PIPEDA та Ви: Закон про конфіденційність у Канаді

Вам не потрібно бути наркоманом, щоб знати, що цифрові дані піддаються більшій небезпеці, ніж будь-коли раніше. Доступ до медичної інформації, банківських та інших транзакцій робить життя більш зручним, але вони ставлять нашу інформацію в небезпеку від кіберзлочинців, службового підслуховування та простої людської помилки. Як результат, уряди та галузі роблять все можливе для створення безпечної атмосфери для передачі та зберігання даних.


Такі норми, як Загальний європейський регламент про захист даних (GDPR), були створені для того, щоб захистити споживачів та організації, захищені законодавством.

На щастя, Канада є однією з перших країн, яка передбачила цю потребу і відповіла відповідно.

Необхідність захисту даних у Канаді

Згідно з повідомленням, оприлюдненим з описом канадського цифрового зростання та тенденцій розвитку галузі, понад 80 відсотків канадців здійснили хоча б одну онлайн-транзакцію протягом року до випуску дослідження (2018 рік). Тенденції вказують на те, що онлайн-платформи для одягу, подорожей та предметів домашнього вжитку збільшаться в кількості та трафіку.

Окрім електронної комерції, такі тенденції, як віддалена робота, онлайн-ігри та потокове передача вмісту, означають, що все більше канадців використовуватимуть Інтернет для роботи та відпочинку. Це підкреслює зростаючу залежність від електронної комерції та необхідність більш жорстких норм щодо збору, зберігання та використання даних.

конфіденційність не є злочином

Ще в 1996 році уряд Канади усвідомив необхідність законів про захист даних і відповів, створивши набір керівних принципів – модель догляду за захистом особистої інформації, за якою інтернет-підприємства повинні жити та вести бізнес.

Ці принципи були формалізовані та введені в закон у 2000 році зі створенням Закону про захист персональної інформації та електронних документів (PIPEDA), який був оновлений знову у 2015 році та встановив кінцеву дату 1 листопада 2018 року для відповідності. Ще одне оновлення було запроваджено та впроваджено у січні 2018 року та травні 2019 року.

PIPEDA була затверджена комісією ЄС з цифрового регулювання, і фактично вона передувала остаточній версії GDPR приблизно за півроку. На додаток до таких стандартів, як поточні рекомендації щодо доступності веб-сайтів та інші закони про конфіденційність, PIPEDA призначена для того, щоб Інтернет був безпечною та доступною платформою для всіх, хто потребує або хоче ним користуватися..

Що таке PIPEDA?

Закон про захист особистої інформації та електронні документи охоплює будь-який бізнес або організацію приватного сектору, яка збирає та / або використовує особисту інформацію в процесі ведення бізнесу.

Для цілей цих норм такі організації визначаються як будь-яке підприємство, основне призначення якого є комерційним, включаючи продаж, оренду, бартер з громадськістю, організації, які займаються підприємством, пов’язаним з членством, та ті, що збирають та збирають кошти. Це стосується також списків та сум донорів, якщо ця інформація не вимагається законодавством.логотип pipeda

Положення PIPEDA мають на меті охопити всі канадські провінції, хоча у багатьох є свої подібні правила щодо збору та захисту даних. Ці провінції – Альберта, Британська Колумбія та Квебек; Лабрадор, Нью-Брансвік, Ньюфаундленд, Нова Шотландія та Онтаріо створили правила щодо збору, використання та зберігання даних, пов’язаних зі здоров’ям.

PIPEDA також охоплює інформацію, яка передається через канадські кордони та федерально-регульовані організації, наприклад:

  • Аеропорти, авіакомпанії та авіаперевезення
  • Місцеві банки та уповноважені іноземні фінансові установи
  • Міжрегіональні або міжнародні транспортні компанії
  • Телекомунікаційні компанії
  • Радіо та телерадіомовники
  • Офшорні бурові роботи

Хто не пов’язаний PIPEDA?

Метою PIPEDA є забезпечення широкого захисту та уніфікаційного набору вказівок щодо збору даних. Але не всі зобов’язані цими нормами.

Ці організації та обставини не регулюються PIPEDA:

  • Інформація, зібрана державними установами та охоплена Законом про конфіденційність.
  • Провінційні чи територіальні уряди та агенти
  • Інформація про бізнес-контакт, зібрана, зберігається та / або використовується для бізнесу, пов’язаного з працевлаштуванням або професійними цілями
  • Інформація, зібрана особами для особистого користування, наприклад, списки вітальних листівок
  • Інформація, що збирається, використовується та / або зберігається організаціями для мистецьких, публіцистичних та літературних цілей
  • Некомерційні організації, якщо вони не займаються комерційною діяльністю
  • Політичні партії та організації для використання під час некомерційної діяльності

Більшість шкіл, муніципалітетів та державних медичних установ регулюються законами та правилами у своїй провінції, хоча PIPEDA може застосовуватися в деяких випадках.

