W tym artykule wyjaśnimy wszystko na temat kanadyjskiego rozporządzenia o ochronie danych PIPEDA i nadchodzącego rozporządzenia CPPA. W następnym artykule omówimy bardziej szczegółowo pliki cookie i zgodę.
Co to jest PIPEDA?
PIPEDA to skrót od Personal Information Protection and Electronic Documents Act i odnosi się do nowego kanadyjskiego ogólnego rozporządzenia o ochronie danych. Nowelizacja łączy dwa poprzednie kanadyjskie przepisy o ochronie danych osobowych Ustawę o ochronie prywatności konsumentów (CPPA) oraz Ustawę o Trybunale Informacji Osobowych i Ochrony Danych (PIDPTA) w kompleksowe rozporządzenie równoważne z RODO. Odniesienie do Europejskiego Ogólnego Rozporządzenia o Ochronie Danych można znaleźć w wielu miejscach w PIPEDA, dlatego często jest ono również nazywane RODO Kanada.
Podobnie jak RODO, kanadyjska ustawa o ochronie danych reguluje postępowanie z danymi osobowymi gromadzonymi i przechowywanymi w ramach działalności handlowej. Ustawa o ochronie danych osobowych i dokumentach elektronicznych PIPEDA jest zatem ważna dla wszystkich firm , które chcą dotrzeć do konsumentów w Kanadzie z usługami i produktami – zarówno stacjonarnymi, jak i na odległość. Czynności handlowe w rozumieniu PIPEDA to wszelkie transakcje i czynności o pochodzeniu handlowym lub zamiarze handlowym.
PIPEDA ma zastosowanie do firm i organizacji, które podlegają regulacjom federalnym i przepisom kanadyjskim. Ustawa o ochronie danych osobowych i dokumentów elektronicznych ma również zastosowanie do sektora prywatnego każdego województwa, chyba że województwo uchwaliło własne prawo o ochronie danych, które jest zasadniczo podobne do ustawy o ochronie danych osobowych i dokumentów elektronicznych PIPEDA. Tylko Kolumbia Brytyjska, Alberta i Quebec mają przepisy dotyczące prywatności, które są zasadniczo podobne do ustawy PIPEDA o ochronie danych osobowych i dokumentach elektronicznych . Jeśli firma ma siedzibę w Kolumbii Brytyjskiej, Albercie lub Quebecu, ustawa o ochronie danych osobowych i dokumentach elektronicznych ma zastosowanie do danych osobowych gromadzonych przez te organizacje, których wykorzystanie komercyjne wykracza poza granice tej prowincji.
10 zasad prywatności w ustawie o ochronie danych osobowych i dokumentów elektronicznych PIPEDA
Firmy, które muszą przestrzegać przepisów PIPEDA, powinny w odpowiednim czasie uwzględnić zasady ochrony danych zawarte w RODO dla Kanady . 10 punktów określa prawa i obowiązki, których organizacje muszą przestrzegać podczas przeprowadzania transakcji handlowych z kanadyjskimi konsumentami w ramach RODO dla Kanady :
- odpowiedzialność
- przeznaczenie
- zgoda
- Unikanie danych i oszczędność danych
- Przechowywanie, użytkowanie i przetwarzanie
- precyzja
- integralność i poufność
- przezroczystość
- prawo do udzielania informacji
- prawo apelacji
Każdy, kto zna ogólne rozporządzenie o ochronie danych, dostrzeże już wiele aspektów w przeglądzie 10 zasad PIPEDA, które można znaleźć również w unijnym RODO. Niemniej jednak istnieją różnice w szczegółach , także iw szczególności w odniesieniu do zgody na zbieranie danych osobowych. Rzućmy okiem na każdy z 10 punktów:
1. Odpowiedzialność
Zasada rozliczalności oznacza, że powyżej określonej wielkości organizacja musi wyznaczyć osobę odpowiedzialną za zarządzanie zgromadzonymi i osobowymi danymi. Osoba ta nazywana jest inspektorem ochrony danych w RODO – w ustawie o ochronie danych osobowych i dokumentów elektronicznych PIPEDA nazywana jest inspektorem ochrony prywatności lub głównym inspektorem ochrony prywatności (CPO) . W mniejszych firmach Specjalista ds. Prywatności może również pełnić swoją rolę w niepełnym wymiarze czasu pracy . Jej głównym zadaniem jest opracowywanie, wdrażanie i monitorowanie procedur spełniających wymogi ochrony danych zgodnie z PIPEDA . Ponadto inspektor ochrony danych musi przyjmować skargi dotyczące gromadzenia danych i odpowiadać na nie . Kolejnym ważnym obszarem jest szkolenie pracowników i komunikacja wymogów ochrony danych właściwych dla poszczególnych obszarów odpowiedzialności. Jeżeli konsument wyraził zgodę na przetwarzanie danych przez osoby trzecie, Specjalista ds. Prywatności odpowiada za przestrzeganie przez osoby trzecie wymogów PIPEDA.
