PIPEDA 鈥 kanadyjskie og贸lne rozporz膮dzenie o ochronie danych

W tym artykule wyja艣nimy wszystko na temat kanadyjskiego rozporz膮dzenia o ochronie danych PIPEDA i nadchodz膮cego rozporz膮dzenia CPPA. W nast臋pnym artykule om贸wimy bardziej szczeg贸艂owo pliki cookie i zgod臋.

kanadyjska flaga

Co to jest PIPEDA?

PIPEDA to skr贸t od Personal Information Protection and Electronic Documents Act i odnosi si臋 do nowego kanadyjskiego og贸lnego rozporz膮dzenia o ochronie danych. Nowelizacja 艂膮czy dwa poprzednie kanadyjskie przepisy o ochronie danych osobowych Ustaw臋 o ochronie prywatno艣ci konsument贸w (CPPA) oraz Ustaw臋 o Trybunale Informacji Osobowych i Ochrony Danych (PIDPTA) w kompleksowe rozporz膮dzenie r贸wnowa偶ne z RODO. Odniesienie do Europejskiego Og贸lnego Rozporz膮dzenia o Ochronie Danych mo偶na znale藕膰 w wielu miejscach w PIPEDA, dlatego cz臋sto jest ono r贸wnie偶 nazywane RODO Kanada.

Podobnie jak RODO, kanadyjska ustawa o ochronie danych reguluje post臋powanie z danymi osobowymi gromadzonymi i przechowywanymi w ramach dzia艂alno艣ci handlowej. Ustawa o ochronie danych osobowych i dokumentach elektronicznych PIPEDA jest zatem wa偶na dla wszystkich firm , kt贸re chc膮 dotrze膰 do konsument贸w w Kanadzie z us艂ugami i produktami – zar贸wno stacjonarnymi, jak i na odleg艂o艣膰. Czynno艣ci handlowe w rozumieniu PIPEDA to wszelkie transakcje i czynno艣ci o pochodzeniu handlowym lub zamiarze handlowym.

PIPEDA ma zastosowanie do firm i organizacji, kt贸re podlegaj膮 regulacjom federalnym i przepisom kanadyjskim. Ustawa o ochronie danych osobowych i dokument贸w elektronicznych ma r贸wnie偶 zastosowanie do sektora prywatnego ka偶dego wojew贸dztwa, chyba 偶e wojew贸dztwo uchwali艂o w艂asne prawo o ochronie danych, kt贸re jest zasadniczo podobne do ustawy o ochronie danych osobowych i dokument贸w elektronicznych PIPEDA. Tylko Kolumbia Brytyjska, Alberta i Quebec maj膮 przepisy dotycz膮ce prywatno艣ci, kt贸re s膮 zasadniczo podobne do ustawy PIPEDA o ochronie danych osobowych i dokumentach elektronicznych . Je艣li firma ma siedzib臋 w Kolumbii Brytyjskiej, Albercie lub Quebecu, ustawa o ochronie danych osobowych i dokumentach elektronicznych ma zastosowanie do danych osobowych gromadzonych przez te organizacje, kt贸rych wykorzystanie komercyjne wykracza poza granice tej prowincji.

10 zasad prywatno艣ci w ustawie o ochronie danych osobowych i dokument贸w elektronicznych PIPEDA

Firmy, kt贸re musz膮 przestrzega膰 przepis贸w PIPEDA, powinny w odpowiednim czasie uwzgl臋dni膰 zasady ochrony danych zawarte w RODO dla Kanady . 10 punkt贸w okre艣la prawa i obowi膮zki, kt贸rych organizacje musz膮 przestrzega膰 podczas przeprowadzania transakcji handlowych z kanadyjskimi konsumentami w ramach RODO dla Kanady :

  1. odpowiedzialno艣膰
  2. przeznaczenie
  3. zgoda
  4. Unikanie danych i oszcz臋dno艣膰 danych
  5. Przechowywanie, u偶ytkowanie i przetwarzanie
  6. precyzja
  7. integralno艣膰 i poufno艣膰
  8. przezroczysto艣膰
  9. prawo do udzielania informacji
  10. prawo apelacji

