PIPEDA i Ty: prawo dotyczące prywatności w Kanadzie

Nie musisz być ćpunem wiadomości, aby wiedzieć, że dane cyfrowe są bardziej zagrożone niż kiedykolwiek wcześniej. Dostęp do informacji zdrowotnych, bankowości i innych transakcji sprawia, że ​​życie jest wygodniejsze, ale zagrażają one naszym informacjom ze strony cyberprzestępców, szpiegowania rządu i zwykłego błędu ludzkiego. W rezultacie rządy i branże starają się stworzyć bezpieczną atmosferę do przesyłania i przechowywania danych.


Przepisy takie jak ogólne europejskie rozporządzenie o ochronie danych (RODO) zostały stworzone, aby zapewnić ochronę prawną zarówno dla konsumentów, jak i organizacji.

Na szczęście Kanada jest jednym z pierwszych krajów, które przewidują tę potrzebę i odpowiednio reagują.

Potrzeba ochrony danych w Kanadzie

Według opublikowanego raportu przedstawiającego kanadyjski rozwój cyfrowy i trendy branżowe, ponad 80 procent Kanadyjczyków dokonało co najmniej jednej transakcji online w ciągu roku przed opublikowaniem badania (2018). Trendy wskazują, że liczba internetowych platform dla odzieży, podróży i artykułów gospodarstwa domowego wzrośnie.

Oprócz eCommerce trendy, takie jak praca zdalna, gry online i strumieniowanie treści oznaczają, że więcej Kanadyjczyków będzie korzystać z Internetu do pracy i rekreacji. Podkreśla to rosnącą zależność od eCommerce i potrzebę zaostrzenia przepisów dotyczących gromadzenia, przechowywania i użytkowania danych.

prywatność nie jest przestępstwem

Już w 1996 r. Rząd kanadyjski zdał sobie sprawę z potrzeby przepisów o ochronie danych i odpowiedział, tworząc zestaw zasad przewodnich, Model Care for Protection of Personal Data, zgodnie z którym przedsiębiorstwa internetowe powinny żyć i prowadzić działalność.

Zasady te zostały sformalizowane i wprowadzone w życie w 2000 r. Wraz z utworzeniem ustawy o ochronie danych osobowych i dokumentów elektronicznych (PIPEDA), która została ponownie zaktualizowana w 2015 r. I wyznaczyła ostateczną datę 1 listopada 2018 r. Na zgodność. Kolejna aktualizacja została wprowadzona i wdrożona w styczniu 2018 r. I maju 2019 r.

PIPEDA została zatwierdzona przez komisję ds. Regulacji cyfrowych w UE i faktycznie wyprzedza ostateczną wersję RODO o około sześć miesięcy. Oprócz standardów, takich jak obecne wytyczne dotyczące dostępności strony internetowej i inne przepisy dotyczące prywatności, PIPEDA ma na celu zapewnienie, że Internet jest bezpieczną i dostępną platformą dla wszystkich, którzy potrzebują lub chcą z niego korzystać.

Co to jest PIPEDA?

Ustawa o ochronie danych osobowych i dokumentów elektronicznych obejmuje wszelkie firmy lub organizacje z sektora prywatnego, które gromadzą i / lub wykorzystują dane osobowe w ramach prowadzenia działalności.

Do celów niniejszych przepisów takie organizacje są zdefiniowane jako każde przedsiębiorstwo, którego głównym celem jest działalność komercyjna, w tym sprzedaż, leasing, handel wymienny ze społeczeństwem, organizacje zaangażowane w przedsiębiorstwo powiązane z członkostwem oraz te, które zbierają i zbierają fundusze. Dotyczy to również list dawców i kwot, chyba że informacje te są wymagane przez prawo.logo pipeda

Przepisy PIPEDA obejmują wszystkie prowincje Kanady, choć wiele z nich ma swoje własne, podobne przepisy dotyczące gromadzenia danych i ochrony. Prowincje te to Alberta, Kolumbia Brytyjska i Quebec; Labrador, Nowy Brunszwik, Nowa Fundlandia, Nowa Szkocja i Ontario opracowały przepisy dotyczące gromadzenia, wykorzystywania i przechowywania danych związanych ze zdrowiem.

