PIPEDA và bạn: Luật riêng tư ở Canada

Bạn không phải là một người nghiện tin tức để biết rằng dữ liệu kỹ thuật số có nguy cơ cao hơn bao giờ hết. Truy cập thông tin y tế, ngân hàng và các giao dịch khác giúp cuộc sống thuận tiện hơn, nhưng chúng khiến thông tin của chúng ta gặp nguy hiểm từ tội phạm mạng, rình mò của chính phủ và lỗi đơn giản của con người. Do đó, chính phủ và các ngành công nghiệp đang nỗ lực hết mình để tạo ra một bầu không khí an toàn để truyền và lưu trữ dữ liệu.


Các quy định như Quy định bảo vệ dữ liệu chung (GDPR) của Châu Âu được tạo ra để đảm bảo rằng người tiêu dùng và các tổ chức đều được bảo vệ theo luật.

May mắn thay, Canada là một trong những quốc gia đầu tiên dự đoán nhu cầu này và đáp ứng phù hợp.

Sự cần thiết phải bảo vệ dữ liệu ở Canada

Theo một báo cáo được công bố phác thảo xu hướng tăng trưởng kỹ thuật số và công nghiệp của Canada, hơn 80 phần trăm người Canada đã thực hiện ít nhất một giao dịch trực tuyến trong năm trước khi phát hành nghiên cứu (2018). Xu hướng chỉ ra rằng các nền tảng trực tuyến cho quần áo, du lịch và đồ gia dụng sẽ tăng về số lượng và lưu lượng truy cập.

Ngoài Thương mại điện tử, các xu hướng như làm việc từ xa, chơi trò chơi trực tuyến và truyền phát nội dung có nghĩa là nhiều người Canada sẽ sử dụng internet cho công việc và giải trí. Điều này nhấn mạnh sự phụ thuộc ngày càng tăng vào Thương mại điện tử và cần các quy định chặt chẽ hơn về thu thập, lưu trữ và sử dụng dữ liệu.

riêng tư không phải là một tội ác

Từ năm 1996, chính phủ Canada đã nhận ra sự cần thiết của luật bảo vệ dữ liệu và đáp ứng bằng cách tạo ra một bộ nguyên tắc hướng dẫn, Mô hình Chăm sóc Bảo vệ Thông tin Cá nhân, theo đó các doanh nghiệp trực tuyến nên sống và tiến hành kinh doanh.

Những nguyên tắc này đã được chính thức hóa và đưa ra luật năm 2000 với việc tạo ra Đạo luật Tài liệu Điện tử và Bảo vệ Thông tin Cá nhân (PIPEDA), được cập nhật lại vào năm 2015 và đưa ra ngày cuối cùng là ngày 1 tháng 11 năm 2018, để tuân thủ. Một bản cập nhật khác đã được giới thiệu và thực hiện vào tháng 1 năm 2018 và tháng 5 năm 2019.

PIPEDA đã được ủy ban quy định kỹ thuật số EU EU phê duyệt và trên thực tế, trước phiên bản cuối cùng của GDPR khoảng sáu tháng. Ngoài các tiêu chuẩn như hướng dẫn truy cập trang web hiện tại và các luật riêng tư khác, PIPEDA được thiết kế để đảm bảo rằng internet là một nền tảng an toàn và có thể truy cập cho tất cả những ai cần hoặc muốn sử dụng nó.

PIPEDA là gì?

Đạo luật Tài liệu Điện tử và Bảo vệ Thông tin Cá nhân bao gồm mọi doanh nghiệp hoặc tổ chức thuộc khu vực tư nhân thu thập và / hoặc sử dụng thông tin cá nhân trong quá trình tiến hành kinh doanh.

