PIPEDA und Sie: Datenschutzrecht in Kanada

Sie müssen kein Nachrichtenjunkie sein, um zu wissen, dass digitale Daten gefährdeter sind als je zuvor. Der Zugriff auf Gesundheitsinformationen, Bankgeschäfte und andere Transaktionen erleichtert das Leben, gefährdet jedoch unsere Informationen durch Cyberkriminelle, Regierungsbeschnüffel und einfache menschliche Fehler. Infolgedessen geben Regierungen und Industrie ihr Bestes, um eine sichere Atmosphäre für die Übertragung und Speicherung von Daten zu schaffen.


Vorschriften wie die Europäische Datenschutz-Grundverordnung (DSGVO) wurden geschaffen, um sicherzustellen, dass Verbraucher und Organisationen gleichermaßen gesetzlich geschützt sind.

Glücklicherweise ist Kanada eines der ersten Länder, das diesen Bedarf antizipiert und entsprechend reagiert.

Die Notwendigkeit des Datenschutzes in Kanada

Laut einem veröffentlichten Bericht, in dem das digitale Wachstum Kanadas und die Branchentrends beschrieben werden, haben mehr als 80 Prozent der Kanadier im Jahr vor der Veröffentlichung der Studie (2018) mindestens eine Online-Transaktion durchgeführt. Trends deuten darauf hin, dass Online-Plattformen für Kleidung, Reisen und Haushaltsgegenstände an Anzahl und Verkehr zunehmen werden.

Neben E-Commerce führen Trends wie Remote-Arbeit, Online-Spiele und Content-Streaming dazu, dass immer mehr Kanadier das Internet für Arbeit und Freizeit nutzen. Dies unterstreicht die zunehmende Abhängigkeit von E-Commerce und die Notwendigkeit strengerer Vorschriften für die Erfassung, Speicherung und Nutzung von Daten.

Privatsphäre ist kein Verbrechen

Bereits 1996 erkannte die kanadische Regierung die Notwendigkeit von Datenschutzgesetzen und reagierte mit der Schaffung einer Reihe von Leitprinzipien, der Modellpflege zum Schutz personenbezogener Daten, nach denen Online-Unternehmen leben und Geschäfte tätigen sollten.

Diese Grundsätze wurden im Jahr 2000 mit der Schaffung des Gesetzes zum Schutz personenbezogener Daten und elektronischer Dokumente (PIPEDA) formalisiert und in Kraft gesetzt, das 2015 erneut aktualisiert wurde und einen endgültigen Termin für die Einhaltung am 1. November 2018 festlegte. Ein weiteres Update wurde im Januar 2018 und Mai 2019 eingeführt und implementiert.

PIPEDA wurde von der EU-Kommission für digitale Regulierung genehmigt und liegt tatsächlich etwa sechs Monate vor der endgültigen Fassung der DSGVO. Neben Standards wie den aktuellen Richtlinien zur Barrierefreiheit von Websites und anderen Datenschutzgesetzen soll PIPEDA sicherstellen, dass das Internet eine sichere und zugängliche Plattform für alle ist, die es benötigen oder nutzen möchten.

Was ist PIPEDA??

Das Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente gilt für alle Unternehmen oder Organisationen des privaten Sektors, die personenbezogene Daten im Rahmen ihrer Geschäftstätigkeit sammeln und / oder verwenden.

Für die Zwecke dieser Vorschriften werden solche Organisationen als jedes Unternehmen definiert, dessen Hauptzweck kommerziell ist, einschließlich Verkauf, Leasing, Tauschhandel mit der Öffentlichkeit, Organisationen, die sich mit Unternehmen im Zusammenhang mit der Mitgliedschaft befassen, und solche, die Gelder sammeln und sammeln. Dies gilt auch für Spenderlisten und -beträge, sofern diese Informationen nicht gesetzlich vorgeschrieben sind.Pipeda-Logo

Die PIPEDA-Bestimmungen sollen alle kanadischen Provinzen abdecken, obwohl viele ihre eigenen, ähnlichen Bestimmungen in Bezug auf die Erhebung und den Schutz von Daten haben. Diese Provinzen sind Alberta, British Columbia und Quebec; Labrador, New Brunswick, Neufundland, Nova Scotia und Ontario haben Vorschriften zur Erfassung, Verwendung und Speicherung gesundheitsbezogener Daten erlassen.

PIPEDA umfasst auch Informationen, die über kanadische Grenzen hinweg übertragen werden, sowie bundesweit regulierte Organisationen wie:

  • Flughäfen, Fluggesellschaften und Lufttransporte
  • Lokale Banken und autorisierte ausländische Finanzinstitute
  • Provinziale oder internationale Transportunternehmen
  • Telekommunikationsunternehmen
  • Radio- und Fernsehsender
  • Offshore-Bohrarbeiten

Wer ist nicht an PIPEDA gebunden??