PIPEDA obejmuje również informacje przesyłane przez granice Kanady i federalne organizacje regulowane, takie jak:

  • Lotniska, linie lotnicze i transport lotniczy
  • Lokalne banki i autoryzowane zagraniczne instytucje finansowe
  • Międzyregionalne lub międzynarodowe firmy transportowe
  • Firmy telekomunikacyjne
  • Nadawcy radiowi i telewizyjni
  • Morskie operacje wiertnicze

Kto nie jest związany przez PIPEDA?

Celem PIPEDA jest zapewnienie szerokiej ochrony i ujednolicenia zestawu wytycznych dotyczących gromadzenia danych. Ale nie wszyscy są związani tymi przepisami.

Te organizacje i okoliczności nie są regulowane przez PIPEDA:

  • Informacje zebrane przez agencje rządowe i objęte ustawą o prywatności.
  • Rządy i agenci wojewódzcy lub terytorialni
  • Informacje kontaktowe służbowe gromadzone, przechowywane i / lub wykorzystywane w celach biznesowych związanych z zatrudnieniem lub celami zawodowymi
  • Informacje gromadzone przez osoby prywatne do użytku osobistego, takie jak listy kart okolicznościowych
  • Informacje zbierane, wykorzystywane i / lub przechowywane przez organizacje w celach artystycznych, dziennikarskich i literackich
  • Organizacje non-profit, jeśli nie prowadzą działalności komercyjnej
  • Partie i organizacje polityczne do użytku podczas działań niekomercyjnych

Większość szkół, gmin i publicznych placówek medycznych podlega prawu i przepisom obowiązującym w ich prowincji, chociaż w niektórych przypadkach może obowiązywać PIPEDA.

Definiowanie danych osobowych

Teraz, gdy masz podstawową wiedzę na temat tego, kogo obejmuje PIPEDA, możesz zastanawiać się, co obejmuje. Rząd definiuje dane osobowe jako wszystko, co może Cię zidentyfikować, Twoją lokalizację i status zatrudnienia, w tym:cyberbezpieczeństwo pipeda

  • Nazwiska, adresy, wiek, numery kont lub dokumentów tożsamości, dochód, grupa krwi lub pochodzenie etniczne
  • Opinie, odpowiedzi ankietowe, komentarze, status społeczny lub cywilny oraz wzmianka o działaniach dyscyplinarnych
  • Dokumenty dotyczące zatrudnienia, zdrowia, wojska, kredytu i finansów
  • Dowody sporów między konsumentem a sprzedawcą

Zasady przewodnie PIPEDA

Zakres PIPEDA nie określa jego zasięgu poza granicami Kanady, ale Sąd Federalny w Kanadzie orzekł, że organizacje spoza Kanady muszą spełniać wymogi zgodności, jeśli ich działalność i interesy są powiązane z interesami Kanady.

Przestrzeganie wytycznych PIPEDA zapewni nie tylko przestrzeganie przepisów, ale także aktualizację tego rozporządzenia, aby zachować zgodność z przepisami dotyczącymi gromadzenia / przechowywania danych w innych krajach. Umożliwi nam to dalsze rozszerzanie możliwości finansowych za granicą i ochronę w tym procesie własnych informacji – i obywateli Kanady.

przycisk blokujący

Jeśli nie masz pewności lub nie znasz wytycznych PIPEDA, oto 10 zasad przewodnich, na których są one oparte, i uzasadnienie każdego z nich. Te zasady uczciwego wykorzystywania informacji zostały szczegółowo opisane w tekście Załącznika 1 do rozporządzenia PIPEDA.

1. Odpowiedzialność

Ponieważ ponosisz odpowiedzialność za gromadzone i kontrolowane przez Ciebie dane osobowe, musisz wyznaczyć wykwalifikowanego specjalistę ds. Prywatności wyłącznie w celu zapewnienia zgodności z PIPEDA.

2. Identyfikacja celów

Musisz ujawnić, jakie dane będziesz gromadzić i dlaczego potrzebujesz ich przed lub w czasie zbierania danych.

3. Świadoma zgoda

Musisz poinformować osoby fizyczne i uzyskać ich zgodę na gromadzenie, wykorzystanie lub ujawnienie ich danych osobowych. Wyjątki dotyczą przypadków, w których istnieją względy prawne, medyczne lub związane z bezpieczeństwem, które uniemożliwiają lub niepraktyczną taką świadomą zgodę.