Визначення особистої інформації

Тепер, коли ви маєте базове розуміння того, хто охоплює PIPEDA, ви можете задуматися, що вона охоплює. Уряд визначає особисту інформацію як усе, що може ідентифікувати вас, ваше місцезнаходження та статус зайнятості, включаючи:кібербезпека pipeda

  • Імена, адреси, вік, номери рахунків чи посвідчень особи, дохід, група крові чи етнічне походження
  • Думки, відповіді на опитування, коментарі, соціальний чи сімейний стан та згадка про дисциплінарні дії
  • Зайнятість, охорона здоров’я, військові, кредитні та фінансові записи
  • Докази суперечок між споживачем і продавцем

Керівні принципи PIPEDA

Сфера діяльності PIPEDA не визначає її охоплення за межами канадських кордонів, але Федеральний суд у Канаді постановив, що організації за межами Канади повинні дотримуватися відповідності, якщо їх діяльність та інтереси переплітаються з інтересами Канади.

Виконання правил PIPEDA не лише гарантуватиме, що Ви будете дотримуватися норм, але оновлення цього регламенту мають на меті відповідати законодавству про збирання / зберігання даних. Це дасть нам можливість продовжувати розширювати фінансові можливості за кордоном та захищати нашу власну інформацію – а також інформацію про канадських громадян – в процесі.

кнопка блокування

Якщо ви не знаєте чи не знайомі з настановами PIPEDA, ось 10 керівних принципів, на яких він базується, та обґрунтування кожного. Ці принципи справедливого використання інформації детальніше описані в тексті додатка 1 Регламенту PIPEDA.

1. Підзвітність

Оскільки ви несете відповідальність за особисту інформацію, яку ви збираєте та контролюєте, ви повинні призначити кваліфікованого співробітника конфіденційності з єдиною метою забезпечення відповідності PIPEDA.

2. Визначення цілей

Ви повинні розкрити, які дані ви будете збирати та для чого вони потрібні до або під час збору даних.

3. Інформована згода

Ви повинні повідомити осіб та отримати їх згоду на будь-який збір, використання чи розголошення їх особистої інформації. Виключення поширюються на випадки, коли існують юридичні, медичні причини чи причини безпеки, які роблять таку інформовану згоду неможливою або непрактичною.

4. Обмеження збору

Будь-яка зібрана особиста інформація повинна бути зібрана справедливими та законними засобами, і вона повинна обмежуватися лише тією інформацією, яка необхідна юридичним цілям, визначеним організацією.

5. Обмеження розкриття, зберігання та використання

Особиста інформація може використовуватися або розкриватися лише для зазначеної мети збору. Будь-яку інформацію, яку ви збираєте, можна зберігати лише протягом тривалого часу, визначеного для виконання цих цілей, і ви повинні отримати додаткову згоду від особи, якщо ці умови змінюються або це вимагається законодавством.

6. Точність даних

Будь-які особисті або конфіденційні дані повинні бути максимально точними, повними та актуальними, щоб виконати їх призначення.

7. Захисні дані

Ви несете відповідальність за захист особистої інформації відповідними стандартами безпеки від втрати, крадіжок, копіювання, модифікації, розкриття, несанкціонованого доступу чи використання.

8. Відкритість та прозорістьзначок прозорості даних

Ви повинні бути повністю прозорими щодо збору / зберігання даних. політики та практики зберігання. Ці політики та процедури повинні бути легкодоступними, доступними та зрозумілими для людей та керівних органів.

9. Індивідуальний доступ

Будь-яка особа, яка запитує інформацію про персональні дані та управління / захист даних, повинна бути поінформована про існування, використання та розголошення їх інформації та мати повний доступ до таких даних. Вони також мають право оскаржити точність та повноту та вимагати внесення змін до їхніх даних.

Ваше право відмовляти в таких запитах обмежується комерційними майновими, юридичними або безпековими причинами, включаючи ті, які охоплені привілеєм судового розгляду або відносинами адвоката-клієнта..

10. Оспорювати відповідність

Особи мають право оскаржувати відповідність організації принципам PIPEDA та направляти цей виклик на організаційну організацію, яка відповідає за відповідність PIPEDA.

Дотримання вимог OPC

Для кожного з принципів існує спосіб, яким ви можете переконатися, що ви дотримуєтесь вимог та уникнете перевірки чи покарання з боку Управління уповноваженого з питань конфіденційності. Ось 10 простих порад, які покликані уникнути неприємностей.