Vì mục đích của các quy định này, các tổ chức đó được định nghĩa là bất kỳ doanh nghiệp nào có mục đích chính là thương mại, bao gồm bán, cho thuê, trao đổi với công chúng, các tổ chức tham gia vào doanh nghiệp liên quan đến thành viên và các tổ chức huy động và thu tiền. Điều này cũng áp dụng cho danh sách và số tiền của nhà tài trợ, trừ khi thông tin này được yêu cầu bởi luật pháp.logo Pipeda

Các quy định của PIPEDA có nghĩa là bao gồm tất cả các tỉnh của Canada, mặc dù nhiều tỉnh có quy định tương tự của riêng họ về thu thập và bảo vệ dữ liệu tại chỗ. Các tỉnh đó là Alberta, British Columbia và Quebec; Labrador, New Brunswick, Newfoundland, Nova Scotia và Ontario đã tạo ra các quy định liên quan đến việc thu thập, sử dụng và lưu trữ dữ liệu liên quan đến sức khỏe.

PIPEDA cũng bao gồm thông tin mà truyền tải qua biên giới Canada và các tổ chức được liên bang quy định như:

  • Sân bay, hãng hàng không và vận tải hàng không
  • Ngân hàng địa phương và các tổ chức tài chính nước ngoài được ủy quyền
  • Các công ty vận tải liên tỉnh hoặc quốc tế
  • Công ty viễn thông
  • Đài phát thanh và truyền hình
  • Hoạt động khoan ngoài khơi

Ai bị ràng buộc bởi PIPEDA?

Mục tiêu của PIPEDA là cung cấp sự bảo vệ rộng rãi và một bộ hướng dẫn thống nhất để thu thập dữ liệu. Nhưng, không phải ai cũng bị ràng buộc bởi các quy định này.

Các tổ chức và hoàn cảnh này được quy định bởi PIPEDA:

  • Thông tin được thu thập bởi các cơ quan chính phủ và được bảo vệ theo Đạo luật Quyền riêng tư.
  • Chính quyền tỉnh và lãnh thổ và đại lý
  • Thông tin liên hệ kinh doanh được thu thập, lưu trữ và / hoặc được sử dụng cho kinh doanh liên quan đến việc làm hoặc mục đích chuyên nghiệp
  • Thông tin được thu thập bởi các cá nhân để sử dụng cá nhân, chẳng hạn như danh sách thiệp chúc mừng
  • Thông tin được thu thập, sử dụng và / hoặc được lưu trữ bởi các tổ chức cho các mục đích nghệ thuật, báo chí và văn học
  • Các tổ chức phi lợi nhuận, nếu không tham gia vào các hoạt động thương mại
  • Các đảng và tổ chức chính trị, để sử dụng trong các hoạt động phi thương mại

Hầu hết các trường học, thành phố, và các cơ sở y tế công cộng được điều chỉnh bởi luật pháp và các quy định trong tỉnh của họ, mặc dù PIPEDA có thể áp dụng trong một số trường hợp.

Xác định thông tin cá nhân

Bây giờ bạn đã có một sự hiểu biết cơ bản về người PIPEDA bao gồm, bạn có thể tự hỏi nó bao gồm những gì. Chính phủ định nghĩa thông tin cá nhân là bất cứ điều gì có thể xác định bạn, vị trí của bạn và tình trạng việc làm, bao gồm:an ninh mạng Pipeda

  • Tên, địa chỉ, tuổi, số tài khoản hoặc số ID, thu nhập, nhóm máu hoặc nguồn gốc dân tộc
  • Ý kiến, câu trả lời khảo sát, ý kiến, tình trạng xã hội hoặc hôn nhân, và đề cập đến các hành động kỷ luật
  • Hồ sơ việc làm, y tế, quân sự, tín dụng và tài chính
  • Bằng chứng về tranh chấp giữa người tiêu dùng và thương gia

Các nguyên tắc hướng dẫn của PIPEDA

Phạm vi của PIPEDA không phạm xác định phạm vi của nó vượt ra ngoài biên giới Canada, nhưng Tòa án Liên bang ở Canada đã ra lệnh rằng các tổ chức bên ngoài Canada phải đáp ứng sự tuân thủ nếu các hoạt động và lợi ích của họ đan xen với lợi ích của Canada.