Ka偶dy, kto zna og贸lne rozporz膮dzenie o ochronie danych, dostrze偶e ju偶 wiele aspekt贸w w przegl膮dzie 10 zasad PIPEDA, kt贸re mo偶na znale藕膰 r贸wnie偶 w unijnym RODO. Niemniej jednak istniej膮 r贸偶nice w szczeg贸艂ach , tak偶e iw szczeg贸lno艣ci w odniesieniu do zgody na zbieranie danych osobowych. Rzu膰my okiem na ka偶dy z 10 punkt贸w:

1. Odpowiedzialno艣膰

Zasada rozliczalno艣ci oznacza, 偶e powy偶ej okre艣lonej wielko艣ci organizacja musi wyznaczy膰 osob臋 odpowiedzialn膮 za zarz膮dzanie zgromadzonymi i osobowymi danymi. Osoba ta nazywana jest inspektorem ochrony danych w RODO – w ustawie o ochronie danych osobowych i dokument贸w elektronicznych PIPEDA nazywana jest inspektorem ochrony prywatno艣ci lub g艂贸wnym inspektorem ochrony prywatno艣ci (CPO) . W mniejszych firmach Specjalista ds. Prywatno艣ci mo偶e r贸wnie偶 pe艂ni膰 swoj膮 rol臋 w niepe艂nym wymiarze czasu pracy . Jej g艂贸wnym zadaniem jest opracowywanie, wdra偶anie i monitorowanie procedur spe艂niaj膮cych wymogi ochrony danych zgodnie z PIPEDA . Ponadto inspektor ochrony danych musi przyjmowa膰 skargi dotycz膮ce gromadzenia danych i odpowiada膰 na nie . Kolejnym wa偶nym obszarem jest szkolenie pracownik贸w i komunikacja wymog贸w ochrony danych w艂a艣ciwych dla poszczeg贸lnych obszar贸w odpowiedzialno艣ci. Je偶eli konsument wyrazi艂 zgod臋 na przetwarzanie danych przez osoby trzecie, Specjalista ds. Prywatno艣ci odpowiada za przestrzeganie przez osoby trzecie wymog贸w PIPEDA.

2. Ograniczenie celu

Dlaczego firma chce przechowywa膰 dane osobowe klienta ? Cel musi zosta膰 podany konsumentowi najp贸藕niej w momencie rejestracji danych. Ujawnienie zapewnia przejrzysto艣膰, ale te偶 u艂atwia firmie wdro偶enie okre艣lonego dost臋pu. Wed艂ug PIPEDA cel zbierania danych ma by膰 komunikowany ka偶demu pracownikowi, kt贸ry ma kontakt z klientami. Je艣li na przyk艂ad klient jest proszony o podanie adresu lub numeru telefonu podczas dokonywania zakupu w kasie, wykorzystanie informacji o danych musi zosta膰 mu wyja艣nione na 偶膮danie . Formularze papierowe i formularze internetowe gromadz膮ce od klient贸w informacje umo偶liwiaj膮ce identyfikacj臋 os贸b musz膮 r贸wnie偶 jasno opisywa膰 cel zbierania. Zebrane dane osobowe nie mog膮 by膰 wykorzystywane do nowych cel贸w bez wyra藕nej zgody klienta. Wyj膮tkiem s膮 wymagania prawne, kt贸re tego wymagaj膮.

3. Zgoda

Firma nie mo偶e gromadzi膰, wykorzystywa膰 ani ujawnia膰 danych osobowych bez wiedzy i zgody klienta. Zamiar zbierania danych klient贸w musi by膰 jasno i jednoznacznie komunikowany. Je艣li dane osobowe s膮 wymagane w formularzu, niejednoznaczne sformu艂owania s膮 zatem niedozwolone. Osoba nie b臋dzie pokrzywdzona, je艣li odm贸wi udzielenia informacji. Firmy musz膮 zatem udost臋pnia膰 swoje produkty i us艂ugi r贸wnie偶 konsumentom, kt贸rzy nie chc膮 udost臋pnia膰 danych niezwi膮zanych z produktem lub us艂ug膮. Istnieje kilka wyj膮tk贸w: Firma mo偶e odm贸wi膰 wyra偶enia zgody, je艣li istniej膮 ku temu powody prawne lub medyczne. Wzgl臋dy bezpiecze艅stwa mog膮 r贸wnie偶 dotyczy膰 niekt贸rych produkt贸w. A je艣li informacje s膮 gromadzone w celu egzekwowania prawa, zgoda jest r贸wnie偶 uchylona. Zgoda mo偶e by膰 r贸wnie偶 uchylona w przypadku, gdy dana osoba jest ma艂oletnia, powa偶nie chora lub upo艣ledzona umys艂owo. Zgod臋 mo偶e jednak r贸wnie偶 wyrazi膰 upowa偶niony przedstawiciel.

