De California Consumer Privacy Act (CCPA) is begin dit jaar van kracht geworden. CCPA is een enorme privacywet die qua reikwijdte vergelijkbaar is met de beruchte Algemene Verordening Gegevensbescherming van de Europese Unie, en is van toepassing op veel bedrijven (niet alleen cannabisbedrijven) die gevestigd zijn in of zelfs “zaken doen” in Californië. Ik schreef over de drempelwaarden voor de vraag of CCPA van toepassing is hier, en de moraal van het verhaal is dat de lat behoorlijk laag kan liggen als het gaat om de toepassing van de wet.

Voor bedrijven die onder de CCPA vallen, kan de naleving lastig zijn. Een van de kenmerken van de wet is dat deze consumenten in Californië veel nieuwe rechten biedt die zij kunnen uitoefenen met betrekking tot bedrijven die de persoonlijke gegevens van consumenten bewaren. Deze rechten omvatten zaken als het recht om een ​​bedrijf opdracht te geven persoonlijke informatie van consumenten niet te verkopen, een recht om specifiek te weten welke soorten persoonlijke informatie een bedrijf heeft verzameld, en, belangrijker nog, voor dit stuk, een recht om bedrijven te verzoeken persoonlijke informatie van de consument te verwijderen. .

Het verwijderingsrecht is waar ik vandaag op wil focussen. Volgens CCPA reglementmoeten bedrijven die verwijderingsverzoeken ontvangen binnen een korte periode de ontvangst bevestigen en vervolgens binnen 45 dagen vanaf de ontvangstdatum op het verzoek reageren (in sommige gevallen kan dit worden verdubbeld tot 90 dagen). Bedrijven kunnen verschillende methoden gebruiken om te bevestigen dat de persoon die het verzoek indient, daadwerkelijk de persoon is wiens informatie zal worden verwijderd (ik zou een heel bericht kunnen schrijven alleen ter verificatie). Aan het einde van het proces moet het bedrijf persoonlijke gegevens verwijderen, tenzij er een uitzondering is, die ik hieronder zal bespreken.

Verwijderingsverzoeken kunnen behoorlijk belangrijk zijn voor gedekte bedrijven. Dergelijke bedrijven moeten mogelijk marketing- of andere belangrijke informatie verwijderen die anderszins waardevol is. Het verwijderingsproces zelf kan ook tijdrovend en duur zijn (vooral voor kleine bedrijven die mogelijk niet over een speciaal complianceteam beschikken). Als het echter om cannabisbedrijven gaat, is het mogelijk dat er veel redenen zijn om informatie achter te houden.

CCPA maakt duidelijk dat dit onder de bedrijven viel mogen hebben het recht om een ​​verwijderingsverzoek af te wijzen als dit nodig is voor het bedrijf of zijn dienstverlener om:

1. Voltooi de transactie waarvoor de persoonlijke informatie is verzameld, voldoe aan de voorwaarden van een schriftelijke garantie of productterugroeping uitgevoerd in overeenstemming met federale wetgeving, lever een goed of dienst waarom de consument vraagt, of redelijkerwijs verwacht binnen de context van de lopende zaken van een bedrijf relatie met de consument, of anderszins een overeenkomst tussen het bedrijf en de consument uitvoeren.
2. Detecteer beveiligingsincidenten, bescherm tegen kwaadwillende, misleidende, frauduleuze of illegale activiteiten; of vervolg degenen die verantwoordelijk zijn voor die activiteit.
3. Foutopsporing om fouten te identificeren en te repareren die de bestaande beoogde functionaliteit aantasten.
4. Maak gebruik van de vrijheid van meningsuiting, waarborg het recht van een andere consument om het recht op vrije meningsuiting van die consument uit te oefenen, of oefen een ander recht uit waarin de wet voorziet.
5. Voldoen aan de California Electronic Communications Privacy Act overeenkomstig hoofdstuk 3.6 (beginnend met sectie 1546) van titel 12 van deel 2 van het wetboek van strafrecht.
6. Deelnemen aan openbaar of collegiaal getoetst wetenschappelijk, historisch of statistisch onderzoek in het algemeen belang dat voldoet aan alle andere toepasselijke ethische en privacywetten, wanneer het verwijderen van de informatie door het bedrijf de uitvoering van dergelijk onderzoek waarschijnlijk onmogelijk maakt of ernstig schaadt , als de consument geïnformeerde toestemming heeft gegeven.
7. Om uitsluitend intern gebruik mogelijk te maken dat redelijkerwijs is afgestemd op de verwachtingen van de consument op basis van de relatie van de consument met het bedrijf.
8. Voldoen aan een wettelijke verplichting.
9. Gebruik anders de persoonlijke informatie van de consument intern op een wettige manier die compatibel is met de context waarin de consument de informatie heeft verstrekt.

