PIPEDA og dig: Fortrolighedslov i Canada

Du behøver ikke at være en nyhedsjunkie for at vide, at digitale data er mere udsatte end nogensinde før. At få adgang til sundhedsoplysninger, bankvirksomhed og andre transaktioner gør livet mere praktisk, men de sætter vores oplysninger i fare fra cyberkriminelle, regeringsnusk og simple menneskelige fejl. Som et resultat gør regeringer og industrier deres bedste for at skabe en sikker atmosfære for datatransmission og -lagring.


Sådanne regler som Europas almindelige databeskyttelsesforordning (GDPR) blev oprettet for at sikre, at både forbrugere og organisationer er beskyttet under loven.

Heldigvis er Canada et af de første lande, der forudser dette behov og reagerer i overensstemmelse hermed.

Behovet for databeskyttelse i Canada

I henhold til en udgivet rapport, der skitserede canadiske digitale vækst og tendenser i branchen, foretog mere end 80 procent af canadierne mindst en online-transaktion i løbet af året før undersøgelsens frigivelse (2018). Tendenser viser, at online platforme til beklædning, rejser og husholdningsartikler vil stige i antal og trafik.

Ud over e-handel betyder tendenser som fjernarbejde, online spil og streaming af indhold, at flere canadiere vil bruge internettet til arbejde og rekreation. Dette fremhæver den stigende afhængighed af e-handel og behovet for strammere regler vedrørende dataindsamling, opbevaring og brug.

privatliv er ikke en forbrydelse

Så langt tilbage som i 1996 indså den canadiske regering behovet for databeskyttelseslove og reagerede ved at skabe et sæt vejledende principper, Model Care for Protection of Personal Information, som onlinevirksomheder skulle leve og drive forretning.

Disse principper blev formaliseret og indført i lov i 2000 med oprettelsen af ​​loven om beskyttelse af personlige oplysninger og elektroniske dokumenter (PIPEDA), der blev opdateret igen i 2015 og fastlagt en endelig dato den 1. november 2018 med henblik på overholdelse. En anden opdatering blev introduceret og implementeret i januar, 2018 og maj 2019.

PIPEDA er blevet godkendt af EU’s kommission for digital regulering og foregår faktisk den endelige version af GDPR med ca. seks måneder. Ud over standarder som de nuværende retningslinjer for tilgængelighed på websteder og andre love om privatlivets fred er PIPEDA designet til at sikre, at internettet er en sikker og tilgængelig platform for alle, der har brug for eller ønsker at bruge det.

Hvad er PIPEDA?

Loven om beskyttelse af personlige oplysninger og elektroniske dokumenter dækker enhver privat sektor eller organisation, der indsamler og / eller bruger personlige oplysninger i løbet af forretningsdrift.

Med henblik på denne regulering defineres sådanne organisationer som enhver virksomhed, hvis hovedformål er kommercielt, herunder salg, leasing, byttehandel med offentligheden, organisationer, der deltager i medlemsrelateret virksomhed, og dem, der samler og indsamler penge. Dette gælder også donorlister og beløb, medmindre disse oplysninger kræves i loven.pipeda logo

PIPEDA-forordningerne er beregnet til at dække alle canadiske provinser, skønt mange har deres egne, lignende regler vedrørende dataindsamling og beskyttelse på plads. Disse provinser er Alberta, British Columbia og Quebec; Labrador, New Brunswick, Newfoundland, Nova Scotia og Ontario har oprettet forskrifter vedrørende indsamling, brug og opbevaring af sundhedsrelaterede data.

PIPEDA dækker også oplysninger, der overføres over canadiske grænser og føderalt regulerede organisationer som:

  • Lufthavne, flyselskaber og lufttransport
  • Lokale banker og autoriserede udenlandske finansielle institutioner
  • Inter-provinsielle eller internationale transportfirmaer
  • Telekommunikationsselskaber
  • Radio- og tv-stationer
  • Offshore-boreoperationer

Hvem er ikke bundet af PIPEDA?

Målet med PIPEDA er at give bred beskyttelse og et samlende sæt retningslinjer for dataindsamling. Men ikke alle er bundet af disse regler.

Disse organisationer og omstændigheder er ikke reguleret af PIPEDA:

  • Oplysninger indsamlet af regeringsorganer og dækket i henhold til Privacy Act.
  • Provinsielle eller territoriale regeringer og agenter
  • Virksomhedskontaktinformation indsamlet, gemt og / eller brugt til forretning i forbindelse med beskæftigelse eller professionelle formål
  • Oplysninger indsamlet af enkeltpersoner til personlig brug, såsom lykønskningskortlister
  • Oplysninger indsamlet, brugt og / eller gemt af organisationer til kunstneriske, journalistiske og litterære formål
  • Ideelle organisationer, hvis ikke engageret i kommercielle aktiviteter
  • Politiske partier og organisationer til brug under ikke-kommercielle aktiviteter

De fleste skoler, kommuner og offentlige medicinske faciliteter er underlagt lovene og forskrifterne i deres provins, selvom PIPEDA muligvis finder anvendelse i nogle tilfælde.

