PIPEDA and You: закон о конфиденциальности в Канаде

Вам не нужно быть новичком, чтобы знать, что цифровые данные подвергаются большему риску, чем когда-либо прежде. Доступ к медицинской информации, банковские операции и другие транзакции делают жизнь более удобной, но они подвергают опасности нашу информацию от киберпреступников, слежки за правительством и простой человеческой ошибки. В результате правительства и отрасли делают все возможное, чтобы создать безопасную атмосферу для передачи и хранения данных..


Такие нормативные акты, как Европейское общее положение о защите данных (GDPR), были созданы для обеспечения защиты потребителей и организаций в соответствии с законом..

К счастью, Канада является одной из первых стран, которые предвидят эту потребность и реагируют соответственно.

Необходимость защиты данных в Канаде

Согласно опубликованному отчету с изложением канадского цифрового роста и отраслевых тенденций, более 80 процентов канадцев совершили по крайней мере одну онлайн-транзакцию в течение года, предшествующего выпуску исследования (2018 год). Тенденции показывают, что онлайн-платформы для одежды, путешествий и предметов домашнего обихода увеличатся в количестве и трафике.

Помимо электронной коммерции, такие тенденции, как удаленная работа, онлайн-игры и потоковая передача контента, означают, что все больше канадцев будут использовать Интернет для работы и отдыха. Это подчеркивает растущую зависимость от электронной коммерции и необходимость ужесточения правил сбора, хранения и использования данных..

неприкосновенность частной жизни не является преступлением

Еще в 1996 году канадское правительство осознало необходимость принятия законов о защите данных и в ответ разработало набор руководящих принципов – Типовой подход к защите личной информации, с помощью которого онлайновые предприятия должны жить и вести бизнес..

Эти принципы были формализованы и закреплены в законе в 2000 году, когда был принят Закон о защите личной информации и электронных документах (PIPEDA), который был вновь обновлен в 2015 году и установил окончательную дату 1 ноября 2018 года для соблюдения. Еще одно обновление было введено и внедрено в январе 2018 года и мае 2019 года.

PIPEDA была одобрена Комиссией ЕС по цифровому регулированию и фактически предшествует окончательной версии GDPR примерно на шесть месяцев. В дополнение к таким стандартам, как текущие рекомендации по обеспечению доступности веб-сайтов и другие законы о конфиденциальности, PIPEDA разработана для обеспечения того, чтобы Интернет являлся безопасной и доступной платформой для всех, кто в ней нуждается или хочет ее использовать..

Что такое ПИПЕДА?

Закон о защите личной информации и электронных документах распространяется на любую частную компанию или организацию, которая собирает и / или использует личную информацию в ходе ведения бизнеса..

Для целей настоящих правил такие организации определяются как любое предприятие, основной целью которого является коммерческая деятельность, в том числе продажа, аренда, обмен с общественностью, организации, занимающиеся деятельностью, связанной с членством, а также организации, занимающиеся сбором и сбором средств. Это также относится к спискам и суммам доноров, если только эта информация не требуется по закону..логотип pipeda

Правила PIPEDA предназначены для охвата всех канадских провинций, хотя многие из них имеют свои собственные, аналогичные правила, касающиеся сбора и защиты данных. Этими провинциями являются Альберта, Британская Колумбия и Квебек; Лабрадор, Нью-Брансуик, Ньюфаундленд, Новая Шотландия и Онтарио разработали правила сбора, использования и хранения данных, связанных со здоровьем.

PIPEDA также охватывает информацию, которая передается через границы Канады и федерально регулируемые организации, такие как:

  • Аэропорты, авиакомпании и авиаперевозки
  • Местные банки и уполномоченные иностранные финансовые учреждения
  • Межобластные или международные транспортные компании
  • Телекоммуникационные компании
  • Радио и ТВ вещатели
  • Морские буровые работы

Кто не связан PIPEDA?

Целью PIPEDA является обеспечение широкой защиты и унифицированного набора руководящих принципов для сбора данных. Но не все связаны этими правилами.

Эти организации и обстоятельства не регулируются PIPEDA:

  • Информация, собираемая государственными органами и подпадающая под действие Закона о конфиденциальности.
  • Провинциальные или территориальные правительства и агенты
  • Деловая контактная информация, которая собирается, хранится и / или используется для бизнеса, связанного с трудоустройством или профессиональными целями
  • Информация, собранная физическими лицами для личного использования, например списки поздравительных открыток
  • Информация, собираемая, используемая и / или хранимая организациями в художественных, журналистских и литературных целях
  • Некоммерческие организации, если не занимаются коммерческой деятельностью
  • Политические партии и организации, для использования во время некоммерческой деятельности

Большинство школ, муниципалитетов и государственных медицинских учреждений регулируются законами и нормативными актами в своих провинциях, хотя в некоторых случаях может применяться PIPEDA..