2. Ograniczenie celu
Dlaczego firma chce przechowywać dane osobowe klienta ? Cel musi zostać podany konsumentowi najpóźniej w momencie rejestracji danych. Ujawnienie zapewnia przejrzystość, ale też ułatwia firmie wdrożenie określonego dostępu. Według PIPEDA cel zbierania danych ma być komunikowany każdemu pracownikowi, który ma kontakt z klientami. Jeśli na przykład klient jest proszony o podanie adresu lub numeru telefonu podczas dokonywania zakupu w kasie, wykorzystanie informacji o danych musi zostać mu wyjaśnione na żądanie . Formularze papierowe i formularze internetowe gromadzące od klientów informacje umożliwiające identyfikację osób muszą również jasno opisywać cel zbierania. Zebrane dane osobowe nie mogą być wykorzystywane do nowych celów bez wyraźnej zgody klienta. Wyjątkiem są wymagania prawne, które tego wymagają.
3. Zgoda
Firma nie może gromadzić, wykorzystywać ani ujawniać danych osobowych bez wiedzy i zgody klienta. Zamiar zbierania danych klientów musi być jasno i jednoznacznie komunikowany. Jeśli dane osobowe są wymagane w formularzu, niejednoznaczne sformułowania są zatem niedozwolone. Osoba nie będzie pokrzywdzona, jeśli odmówi udzielenia informacji. Firmy muszą zatem udostępniać swoje produkty i usługi również konsumentom, którzy nie chcą udostępniać danych niezwiązanych z produktem lub usługą. Istnieje kilka wyjątków: Firma może odmówić wyrażenia zgody, jeśli istnieją ku temu powody prawne lub medyczne. Względy bezpieczeństwa mogą również dotyczyć niektórych produktów. A jeśli informacje są gromadzone w celu egzekwowania prawa, zgoda jest również uchylona. Zgoda może być również uchylona w przypadku, gdy dana osoba jest małoletnia, poważnie chora lub upośledzona umysłowo. Zgodę może jednak również wyrazić upoważniony przedstawiciel.
Jeśli chodzi o rodzaj zgody, rozróżnia się:
- wyraźny
- niejawnie
- zrezygnować
W wielu przypadkach – takich jak rejestracja online – tak jak w europejskim ogólnym rozporządzeniu o ochronie danych, również tutaj wymagana jest wyraźna zgoda konsumenta. Zwykle nie przewiduje się rezygnacji. Na przykład żadne zaznaczenia ani przyciski nie mogą być wstępnie przypisane do zgody na pliki cookie PIPEDA – odpowiednik przepisów dotyczących plików cookie w RODO. Zgoda co do zasady nie musi być wyrażona na piśmie – wystarczy zgoda ustna. Na przykład wystarczy, jeśli zainteresowana strona wyrazi zgodę na umieszczenie w newsletterze przez telefon. Jednak zgoda udzielana telefonicznie regularnie utrudnia firmie dostarczenie dowodów . W niektórych przypadkach zgodę można również wyprowadzić bezpośrednio z działań konsumenta.
