PIPEDA og deg: personvernlovgivning i Canada

Du trenger ikke å være en nyhetsjunkie for å vite at digitale data er mer utsatt enn noen gang før. Å få tilgang til helseinformasjon, bank og andre transaksjoner gjør livet mer praktisk, men de setter vår informasjon i fare fra cyberkriminelle, regjeringssnusk og enkle menneskelige feil. Som et resultat gjør myndigheter og næringer sitt beste for å skape en trygg atmosfære for dataoverføring og lagring.


Slike forskrifter som Europas generelle databeskyttelsesforordning (GDPR) ble opprettet for å sikre at både forbrukere og organisasjoner er beskyttet under loven.

Heldigvis er Canada et av de første landene som forutså dette behovet og reagerer deretter.

Behovet for databeskyttelse i Canada

I følge en rapport utgitt som beskriver kanadisk digital vekst og trender i industrien, foretok mer enn 80 prosent av kanadiere minst en online transaksjon i løpet av året før studien ble utgitt (2018). Trender indikerer at online plattformer for klær, reiser og husholdningsartikler vil øke i antall og trafikk.

I tillegg til e-handel, betyr trender som fjernarbeid, online spill og streaming av innhold at flere kanadiere vil bruke internett til jobb og rekreasjon. Dette fremhever den økende avhengigheten av e-handel og behovet for strammere regler for innsamling, lagring og bruk av data.

personvern er ikke en forbrytelse

Så langt tilbake som i 1996 innså den kanadiske regjeringen behovet for databeskyttelseslover og svarte ved å lage et sett med retningsgivende prinsipper, Model Care for Protection of Personal Information, som online bedrifter skulle leve og drive virksomhet.

Disse prinsippene ble formalisert og satt i lov i 2000 med opprettelsen av loven om personlig beskyttelse og elektroniske dokumenter (PIPEDA), som ble oppdatert på nytt i 2015 og satt en endelig dato 1. november 2018, for overholdelse. En annen oppdatering ble introdusert og implementert i januar, 2018 og mai 2019.

PIPEDA er godkjent av EUs kommisjon for digital regulering, og foregår faktisk den endelige versjonen av GDPR med omtrent seks måneder. I tillegg til standarder som gjeldende retningslinjer for tilgjengelighet på nettsteder og andre personvernlover, er PIPEDA designet for å sikre at internett er en trygg og tilgjengelig plattform for alle som trenger eller ønsker å bruke det..

Hva er PIPEDA?

Lov om beskyttelse av personlig informasjon og elektroniske dokumenter dekker all privat virksomhet eller organisasjon som samler inn og / eller bruker personlig informasjon i løpet av å drive virksomhet.

I forbindelse med denne forskriften er slike organisasjoner definert som enhver virksomhet som har hovedformålet er kommersiell, inkludert salg, leasing, byttehandel med allmennheten, organisasjoner som driver med medlemskapsrelatert foretak og de som skaffer og samler inn midler. Dette gjelder også for giverlister og beløp, med mindre denne informasjonen er lovpålagt.pipeda-logo

PIPEDA-forskriften er ment å dekke alle kanadiske provinser, selv om mange har sine egne, lignende regler om datainnsamling og beskyttelse på plass. Disse provinsene er Alberta, British Columbia og Quebec; Labrador, New Brunswick, Newfoundland, Nova Scotia og Ontario har laget forskrifter som gjelder innsamling, bruk og lagring av helserelaterte data.

PIPEDA dekker også informasjon som overføres over kanadiske grenser og føderalt regulerte organisasjoner som:

  • Flyplasser, flyselskaper og lufttransport
  • Lokale banker og autoriserte utenlandske finansinstitusjoner
  • Inter-provinsielle eller internasjonale transportfirmaer
  • Telekommunikasjonsselskaper
  • Radio- og TV-kringkastere
  • Offshore boreoperasjoner

Who Isn’t Bound av PIPEDA?

Målet med PIPEDA er å gi bred beskyttelse og et samlende retningslinjer for datainnsamling. Men ikke alle er bundet av dette regelverket.

Disse organisasjonene og omstendighetene er ikke regulert av PIPEDA:

  • Informasjon samlet inn av offentlige etater og omfattet av personvernloven.
  • Provinsielle eller territorielle myndigheter og agenter
  • Bedriftskontaktinformasjon samlet inn, lagret og / eller brukt for virksomheter relatert til sysselsetting eller profesjonelle formål
  • Informasjon samlet inn av enkeltpersoner til personlig bruk, for eksempel gratulasjonskortlister
  • Informasjon samlet inn, brukt og / eller lagret av organisasjoner for kunstneriske, journalistiske og litterære formål
  • Ideelle organisasjoner, hvis ikke engasjert i kommersiell virksomhet
  • Politiske partier og organisasjoner, til bruk under ikke-kommersiell virksomhet

De fleste skoler, kommuner og offentlige medisinske fasiliteter er underlagt lovene og forskriftene i provinsen deres, selv om PIPEDA kan gjelde i noen tilfeller.