Ziel von PIPEDA ist es, einen umfassenden Schutz und einheitliche Richtlinien für die Datenerfassung bereitzustellen. Aber nicht jeder ist an diese Vorschriften gebunden.

Diese Organisationen und Umstände werden von PIPEDA nicht reguliert:

  • Informationen, die von Regierungsbehörden gesammelt und unter das Datenschutzgesetz fallen.
  • Provinz- oder Territorialregierungen und -agenten
  • Geschäftskontaktinformationen, die für geschäftliche oder berufliche Zwecke gesammelt, gespeichert und / oder verwendet werden
  • Von Einzelpersonen für den persönlichen Gebrauch gesammelte Informationen, wie z. B. Grußkartenlisten
  • Informationen, die von Organisationen für künstlerische, journalistische und literarische Zwecke gesammelt, verwendet und / oder gespeichert werden
  • Gemeinnützige Organisationen, wenn sie keine kommerziellen Aktivitäten ausüben
  • Politische Parteien und Organisationen zur Verwendung bei nichtkommerziellen Aktivitäten

Die meisten Schulen, Gemeinden und öffentlichen medizinischen Einrichtungen unterliegen den Gesetzen und Vorschriften in ihrer Provinz, obwohl PIPEDA in einigen Fällen gelten kann.

Persönliche Informationen definieren

Nachdem Sie nun ein grundlegendes Verständnis darüber haben, wer PIPEDA abdeckt, fragen Sie sich möglicherweise, was es abdeckt. Die Regierung definiert personenbezogene Daten als alles, was Sie, Ihren Standort und Ihren Beschäftigungsstatus identifizieren kann, einschließlich:Pipeda Cyber-Sicherheit

  • Namen, Adressen, Alter, Konto- oder ID-Nummern, Einkommen, Blutgruppe oder ethnische Herkunft
  • Meinungen, Umfrageantworten, Kommentare, sozialer oder Familienstand und Erwähnung von Disziplinarmaßnahmen
  • Beschäftigungs-, Gesundheits-, Militär-, Kredit- und Finanzunterlagen
  • Nachweis von Streitigkeiten zwischen Verbraucher und Händler

Die Leitprinzipien von PIPEDA

Der Geltungsbereich von PIPEDA definiert nicht seine Reichweite über die Grenzen Kanadas hinaus, aber das Bundesgericht in Kanada hat entschieden, dass Organisationen außerhalb Kanadas die Einhaltung der Vorschriften einhalten müssen, wenn ihre Aktivitäten und Interessen mit kanadischen Interessen verflochten sind.

Durch die Befolgung der PIPEDA-Richtlinien wird nicht nur sichergestellt, dass Sie die Richtlinien einhalten. Durch Aktualisierungen dieser Verordnung sollen sie auch im Einklang mit den Gesetzen zum Schutz von Datenerfassung / -speicherung in anderen Ländern gehalten werden. Dies wird es uns ermöglichen, die finanziellen Möglichkeiten in Übersee weiter auszubauen und dabei unsere eigenen Informationen – und die der kanadischen Bürger – zu schützen.

Sperrknopf

Wenn Sie sich der PIPEDA-Richtlinien nicht sicher sind oder mit ihnen nicht vertraut sind, finden Sie hier die 10 Leitprinzipien, auf denen sie basieren, und die jeweiligen Gründe. Diese Grundsätze der fairen Nutzung von Informationen werden im Text von Anhang 1 der PIPEDA-Verordnung näher erläutert.

1. Rechenschaftspflicht

Da Sie für die von Ihnen gesammelten und kontrollierten persönlichen Daten verantwortlich sind, müssen Sie einen qualifizierten Datenschutzbeauftragten ernennen, um die Einhaltung der PIPEDA-Bestimmungen zu gewährleisten.

2. Zwecke identifizieren

Sie müssen vor oder zum Zeitpunkt der Datenerfassung angeben, welche Daten Sie erfassen und warum Sie sie benötigen.

3. Informierte Zustimmung

Sie müssen Einzelpersonen informieren und ihre Zustimmung zur Erhebung, Verwendung oder Offenlegung ihrer persönlichen Daten einholen. Ausnahmen gelten für Fälle, in denen rechtliche, medizinische oder Sicherheitsgründe vorliegen, die eine solche Einwilligung nach Aufklärung unmöglich oder unpraktisch machen.

4. Beschränkung der Sammlung

Alle gesammelten persönlichen Informationen müssen auf faire und rechtmäßige Weise gesammelt werden und dürfen nur auf die Informationen beschränkt sein, die für die von der Organisation angegebenen rechtlichen Zwecke erforderlich sind.