Không chỉ tuân theo các hướng dẫn của PIPEDA đảm bảo rằng bạn vẫn tuân thủ, các cập nhật cho quy định này có nghĩa là giữ cho nó phù hợp với luật thu thập / lưu trữ dữ liệu ở các quốc gia khác. Điều này sẽ cho phép chúng tôi tiếp tục mở rộng cơ hội tài chính ở nước ngoài và bảo vệ thông tin của chính chúng tôi – và của công dân Canada – trong quá trình.

nút khóa

Nếu bạn không chắc chắn hoặc không quen thuộc với các hướng dẫn của PIPEDA, thì đây là 10 nguyên tắc hướng dẫn dựa trên đó và lý do căn bản cho từng nguyên tắc. Các nguyên tắc sử dụng thông tin hợp lý này được trình bày chi tiết hơn trong văn bản của Biểu 1 của quy định PIPEDA.

1. Trách nhiệm

Vì bạn có trách nhiệm đối với thông tin cá nhân bạn thu thập và kiểm soát, bạn phải chỉ định một Nhân viên quyền riêng tư đủ điều kiện cho mục đích duy nhất là đảm bảo tuân thủ PIPEDA.

2. Xác định mục đích

Bạn phải tiết lộ dữ liệu nào bạn sẽ thu thập và tại sao bạn cần dữ liệu đó trước hoặc tại thời điểm thu thập dữ liệu.

3. Đồng ý

Bạn phải thông báo cho các cá nhân và có được sự đồng ý của họ cho bất kỳ việc thu thập, sử dụng hoặc tiết lộ thông tin cá nhân của họ. Miễn giảm áp dụng cho các trường hợp có lý do pháp lý, y tế hoặc bảo mật khiến cho sự đồng ý như vậy là không thể hoặc không thực tế.

4. Bộ sưu tập giới hạn

Bất kỳ thông tin cá nhân nào được thu thập phải được thu thập bằng các biện pháp hợp pháp và hợp pháp, và nó chỉ được giới hạn ở những thông tin mà LỢI cần thiết cho mục đích pháp lý được xác định bởi tổ chức.

5. Hạn chế tiết lộ, lưu giữ và sử dụng

Thông tin cá nhân chỉ có thể được sử dụng hoặc tiết lộ cho mục đích thu thập đã nêu. Bất kỳ thông tin nào bạn thu thập chỉ có thể được giữ lại trong khoảng thời gian được vạch ra để thực hiện các mục đích đó và bạn phải có được sự đồng ý của cá nhân nếu những điều kiện đó thay đổi hoặc theo yêu cầu của pháp luật.

6. Độ chính xác của dữ liệu

Bất kỳ dữ liệu cá nhân hoặc nhạy cảm nào cũng phải chính xác, đầy đủ và cập nhật nhất có thể để thực hiện mục đích dự định của nó.

7. Bảo vệ dữ liệu

Bạn có trách nhiệm bảo vệ thông tin cá nhân theo các tiêu chuẩn bảo mật thích hợp chống lại mất mát, trộm cắp, sao chép, sửa đổi, tiết lộ, truy cập trái phép hoặc sử dụng.

8. Cởi mở và minh bạchbiểu tượng minh bạch dữ liệu

Bạn yêu cầu phải minh bạch hoàn toàn về việc thu thập / lưu giữ dữ liệu của bạn. chính sách lưu trữ và thực hành. Các chính sách và thủ tục này phải có sẵn, dễ tiếp cận và dễ hiểu đối với các cá nhân và cơ quan chủ quản.