4. Ograniczanie kolekcji

Wszelkie gromadzone dane osobowe muszą być gromadzone w uczciwy i zgodny z prawem sposób i muszą być ograniczone tylko do tych informacji, które są niezbędne do celów prawnych określonych przez organizację.

5. Ograniczanie ujawniania, przechowywania i użytkowania

Dane osobowe mogą być wykorzystywane lub ujawniane wyłącznie do określonego celu ich gromadzenia. Wszelkie gromadzone informacje mogą być przechowywane tylko przez czas określony dla realizacji tych celów, a osoba fizyczna musi uzyskać dodatkową zgodę od osoby, jeśli warunki te ulegną zmianie lub jest to wymagane przez prawo.

6. Dokładność danych

Wszelkie dane osobowe lub wrażliwe muszą być tak dokładne, kompletne i aktualne, jak to możliwe, aby zrealizować zamierzony cel.

7. Zabezpieczenia danych

Jesteś odpowiedzialny za ochronę danych osobowych za pomocą odpowiednich standardów bezpieczeństwa przed utratą, kradzieżą, kopiowaniem, modyfikacją, ujawnieniem, nieautoryzowanym dostępem lub użyciem.

8. Otwartość i przejrzystośćikona przejrzystości danych

Musisz być w pełni przejrzysty w kwestii gromadzenia / przechowywania danych. zasady i praktyki przechowywania. Te zasady i procedury muszą być łatwo dostępne, dostępne i zrozumiałe dla osób fizycznych i instytucji zarządzających.

9. Indywidualny dostęp

Każda osoba żądająca informacji o danych osobowych oraz zarządzaniu / ochronie danych musi zostać poinformowana o istnieniu, wykorzystaniu i ujawnieniu ich informacji oraz mieć pełny dostęp do takich danych. Mają także prawo zakwestionować dokładność i kompletność oraz zażądać zmiany ich danych.

Twoje prawo do odrzucenia takich wniosków jest ograniczone względami komercyjnymi, prawnymi lub bezpieczeństwa, w tym tymi objętymi przywilejami sądowymi lub relacjami między prawnikiem a klientem.

10. Trudna zgodność

Osoby mają prawo zakwestionować zgodność organizacji z zasadami PIPEDA i skierować to wyzwanie do organizacji producentów odpowiedzialnej za zgodność z PIPEDA.

Zachowanie zgodności z OPC

W przypadku każdej z zasad istnieje sposób, aby zapewnić zgodność z przepisami i uniknąć kontroli lub kar ze strony Biura Rzecznika Prywatności. Oto 10 prostych wskazówek, które mają pomóc Ci uniknąć kłopotów.

  1. Upewnij się, że Twoja polityka prywatności jest widoczna na Twojej stronie dla odwiedzających i urzędnika ds. ochrony prywatności w organizacji.
  2. Informować i szkolić członków personelu dotyczące twoich protokołów prywatności i upewnij się, że mają dane kontaktowe twojego zamówienia.
  3. Pamiętaj, że złotówka zatrzymuje się na tobie. Odpowiadasz za zgodność i upewnienie się, że wszyscy członkowie personelu są odpowiednio przeszkoleni i dysponują niezbędnymi narzędziami.zbieranie danych osobowych cyberbezpieczeństwo
  4. Udoskonal swoje wymagania i procedury dotyczące gromadzenia danych. Jeśli gromadzisz dane osobowe na temat kogokolwiek, w tym personelu i klientów, zbieraj tylko to, czego potrzebujesz i upewnij się, że są one przechowywane w bezpiecznym środowisku.
  5. Ustaw opcjonalny SIN. O ile nie ma ku temu uzasadnionego powodu, nie wymagaj od klientów ujawnienia numeru SIN podczas wypełniania formularzy w witrynie.
  6. Nie rób kopii osobistych ani rządowych dokumentów tożsamości. Są chwile, w których możesz potrzebować zweryfikować czyjąś tożsamość lub miejsce zamieszkania. Twoi pracownicy mogą patrzeć na prawo jazdy lub inny dokument urzędowy, ale nie muszą robić ani przechowywać kopii.
  7. Poinformuj klientów, kiedy są nagrywani na wideo lub nagrywani. Jeśli korzystasz ze sprzętu do nadzoru wideo na swojej posesji lub nagrywasz połączenia przychodzące, umieszczaj znaki pocztowe i informuj dzwoniących o tym fakcie, staraj się nie przechowywać kopii, chyba że są one niezbędne dla Twojej firmy.
  8. Chroń wszystkie dane osobowe. Zbieranie informacji jest nieuniknione, szczególnie w służbie zdrowia lub branży finansowej. Jeśli potrzebujesz takich danych, zbieraj tylko to, czego potrzebujesz, informuj klientów o tym, jakie dane gromadzisz i dlaczego, i chroń je poprzez bezpieczne przechowywanie i instalację VPN na wszystkich urządzeniach i sieciach. Pamiętaj jednak, że darmowe VPN mogą nie być tak niezawodne i bezpieczne.
  9. Szybko odpowiadaj na wnioski o dostęp. Masz obowiązek przestrzegania wszystkich protokołów gromadzenia danych oraz odpowiedzialność za udzielenie odpowiedzi na wszelkie prośby klientów lub kandydatów o podanie informacji. Po otrzymaniu zgodnego z prawem wniosku, odpowiedz szybko i w pełni.
  10. Bądź przejrzysty. Jak tylko wprowadzisz swoją politykę prywatności, upewnij się, że jesteś w pełni przejrzysty w zakresie potrzeb w zakresie gromadzenia danych, zastosowań i wszelkich środków bezpieczeństwa służących ochronie danych.