5. Einschränkung der Offenlegung, Aufbewahrung und Verwendung

Personenbezogene Daten dürfen nur für den angegebenen Zweck der Erfassung verwendet oder weitergegeben werden. Alle Informationen, die Sie sammeln, können nur für die angegebene Zeit aufbewahrt werden, um diese Zwecke zu erfüllen, und Sie müssen die weitere Zustimmung des Einzelnen einholen, wenn sich diese Bedingungen ändern oder dies gesetzlich vorgeschrieben ist.

6. Datengenauigkeit

Alle persönlichen oder sensiblen Daten müssen so genau, vollständig und aktuell wie möglich sein, um ihren beabsichtigten Zweck zu erfüllen.

7. Datensicherungen

Sie sind dafür verantwortlich, persönliche Daten durch geeignete Sicherheitsstandards vor Verlust, Diebstahl, Kopieren, Ändern, Offenlegung, unbefugtem Zugriff oder Verwendung zu schützen.

8. Offenheit und TransparenzDatentransparenzsymbol

Sie müssen über Ihre Datenerfassung / -aufbewahrung vollständig transparent sein. Speicherrichtlinien und -praktiken. Diese Richtlinien und Verfahren müssen für Einzelpersonen und Regierungsbehörden leicht verfügbar, zugänglich und verständlich sein.

9. Individueller Zugang

Jede Person, die Informationen über personenbezogene Daten und Datenverwaltung / -schutz anfordert, muss über das Vorhandensein, die Verwendung und die Offenlegung ihrer Informationen informiert werden und uneingeschränkten Zugriff auf diese Daten erhalten. Sie haben auch das Recht, die Richtigkeit und Vollständigkeit in Frage zu stellen und die Änderung ihrer Daten zu beantragen.

Ihr Recht, solche Anfragen abzulehnen, ist auf gewerbliche, rechtliche oder Sicherheitsgründe beschränkt, einschließlich solcher, die unter das Prozessrecht oder die Beziehungen zwischen Anwalt und Mandant fallen.

10. Anspruchsvolle Einhaltung

Einzelpersonen haben das Recht, die Einhaltung der PIPEDA-Grundsätze durch eine Organisation in Frage zu stellen und diese Anfechtung an die für die Einhaltung der PIPEDA-Richtlinien zuständige PO der Organisation zu richten.

Einhaltung der OPC

Für jedes der Prinzipien gibt es eine Möglichkeit, sicherzustellen, dass Sie die Vorschriften einhalten, und eine Überprüfung oder Bestrafung durch das Büro des Datenschutzbeauftragten zu vermeiden. Hier sind 10 einfache Tipps, die Sie vor Problemen bewahren sollen.

  1. Stellen Sie sicher, dass Ihre Datenschutzrichtlinie auf Ihrer Website sichtbar ist an Besucher und den Datenschutzbeauftragten Ihrer Organisation (PO).
  2. Mitarbeiter informieren und schulen Stellen Sie sicher, dass Ihre Kontaktprotokolle über Kontaktinformationen für Ihre Bestellung verfügen.
  3. Denken Sie daran, dass das Geld bei Ihnen stehen bleibt. Sie sind für die Einhaltung der Vorschriften verantwortlich und stellen sicher, dass alle Mitarbeiter ordnungsgemäß geschult sind und über die erforderlichen Tools verfügen.Sammeln persönlicher Informationen Cybersicherheit
  4. Verfeinern Sie Ihre Datenerfassungsanforderungen und -verfahren. Wenn Sie personenbezogene Daten von Personen erfassen, einschließlich Mitarbeitern und Kunden, erfassen Sie nur das, was Sie benötigen, und stellen Sie sicher, dass diese in einer sicheren Umgebung gespeichert sind.
  5. Machen Sie die Verwendung einer SÜNDE optional. Wenn es keinen rechtlichen Grund dafür gibt, müssen Kunden beim Ausfüllen von Formularen auf Ihrer Website ihre SÜNDE nicht offenlegen.
  6. Machen Sie keine Kopien von Personal- oder Regierungsausweisen. Es kann vorkommen, dass Sie die Identität oder den Wohnsitz einer Person überprüfen müssen. Ihre Mitarbeiter können sich den Führerschein oder einen anderen Regierungsausweis ansehen, müssen jedoch keine Kopie erstellen oder aufbewahren.
  7. Informieren Sie Kunden, wenn sie auf Video aufgezeichnet oder aufgezeichnet werden. Wenn Sie auf Ihrem Grundstück Videoüberwachungsgeräte verwenden oder eingehende Anrufe aufzeichnen, setzen Sie Schilder und informieren Sie die Anrufer über diese Tatsache. Versuchen Sie, keine Kopien aufzubewahren, es sei denn, diese sind für Ihre geschäftliche Nutzung erforderlich.
  8. Schützen Sie alle persönlichen Daten. Das Sammeln von Informationen ist insbesondere in der Gesundheits- oder Finanzbranche unvermeidlich. Wenn Sie solche Daten benötigen, erfassen Sie nur das, was Sie benötigen, informieren Sie Kunden darüber, welche Daten Sie erfassen und warum, und schützen Sie sie durch sichere Speicherung und Installation eines VPN auf allen Geräten und Netzwerken. Beachten Sie jedoch, dass kostenlose VPNs möglicherweise nicht so zuverlässig und sicher sind.
  9. Reagieren Sie umgehend auf Zugriffsanfragen. Sie sind verpflichtet, alle Datenerfassungsprotokolle einzuhalten und auf Anfragen von Kunden oder Bewerbern nach deren Informationen zu antworten. Wenn Sie eine rechtmäßige Anfrage erhalten, antworten Sie schnell und vollständig.
  10. Sei transparent. Stellen Sie sicher, dass Ihre Datenerfassungsanforderungen, -verwendungen und Sicherheitsmaßnahmen für den Datenschutz vollständig transparent sind, sobald Sie über Ihre Datenschutzrichtlinien verfügen.

