PIPEDA och dig: Integritetslag i Kanada

Du behöver inte vara en nyhetsjunkie för att veta att digital data är mer utsatt än någonsin tidigare. Att få tillgång till hälsoinformation, banker och andra transaktioner gör livet mer bekvämt, men de sätter vår information i fara från cyberbrottslingar, regeringsnop och enkla mänskliga misstag. Som ett resultat gör regeringar och industrier sitt bästa för att skapa en säker atmosfär för dataöverföring och lagring.


Sådana förordningar som Europas allmänna dataskyddsförordning (GDPR) skapades för att säkerställa att både konsumenter och organisationer skyddas enligt lagen.

Lyckligtvis är Kanada ett av de första länderna som förutser detta behov och svarar i enlighet därmed.

Behovet av dataskydd i Kanada

Enligt en rapport som släppts och beskriver kanadensisk digital tillväxt och trender inom industrin, gjorde mer än 80 procent av kanadensarna minst en online-transaktion under året före studiens utgivande (2018). Trender visar att onlineplattformar för kläder, resor och hushållsartiklar kommer att öka i antal och trafik.

Förutom e-handel innebär trender som fjärrarbete, onlinespel och innehållsströmning att fler kanadensare kommer att använda internet för arbete och rekreation. Detta belyser den ökande förlusten på e-handel och behovet av stramare bestämmelser om datainsamling, lagring och användning.

integritet är inte ett brott

Så långt tillbaka som 1996 insåg den kanadensiska regeringen behovet av lagar om dataskydd och svarade genom att skapa en uppsättning vägledande principer, Model Care for Protection of Personal Information, genom vilka onlineföretag ska leva och bedriva affärer.

Dessa principer formaliserades och infördes i lag 2000 med inrättandet av lagen om skydd av personlig information och elektroniska dokument (PIPEDA), som uppdaterades igen 2015 och fastställdes ett sista datum den 1 november, 2018, för efterlevnad. En annan uppdatering introducerades och implementerades i januari, 2018 och maj 2019.

PIPEDA har godkänts av EU: s kommission för digital reglering och föregår faktiskt den slutliga versionen av GDPR med cirka sex månader. Förutom standarder som gällande riktlinjer för webbplatstillgänglighet och andra sekretesslagar, är PIPEDA utformad för att säkerställa att internet är en säker och tillgänglig plattform för alla som behöver eller vill använda det.

Vad är PIPEDA?

Lagen om skydd av personuppgifter och elektroniska dokument täcker alla privata företag eller organisationer som samlar in och / eller använder personlig information under bedrivandet av affärer.

I dessa regler definieras sådana organisationer som alla företag vars huvudsakliga syfte är kommersiellt, inklusive försäljning, leasing, byteshandel med allmänheten, organisationer som bedriver medlemskapsrelaterat företag och de som samlar in och samlar in pengar. Detta gäller även givarlistor och belopp, såvida inte denna information krävs enligt lag.pipeda logotyp

PIPEDA-förordningarna är tänkta att täcka alla kanadensiska provinser, även om många har sina egna, liknande bestämmelser om datainsamling och skydd på plats. Dessa provinser är Alberta, British Columbia och Quebec; Labrador, New Brunswick, Newfoundland, Nova Scotia och Ontario har skapat föreskrifter som rör insamling, användning och lagring av hälsorelaterade data.

PIPEDA täcker också information som överförs över kanadensiska gränser och federalt reglerade organisationer som:

  • Flygplatser, flygbolag och flygtransporter
  • Lokala banker och auktoriserade utländska finansinstitut
  • Inter-provinsiella eller internationella transportföretag
  • Telekommunikationsföretag
  • Radio- och TV-sändare
  • Offshore-borrning

Vem är inte bunden av PIPEDA?

Målet med PIPEDA är att ge ett brett skydd och en enhetlig uppsättning riktlinjer för datainsamling. Men inte alla är bundna av dessa regler.

Dessa organisationer och omständigheter regleras inte av PIPEDA:

  • Information som samlas in av myndigheter och omfattas av sekretesslagen.
  • Provinsiella eller territoriella regeringar och agenter
  • Kontaktinformation för företag som samlas in, lagras och / eller används för företag relaterade till sysselsättning eller yrkesmässiga ändamål
  • Information som samlas in av individer för personligt bruk, till exempel gratulationskortlistor
  • Information som samlas in, används och / eller lagras av organisationer för konstnärliga, journalistiska och litterära ändamål
  • Ideella organisationer, om de inte bedriver kommersiell verksamhet
  • Politiska partier och organisationer för användning under icke-kommersiell verksamhet

De flesta skolor, kommuner och offentliga medicinska anläggningar regleras av lagar och förordningar i deras provins, även om PIPEDA kan gälla i vissa fall.