Co się stanie, jeśli nie będziesz przestrzegać PIPEDA?

Jeśli martwisz się o swój status, możesz skontaktować się z PO przypisanym do Twojej organizacji lub branży. Jednym z nowszych wymogów zgodnie ze zaktualizowanym rozporządzeniem jest wprowadzenie obowiązkowych powiadomień o naruszeniu danych.

Począwszy od 1 listopada 2018 r. Organizacje podlegające przepisom PIPEDA są prawnie zobowiązane do powiadomienia kanadyjskiego komisarza ds. Prywatności, gdy tylko dowiedzą się o wszelkich naruszeniach zabezpieczeń związanych z danymi osobowymi, które stwarzają realne ryzyko wyrządzenia znacznej szkody pracownikom, konsumenci i inne osoby.

kanadyjska flaga

Zgodnie z prawem te firmy i organizacje muszą również informować wszystkie osoby, których dotyczą takie naruszenia. Muszą również przechowywać dokumentację dotyczącą wszystkich takich naruszeń przez okres co najmniej dwóch lat, nawet jeśli takie naruszenia zostały już zgłoszone kanadyjskiemu komisarzowi ds. Prywatności.

W twoim najlepszym interesie jest opracowanie działającego procesu oceny ryzyka poważnej szkody, który dotyczy Twojej organizacji oraz prawnej definicji znacznej szkody. Komisarz ds. Prywatności Kanady zaleca wzięcie pod uwagę wrażliwości danych osobowych oraz prawdopodobieństwa, że ​​takie informacje zostaną niewłaściwie wykorzystane, jeśli zostaną ujawnione lub udostępnione przez nieupoważnioną osobę lub grupę.

Ryzyko to można obliczyć, zadając odpowiednie pytania dotyczące charakteru naruszenia, takie jak cel i czy zostało ono zabezpieczone przy użyciu obecnych protokołów, standardów i najlepszych praktyk w zakresie ochrony danych. Jeśli świadomie i celowo zignorujesz nowe wymagania PIPEDA dotyczące powiadomień o naruszeniu danych i przechowywania danych, podlegasz grzywnie w wysokości do 100 000 CAD.

Końcowe przemyślenia

W coraz bardziej globalnej gospodarce utrzymanie zgodności ze wszystkimi stosownymi przepisami jest sprawą zasadniczą. Kanada od dawna jest liderem, jeśli chodzi o ochronę prywatności swoich obywateli i liderów biznesu.

Ulepszenia naszych przepisów dotyczących prywatności będą służyć informowaniu Kanadyjczyków o ich prawach w zakresie transakcji cyfrowych i zapewnią, że będziemy nadal rozwijać nasze międzynarodowe interesy biznesowe.

Jeśli jesteś właścicielem strony internetowej zaniepokojonym przestrzeganiem przez Ciebie PIPEDA, dostępnych jest wiele poradników i publikacji rządowych, które pomogą Ci ocenić poziom przygotowania i przyspieszyć działanie. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map