Je艣li chodzi o rodzaj zgody, rozr贸偶nia si臋:

  • wyra藕ny
  • niejawnie
  • zrezygnowa膰

W wielu przypadkach 鈥 takich jak rejestracja online 鈥 tak jak w europejskim og贸lnym rozporz膮dzeniu o ochronie danych, r贸wnie偶 tutaj wymagana jest wyra藕na zgoda konsumenta. Zwykle nie przewiduje si臋 rezygnacji. Na przyk艂ad 偶adne zaznaczenia ani przyciski nie mog膮 by膰 wst臋pnie przypisane do zgody na pliki cookie PIPEDA 鈥 odpowiednik przepis贸w dotycz膮cych plik贸w cookie w RODO. Zgoda co do zasady nie musi by膰 wyra偶ona na pi艣mie 鈥 wystarczy zgoda ustna. Na przyk艂ad wystarczy, je艣li zainteresowana strona wyrazi zgod臋 na umieszczenie w newsletterze przez telefon. Jednak zgoda udzielana telefonicznie regularnie utrudnia firmie dostarczenie dowod贸w . W niekt贸rych przypadkach zgod臋 mo偶na r贸wnie偶 wyprowadzi膰 bezpo艣rednio z dzia艂a艅 konsumenta.

Konsumenci mog膮 wycofa膰 zgod臋 w ka偶dym czasie, z zastrze偶eniem umownych i prawnych ogranicze艅 oraz termin贸w.Sp贸艂ka jest zobowi膮zana do poinformowania klienta o skutkach wycofania zgody.

4. Unikanie danych i ekonomia danych

Zasada ograniczenia zbierania danych do ilo艣ci danych wymaganych do okre艣lonego celu jest zasad膮, kt贸ra r贸wnie偶 odgrywa wa偶n膮 rol臋 w europejskim RODO. Dane osobowe gromadzone przez firm臋 powinny by膰 ograniczone do tego, co jest niezb臋dne do dzia艂ania w ramach relacji biznesowej.

Wed艂ug PIPEDA nale偶y r贸wnie偶 unika膰 gromadzenia i przechowywania niepotrzebnych danych osobowych. Sprawiedliwe i zgodne z prawem post臋powanie z danymi, kt贸re kryje si臋 pod has艂em 鈥瀠czciwe i zgodne z prawem 艣rodki鈥, ma na celu suwerenno艣膰 danych klienta i potrzeb臋 przejrzystych proces贸w. Cel, dla kt贸rego maj膮 by膰 gromadzone niekt贸re dane osobowe, nie mo偶e by膰 przes艂oni臋ty przez oszustwo lub niejednoznaczne stwierdzenia.

5. Przechowywanie, u偶ytkowanie i przetwarzanie

Korzystanie z zapisanych danych mo偶e porusza膰 si臋 wy艂膮cznie po korytarzu znanym Klientowi i na kt贸ry wyrazi艂 on zgod臋. Ujawnienie lub inne wykorzystanie danych osobowych nie jest dozwolone na mocy kanadyjskiego og贸lnego rozporz膮dzenia o ochronie danych PIPEDA. Okresy przechowywania s膮 oparte na wymaganiach firmy i innych przepisach prawnych. Zalecany minimalny okres przechowywania dla firm to jeden rok. Okres ten pozostawia firmie wystarczaj膮c膮 zdolno艣膰 do sprawdzenia i przestrzegania wymog贸w prawnych. Maksymalny okres przechowywania ma zosta膰 okre艣lony i ujawniony przez firm臋.