Definiera personlig information

Nu när du har en grundläggande förståelse för vem PIPEDA täcker kanske du undrar vad den täcker. Regeringen definierar personlig information som allt som kan identifiera dig, din plats och anställningsstatus, inklusive:pipeda cybersäkerhet

  • Namn, adresser, ålder, konto- eller ID-nummer, inkomst, blodtyp eller etniskt ursprung
  • Yttranden, enkätsvar, kommentarer, social eller äktenskaplig status och omnämnande av disciplinära åtgärder
  • Sysselsättning, hälsa, militär, kredit och finansiella poster
  • Bevis på tvister mellan en konsument och en handlare

PIPEDAs vägledande principer

PIPEDA: s räckvidd definierar inte dess räckvidd utanför kanadensiska gränser, men federala domstolen i Kanada har beslutat att organisationer utanför Kanada måste uppfylla efterlevnaden om deras aktiviteter och intressen sammanflätas med kanadensiska intressen.

Genom att följa PIPEDA-riktlinjerna kommer inte bara att säkerställa att du förblir i överensstämmelse, uppdateringar av denna förordning är avsedda att hålla den i linje med lagar för datainsamling / lagring. Detta kommer att göra det möjligt för oss att fortsätta att utöka finansiella möjligheter utomlands och skydda vår egen information – och den för kanadensiska medborgare – under processen.

låsknapp

Om du är osäker på eller inte känner till PIPEDA-riktlinjerna är här de tio vägledande principerna som det bygger på och skälen för var och en. Dessa principer för användning av rättvis information beskrivs vidare i texten i schema 1 i PIPEDA-förordningen.

1. Ansvar

Eftersom du är ansvarig för den personliga information som du samlar in och kontrollerar, måste du utse en kvalificerad sekretesschef för det enda syftet att säkerställa PIPEDA-efterlevnad.

2. Identifiera syften

Du måste avslöja vilken information du samlar in och varför du behöver den före eller vid tidpunkten för datainsamlingen.

3. Informerat samtycke

Du måste informera individer och få sitt samtycke för insamling, användning eller utlämnande av deras personliga information. Undantag gäller för fall där det finns lagliga, medicinska eller säkerhetsskäl som gör sådant informerat samtycke omöjligt eller opraktiskt.

4. Begränsa samling

All personlig information som samlas in måste samlas in på rättvisa och lagliga sätt, och den måste begränsas till endast den information som är nödvändig för de juridiska syften som identifierats av organisationen.

5. Begränsa avslöjande, lagring och användning

Personlig information kan endast användas eller avslöjas för det angivna syftet med insamlingen. All information du samlar in kan endast bevaras under den tid som anges för att uppfylla dessa syften, och du måste få ytterligare medgivande från individen om dessa villkor ändras eller det krävs enligt lag.

6. Data noggrannhet

Alla personliga eller känsliga uppgifter måste vara så korrekta, fullständiga och uppdaterade som möjligt för att uppfylla sitt avsedda syfte.

7. Datasäkerhet

Du är ansvarig för att skydda personlig information genom lämpliga säkerhetsstandarder mot förlust, stöld, kopiering, ändring, avslöjande, obehörig åtkomst eller användning.

8. Öppenhet och öppenhetikon för datatransparens

Du måste vara helt öppen för din datainsamling / lagring. lagringspolicyer och rutiner. Dessa policyer och förfaranden måste vara lättillgängliga, tillgängliga och begripliga för individer och myndigheter.

9. Individuell åtkomst

All individ som begär information om personuppgifter och datahantering / skydd måste informeras om förekomsten, användningen och avslöjandet av deras information och ges full tillgång till sådana uppgifter. De har också rätt att ifrågasätta riktigheten och fullständigheten och begära att deras uppgifter ändras.

Din rätt att avslå sådana förfrågningar är begränsad till kommersiella äganderätt, juridiska eller säkerhetsskäl, inklusive de som täcks under rättstvist privilegium eller advokat-klient relationer.

10. Utmanande efterlevnad

Individer har rätt att utmana en organisations efterlevnad av PIPEDA: s principer och rikta den utmaningen till organisationens PO som ansvarar för PIPEDA: s efterlevnad.

Att hålla sig i överensstämmelse med OPC

För vart och ett av principerna finns det ett sätt som du kan säkerställa att du följer och undviker granskning eller bestraffning av sekretesskommissionärens kontor. Här är 10 enkla tips som är utformade för att hålla dig ur problem.