Was passiert, wenn Sie PIPEDA nicht einhalten??

Wenn Sie über Ihren Status besorgt sind, können Sie sich an die Ihrer Organisation oder Branche zugewiesene Bestellung wenden. Eine der neueren Anforderungen der aktualisierten Verordnung ist die Einführung obligatorischer Benachrichtigungen über Datenschutzverletzungen.

Ab dem 1. November 2018 sind Organisationen, die den PIPEDA-Bestimmungen unterliegen, gesetzlich verpflichtet, den kanadischen Datenschutzbeauftragten zu benachrichtigen, sobald sie Kenntnis von Verstößen gegen Sicherheitsvorkehrungen erhalten, die personenbezogene Daten beinhalten, die ein echtes Risiko darstellen, den Mitarbeitern erheblichen Schaden zuzufügen. Verbraucher und andere Personen.

kanadische Flagge

Laut Gesetz müssen diese Unternehmen und Organisationen auch alle Personen informieren, die von solchen Verstößen betroffen sind. Sie müssen außerdem Aufzeichnungen über alle derartigen Verstöße mindestens zwei Jahre lang aufbewahren, selbst wenn solche Verstöße bereits dem kanadischen Datenschutzbeauftragten gemeldet wurden.

Es liegt in Ihrem besten Interesse, einen Arbeitsprozess zur Bewertung des Risikos eines erheblichen Schadens zu entwickeln, der sich auf Ihre Organisation und die rechtliche Definition eines erheblichen Schadens bezieht. Der kanadische Datenschutzbeauftragte empfiehlt, dass Sie die Sensibilität der betreffenden persönlichen Informationen und die Wahrscheinlichkeit berücksichtigen, dass diese Informationen missbraucht werden, wenn sie von einer nicht autorisierten Person oder Gruppe offengelegt oder abgerufen werden.

Ein solches Risiko kann berechnet werden, indem die richtigen Fragen bezüglich der Art des Verstoßes gestellt werden, z. B. der Absicht, und ob er unter Verwendung aktueller Protokolle, Standards und Best Practices für den Datenschutz geschützt wurde. Wenn Sie die neuen PIPEDA-Anforderungen für Benachrichtigungen über Datenschutzverletzungen und Aufbewahrung von Aufzeichnungen wissentlich und absichtlich missachten, werden Sie mit Geldstrafen von bis zu 100.000 CAD belegt.

Abschließende Gedanken

In einer zunehmend globalen Wirtschaft ist die Einhaltung aller einschlägigen Vorschriften von wesentlicher Bedeutung. Kanada ist seit langem führend beim Schutz der Privatsphäre seiner Bürger und Wirtschaftsführer.

Verbesserungen unserer Datenschutzgesetze dienen dazu, die Kanadier über ihre Rechte bei digitalen Transaktionen zu informieren und sicherzustellen, dass wir unsere internationalen Geschäftsinteressen weiter ausbauen.

Wenn Sie ein Website-Inhaber sind, der sich Sorgen über Ihre PIPEDA-Konformität macht, stehen Ihnen eine Reihe von Leitfäden und Veröffentlichungen der Regierung zur Verfügung, mit denen Sie Ihre Bereitschaft beurteilen und sich auf dem Laufenden halten können. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map