9. Truy cập cá nhân

Bất kỳ cá nhân yêu cầu thông tin về dữ liệu cá nhân và quản lý / bảo vệ dữ liệu phải được thông báo về sự tồn tại, sử dụng và tiết lộ thông tin của họ và được cung cấp quyền truy cập đầy đủ vào dữ liệu đó. Họ cũng có quyền thách thức tính chính xác và đầy đủ và yêu cầu dữ liệu của họ được sửa đổi.

Quyền từ chối các yêu cầu đó của bạn bị giới hạn bởi các lý do thương mại, pháp lý hoặc bảo mật, bao gồm cả những lý do được bảo vệ theo đặc quyền kiện tụng hoặc quan hệ luật sư-khách hàng.

10. Tuân thủ đầy thách thức

Các cá nhân có quyền thách thức một tổ chức Tuân thủ các nguyên tắc của PIPEDA và hướng thách thức đó đến tổ chức PO PO phụ trách tuân thủ PIPEDA.

Tuân thủ tuân thủ OPC

Đối với mỗi nguyên tắc, có một cách mà bạn có thể đảm bảo rằng bạn tuân thủ và tránh sự xem xét hoặc trừng phạt của Văn phòng Ủy viên Quyền riêng tư. Dưới đây là 10 mẹo đơn giản được thiết kế để giúp bạn không gặp rắc rối.

  1. Đảm bảo chính sách bảo mật của bạn được hiển thị trên trang web của bạn tới khách truy cập và nhân viên bảo mật của tổ chức của bạn (PO).
  2. Thông báo và đào tạo nhân viên liên quan đến các giao thức bảo mật của bạn và đảm bảo rằng họ có thông tin liên hệ cho PO của bạn.
  3. Hãy nhớ rằng buck dừng lại với bạn. Bạn có trách nhiệm tuân thủ và đảm bảo rằng tất cả các nhân viên được đào tạo đúng cách và có các công cụ họ cần.thu thập thông tin cá nhân
  4. Tinh chỉnh các yêu cầu và quy trình thu thập dữ liệu của bạn. Nếu bạn thu thập thông tin cá nhân về bất kỳ ai, kể cả nhân viên và khách hàng, chỉ thu thập những gì bạn cần và đảm bảo rằng nó được lưu trữ trong một môi trường an toàn.
  5. Sử dụng tùy chọn SIN. Trừ khi có một lý do pháp lý để làm như vậy, don don yêu cầu khách hàng tiết lộ SIN của họ khi điền vào các biểu mẫu trên trang web của bạn.
  6. Donith tạo bản sao ID cá nhân hoặc chính phủ. Đôi khi bạn có thể cần xác minh danh tính hoặc cư trú của ai đó. Nhân viên của bạn có thể xem giấy phép lái xe hoặc ID chính phủ khác, nhưng họ không cần phải tạo hoặc giữ một bản sao.
  7. Thông báo cho khách hàng khi họ đang quay video hoặc ghi lại. Nếu bạn sử dụng thiết bị giám sát video trên tài sản của mình hoặc ghi lại các cuộc gọi đến, hãy đăng các dấu hiệu và thông báo cho người gọi về thực tế này và cố gắng không giữ các bản sao trừ khi chúng cần thiết cho việc sử dụng kinh doanh của bạn.
  8. Bảo vệ tất cả thông tin cá nhân. Thu thập thông tin là không thể tránh khỏi, đặc biệt là trong ngành y tế hoặc tài chính. Nếu bạn cần dữ liệu đó, chỉ thu thập những gì bạn cần, thông báo cho khách hàng về dữ liệu bạn đang thu thập và lý do, và giữ an toàn thông qua lưu trữ an toàn và bằng cách cài đặt VPN trên tất cả các thiết bị và mạng. Nhưng hãy nhớ rằng VPN miễn phí có thể không đáng tin cậy và an toàn.
  9. Trả lời kịp thời các yêu cầu truy cập. Bạn có nghĩa vụ tuân thủ tất cả các giao thức thu thập dữ liệu và có trách nhiệm đáp ứng mọi yêu cầu từ khách hàng hoặc người xin việc về thông tin của họ. Khi nhận được yêu cầu hợp pháp, hãy trả lời nhanh chóng và đầy đủ.
  10. Hãy minh bạch. Ngay khi bạn có chính sách bảo mật của mình, hãy đảm bảo hoàn toàn minh bạch về nhu cầu, việc sử dụng và thu thập dữ liệu của bạn để bảo vệ dữ liệu.