Определение личной информации

Теперь, когда у вас есть общее представление о том, кого охватывает PIPEDA, вы можете задаться вопросом, что она охватывает. Правительство определяет личную информацию как что-либо, что может идентифицировать вас, ваше местоположение и статус занятости, включая:кибер-безопасность pipeda

  • Имена, адреса, возраст, номер счета или удостоверения личности, доход, группа крови или этническое происхождение
  • Мнения, ответы на опросы, комментарии, социальное или семейное положение и упоминание дисциплинарных мер
  • Занятость, здравоохранение, военные, кредитные и финансовые документы
  • Свидетельство споров между потребителем и продавцом

Руководящие принципы PIPEDA

Сфера применения PIPEDA не определяет ее пределы за пределами канадских границ, но Федеральный суд Канады постановил, что организации за пределами Канады должны соблюдать требования соответствия, если их деятельность и интересы связаны с интересами Канады..

Следование рекомендациям PIPEDA не только обеспечит соблюдение вами правил, но и обновления этого правила призваны привести его в соответствие с законами о сборе / хранении данных в других странах. Это позволит нам продолжать расширять финансовые возможности за рубежом и защищать нашу собственную информацию – и информацию граждан Канады – в процессе..

кнопка блокировки

Если вы не уверены или не знакомы с рекомендациями PIPEDA, вот 10 руководящих принципов, на которых оно основано, и обоснование каждого из них. Эти принципы справедливого использования информации подробно описаны в тексте Приложения 1 к регламенту PIPEDA..

1. Ответственность

Поскольку вы несете ответственность за собираемую и контролируемую вами личную информацию, вы должны назначить квалифицированного сотрудника по вопросам конфиденциальности с единственной целью обеспечения соответствия требованиям PIPEDA..

2. Определение целей

Вы должны раскрыть, какие данные вы будете собирать и зачем они вам нужны до или во время сбора данных.

3. Информированное согласие

Вы должны информировать людей и получать их согласие на любой сбор, использование или раскрытие их личной информации. Исключения применяются к случаям, когда существуют юридические, медицинские или соображения безопасности, которые делают такое информированное согласие невозможным или нецелесообразным.

4. Ограничение сбора

Любая собранная личная информация должна собираться честными и законными способами, и она должна ограничиваться только той информацией, которая необходима для юридических целей, определенных организацией..

5. Ограничение раскрытия, хранения и использования

Личная информация может быть использована или раскрыта только для заявленной цели сбора. Любая информация, которую вы собираете, может храниться только в течение периода времени, указанного для достижения этих целей, и вы должны получить дополнительное согласие от лица, если эти условия изменятся или это требуется по закону..

6. Точность данных

Любые личные или конфиденциальные данные должны быть настолько точными, полными и актуальными, насколько это возможно, для достижения поставленной цели..

7. Защита данных

Вы несете ответственность за защиту личной информации соответствующими стандартами безопасности от потери, кражи, копирования, изменения, раскрытия, несанкционированного доступа или использования..

8. Открытость и прозрачностьзначок прозрачности данных

Вы должны быть полностью прозрачны в отношении сбора / хранения данных. политика и практика хранения. Эти политики и процедуры должны быть легкодоступными, доступными и понятными для отдельных лиц и руководящих органов..

9. Индивидуальный доступ

Любое лицо, запрашивающее информацию о персональных данных и управлении / защите данных, должно быть проинформировано о существовании, использовании и раскрытии их информации и должно быть обеспечено полный доступ к таким данным. Они также имеют право оспаривать точность и полноту и требовать внесения изменений в свои данные..

Ваше право отклонять такие запросы ограничено коммерческими частными, юридическими или соображениями безопасности, включая те, которые подпадают под действие судебных привилегий или отношений между адвокатом и клиентом..

10. Сложное соответствие

Физические лица имеют право оспаривать соответствие организации принципам PIPEDA и направлять этот вызов в PO организации, отвечающий за соответствие PIPEDA..

Соблюдение требований OPC

Для каждого из принципов есть способ, которым вы можете убедиться в том, что вы соблюдаете правила и избегаете проверки или наказания со стороны Управления уполномоченного по вопросам конфиденциальности. Вот 10 простых советов, которые помогут вам избежать неприятностей.

