PIPEDA — Kanādas Vispārīgā datu aizsardzības regula

Šajā rakstā mēs izskaidrojam visu par Kanādas datu aizsardzības regulu PIPEDA un gaidāmo CPPA regulu. Nākamajā rakstā mēs sīkāk aplūkosim sīkfailus un piekrišanu.

Kas ir PIPEDA?

PIPEDA ir personas informācijas aizsardzības un elektronisko dokumentu likuma saīsinājums, un tas attiecas uz jauno Kanādas Vispārīgo datu aizsardzības regulu. Grozījumi apvieno divus iepriekšējos Kanādas datu aizsardzības likumus Patērētāju privātuma aizsardzības likumu (CPPA) un Personas informācijas un datu aizsardzības tribunāla likumu (PIDPTA) visaptverošā regulējumā, kas līdzvērtīgs GDPR. PIPEDA daudzviet var redzēt atsauci uz Eiropas Vispārīgo datu aizsardzības regulu, tāpēc to bieži sauc arī par GDPR Canada.

Līdzīgi kā GDPR, Kanādas Datu aizsardzības likums regulē komercdarbības laikā savākto un glabāto personas datu apstrādi. Tāpēc Personas informācijas aizsardzības un elektronisko dokumentu likums PIPEDA ir svarīgs visiem uzņēmumiem , kas vēlas sasniegt Kanādas patērētājus ar pakalpojumiem un produktiem — neatkarīgi no tā, vai tie ir stacionāri vai attālināti. Komercdarbības PIPEDA izpratnē ir visi darījumi un darbības ar komerciālu izcelsmi vai ar komerciālu nolūku.

PIPEDA attiecas uz uzņēmumiem un organizācijām, kas ir federāli regulētas un pakļautas Kanādas tiesību aktiem. Personas informācijas aizsardzības un elektronisko dokumentu likums attiecas arī uz katras provinces privāto sektoru, ja vien province nav pieņēmusi savu datu aizsardzības likumu, kas kopumā ir līdzīgs Personas informācijas aizsardzības un elektronisko dokumentu likumam PIPEDA. Tikai Britu Kolumbijā, Albertā un Kvebekā ir privātuma likumi, kas kopumā ir līdzīgi Personas informācijas aizsardzības un elektronisko dokumentu likumam PIPEDA. Ja uzņēmums atrodas Britu Kolumbijā, Albertā vai Kvebekā, Personas informācijas aizsardzības un elektronisko dokumentu likums attiecas uz personas informāciju, ko apkopo tās organizācijas, kurās informācijas komerciāla izmantošana pārsniedz šīs provinces robežas.

10 privātuma principi Personas informācijas aizsardzības un elektronisko dokumentu likumā PIPEDA

Uzņēmumiem, kuriem ir jāievēro PIPEDA noteikumi, ir savlaicīgi jāapsver šī VDAR konfidencialitātes principi Kanādai . 10 punktos ir izklāstītas tiesības un pienākumi, kas organizācijām jāievēro, veicot komercdarījumus ar Kanādas patērētājiem saskaņā ar Kanādas GDPR .

  1. atbildība
  2. iezīmēšanu
  3. piekrišanu
  4. Izvairīšanās no datiem un datu ekonomika
  5. Uzglabāšana, lietošana un apstrāde
  6. precizitāte
  7. integritāte un konfidencialitāte
  8. caurspīdīgums
  9. tiesības sniegt informāciju
  10. pārsūdzības tiesības

Ikviens, kurš ir iepazinies ar Vispārīgo datu aizsardzības regulu, jau atpazīs daudzus aspektus PIPEDA 10 principu pārskatā, kas atrodami arī ES GDPR. Tomēr ir atšķirības detaļās , arī un jo īpaši attiecībā uz piekrišanu personas datu vākšanai. Īsi apskatīsim katru no 10 punktiem:

1. Atbildība

Atbildības princips nozīmē, ka, pārsniedzot noteiktu lielumu, organizācijai ir jāieceļ persona, kas ir atbildīga par savākto un personas datu pārvaldību. VDAR šī persona tiek saukta par datu aizsardzības inspektoru – Personas informācijas aizsardzības un elektronisko dokumentu likumā PIPEDA viņa tiek saukta par privātuma amatpersonu vai galveno privātuma amatpersonu (CPO) . Mazākos uzņēmumos privātuma amatpersona var pildīt savu pienākumu arī nepilnu darba laiku . Tās galvenais uzdevums ir tādu procedūru izstrāde, ieviešana un uzraudzība, kas atbilst datu aizsardzības prasībām saskaņā ar PIPEDA . Turklāt datu aizsardzības speciālistam ir jāsaņem un jāatbild uz sūdzībām par datu vākšanu . Vēl viena svarīga joma ir darbinieku apmācība un atsevišķām atbildības jomām aktuālo datu aizsardzības prasību komunikācija. Ja patērētājs ir devis piekrišanu trešo personu datu apstrādei, Privātuma amatpersona ir atbildīga par PIPEDA prasību ievērošanu no trešo personu puses.

2. Mērķa ierobežojums

Kāpēc uzņēmums vēlas saglabāt klienta personisko informāciju ? Mērķis ir jāpaziņo patērētājam vēlākais datu ierakstīšanas laikā. Informācijas atklāšana rada caurspīdīgumu, bet arī atvieglo uzņēmumam konkrētas piekļuves ieviešanu. Pēc PIPEDA domām, datu vākšanas mērķis ir paziņot katram darbiniekam, kurš saskaras ar klientiem. Ja, piemēram, klientam, veicot pirkumu pie kases, tiek prasīta adrese vai tālruņa numurs, pēc pieprasījuma viņam ir jāpaskaidro datu informācijas izmantošana . Papīra veidlapās un tiešsaistes veidlapās, kurās no klientiem tiek apkopota personu identificējoša informācija, arī skaidri jāapraksta vākšanas mērķis. Savāktos personas datus nedrīkst izmantot jaunam mērķim bez skaidras klienta atļaujas. Izņēmums ir juridiskas prasības, kas to pieprasa.

3. Piekrišana

Uzņēmums nedrīkst vākt, izmantot vai izpaust personas datus bez klienta ziņas un piekrišanas . Par nodomu vākt klientu datus ir jābūt skaidri un nepārprotami paziņotam. Ja personas dati tiek pieprasīti formā, neskaidri formulējumi nav pieļaujami. Persona nenonāks neizdevīgā stāvoklī, ja atteiksies sniegt informāciju. Tāpēc uzņēmumiem ir arī jāpadara savi produkti un pakalpojumi pieejami patērētājiem, kuri nevēlas sniegt datus, kas nav saistīti ar produktu vai pakalpojumu. Ir daži izņēmumi: uzņēmums var atturēties no piekrišanas došanas, ja tam ir juridiski vai medicīniski iemesli. Drošības apsvērumi var attiekties arī uz noteiktiem produktiem. Un, ja informācija tiek vākta tiesībaizsardzības vajadzībām, arī piekrišana tiek atteikta. Piekrišanu var atteikties arī gadījumos, ja persona ir nepilngadīga, smagi slima vai garīgi invalīds. Tomēr piekrišanu var dot arī pilnvarots pārstāvis.

Atkarībā no piekrišanas veida izšķir:

  • nepārprotami
  • netieši
  • atteikties

Daudzos gadījumos, piemēram, reģistrācija tiešsaistē, tāpat kā Eiropas Vispārīgajā datu aizsardzības regulā, šeit ir nepieciešama arī skaidra patērētāja piekrišana. Atteikšanās parasti netiek nodrošināta. Piemēram, Sīkdatņu piekrišanas PIPEDA nevar iepriekš piešķirt atzīmes vai pogas — līdzvērtīgi VDAR sīkfailu noteikumiem. Principā piekrišana nav jādod rakstiski – pietiek ar mutisku piekrišanu. Piemēram, pietiek, ja ieinteresētā persona telefoniski dod piekrišanu tikt iekļautai informatīvajā izdevumā. Tomēr pa tālruni regulāri sniegta piekrišana uzņēmumam apgrūtina pierādījumu sniegšanu . Dažos gadījumos piekrišanu var iegūt arī tieši no patērētāja darbībām.

Patērētāji var atsaukt savu piekrišanu jebkurā laikā, ievērojot līgumiskos un juridiskos ierobežojumus un termiņus Uzņēmumam ir jāinformē klients par piekrišanas atsaukšanas sekām.

