CCPA和CPRA合规性：大麻企业现在需要做什么？ Cannabiz媒体

的执行 加州消费者隐私法案 (CCPA) 于 1 年 2020 月 XNUMX 日开始实施。CCPA 赋予居住在加利福尼亚州的消费者对公司如何使用其个人信息的更大控制权。 因此，所有公司都需要审查其数据、系统和流程，以确保完全遵守新法律。

直到 14 年 2020 月 XNUMX 日星期五，该州总检察长才宣布了相关规定 实施 CCPA 获得批准并立即生效。 然而，遵守 CCPA 对企业来说变得更加令人困惑，因为在某些情况下， 执法规定 超出了 CCPA 法规的要求。

然而故事还没有结束。 事实上，合规问题才刚刚开始。

2020 年 XNUMX 月，加州州长加文·纽瑟姆 (Gavin Newsom) 签署 两个修正案 将 CCPA 纳入法律。 AB 1281 延长了对员工数据和企业对企业 (B2B) 数据的部分豁免，该豁免此前定于 1 年 2021 月 713 日到期。AB XNUMX 修订了 CCPA 与医疗信息和健康隐私相关的豁免。

但这还不是全部。 快进到 2020 年 XNUMX 月，事情变得更加混乱。

3 年 2020 月 24 日，加州选民批准了投票提案 XNUMX，即 2020 年加州隐私权法案 (CPRA)，或者有些人称之为 CCPA 2.0。 CPRA 要到 1 年 2023 月 XNUMX 日才会生效，但它甚至带来了 更多变化 企业需要遵守的包括

• 涵盖业务的新定义
• 有关共享数据的附加语言
• 额外的消费者权利
• “敏感个人信息”类别的新规则
• “同意”的新定义
• “服务提供商”定义的变更
• 扩大数据泄露私人诉讼权
• 新的披露要求
• 取消30天治愈期
• 员工和 B2B 数据的扩展豁免
• 加州隐私保护局成立
• 还有更多

每家公司，包括大麻企业，都应该了解 CCPA 的当前要求以及 CPRA 的规定。 现在是开始审查和修改您的政策和程序的时候了。

对于一些公司来说，遵守这些法律是一项非常艰巨的任务，但不遵守这些法律的风险（在诉讼和罚款方面）却大得不容忽视。 以下是大麻企业为遵守 CCPA 可以采取的 10 项初步行动。

1.定义CCPA合规预算

您的大麻业务的CCPA合规预算取决于许多因素。 重要的是，您需要考虑雇用新员工来持续不断地管理合规性。 此外，您还需要培训员工以遵循新的工作流程，以满足CCPA的要求。

尽管您的大部分预算将在短期内用于使您的公司符合新法规的要求，但您还需要投资于持续的法规遵从性监控。 CCPA可能会发展，其他州已经在加大力度以通过更严格的隐私法。

2.雇用关键员工

如果您的企业还没有员工合规专家，那么现在是时候聘请员工了。 此外，您将需要经验丰富的安全人员来对公司的网站，系统等进行必要的更改。

关键是要让一个人对您公司的领先合规性工作负责，其中包括CCPA合规性。 通常，此人将是执行人员，可能会有经理和其他专业人员（或可以作为顾问）来协助他们。 根据您的业务规模，合规性可能需要整个团队。

3.开发数据映射和保留流程

数据治理是大麻业务CCPA合规性的重要组成部分。 您必须具有适当的流程，以识别如何收集个人信息，如何对其进行分类，如何对其进行存储，如何对其进行存储，如何对其进行保护以及您的企业如何防止非法共享，出售或分发该数据。

CCPA 的一项条款规定，公司必须能够向请求提供个人信息的消费者提供在法律允许的时间内收集的所有数据。 如果您的企业没有适当的流程来识别个人信息并将其映射到其来源，那么响应这些请求即使不是不可能，也可能非常耗时。 事实上，如果您的流程不充分，您的大麻业务最终可能会面临诉讼和处罚。

4.开发消费者请求响应系统

CCPA 给公司一段时间来回应消费者关于收集其个人信息的请求。 如果您的公司没有适当的响应系统，并且无法按照法律允许的方式提供所请求的信息，那么您可能无法在该时间内做出充分的响应。 同样，您的企业可能因此面临代价高昂的诉讼和处罚。