Nie zezwala si臋 na nieograniczone przechowywanie danych 鈥 konsument musi zosta膰 poinformowany na 偶膮danie, kiedy jego dane zostan膮 trwale usuni臋te. W razie potrzeby dane mo偶na anonimizowa膰 i niszczy膰 z wyprzedzeniem, z uwzgl臋dnieniem termin贸w. Ponadto organizacja musi mie膰 mo偶liwo艣膰 ujawnienia, kto i w jakim zakresie otrzyma艂 zgod臋 na przetwarzanie danych.

6. Dok艂adno艣膰

Zasada dok艂adno艣ci zapewnia, 偶e dane osobowe gromadzone przez firm臋 s膮 poprawne, kompletne i aktualne do cel贸w, w jakich s膮 wykorzystywane.

Nale偶y pami臋ta膰, 偶e zebrane dane maj膮 by膰 wykorzystywane w najlepszym interesie konsumenta.

Okre艣lenie poprawno艣ci w PIPEDA ma znaczenie nie tylko dla relacji mi臋dzy firmami a klientami. Na przyk艂ad, je艣li organizacja gromadzi dane osobowe w celu sprawdzenia profili kandydat贸w przed procesem rekrutacji, nale偶y zapewni膰, aby nieprawid艂owe lub niepe艂ne rejestrowanie nie powodowa艂o niekorzystnych skutk贸w dla kandydat贸w.

Aktualizacja danych osobowych

Zasadniczo nie jest dozwolone automatyczne i regularne aktualizowanie danych osobowych. Ta wytyczna w PIPEDA dotyczy r贸wnie偶 informacji przekazywanych stronom trzecim.

7. Uczciwo艣膰 i poufno艣膰

Zasada integralno艣ci i poufno艣ci oznacza, 偶e dane osobowe musz膮 by膰 chronione przed utrat膮 lub kradzie偶膮 , nieuprawnionym dost臋pem, ujawnieniem, kopiowaniem, zmian膮 lub nieuprawnionym wykorzystaniem. Zasada ta obowi膮zuje niezale偶nie od formatu, w jakim przechowywane s膮 dane.

Odpowiednie 艣rodki ochronne

Wysi艂ek zale偶y od wielko艣ci firmy. Ma艂a firma, kt贸ra zbiera adresy e-mail klient贸w do biuletynu online, mo偶e przechowywa膰 adresy e-mail w arkuszu kalkulacyjnym. Je偶eli tabela jest zabezpieczona has艂em i dodatkowo zaszyfrowana w wysokim stopniu, mo偶na za艂o偶y膰 odpowiedni膮 ochron臋.

Du偶e organizacje cz臋sto zarz膮dzaj膮 wra偶liwymi danymi osobowymi na du偶膮 skal臋 鈥 pomimo ca艂ej gospodarki opartej na danych. Firmy te s膮 r贸wnie偶 bardziej nara偶one na ataki atakuj膮cych, dlatego nale偶y tutaj zastosowa膰 znacznie silniejsze 艣rodki bezpiecze艅stwa.

Wszystkie 艣rodki bezpiecze艅stwa powinny zapewnia膰 ponadprzeci臋tn膮 ochron臋 danych osobowych, kt贸re maj膮 by膰 chronione, aby zapewni膰 wysoki poziom integralno艣ci.

Zniszczenie danych osobowych

Je艣li dane osobowe maj膮 zosta膰 usuni臋te lub zniszczone, mo偶na wykluczy膰 ich odzyskanie na podstawie os膮du cz艂owieka i przy u偶yciu wysokich standard贸w technologicznych do niszczenia danych. Dotyczy to zar贸wno fizycznego niszczenia dokument贸w papierowych, jak i niszczenia baz danych na modu艂ach pami臋ci.

8. Przejrzysto艣膰

Firma musi zapewni膰 艂atwy dost臋p do swoich zasad i procedur post臋powania z danymi osobowymi. Klienci musz膮 zatem mie膰 dost臋p do tych informacji bez skomplikowanych objazd贸w. Odpowiedzi na zapytania konsument贸w dotycz膮ce ochrony danych musz膮 by膰 udzielane w rozs膮dnym czasie i tak bezpo艣rednio, jak to mo偶liwe . Podane informacje musz膮 by膰 sformu艂owane w spos贸b og贸lnie zrozumia艂y. Nale偶y unika膰 terminologii prawnej.

