大麻企业需要隐私政策

大麻企业需要隐私政策

时间戳:4 年 2023 月 10 日上午 00:XNUMX
源节点: 2916781

到了 2023 年,许多大麻企业仍然缺少一份重要的运营文件:隐私政策。 我一直在写和谈论这个问题 多年。 事情并没有好转。 那么我们再讨论一次吧。

首先,加利福尼亚州长期以来一直要求隐私政策(嗯,至少在互联网方面“很长”)。 在下面 加州法律,商业网站运营商收集“通过互联网收集有关居住在加利福尼亚州使用或访问其商业网站的个人消费者的个人身份信息”的商业网站运营商需要隐私政策。 有很多东西需要消化。 在英语中,如果加州消费者使用或访问网站所有者的网站,则网站所有者必须制定隐私政策。

任何在加利福尼亚州经营并拥有网站的大麻企业显然都必须遵守这一要求。 但是一家总部位于爱荷华州的大麻公司呢? 好吧,只要加州居民使用或访问它,该要求就适用。 除非大麻企业可以明确表示其网站没有加州用户/访问者,否则最佳做法是获取隐私政策。 如果您阅读了上述法律,就会发现要求相对容易控制,而且不会太严格。 但这还不是故事的结局。

2018年,加州通过了 加州消费者隐私法(CCPA)。 CCPA 的灵感来自于欧盟早期的 通用数据保护条例(GDPR)。 与 GDPR 一样,CCPA 规定了一系列与个人信息相关的消费者权利。 它还对适用的企业提出了一系列新的法律要求(更多内容见下文)。 2020 年,加州选民通过了 第 24 号提案,a/k/a,《加州隐私权法案》(CPRA),对 CCPA 进行了修订和补充。 你打赌还有 法规 处理。

CCPA 提出的众多要求之一就是制定隐私政策。 与之前的法律不同,CCPA 的要求更加严格。 看 此处 例如。 GDPR 也是如此。 对于任何受这些新隐私制度约束的企业来说,起草合规的隐私政策都是一项挑战。 因此,最重要的问题是,这些法律适用于谁? 对于 CCPA 来说, 加州总检察长表示:

CCPA 适用于在加利福尼亚州开展业务并满足以下任何条件的营利性企业:

  • 年总收入超过 25 万美元;
  • 购买、出售或共享 100,000 名或更多加州居民、家庭或设备的个人信息; 或者
  • 其年收入的 50% 或更多来自出售加州居民的个人信息。

这里的第二个百万美元问题是做生意意味着什么。 当然,CCPA 并没有明确定义这一点。 但在法律的其他部分,CCPA 表示,“就本标题而言,如果企业在消费者位于加利福尼亚州境外时收集了该信息,且消费者个人信息的销售行为没有发生在加利福尼亚州,则商业行为完全发生在加利福尼亚州境外” ,并且不会出售消费者在加利福尼亚州期间收集的个人信息。 本款不应禁止企业在消费者位于加利福尼亚州时存储消费者的个人信息(包括在设备上),然后在消费者和存储的个人信息位于加利福尼亚州境外时收集该个人信息。”

因此,企业可以放心地认为,只要满足上述阈值之一,即使与金州关系不密切,也可能使他们受到 CCPA 的要求。 这意味着企业需要强有力的隐私政策。

GDPR 怎么样? GDPR 是 甚至更广泛 在适用范围:

2. 本条例适用于非欧盟境内的控制者或处理者对欧盟境内数据主体的个人数据的处理,其中处理活动涉及:

(a) 向欧盟内的数据主体提供商品或服务,无论是否需要数据主体付款; 或者

(b) 监控他们的行为,只要他们的行为发生在联盟内。

仅仅向欧盟居民提供服务(即使是免费)的公司最终可能会受到 GDPR 的约束。 公平地说,对于普通大麻公司来说,情况并非如此。 它更有可能影响在电子商务中销售的大麻/大麻素公司。 但即使是大麻公司也可以通过营销和销售努力进入 GDPR 领域。

如果这些法律中的任何一条适用——或者如果企业认为这些法律 可以 适用——隐私政策是必要的。 如果企业未能采用隐私政策,有很多原告律师会提起诉讼,在某些情况下会通过集体诉讼的方式提起诉讼。 如果隐私政策不准确或公司不遵守,情况会变得更糟。

隐私政策是任何大麻公司的关键(并且通常是法律要求的)文件。 如果没有它,不仅可能违反法律,还可能引发诉讼。 它不需要花费大量的资金,如果做得好,可以节省大量的金钱和后端的汗水。

在结束这篇文章之前,我应该提到,在数据保护方面,隐私政策并不是大麻公司需要担心的唯一问题。 CCPA、GDPR 和其他法律除了制定隐私政策之外还提出了许多要求。 例如,参见 我的这个帖子 不久前关于 CCPA 和删除请求的问题。 这些东西可能会变得极其复杂。 与隐私政策一样,最好尽早投资于隐私法合规性,而不是日后的辩护律师。

时间戳记:

更多来自 哈里斯·布里肯