 hoặc 100 yêu cầu trong vòng một tháng. Nếu các hệ thống không được tự động hóa, doanh nghiệp của bạn có thể không đáp ứng kịp thời tất cả các yêu cầu đó và có thể gặp nhiều rắc rối – về mặt pháp lý và tài chính.

5. Tạo Hệ thống Chọn không tham gia của Người tiêu dùng

Theo CCPA, người tiêu dùng California có quyền từ chối sử dụng các công nghệ theo dõi và quảng cáo của bên thứ ba. Do đó, bạn cần hiểu đầy đủ về tất cả công nghệ được sử dụng trên trang web, ứng dụng dành cho thiết bị di động, v.v.

Bạn cũng cần tạo một hệ thống từ chối theo dõi người tiêu dùng để người tiêu dùng có thể từ chối theo dõi bất cứ lúc nào. Giống như hệ thống phản hồi yêu cầu của người tiêu dùng (xem #4 ở trên), hệ thống chọn không tham gia của người tiêu dùng phải được tự động hóa trong phạm vi có thể. Mặc dù điều này sẽ bao gồm chi phí phát triển và triển khai cao hơn hiện nay, nhưng bạn sẽ tiết kiệm được nhiều thời gian và tiền bạc hơn sau này nếu bạn tự động hóa hệ thống ngay bây giờ.

6. Cập nhật chính sách bảo mật

Chính sách quyền riêng tư của doanh nghiệp cần sa của bạn cần được cập nhật để tuân thủ CCPA. Xin lưu ý rằng việc cập nhật chính sách quyền riêng tư có nghĩa là cập nhật các thông báo và chính sách quyền riêng tư nội bộ và bên ngoài.

Nói cách khác, yêu cầu pháp lý này không chỉ áp dụng cho chính sách bảo mật được công bố trên trang web của bạn. Nó cũng đề cập đến các chính sách, tiết lộ và thông báo liên quan đến quyền riêng tư được sử dụng trong toàn bộ doanh nghiệp của bạn.

7. Xây dựng quy trình phản hồi pháp lý và cơ quan quản lý

Công ty của bạn sẽ phản hồi như thế nào nếu cơ quan quản lý yêu cầu thông tin về các quy trình tuân thủ CCPA của bạn? Điều gì sẽ xảy ra nếu người tiêu dùng nộp đơn kiện dân sự chống lại doanh nghiệp cần sa của bạn liên quan đến thông tin cá nhân của họ theo CCPA? Cả hai đều có thể xảy ra vào một thời điểm nào đó, vì vậy bạn cần có quy trình công việc để hợp lý hóa quy trình phản hồi, bao gồm cả hệ thống tự động hóa trong phạm vi có thể.

Người lãnh đạo tuân thủ của doanh nghiệp cần sa của bạn (xem #2 ở trên) nên giám sát quy trình phản hồi, nhưng tất cả nhân viên có vai trò thu thập và cung cấp dữ liệu được yêu cầu cần phải hiểu những gì được mong đợi ở họ. Các quy trình công việc này nên bao gồm các trách nhiệm và thời hạn cụ thể.

8. Xác định chính sách và đào tạo nhân viên

Mọi nhân viên kinh doanh cần sa nên được đào tạo về CCPA và hiểu tầm quan trọng của nó. Họ phải hiểu đầy đủ trách nhiệm của mình và được đào tạo về quy trình công việc mà họ sẽ phải thực hiện để đáp ứng các yêu cầu thông tin từ người tiêu dùng, cơ quan quản lý và các vụ kiện của tòa án.

CCPA và đào tạo tuân thủ quyền riêng tư không phải là việc một lần. Khi luật phát triển và nhiều tiểu bang ban hành các quy định mới về quyền riêng tư, việc đào tạo cập nhật sẽ được yêu cầu liên tục để đảm bảo doanh nghiệp cần sa của bạn luôn tuân thủ đầy đủ.

9. Xem xét các nhà cung cấp dịch vụ và dữ liệu của bên thứ ba để tuân thủ

Nếu công ty của bạn dựa vào các nhà cung cấp dịch vụ hoặc bên thứ ba để cung cấp, lưu trữ, quản lý hoặc thu thập, chia sẻ, bán hoặc phân phối dữ liệu với hoặc thay mặt cho doanh nghiệp của bạn, thì bạn cần xem xét việc tuân thủ CCPA của họ. Ngoài ra, các hợp đồng phải được cập nhật để giải quyết những thay đổi cần thiết dựa trên các quy định của CCPA.

Điều bắt buộc là doanh nghiệp cần sa của bạn phải liên tục kiểm tra các nhà cung cấp dịch vụ và bên thứ ba để đảm bảo họ tiếp tục tuân thủ CCPA cũng như tất cả các luật về quyền riêng tư khác của liên bang và tiểu bang. Đây là một bước quan trọng sẽ làm giảm rủi ro của công ty bạn trong dài hạn.

10. Theo dõi Luật Riêng tư của California và các Bang khác

Không chỉ CCPA sẽ tiếp tục phát triển, mà các các tiểu bang đang sửa đổi luật riêng tư để giúp người tiêu dùng kiểm soát cách các công ty sử dụng thông tin cá nhân của họ. Một lần nữa, bạn cần có người lãnh đạo và nhóm tuân thủ phù hợp để liên tục giám sát các luật này, để doanh nghiệp cần sa của bạn có thể hành động theo yêu cầu.

Những điểm rút ra chính về Tuân thủ CCPA

Các doanh nghiệp cần sa cần hành động ngay bây giờ để đảm bảo họ hoàn toàn tuân thủ CCPA và CPRA nhằm giảm rủi ro liên quan đến việc không tuân thủ trong tương lai. 10 bước này sẽ giúp bạn bắt đầu. Điều quan trọng là bắt đầu làm việc với chiến lược tuân thủ và triển khai của công ty bạn ngay bây giờ nếu bạn chưa làm như vậy vì việc thực thi CCPA đã bắt đầu.

Việc thực thi CPRA phải đến ngày 1 tháng 2023 năm 1 mới bắt đầu, nhưng điều quan trọng là phải hiểu rằng CPRA ảnh hưởng đến thông tin cá nhân được thu thập vào hoặc sau ngày 2022 tháng XNUMX năm XNUMX. Nói cách khác, bạn không có hai năm để tăng tốc. Bạn thực sự chỉ có một năm để thiết lập các hệ thống phù hợp nhằm tuân thủ CPRA.

Đối với các doanh nghiệp dựa vào Cơ sở dữ liệu giấy phép truyền thông Cannabiz để tạo khách hàng tiềm năng và phát triển, họ có thể yên tâm rằng nó đã hoàn toàn tuân thủ CCPA. Bạn có thể theo liên kết để tìm hiểu thêm về cách đảm bảo tiếp thị qua email và CRM của bạn tuân thủ CCPA.

Aukcje internetowe dla Twojej strony!Lịch trình một bản demo của Cơ sở dữ liệu giấy phép truyền thông Cannabiz để xem nó có thể giúp doanh nghiệp của bạn phát triển như thế nào.

Aukcje internetowe dla Twojej strony!Xuất bản lần đầu ngày 3/24/20. Cập nhật 12/4/20.