4. Izvairīšanās no datiem un datu ekonomija

Datu vākšanas ierobežošanas princips līdz mērķim nepieciešamajam datu apjomam ir princips, kam ir svarīga loma arī Eiropas GDPR. Uzņēmuma apkopotie personas dati būtu jāierobežo ar to, kas nepieciešams darbībai darījumu attiecību ietvaros.

Pēc PIPEDA domām, ir jāizvairās arī no nevajadzīgu personas datu vākšanas un uzglabāšanas. Godīga un likumīga datu apstrāde, kas slēpjas aiz frāzes “Godīgi un likumīgi līdzekļi”, ir vērsta uz klienta datu suverenitāti un nepieciešamību pēc caurskatāmiem procesiem. Mērķi, kādam noteikti personas dati būtu jāievāc, nedrīkst aizēnot ar maldināšanu vai neviennozīmīgiem apgalvojumiem.

5. Uzglabāšana, lietošana un apstrāde

Ierakstīto datu izmantošana drīkst pārvietoties tikai klientam zināmā koridorā, kuram viņš ir devis piekrišanu. Personas datu izpaušana vai citāda izmantošana nav atļauta saskaņā ar Kanādas Vispārīgo datu aizsardzības regulu PIPEDA. Glabāšanas termiņi ir balstīti uz uzņēmuma prasībām un citiem tiesību aktiem. Uzņēmumiem ieteicamais minimālais glabāšanas laiks ir viens gads. Šis periods atstāj uzņēmumam pietiekamu kapacitāti, lai pārbaudītu un izpildītu juridiskās prasības. Maksimālais glabāšanas periods ir jānosaka un jāatklāj uzņēmumam.

Nav pieļaujama neierobežota datu glabāšana – patērētājs pēc pieprasījuma ir jāinformē, kad viņa dati tiks neatgriezeniski dzēsti. Ja vēlaties, datus var anonimizēt un iznīcināt pirms laika, ņemot vērā termiņus. Turklāt organizācijai ir jāspēj atklāt, kas un kādā apmērā ir saņēmis piekrišanu datu apstrādei.

6. Precizitāte

Precizitātes princips nodrošina, ka uzņēmuma apkopotie personas dati ir pareizi, pilnīgi un aktuāli mērķiem, kādiem tie tiek izmantoti.

Jāpatur prātā, ka savāktie dati ir jāizmanto patērētāja interesēs.

Pareizības specifikācija PIPEDA ir svarīga ne tikai attiecībām starp uzņēmumiem un klientiem. Piemēram, ja organizācija vāc personas datus, lai pirms darbā pieņemšanas procesa pārbaudītu pretendentu profilus, ir jānodrošina, lai nepareiza vai nepilnīga ierakstīšana pretendentiem neradītu neizdevīgus apstākļus.

Personiskās informācijas atjaunināšana

Automātiska un regulāra personas datu atjaunināšana parasti nav atļauta. Šīs PIPEDA vadlīnijas attiecas arī uz informāciju, kas tiek nodota trešajām personām.

7. Integritāte un konfidencialitāte

Integritātes un konfidencialitātes princips nozīmē, ka personas dati ir jāaizsargā pret nozaudēšanu vai zādzību , nesankcionētu piekļuvi, izpaušanu, kopēšanu, pārveidošanu vai neatļautu izmantošanu. Šis princips ir spēkā neatkarīgi no datu glabāšanas formāta.

Atbilstoši aizsardzības pasākumi

Pūles ir atkarīgas no uzņēmuma lieluma. Mazs uzņēmums, kas apkopo klientu e-pasta adreses tiešsaistes informatīvajam izdevumam, var saglabāt e-pasta adreses izklājlapā. Ja tabula ir aizsargāta ar paroli un papildus šifrēta augstā pakāpē, var pieņemt atbilstošu aizsardzību.

Lielas organizācijas bieži pārvalda sensitīvus personas datus plašā mērogā – neskatoties uz visu datu ekonomiju. Šie uzņēmumi arī, visticamāk, būs uzbrucēju mērķi, tāpēc šeit ir jāveic daudz stingrāki drošības pasākumi.