您的企业必须开发消费者请求响应系统，并且该系统中的大部分应尽可能自动化。 想象一下，如果一个月内收到10或100个请求。 如果系统不是自动化的，则您的企业可能无法及时响应所有这些请求，并可能在法律上和财务上陷入很多麻烦。

5.创建一个消费者退出系统

根据CCPA，加利福尼亚州的消费者有权选择退出第三方跟踪器和广告技术。 因此，您需要完全了解网站，移动应用程序等上使用的所有技术。

您还需要创建一个消费者选择退出系统，以便消费者可以随时选择退出跟踪。 与您的消费者请求响应系统（请参阅上面的＃4）一样，您的消费者退出系统应尽可能自动化。 尽管今天这将包括更高的开发和实施成本，但是如果您现在使系统自动化，您将节省更多的时间和金钱。

6.更新隐私政策

您的大麻企业的隐私政策需要更新，以符合CCPA的要求。 请记住，更新隐私策略是指同时更新内部和外部隐私策略和通知。

换句话说，此法律要求不仅适用于您网站上发布的隐私政策。 它还指整个企业中使用的与隐私相关的政策，披露和声明。

7.制定法律和监管机构的响应工作流程

如果监管机构要求您提供有关CCPA合规流程的信息，贵公司将如何回应？ 如果消费者根据CCPA对与您的个人信息有关的大麻业务提起民事诉讼怎么办？ 两者都可能在某个时间点发生，因此您需要适当的工作流程以简化响应过程，包括尽可能地使系统自动化。

大麻业务的合规负责人（请参见上面的第2条）应监督响应过程，但是在收集和提供所需数据中起作用的所有员工都需要了解他们的期望。 这些工作流程应包括特定的职责和时间表。

8.制定政策并培训员工

每位大麻业务员工都应接受CCPA培训，并了解其重要性。 他们应该充分理解自己的职责，并接受有关消费者，监管机构和法院诉讼的信息要求的预期工作流程的培训。

CCPA和隐私合规性培训不是一回事。 随着法律的发展以及更多州颁布新的隐私法规，将需要不断进行培训，以确保您的大麻业务始终保持完全合规。

9.审查第三方数据和服务提供商的合规性

如果您的公司依靠服务提供商或第三方与您的公司或代表您的公司提供，存储，管理或以其他方式收集，共享，出售或分发数据，则您需要查看其CCPA合规性。 此外，应根据CCPA法规更新合同以解决所需的更改。

您的大麻业务必须持续审核服务提供商和第三方，以确保它们继续遵守CCPA以及所有其他联邦和州隐私法。 这是至关重要的一步，它将长期降低您公司的风险。

10.监视加利福尼亚和其他州的隐私法

CCPA不仅将继续发展，而且其他 各州正在修改隐私法 使消费者可以控制公司如何使用其个人信息。 同样，您需要合适的合规负责人和适当的团队来持续监视这些法律，以便您的大麻企业可以根据需要采取行动。

有关CCPA合规性的关键要点

大麻企业需要立即采取行动，确保完全遵守 CCPA 和 CPRA，以减少未来与违规相关的风险。 这 10 个步骤应该可以帮助您入门。 关键是如果您尚未开始制定公司的合规策略并实施，请立即开始实施，因为 CCPA 的执行已经开始。

CPRA 的执行要到 1 年 2023 月 1 日才会开始，但重要的是要了解 CPRA 会影响 2022 年 XNUMX 月 XNUMX 日或之后收集的个人信息。换句话说，您没有两年的时间来加强。 您实际上只有一年的时间来建立正确的系统来遵守 CPRA。

对于依赖 Cannabiz媒体许可数据库 为了产生潜在客户并成长，他们可以放心，它已经完全符合CCPA的要求。 您可以点击链接以了解更多信息 如何确保您的电子邮件营销和CRM符合CCPA.

‍预约演示 的Cannabiz媒体许可数据库，以了解它如何帮助您的业务发展。

‍最初发布于3/24/20。 更新了12/4/20。