Deze incidenten zijn ongelooflijk breed en kunnen van toepassing zijn op een breed scala aan informatie. Maar nummer 8 is behoorlijk belangrijk voor cannabisbedrijven. In interpretatief materieel uitgegeven in coördinatie met de CCPA-regelgeving, merkte het personeel van de procureur-generaal van de CA het volgende op:

Deze verduidelijking is niet nodig omdat in [het hierboven geciteerde gedeelte] wordt uiteengezet wanneer een bedrijf niet verplicht is om te voldoen aan het recht van een consument om te verwijderen, inclusief wanneer hij de informatie moet bewaren om aan een wettelijke verplichting te voldoen. Burgerlijk Wetboek § 1798.145(c) bepaalt ook dat de CCPA het vermogen van een bedrijf om onder meer te voldoen aan federale, staats- en lokale wetten niet zal beperken. Verder stelt het Burgerlijk Wetboek § 1798.196 dat het bedoeld is als aanvulling op de federale en staatswetgeving, indien toegestaan, maar niet van toepassing zal zijn als een dergelijke toepassing wordt ontkracht door of in strijd is met de federale wetgeving van de grondwet van de Verenigde Staten of Californië.

Als we deze interpretatie uit de doeken doen, lijkt het waarschijnlijk dat erkend Cannabisbedrijven die op grond van de staatswet inzake de regulering en veiligheid van cannabis voor volwassenen (“MAUCRSA”) en overeenkomstige regelgeving verplicht zijn om bepaalde categorieën persoonlijke consumenteninformatie te bewaren, kunnen worden vrijgesteld van het verwijderen van die informatie. Hier zijn twee goede voorbeelden:

1. Retail-cannabisbedrijven zijn verplicht onder Bureau of Cannabis Control (BCC) reglement om videobeveiligingsbeelden gedurende 90 dagen of langer te bewaren, en zijn verplicht om in de detailhandel camera's te gebruiken die gezichtskenmerken kunnen vastleggen. Dit kan onder de CCPA ‘biometrische’ informatie vormen (waarvan wordt gedefinieerd dat het ook ‘afbeeldingen van het... gezicht’ omvat) en kan daarom onder de CCPA als persoonlijke informatie worden beschouwd.
2. Cannabisbezorgbedrijven zijn verplicht gegevens bij te houden waarmee de BCC kan achterhalen welke persoon zij cannabis hebben geleverd. Het blijkt dat deze verplichting voor 7 jaar geldt. Deze informatie zou ongetwijfeld persoonlijke informatie bevatten.

Voor zover cannabisbedrijven wettelijk verplicht zijn om persoonlijke informatie te bewaren, kunnen ze die mogelijk gebruiken als schild om te voldoen aan verzoeken om gegevensverwijdering. Dit is een enorme oversimplificatie. Zoals je zou verwachten, is het niet altijd duidelijk of (1) iets persoonlijke informatie is, en (2) er een daadwerkelijke wettelijke verplichting bestaat om die informatie te bewaren. Bedrijven die verwijderings- of andere CCPA-verzoeken ontvangen, moeten contact opnemen met privacyprofessionals of advocaten om de reikwijdte van de verzoeken te bepalen. Als u niet op de juiste manier reageert, kan dit leiden tot aanzienlijke boetes.

Bron: https://harrisbricken.com/cannalawblog/consumer-privacy-california-cannabis-and-ccpa-deletion-requests/