Điều gì xảy ra nếu bạn không tuân thủ PIPEDA?

Nếu bạn lo lắng về tình trạng của mình, bạn có thể liên hệ với PO được chỉ định cho tổ chức hoặc ngành của bạn. Một trong những yêu cầu mới hơn theo quy định được cập nhật là giới thiệu các thông báo vi phạm dữ liệu bắt buộc.

Bắt đầu từ ngày 1 tháng 11 năm 2018, các tổ chức tuân thủ các quy định của PIPEDA có nghĩa vụ pháp lý phải thông báo cho Ủy ban Bảo mật Canada ngay khi họ nhận thấy bất kỳ vi phạm nào về các biện pháp bảo vệ an ninh liên quan đến thông tin cá nhân có nguy cơ gây thiệt hại đáng kể cho nhân viên, người tiêu dùng và các cá nhân khác.

cờ Canada

Theo luật, các công ty và tổ chức này cũng phải thông báo cho bất kỳ và tất cả các cá nhân bị ảnh hưởng bởi các vi phạm đó. Họ cũng phải lưu giữ hồ sơ của tất cả các vi phạm như vậy trong thời gian ít nhất hai năm, ngay cả khi các vi phạm đó đã được báo cáo cho Ủy viên quyền riêng tư Canada Canada.

Đó là lợi ích tốt nhất của bạn để phát triển một quy trình làm việc để đánh giá rủi ro về tác hại đáng kể khi nó liên quan đến tổ chức của bạn và định nghĩa pháp lý về tác hại đáng kể. Ủy viên quyền riêng tư Canada khuyến nghị bạn nên xem xét mức độ nhạy cảm của thông tin cá nhân có liên quan và khả năng thông tin đó sẽ bị lạm dụng nếu bị phơi bày hoặc truy cập bởi một cá nhân hoặc nhóm trái phép.

Rủi ro như vậy có thể được tính bằng cách đặt câu hỏi đúng liên quan đến bản chất của vi phạm, chẳng hạn như ý định và liệu nó có được bảo vệ bằng các giao thức, tiêu chuẩn hiện hành và thực tiễn tốt nhất để bảo vệ dữ liệu hay không. Nếu bạn cố ý và bỏ qua các yêu cầu PIPEDA mới đối với các thông báo vi phạm dữ liệu và lưu giữ hồ sơ, bạn có thể bị phạt tới 100.000 đô la CAD.

Suy nghĩ cuối cùng

Trong một nền kinh tế ngày càng toàn cầu, việc duy trì tuân thủ tất cả các quy định thích hợp là điều cần thiết. Canada từ lâu đã là một nhà lãnh đạo khi nói đến việc bảo vệ sự riêng tư của công dân và các nhà lãnh đạo doanh nghiệp của mình.

Những cải tiến về luật riêng tư của chúng tôi sẽ phục vụ mục đích thông báo cho người Canada về quyền của họ khi nói đến giao dịch kỹ thuật số và đảm bảo rằng chúng tôi sẽ tiếp tục mở rộng lợi ích kinh doanh quốc tế của mình.

Nếu bạn là chủ sở hữu trang web quan tâm đến việc tuân thủ PIPEDA của bạn, có một số hướng dẫn và ấn phẩm từ chính phủ có sẵn để giúp bạn đánh giá mức độ sẵn sàng của mình và đạt được tốc độ. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map