  1. Переконайтеся, що політика конфіденційності відображається на вашому веб-сайті відвідувачам та посадовій особі вашої організації (PO).
  2. Інформувати та навчати працівників щодо ваших протоколів конфіденційності та переконайтеся, що вони мають контактну інформацію для вашої організації.
  3. Пам’ятайте, що долар зупиняється у вас. Ви несете відповідальність за дотримання правил та переконуєтесь, що всі співробітники мають належну підготовку та мають необхідні інструменти.збирання кібербезпеки особистої інформації
  4. Уточнити свої вимоги та процедури збору даних. Якщо ви збираєте особисту інформацію про кого-небудь, включаючи персонал та клієнтів, збирайте лише те, що вам потрібно, і переконайтеся, що вона зберігається в безпечному середовищі.
  5. Зробити використання SIN необов’язково. Якщо для цього немає законних причин, не вимагайте від клієнтів розголошення їх SIN під час заповнення форм на вашому веб-сайті.
  6. Не робіть копії особистих чи державних посвідчень. Бувають випадки, коли вам може знадобитися підтвердити особу чи місце проживання. Ваш персонал може переглядати посвідчення водія чи інший ідентифікаційний номер уряду, але їм не потрібно робити або зберігати копію.
  7. Повідомте клієнтів, коли вони знімаються на відео чи записуються. Якщо ви користуєтесь обладнанням для відеоспостереження у своїй власності або записуєте вхідні дзвінки, розміщуєте знаки та інформуєте абонентів про цей факт, і намагайтеся не зберігати копії, якщо вони не потрібні для використання у вашому бізнесі.
  8. Захистіть всю особисту інформацію. Збір інформації неминучий, особливо в галузі охорони здоров’я чи фінансової галузі. Якщо вам потрібні такі дані, збирайте лише те, що вам потрібно, повідомте клієнтів про те, які дані ви збираєте і чому, і зберігайте їх у безпечному режимі зберігання та встановлення VPN на всіх пристроях та мережах. Але майте на увазі, що безкоштовні VPN можуть бути не настільки надійними та безпечними.
  9. Негайно реагуйте на запити про доступ. Ви зобов’язані дотримуватися всіх протоколів збору даних та відповідальності відповідати на будь-які запити клієнтів чи претендентів на роботу щодо їхньої інформації. Отримавши законний запит, відповідайте швидко та повно.
  10. Будьте прозорими. Як тільки буде створена політика конфіденційності, переконайтеся, що ви повністю прозорі щодо потреб, використання та будь-яких заходів щодо збору даних щодо збору даних щодо захисту даних..

Що станеться, якщо ви не відповідаєте PIPEDA?

Якщо ви стурбовані своїм статусом, ви можете зв’язатися з організацією, яка призначена вашій організації або галузі. Однією з нових вимог згідно оновленого регламенту є запровадження обов’язкових повідомлень про порушення даних.

Починаючи з 1 листопада 2018 року, організації, на які поширюються правила PIPEDA, юридично зобов’язані повідомити Уповноваженого з питань конфіденційності Канади, як тільки їм стане відомо про будь-які порушення гарантій безпеки, що стосуються особистої інформації, що становить реальний ризик заподіяти значну шкоду працівникам, споживачі та інші фізичні особи.

канадський прапор

За законом, ці компанії та організації також повинні інформувати будь-яких осіб, які постраждали від таких порушень. Вони також повинні зберігати записи про всі подібні порушення протягом принаймні двох років, навіть якщо про такі порушення вже повідомлялося комітету з питань конфіденційності Канади..

У ваших інтересах розробити робочий процес для оцінки ризику значної шкоди, що стосується вашої організації та юридичного визначення значної шкоди. Уповноважений з питань конфіденційності Канади рекомендує вам враховувати чутливість персональної інформації, що стосується, та ймовірність того, що така інформація буде неправомірно використана, якщо їх буде відкрито чи доступ до неї несанкціонованою особою чи групою.

Такий ризик можна обчислити, задавши правильні запитання щодо характеру порушення, наприклад, наміру та того, чи захищений він за допомогою діючих протоколів, стандартів та найкращих практик захисту даних. Якщо ви свідомо і навмисно нехтуєте новими вимогами PIPEDA щодо сповіщень про порушення даних та збереження записів, до вас накладаються штрафи в розмірі до 100 000 CAD.

Фінальні думки

У все більш глобальній економіці важливим є підтримання відповідності всім відповідним нормам. Канада вже давно є лідером, коли йдеться про захист конфіденційності своїх громадян та бізнес-лідерів.

Вдосконалення наших законів про конфіденційність слугуватимуть метою інформування канадців про їхні права щодо цифрових транзакцій та гарантують, що ми продовжуватимемо розширювати наші міжнародні бізнес-інтереси.

Якщо ви власник веб-сайту, який турбується про відповідність вимогам PIPEDA, урядом доступно ряд посібників та публікацій, які допоможуть вам оцінити рівень готовності та швидкість роботи. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Adblock
detector