Konsumenci mogą wycofać zgodę w każdym czasie, z zastrzeżeniem umownych i prawnych ograniczeń oraz terminów.Spółka jest zobowiązana do poinformowania klienta o skutkach wycofania zgody.
4. Unikanie danych i ekonomia danych
Zasada ograniczenia zbierania danych do ilości danych wymaganych do określonego celu jest zasadą, która również odgrywa ważną rolę w europejskim RODO. Dane osobowe gromadzone przez firmę powinny być ograniczone do tego, co jest niezbędne do działania w ramach relacji biznesowej.
Według PIPEDA należy również unikać gromadzenia i przechowywania niepotrzebnych danych osobowych. Sprawiedliwe i zgodne z prawem postępowanie z danymi, które kryje się pod hasłem „uczciwe i zgodne z prawem środki”, ma na celu suwerenność danych klienta i potrzebę przejrzystych procesów. Cel, dla którego mają być gromadzone niektóre dane osobowe, nie może być przesłonięty przez oszustwo lub niejednoznaczne stwierdzenia.
5. Przechowywanie, użytkowanie i przetwarzanie
Korzystanie z zapisanych danych może poruszać się wyłącznie po korytarzu znanym Klientowi i na który wyraził on zgodę. Ujawnienie lub inne wykorzystanie danych osobowych nie jest dozwolone na mocy kanadyjskiego ogólnego rozporządzenia o ochronie danych PIPEDA. Okresy przechowywania są oparte na wymaganiach firmy i innych przepisach prawnych. Zalecany minimalny okres przechowywania dla firm to jeden rok. Okres ten pozostawia firmie wystarczającą zdolność do sprawdzenia i przestrzegania wymogów prawnych. Maksymalny okres przechowywania ma zostać określony i ujawniony przez firmę.
Nie zezwala się na nieograniczone przechowywanie danych – konsument musi zostać poinformowany na żądanie, kiedy jego dane zostaną trwale usunięte. W razie potrzeby dane można anonimizować i niszczyć z wyprzedzeniem, z uwzględnieniem terminów. Ponadto organizacja musi mieć możliwość ujawnienia, kto i w jakim zakresie otrzymał zgodę na przetwarzanie danych.
6. Dokładność
Zasada dokładności zapewnia, że dane osobowe gromadzone przez firmę są poprawne, kompletne i aktualne do celów, w jakich są wykorzystywane.
Należy pamiętać, że zebrane dane mają być wykorzystywane w najlepszym interesie konsumenta.
Określenie poprawności w PIPEDA ma znaczenie nie tylko dla relacji między firmami a klientami. Na przykład, jeśli organizacja gromadzi dane osobowe w celu sprawdzenia profili kandydatów przed procesem rekrutacji, należy zapewnić, aby nieprawidłowe lub niepełne rejestrowanie nie powodowało niekorzystnych skutków dla kandydatów.
Aktualizacja danych osobowych
Zasadniczo nie jest dozwolone automatyczne i regularne aktualizowanie danych osobowych. Ta wytyczna w PIPEDA dotyczy również informacji przekazywanych stronom trzecim.
7. Uczciwość i poufność
Zasada integralności i poufności oznacza, że dane osobowe muszą być chronione przed utratą lub kradzieżą , nieuprawnionym dostępem, ujawnieniem, kopiowaniem, zmianą lub nieuprawnionym wykorzystaniem. Zasada ta obowiązuje niezależnie od formatu, w jakim przechowywane są dane.
Odpowiednie środki ochronne
Wysiłek zależy od wielkości firmy. Mała firma, która zbiera adresy e-mail klientów do biuletynu online, może przechowywać adresy e-mail w arkuszu kalkulacyjnym. Jeżeli tabela jest zabezpieczona hasłem i dodatkowo zaszyfrowana w wysokim stopniu, można założyć odpowiednią ochronę.
Duże organizacje często zarządzają wrażliwymi danymi osobowymi na dużą skalę – pomimo całej gospodarki opartej na danych. Firmy te są również bardziej narażone na ataki atakujących, dlatego należy tutaj zastosować znacznie silniejsze środki bezpieczeństwa.