  1. Убедитесь, что ваша политика конфиденциальности видна на вашем сайте посетителям и сотруднику по вопросам конфиденциальности вашей организации (PO).
  2. Информировать и обучать сотрудников относительно ваших протоколов конфиденциальности, и убедитесь, что они имеют контактную информацию для вашего PO.
  3. Помните, что доллар останавливается с вами. Вы несете ответственность за соблюдение требований и убедитесь, что все сотрудники должным образом обучены и имеют необходимые инструменты.сбор личной информации кибербезопасности
  4. Уточните требования и процедуры сбора данных. Если вы собираете личную информацию о ком-либо, включая сотрудников и клиентов, соберите только то, что вам нужно, и убедитесь, что она хранится в безопасной среде.
  5. Сделать использование SIN необязательным. Если для этого нет законных оснований, не требуйте от клиентов раскрывать свой SIN при заполнении форм на вашем веб-сайте..
  6. Не делайте копии личных или государственных удостоверений личности. В некоторых случаях вам может потребоваться подтвердить личность или место жительства. Ваши сотрудники могут просмотреть водительские права или другой государственный документ, но им не нужно делать или хранить копию.
  7. Сообщите клиентам, когда они снимаются на видео или записываются. Если вы используете оборудование видеонаблюдения на своей собственности или записываете входящие звонки, размещаете знаки и информируете об этом вызывающих абонентов и стараетесь не хранить копии, если они не необходимы для вашего бизнеса.
  8. Защитите всю личную информацию. Сбор информации неизбежен, особенно в сфере здравоохранения или финансов. Если вам нужны такие данные, соберите только то, что вам нужно, проинформируйте клиентов о том, какие данные вы собираете и почему, и сохраните их в надежном хранилище и установив VPN на всех устройствах и в сетях. Но имейте в виду, что бесплатные VPN могут быть не такими надежными и безопасными.
  9. Быстро отвечать на запросы о доступе. Вы обязаны соблюдать все протоколы сбора данных и отвечать на любые запросы клиентов или соискателей о предоставлении им информации. Получая законный запрос, отвечайте быстро и полностью.
  10. Быть прозрачным. Как только у вас есть ваша политика конфиденциальности, убедитесь, что она полностью прозрачна в отношении ваших потребностей в сборе данных, их использования и любых мер безопасности для защиты данных..

Что произойдет, если вы не соблюдаете правила PIPEDA??

Если вас беспокоит ваш статус, вы можете связаться с сотрудником, назначенным вашей организации или отрасли. Одним из более новых требований в соответствии с обновленными правилами является введение обязательных уведомлений о нарушении данных..

Начиная с 1 ноября 2018 года, организации, подпадающие под действие правил PIPEDA, юридически обязаны уведомлять Уполномоченного по вопросам конфиденциальности Канады, как только им станет известно о любых нарушениях мер безопасности, которые связаны с личной информацией, которая представляет реальный риск причинения значительного вреда сотрудникам. потребители и другие физические лица.

канадский флаг

По закону эти компании и организации также должны информировать всех и каждого, кто пострадал от таких нарушений. Они также должны хранить записи обо всех таких нарушениях в течение как минимум двух лет, даже если о таких нарушениях уже сообщалось Уполномоченному по вопросам конфиденциальности Канады..

В ваших интересах разработать рабочий процесс для оценки риска значительного вреда, поскольку он касается вашей организации и юридического определения значительного вреда. Уполномоченный по вопросам конфиденциальности Канады рекомендует вам принять во внимание конфиденциальность личной информации и вероятность того, что такая информация будет использована не по назначению, если она будет раскрыта или получит доступ неуполномоченным лицом или группой лиц..

Такой риск можно рассчитать, задавая правильные вопросы относительно характера нарушения, такого как намерение, и было ли оно защищено с использованием текущих протоколов, стандартов и передовых методов защиты данных. Если вы сознательно и преднамеренно не соблюдаете новые требования PIPEDA к уведомлениям о нарушении данных и хранению записей, на вас налагается штраф в размере до 100 000 канадских долларов..

Последние мысли

В условиях растущей глобальной экономики соблюдение всех соответствующих нормативных требований имеет важное значение. Канада давно является лидером, когда речь заходит о защите частной жизни своих граждан и лидеров бизнеса..

Усовершенствования наших законов о конфиденциальности будут служить цели информирования канадцев об их правах, когда речь идет о цифровых транзакциях, и обеспечения того, чтобы мы продолжали расширять наши международные деловые интересы.

Если вы владелец веб-сайта, обеспокоенный вашим соответствием требованиям PIPEDA, существует ряд руководств и публикаций от правительства, которые помогут вам измерить уровень вашей готовности и ускориться.. 

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map