Definition af personlige oplysninger

Nu hvor du har en grundlæggende forståelse af, hvem PIPEDA dækker, kan du undre dig over, hvad den dækker. Regeringen definerer personlige oplysninger som noget, der kan identificere dig, din placering og beskæftigelsesstatus, herunder:pipeda cybersikkerhed

  • Navne, adresser, alder, konto- eller ID-numre, indkomst, blodtype eller etnisk oprindelse
  • Meninger, svar på undersøgelser, kommentarer, social eller ægteskabelig status og omtale af disciplinære handlinger
  • Beskæftigelses-, sundheds-, militær-, kredit- og økonomiske poster
  • Bevis for tvister mellem en forbruger og en købmand

De vejledende principper for PIPEDA

Omfanget af PIPEDA definerer ikke rækkevidden ud over canadiske grænser, men Forbundsretten i Canada har besluttet, at organisationer uden for Canada skal opfylde overholdelsen, hvis deres aktiviteter og interesser er sammenflettet med canadiske interesser.

Følgelsen af ​​PIPEDA-retningslinjerne sikrer ikke kun, at du forbliver i overensstemmelse, opdateringer til denne regulering er beregnet til at holde den i overensstemmelse med dataindsamling / opbevaring.beskyttelseslove i andre lande. Dette vil gøre det muligt for os at fortsætte med at udvide de økonomiske muligheder i udlandet og beskytte vores egne oplysninger – og oplysninger fra canadiske borgere – under processen.

låseknap

Hvis du ikke er i tvivl om eller ikke kender PIPEDA-retningslinjerne, er her de 10 vejledende principper, som det bygger på, og rationalet for hver. Disse principper for brug af fair information er detaljeret beskrevet i teksten i skema 1 i PIPEDA-forordningen.

1. Ansvarlighed

Da du er ansvarlig for de personlige oplysninger, du indsamler og kontrollerer, skal du udpege en kvalificeret Privacy Officer til det eneste formål at sikre PIPEDA-overholdelse.

2. Identificering af formål

Du skal afsløre, hvilke data du vil indsamle, og hvorfor du har brug for dem før eller på tidspunktet for dataindsamling.

3. Informeret samtykke

Du skal informere enkeltpersoner og få deres samtykke til enhver indsamling, brug eller videregivelse af deres personlige oplysninger. Undtagelser gælder for tilfælde, hvor der er juridiske, medicinske eller sikkerhedsmæssige grunde, der gør et sådant informeret samtykke umuligt eller upraktisk.

4. Begrænsning af samling

Alle indsamlede personoplysninger skal indsamles med retfærdige og lovlige måder, og de skal kun være begrænset til de oplysninger, der er nødvendige til de juridiske formål, organisationen har identificeret.

5. Begrænsning af videregivelse, opbevaring og brug

Personlige oplysninger kan kun bruges eller videregives til det angivne formål med indsamling. Alle oplysninger, du indsamler, kan kun opbevares i den tidsperiode, der er skitseret til at opfylde disse formål, og du skal få yderligere samtykke fra den enkelte, hvis disse betingelser ændres, eller det er krævet i loven.

6. Datanøjagtighed

Alle personlige eller følsomme data skal være så nøjagtige, komplette og ajourførte som muligt for at opfylde dets tilsigtede formål.

7. Beskyttelse af data

Du er ansvarlig for at beskytte personlige oplysninger ved passende sikkerhedsstandarder mod tab, tyveri, kopiering, ændring, videregivelse, uautoriseret adgang eller brug.

8. Åbenhed og gennemsigtighedikon for data gennemsigtighed

Du skal være fuldt gennemsigtig om din dataindsamling / opbevaring. opbevaringspolitikker og -praksis. Disse politikker og procedurer skal være let tilgængelige, tilgængelige og forståelige for enkeltpersoner og regeringsagenturer.

9. Individuel adgang

Enhver person, der anmoder om oplysninger om personlige data og datastyring / beskyttelse, skal informeres om eksistensen, brugen og videregivelsen af ​​deres oplysninger og have fuld adgang til sådanne data. De har også ret til at anfægte nøjagtigheden og fuldstændigheden og anmode om, at deres data ændres.

Din ret til at afvise sådanne anmodninger er begrænset til kommercielle ejendomsretlige, juridiske eller sikkerhedsmæssige årsager, herunder dem, der er omfattet af retssager privilegium eller advokat-klient forhold.

10. Udfordrende overholdelse

Enkeltpersoner har ret til at udfordre en organisations overholdelse af PIPEDAs principper og rette denne udfordring til organisationens PO, der er ansvarlig for PIPEDA-overholdelse.

Forbliver i overensstemmelse med OPC

For hvert af principperne er der en måde, du kan sikre dig, at du overholder og undgå kontrol eller straf fra kontoret for beskyttelse af personlige oplysninger. Her er 10 nemme tip, der er designet til at holde dig ude af problemer.