Definere personlig informasjon

Nå som du har en grunnleggende forståelse av hvem PIPEDA dekker, kan du lure på hva den dekker. Regjeringen definerer personlig informasjon som alt som kan identifisere deg, din beliggenhet og ansettelsesstatus, inkludert:pipeda cybersikkerhet

  • Navn, adresser, alder, konto- eller ID-nummer, inntekt, blodtype eller etnisk opprinnelse
  • Meninger, svar på undersøkelser, kommentarer, sosial status eller sivilstand og omtale av disiplinære handlinger
  • Sysselsetting, helse, militære, kreditt og økonomiske poster
  • Bevis for tvister mellom en forbruker og en selger

De ledende prinsippene for PIPEDA

Omfanget av PIPEDA definerer ikke rekkevidden utenfor kanadiske grenser, men Forbundsretten i Canada har bestemt at organisasjoner utenfor Canada må møte samsvar hvis deres aktiviteter og interesser er sammenvevd med kanadiske interesser..

Det er ikke bare at PIPEDAs retningslinjer sikrer at du forblir i samsvar, oppdateringer til denne forskriften er ment å holde den i tråd med datainnsamling / lagring. Beskyttelseslover i andre land. Dette vil gjøre det mulig for oss å fortsette å utvide økonomiske muligheter utenlands og beskytte vår egen informasjon – og informasjonen til kanadiske statsborgere – i prosessen.

låseknapp

Hvis du er usikker på eller ikke er kjent med PIPEDA-retningslinjene, er her de 10 retningslinjene det er basert på og begrunnelsen for hver. Disse prinsippene for rettferdig informasjonsbruk er nærmere beskrevet i teksten i skjema 1 til PIPEDA-forordningen.

1. Ansvarlighet

Fordi du er ansvarlig for den personlige informasjonen du samler inn og kontrollerer, må du utnevne en kvalifisert personvernombud for det eneste formål å sikre PIPEDA-samsvar.

2. Identifisere formål

Du må oppgi hvilke data du vil samle inn og hvorfor du trenger dem før eller på tidspunktet for datainnsamling.

3. Informert samtykke

Du må informere enkeltpersoner og få deres samtykke for all innsamling, bruk eller avsløring av deres personlige opplysninger. Dispensasjoner gjelder tilfeller der det er juridiske, medisinske eller sikkerhetsmessige grunner som gjør et slikt informert samtykke umulig eller upraktisk.

4. Begrensning av samling

All personlig informasjon som samles inn må samles inn på rettferdige og lovlige måter, og den må være begrenset til kun den informasjonen som er nødvendige for de juridiske formålene organisasjonen har identifisert.

5. Begrense avsløring, oppbevaring og bruk

Personopplysninger kan bare brukes eller utleveres for det oppgitte formålet med innsamling. All informasjon du samler inn kan bare beholdes i en lengre periode skissert for å oppfylle disse formålene, og du må innhente ytterligere samtykke fra den enkelte dersom disse forholdene endres eller det er lovpålagt.

6. Data nøyaktighet

Eventuelle personlige eller sensitive data må være så nøyaktige, fullstendige og oppdaterte som mulig for å oppfylle det tilsiktede formålet.

7. Datasikkerhet

Du er ansvarlig for å beskytte personlig informasjon ved passende sikkerhetsstandarder mot tap, tyveri, kopiering, endring, avsløring, uautorisert tilgang eller bruk.

8. Åpenhet og åpenhetikon for datatransparens

Du må være helt gjennomsiktig når det gjelder innsamling / oppbevaring av data. lagringspolicyer og praksis. Disse retningslinjene og prosedyrene må være lett tilgjengelige, tilgjengelige og forståelige for enkeltpersoner og myndigheter.

9. Individuell tilgang

Ethvert individ som ber om informasjon om personopplysninger og datahåndtering / beskyttelse, må informeres om eksistensen, bruken og avsløringen av informasjonen deres og gis full tilgang til slike data. De har også rett til å utfordre nøyaktigheten og fullstendigheten og be om at deres data blir endret.

Din rett til å avslå slike forespørsler er begrenset til kommersielle eiendomsmessige, juridiske eller sikkerhetsmessige årsaker, inkludert de som er dekket under rettstvistprivilegier eller advokat-klient-forhold.

10. Utfordrende samsvar

Enkeltpersoner har rett til å utfordre en organisasjons etterlevelse av PIPEDAs prinsipper og henvise den utfordringen til organisasjonens PO som er ansvarlig for PIPEDA-samsvar.

Forbli i samsvar med OPC

For hvert av prinsippene er det en måte du kan sikre at du overholder og unngå kontroll eller straff fra kontoret til personvernkommisjonæren. Her er 10 enkle tips som er laget for å holde deg utenfor problemer.