Visiem drošības pasākumiem būtu jānodrošina aizsargājamo personas datu aizsardzība, kas pārsniedz vidējo, lai nodrošinātu augstu integritātes līmeni.

Personiskās informācijas iznīcināšana

Ja personas dati ir jāiznīcina vai jāiznīcina, var tikt izslēgta atgūšana, pamatojoties uz cilvēka spriedumu un izmantojot augstus tehnoloģiskos standartus datu iznīcināšanai. Tas attiecas gan uz papīra dokumentu fizisku iznīcināšanu, gan uz atmiņas moduļu datu bāzu iznīcināšanu.

8. Caurspīdīgums

Uzņēmumam ir jāpadara viegli pieejama personiskās informācijas apstrādes politika un procedūras . Tādēļ klientiem ir jābūt iespējai piekļūt šai informācijai bez sarežģītiem apkārtceļiem. Uz atbildēm uz patērētāju jautājumiem par datu aizsardzību ir jāatbild saprātīgā termiņā un pēc iespējas tiešāk . Sniegtā informācija jāformulē vispārīgi saprotamā veidā. Jāizvairās no juridiskā žargona.

Prasības no PIPEDA

Saskaņā ar PIPEDA, organizācijai pēc pieprasījuma ir jāsniedz šie dati:

  • Tās personas vārds, uzvārds vai amats un adrese, kura ir atbildīga par organizācijas politiku un praksi un kurai var nosūtīt sūdzības vai izmeklēšanu.
  • Veidi, kā piekļūt personas datiem
  • Savākto personas datu veids, tostarp to izmantošanas apraksts.
  • Rakstiska informācija, kas izskaidro uzņēmuma organizācijas politiku un standartus

9. Tiesības uz informāciju

Uzņēmumam pēc pieprasījuma ir jāsniedz personai informācija par glabātajiem personas datiem un to izmantošanu pēc autentifikācijas. Ja klients šaubās par personas datu pareizību vai pilnīgumu, viņš var uzstāt uz ierakstīto datu maiņu. Tas var nozīmēt datu labošanu , dzēšanu vai pievienošanu .

izņēmumi

Informācija par personas datiem var tikt atteikta dažādu iemeslu dēļ. Tas ir gadījums, kad uz informāciju attiecas advokāta-klienta privilēģijas vai ja tiktu atklāta konfidenciāla biznesa informācija.

Autentifikācijas prasības

Pirms piekļuves piešķiršanas personas datiem uzņēmumam ir jāpārliecinās, ka tas sazinās ar pareizo personu.

Dažas organizācijas to dara, pieprasot valsts izdotu personu apliecinošu dokumentu. Ja nepieciešams, ir iespējama arī pārbaude, kuras pamatā ir konta informācija kopā ar citu informāciju, piemēram, pirmslaulības uzvārdu vai saglabāto paroli. Tomēr stingras autentifikācijas prasības nedrīkst būt šķērslis tiesībām uz informāciju.

Informācija – laiks un izmaksas

Uz informācijas pieprasījumiem atbild saprātīgā termiņā un par minimālām izmaksām vai bez tām. Ne vēlāk kā 30 dienu laikā pēc pieprasījuma saņemšanas uz to ir jāatbild. Ja uzņēmumam izņēmuma kārtā nepieciešams vairāk laika informācijas sniegšanai, tam ir jānosūta personai starplēmums un jānorāda ticams kavēšanās iemesls.

10. Tiesības iesniegt sūdzību

PIPEDA ietvertās apelācijas tiesības ļauj klientiem un patērētājiem veikt mērķtiecīgas darbības pret uzņēmumiem , ja tiek pārkāpti Kanādas GDPR punkti.

Uzņēmumiem ir jānodrošina procedūras, lai saņemtu sūdzības un pieprasījumus un atbildētu uz tiem. Šīm procedūrām jābūt vienkāršām un viegli lietojamām. Turklāt saskaņā ar VDAR Kanādas uzņēmumiem ir pienākums izskatīt un izmeklēt sūdzības, pat ja tie uzskata, ka sūdzība šķiet nepamatota . Ja sūdzība izrādās pamatota, ir jāveic atbilstoši korektīvie pasākumi. Uzņēmuma datu aizsardzības speciālists ir atbildīgs par sūdzību saņemšanu un procedūru uzsākšanu.