  1. Sørg for, at din privatlivspolitik er synlig på dit websted til besøgende og din organisations privatlivsansvarlige (PO).
  2. Informere og uddanne personale vedrørende dine privatlivsprotokoller, og sørg for, at de har kontaktoplysninger til dit PO.
  3. Husk, at sorteperen stopper med dig. Du er ansvarlig for overholdelse og sørger for, at alle medarbejdere er uddannet korrekt og har de værktøjer, de har brug for.indsamling af personlig information cybersikkerhed
  4. Begræns dine krav til dataindsamling og procedurer. Hvis du indsamler personlige oplysninger om nogen, inklusive personale og kunder, skal du kun indsamle det, du har brug for, og sørge for, at de er gemt i et sikkert miljø.
  5. Lav et SIN valgfrit. Medmindre der er en juridisk grund til at gøre det, skal du ikke kræve, at kunder videregiver deres SIN, når de udfylder formularer på dit websted.
  6. Lav ikke kopier af personlige eller regerings-id’er. Der er tidspunkter, hvor du muligvis har brug for at bekræfte en persons identitet eller bopæl. Dit personale kan se på kørekortet eller anden regerings-id, men de behøver ikke at oprette eller opbevare en kopi.
  7. Informer kunderne, når de optages eller optages. Hvis du bruger videoovervågningsudstyr på din ejendom eller optager indgående opkald, poster tegn og informerer opkaldere om dette faktum, og prøv ikke at opbevare kopier, medmindre de er nødvendige til din forretningsbrug.
  8. Beskyt alle personlige oplysninger. Indsamling af oplysninger er uundgåelig, især i sundhedsvæsenet eller finanssektoren. Hvis du har brug for sådanne data, skal du kun indsamle det, du har brug for, informere kunderne om, hvilke data du indsamler, og hvorfor, og hold dem sikkert gennem sikker opbevaring og ved at installere en VPN på alle enheder og netværk. Men husk, at gratis VPN’er muligvis ikke er så pålidelige og sikre.
  9. Svar hurtigt på anmodninger om adgang. Du har pligt til at overholde alle dataindsamlingsprotokoller og et ansvar for at besvare eventuelle anmodninger fra kunde eller jobansøgere om deres information. Når du modtager en lovlig anmodning, skal du svare hurtigt og fuldt ud.
  10. Vær gennemsigtig. Så snart du har din politik til beskyttelse af personlige oplysninger, skal du sørge for at være fuldt gennemsigtig om dine dataindsamlingsbehov, -anvendelser og eventuelle sikkerhedsforanstaltninger, der er på plads til databeskyttelse.

Hvad sker der, hvis du ikke overholder PIPEDA?

Hvis du er bekymret for din status, er du fri til at kontakte PO, der er tildelt din organisation eller branche. Et af de nyere krav under den opdaterede regulering er indførelsen af ​​obligatoriske meddelelser om brud på data.

Fra og med 1. november 2018 er organisationer, der er underlagt PIPEDA-forordninger, lovligt forpligtet til at underrette Privacy Commissioner of Canada, så snart de bliver opmærksomme på overtrædelser af sikkerhedsforanstaltninger, der indebærer personlige oplysninger, der udgør reel risiko for at forårsage betydelig skade på medarbejderne, forbrugere og andre personer.

canadisk flag

Ved lov skal disse virksomheder og organisationer også informere alle personer, der er berørt af sådanne overtrædelser. De skal også opbevare registreringer af alle sådanne overtrædelser i en periode på mindst to år, selvom sådanne overtrædelser allerede var rapporteret til Canadas Privacy Commissioner.

Det er i din bedste interesse at udvikle en arbejdsproces til vurdering af risikoen for betydelig skade, da den vedrører din organisation og den juridiske definition af betydelig skade. Fortrolighedskommissæren i Canada anbefaler, at du tager hensyn til følsomheden af ​​de involverede personlige oplysninger og sandsynligheden for, at sådanne oplysninger misbruges, hvis de udsættes for eller fås adgang til en uautoriseret person eller gruppe.

En sådan risiko kan beregnes ved at stille de rigtige spørgsmål vedrørende overtrædelsens art, såsom forsæt, og om det var beskyttet ved hjælp af aktuelle protokoller, standarder og bedste praksis til databeskyttelse. Hvis du bevidst og med forsæt ignorerer de nye PIPEDA-krav til underretninger om dataovertrædelse og opbevaring af poster, er du underlagt bøder på op til $ 100.000 CAD.

Afsluttende tanker

I en stigende global økonomi er det vigtigt at opretholde overholdelsen af ​​alle de relevante regler. Canada har længe været en leder, når det gælder om at beskytte sine borgere og forretningsledere.

Forbedringer af vores privatlivslovgivning tjener formålet med at informere canadierne om deres rettigheder, når det kommer til digitale transaktioner, og sikre, at vi fortsætter med at udvide vores internationale forretningsinteresser.

Hvis du er en ejer af webstedet, der er bekymret for din PIPEDA-overholdelse, er der et antal guider og publikationer fra regeringen til rådighed for at hjælpe dig med at måle dit beredskabsniveau og komme i gang. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map