Wymagania od PIPEDA

Wed艂ug PIPEDA organizacja musi dostarczy膰 te dane na 偶膮danie:

  • Imi臋 i nazwisko lub tytu艂 i adres osoby odpowiedzialnej za polityk臋 i praktyki organizacji, do kt贸rej mo偶na kierowa膰 skargi lub zapytania.
  • Sposoby dost臋pu do danych osobowych
  • Rodzaj zbieranych danych osobowych wraz z opisem ich wykorzystania.
  • Pisemne informacje wyja艣niaj膮ce zasady i standardy organizacji firmy

9. Prawo do informacji

Na 偶膮danie firma musi przekaza膰 osobie informacje o przechowywanych danych osobowych i ich wykorzystaniu po uwierzytelnieniu. Je偶eli klient ma w膮tpliwo艣ci co do poprawno艣ci lub kompletno艣ci danych osobowych, mo偶e domaga膰 si臋 zmiany zapisanych danych. Mo偶e to oznacza膰 poprawianie , usuwanie lub dodawanie danych .

wyj膮tki

Informacji o danych osobowych mo偶na odm贸wi膰 z r贸偶nych powod贸w. Dzieje si臋 tak w przypadku, gdy informacje obj臋te s膮 tajemnic膮 adwokacko-klienck膮 lub gdy ujawnione zostan膮 poufne informacje biznesowe.

Wymagania dotycz膮ce uwierzytelniania

Przed udost臋pnieniem danych osobowych firma musi upewni膰 si臋, 偶e komunikuje si臋 z odpowiedni膮 osob膮.

Niekt贸re organizacje robi膮 to, prosz膮c o dow贸d to偶samo艣ci wydany przez rz膮d. W razie potrzeby mo偶liwa jest r贸wnie偶 weryfikacja na podstawie informacji o koncie w po艂膮czeniu z innymi informacjami, takimi jak nazwisko panie艅skie lub zapisane has艂o. Jednak surowe wymagania dotycz膮ce uwierzytelniania nie mog膮 stanowi膰 przeszkody w prawie do informacji.

Informacje 鈥 czas i koszty

Odpowiedzi na pro艣by o informacje b臋d膮 udzielane w rozs膮dnym czasie i przy minimalnych kosztach lub bez koszt贸w dla danej osoby. Nie p贸藕niej ni偶 30 dni po otrzymaniu wniosku nale偶y na nie odpowiedzie膰. Je偶eli wyj膮tkowo firma potrzebuje wi臋cej czasu na udzielenie informacji, musi wys艂a膰 tej osobie decyzj臋 tymczasow膮 i poda膰 prawdopodobny pow贸d op贸藕nienia.

10. Prawo do z艂o偶enia skargi

Prawo do odwo艂ania zakotwiczone w PIPEDA umo偶liwia klientom i konsumentom podejmowanie ukierunkowanych dzia艂a艅 przeciwko firmom w przypadku naruszenia przepis贸w RODO Kanada.

Firmy musz膮 zapewni膰 procedury przyjmowania skarg i zapyta艅 oraz odpowiadania na nie. Procedury te powinny by膰 proste i 艂atwe w u偶yciu. Ponadto, zgodnie z kanadyjskim RODO, firmy s膮 zobowi膮zane do 艣ledzenia i badania skarg, nawet je艣li uwa偶aj膮, 偶e skarga wydaje si臋 bezpodstawna . Je偶eli reklamacja oka偶e si臋 zasadna, nale偶y podj膮膰 odpowiednie dzia艂ania naprawcze. Za przyjmowanie skarg i wszczynanie procedur odpowiada inspektor ochrony danych firmy.

CMP

Twoje pytania dotycz膮ce CMP & Co.

Je艣li nie masz pewno艣ci, czy potrzebujesz CMP, czy nie, skontaktuj si臋 z nami 鈥 pomo偶emy Ci znale藕膰 odpowiednie rozwi膮zanie dla Twojej firmy.