  1. Se till att din integritetspolicy är synlig på din webbplats för besökare och din organisations sekretesschef (PO).
  2. Informera och utbilda personal när det gäller dina integritetsprotokoll och se till att de har kontaktinformation för din PO.
  3. Kom ihåg att pengarna slutar med dig. Du är ansvarig för efterlevnaden och se till att alla anställda är ordentligt utbildade och har de verktyg de behöver.samla in personlig information cybersecurity
  4. Förfina dina krav och procedurer för datainsamling. Om du samlar in personlig information om någon, inklusive personal och kunder, samlar du bara det du behöver och ser till att den lagras i en säker miljö.
  5. Gör att använda en SIN som tillval. Om det inte finns något rättsligt skäl för det, kräver inte att kunderna ska avslöja sin SIN när de fyller i formulär på din webbplats.
  6. Kopiera inte personliga eller regerings-ID. Det finns tillfällen då du kan behöva verifiera någons identitet eller hemvist. Din personal kan titta på förarkortet eller andra myndighets-ID, men de behöver inte göra eller behålla en kopia.
  7. Informera kunder när de spelas in eller spelas in. Om du använder videoövervakningsutrustning på din fastighet eller spelar in inkommande samtal, skickar skyltar och informerar uppringare om detta faktum och försöker att inte behålla kopior såvida de inte är nödvändiga för ditt företag.
  8. Skydda all personlig information. Det är oundvikligt att samla in information, särskilt inom sjukvårds- eller finansbranschen. Om du behöver sådan information, samla bara in det du behöver, informera kunderna om vilken information du samlar in och varför, och håll den säker genom säker lagring och genom att installera en VPN på alla enheter och nätverk. Men kom ihåg att gratis VPN-skivor kanske inte är lika pålitliga och säkra.
  9. Svara snabbt på begäran om åtkomst. Du har en skyldighet att följa alla datainsamlingsprotokoll och ett ansvar att svara på förfrågningar från kund- eller jobbsökande om deras information. När du får en laglig begäran ska du svara snabbt och fullständigt.
  10. Var transparent. Så snart du har din integritetspolicy på plats, se till att du är helt öppen för dina datainsamlingsbehov, användningar och alla säkerhetsåtgärder som finns för dataskydd.

Vad händer om du inte följer PIPEDA?

Om du är orolig för din status är du fri att kontakta PO som tilldelats din organisation eller bransch. Ett av de nyare kraven enligt den uppdaterade förordningen är införandet av obligatoriska meddelanden om överträdelse av data.

Från och med 1 november 2018 är organisationer som omfattas av PIPEDA-föreskrifter lagligen skyldiga att meddela Integritets kommissionsledamot så snart de blir medvetna om brott mot säkerhetsskyddsåtgärder som innebär personlig information som utgör en verklig risk att orsaka anställda betydande, konsumenter och andra individer.

kanadensiska flaggan

Enligt lag måste dessa företag och organisationer informera alla personer som drabbats av sådana överträdelser. De måste också behålla register över alla sådana överträdelser under minst två år, även om sådana överträdelser redan rapporterades till Kanadas sekretesskommissionär.

Det är i ditt bästa intresse att utveckla en arbetsprocess för att utvärdera risken för betydande skador när det gäller din organisation och den juridiska definitionen av betydande skada. Integritetskommissionären i Kanada rekommenderar att du tar hänsyn till känsligheten för den personliga informationen som är inblandad och sannolikheten för att sådan information kommer att missbrukas om de utsätts eller får åtkomst av en obehörig individ eller grupp.

En sådan risk kan beräknas genom att ställa de rätta frågorna om överträdelsens natur, såsom avsikt, och om det skyddades med hjälp av nuvarande protokoll, standarder och bästa metoder för dataskydd. Om du medvetet och avsiktligt ignorerar de nya PIPEDA-kraven för meddelanden om dataöverträdelser och lagring av poster, är du föremål för böter på upp till 100 000 USD.

Slutgiltiga tankar

I en alltmer global ekonomi är det viktigt att upprätthålla överensstämmelse med alla relevanta förordningar. Kanada har länge varit ledande när det gäller att skydda medborgarnas och företagsledarnas integritet.

Förbättringar av vår integritetslagstiftning tjänar syftet med att informera kanadensare om deras rättigheter när det gäller digitala transaktioner och se till att vi fortsätter att utöka våra internationella affärsintressen.

Om du är en webbplatsägare som är orolig för din PIPEDA-överensstämmelse finns det ett antal guider och publikationer från regeringen som kan hjälpa dig att mäta din beredskapsnivå och komma upp till hastighet. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Adblock
detector