Wszystkie środki bezpieczeństwa powinny zapewniać ponadprzeciętną ochronę danych osobowych, które mają być chronione, aby zapewnić wysoki poziom integralności.
Zniszczenie danych osobowych
Jeśli dane osobowe mają zostać usunięte lub zniszczone, można wykluczyć ich odzyskanie na podstawie osądu człowieka i przy użyciu wysokich standardów technologicznych do niszczenia danych. Dotyczy to zarówno fizycznego niszczenia dokumentów papierowych, jak i niszczenia baz danych na modułach pamięci.
8. Przejrzystość
Firma musi zapewnić łatwy dostęp do swoich zasad i procedur postępowania z danymi osobowymi. Klienci muszą zatem mieć dostęp do tych informacji bez skomplikowanych objazdów. Odpowiedzi na zapytania konsumentów dotyczące ochrony danych muszą być udzielane w rozsądnym czasie i tak bezpośrednio, jak to możliwe . Podane informacje muszą być sformułowane w sposób ogólnie zrozumiały. Należy unikać terminologii prawnej.
Wymagania od PIPEDA
Według PIPEDA organizacja musi dostarczyć te dane na żądanie:
- Imię i nazwisko lub tytuł i adres osoby odpowiedzialnej za politykę i praktyki organizacji, do której można kierować skargi lub zapytania.
- Sposoby dostępu do danych osobowych
- Rodzaj zbieranych danych osobowych wraz z opisem ich wykorzystania.
- Pisemne informacje wyjaśniające zasady i standardy organizacji firmy
9. Prawo do informacji
Na żądanie firma musi przekazać osobie informacje o przechowywanych danych osobowych i ich wykorzystaniu po uwierzytelnieniu. Jeżeli klient ma wątpliwości co do poprawności lub kompletności danych osobowych, może domagać się zmiany zapisanych danych. Może to oznaczać poprawianie , usuwanie lub dodawanie danych .
wyjątki
Informacji o danych osobowych można odmówić z różnych powodów. Dzieje się tak w przypadku, gdy informacje objęte są tajemnicą adwokacko-kliencką lub gdy ujawnione zostaną poufne informacje biznesowe.
Wymagania dotyczące uwierzytelniania
Przed udostępnieniem danych osobowych firma musi upewnić się, że komunikuje się z odpowiednią osobą.
Niektóre organizacje robią to, prosząc o dowód tożsamości wydany przez rząd. W razie potrzeby możliwa jest również weryfikacja na podstawie informacji o koncie w połączeniu z innymi informacjami, takimi jak nazwisko panieńskie lub zapisane hasło. Jednak surowe wymagania dotyczące uwierzytelniania nie mogą stanowić przeszkody w prawie do informacji.
Informacje – czas i koszty
Odpowiedzi na prośby o informacje będą udzielane w rozsądnym czasie i przy minimalnych kosztach lub bez kosztów dla danej osoby. Nie później niż 30 dni po otrzymaniu wniosku należy na nie odpowiedzieć. Jeżeli wyjątkowo firma potrzebuje więcej czasu na udzielenie informacji, musi wysłać tej osobie decyzję tymczasową i podać prawdopodobny powód opóźnienia.
10. Prawo do złożenia skargi
Prawo do odwołania zakotwiczone w PIPEDA umożliwia klientom i konsumentom podejmowanie ukierunkowanych działań przeciwko firmom w przypadku naruszenia przepisów RODO Kanada.
Firmy muszą zapewnić procedury przyjmowania skarg i zapytań oraz odpowiadania na nie. Procedury te powinny być proste i łatwe w użyciu. Ponadto, zgodnie z kanadyjskim RODO, firmy są zobowiązane do śledzenia i badania skarg, nawet jeśli uważają, że skarga wydaje się bezpodstawna . Jeżeli reklamacja okaże się zasadna, należy podjąć odpowiednie działania naprawcze. Za przyjmowanie skarg i wszczynanie procedur odpowiada inspektor ochrony danych firmy.