  1. Forsikre deg om at personvernreglene dine er synlige på nettstedet ditt til besøkende og organisasjonens personvernombud (PO).
  2. Informer og trener ansatte angående personvernprotokollene dine, og sørg for at de har kontaktinformasjon for PO.
  3. Husk at pengene stopper med deg. Du er ansvarlig for å overholde og sørge for at alle ansatte er opplært og har verktøyene de trenger.samle inn personlig informasjon cybersecurity
  4. Avgrens dine datainnsamlingskrav og prosedyrer. Hvis du samler inn personlig informasjon om noen, inkludert ansatte og kunder, samler du bare det du trenger og sørger for at den er lagret i et trygt miljø.
  5. Gjør å bruke en SIN valgfri. Med mindre det er en juridisk grunn til å gjøre det, må du ikke kreve at kundene oppgir SIN når de fyller ut skjemaer på nettstedet ditt.
  6. Ikke lag kopier av personlige eller offentlige ID-er. Det kan hende at du kanskje må bekrefte noens identitet eller bosted. De ansatte kan se på førerkortet eller annen myndighets-ID, men de trenger ikke lage eller oppbevare en kopi.
  7. Informer kundene når de blir tatt opp eller tatt opp. Hvis du bruker videoovervåkningsutstyr på eiendommen din eller tar opp innkommende anrop, legger ut skilt og informerer innringere om dette, og prøver å ikke oppbevare kopier med mindre de er nødvendige for din forretningsbruk.
  8. Beskytt all personlig informasjon. Innsamling av informasjon er uunngåelig, spesielt i helsevesenet eller finansnæringen. Hvis du trenger slike data, samler du bare det du trenger, informerer kundene om hvilke data du samler inn og hvorfor, og hold dem trygt gjennom sikker lagring og ved å installere en VPN på alle enheter og nettverk. Men husk at gratis VPN-er kanskje ikke er så pålitelige og sikre.
  9. Svar raskt på forespørsler om tilgang. Du har en plikt til å overholde alle datainnsamlingsprotokoller, og et ansvar for å svare på eventuelle forespørsler fra kunde eller jobbsøkere om deres informasjon. Når du mottar en lovlig forespørsel, må du svare raskt og fullstendig.
  10. Vær gjennomsiktig. Så snart du har personvernreglene på plass, må du sørge for å være fullstendig gjennomsiktig om dine datainnsamlingsbehov, bruksområder og eventuelle sikkerhetstiltak som er på plass for å beskytte data.

Hva skjer hvis du ikke overholder PIPEDA?

Hvis du er bekymret for statusen din, kan du kontakte kontaktpersonen som er tildelt organisasjonen eller bransjen din. Et av de nyere kravene under den oppdaterte forskriften er innføring av obligatoriske varsler om dataovertredelse.

Fra og med 1. november 2018 er organisasjoner som er underlagt PIPEDA-forskrifter, lovlig forpliktet til å varsle Privacy Commissioner of Canada så snart de blir klar over brudd på sikkerhetstiltak som innebærer personlig informasjon som utgjør reell risiko for å forårsake betydelig skade på ansatte, forbrukere og andre individer.

kanadisk flagg

I henhold til loven må disse selskapene og organisasjonene også informere alle personer som er berørt av slike brudd. De må også føre journal over alle slike brudd i minst to år, selv om slike brudd allerede var rapportert til Canadas personvernkommisjonær.

Det er i din beste interesse å utvikle en arbeidsprosess for å evaluere risikoen for betydelig skade i forhold til organisasjonen din og den juridiske definisjonen av betydelig skade. Personvernkommisjonæren i Canada anbefaler at du tar hensyn til følsomheten til den personlige informasjonen som er involvert, og sannsynligheten for at slik informasjon blir misbrukt hvis de blir utsatt for eller får tilgang til av en uautorisert person eller gruppe.

Slik risiko kan beregnes ved å stille de riktige spørsmålene om bruddets art, for eksempel forsett, og om det ble beskyttet ved å bruke gjeldende protokoller, standarder og beste praksis for databeskyttelse. Hvis du bevisst og med vilje ser bort fra de nye PIPEDA-kravene for varsling av databrudd og oppbevaring av poster, er du pålagt bøter på opptil $ 100 000 CAD.

Siste tanker

I en stadig mer global økonomi er det viktig å opprettholde samsvar med alle relevante forskrifter. Canada har lenge vært ledende når det gjelder å beskytte privatlivet til innbyggerne og næringslivslederne.

Forbedringer av personvernlovene våre tjener formålet med å informere kanadiere om deres rettigheter når det gjelder digitale transaksjoner og sikre at vi fortsetter å utvide våre internasjonale forretningsinteresser.

Hvis du er eieren av nettstedet som er bekymret for din PIPEDA-overholdelse, er det en rekke guider og publikasjoner fra myndighetene tilgjengelig for å hjelpe deg med å måle nivået på beredskapen og komme opp i fart. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map