PIPEDA – Regulamentul general canadian privind protecția datelor

În acest articol explicăm totul despre regulamentul canadian privind protecția datelor PIPEDA și viitorul regulament CPPA. În următorul articol vom intra în mai multe detalii despre Cookie-uri și Consimțământ.

Ce este PIPEDA?

PIPEDA este abrevierea pentru Legea privind protecția datelor cu caracter personal și documentele electronice și se referă la noul Regulament general canadian privind protecția datelor. Modificarea combină cele două legi canadiane anterioare privind protecția datelor Consumer Privacy Protection Act (CPPA) și Personal Information and Data Protection Tribunal Act (PIDPTA) într-o reglementare cuprinzătoare echivalentă cu GDPR. Referirea la Regulamentul general european privind protecția datelor poate fi văzută în multe locuri în PIPEDA, motiv pentru care este adesea numită și GDPR Canada.

Similar cu GDPR, Legea privind protecția datelor din Canada reglementează gestionarea informațiilor personale colectate și stocate ca parte a activităților comerciale. Prin urmare, Legea privind protecția informațiilor personale și documentele electronice PIPEDA este importantă pentru toate companiile care doresc să ajungă la consumatorii din Canada cu servicii și produse – indiferent dacă sunt vânzări staționare sau la distanță. Activitățile comerciale în sensul PIPEDA sunt toate tranzacțiile și acțiunile de origine comercială sau cu intenție comercială.

PIPEDA se aplică companiilor și organizațiilor care sunt reglementate la nivel federal și care sunt supuse legislației canadiane. Legea privind protecția datelor cu caracter personal și a documentelor electronice se aplică, de asemenea, sectorului privat al fiecărei provincii, cu excepția cazului în care o provincie a adoptat propria lege privind protecția datelor, care este în general similară cu Legea privind protecția datelor cu caracter personal și documentele electronice PIPEDA. Doar Columbia Britanică, Alberta și Quebec au legi privind confidențialitatea care sunt în mare măsură similare cu Legea privind protecția informațiilor personale și documentele electronice PIPEDA. Dacă o companie are sediul în Columbia Britanică, Alberta sau Quebec, Legea privind protecția datelor cu caracter personal și documentele electronice se aplică informațiilor personale colectate de acele organizații în care utilizările comerciale ale informațiilor depășesc limitele provinciei respective.

Cele 10 principii de confidențialitate din Legea privind protecția informațiilor personale și documentele electronice PIPEDA

Companiile care trebuie să respecte reglementările PIPEDA ar trebui să ia în considerare principiile de confidențialitate din acest GDPR pentru Canada în timp util. 10 puncte subliniază drepturile și obligațiile pe care organizațiile trebuie să le respecte atunci când efectuează tranzacții comerciale cu consumatori canadieni în conformitate cu GDPR pentru Canada :

  1. responsabilitate
  2. alocarea
  3. consimţământ
  4. Evitarea datelor și economie de date
  5. Depozitare, utilizare și prelucrare
  6. precizie
  7. integritate și confidențialitate
  8. transparenţă
  9. dreptul de a furniza informații
  10. drept de apel

Oricine este familiarizat cu Regulamentul general privind protecția datelor va recunoaște deja multe aspecte în prezentarea generală a celor 10 principii ale PIPEDA care pot fi găsite și în GDPR UE . Cu toate acestea, există diferențe în detaliu , de asemenea și mai ales în ceea ce privește consimțământul pentru colectarea datelor cu caracter personal. Să aruncăm o privire rapidă la fiecare dintre cele 10 puncte:

1. Responsabilitate

Principiul răspunderii înseamnă că, peste o anumită dimensiune, o organizație trebuie să numească o persoană care să fie responsabilă de gestionarea datelor colectate și cu caracter personal. Această persoană este numită responsabil cu protecția datelor în GDPR – în Legea privind protecția datelor cu caracter personal și documentele electronice PIPEDA, el este numită ofițer de confidențialitate sau responsabil de confidențialitate (CPO) . În companiile mai mici, ofițerul de confidențialitate își poate îndeplini rolul și cu normă parțială . Sarcina sa principală constă în dezvoltarea, implementarea și monitorizarea procedurilor care îndeplinesc cerințele de protecție a datelor conform PIPEDA . În plus, responsabilul cu protecția datelor trebuie să primească și să răspundă la plângeri cu privire la colectarea datelor . Un alt domeniu important este formarea angajaților și comunicarea cerințelor de protecție a datelor relevante pentru domeniile individuale de responsabilitate. În cazul în care consumatorul și-a dat consimțământul pentru prelucrarea datelor de către terți, responsabilul pentru confidențialitate este responsabil pentru respectarea cerințelor PIPEDA de către terți.

2. Limitarea scopului

De ce vrea compania să stocheze informațiile personale ale unui client ? Scopul trebuie declarat consumatorului cel târziu la momentul înregistrării datelor. Dezvăluirea creează transparență, dar facilitează și pentru companie implementarea unui anumit acces. Potrivit PIPEDA, scopul colectării datelor este acela de a fi comunicat fiecărui angajat care intră în contact cu clienții. Dacă, de exemplu, unui client i se cere adresa sau numărul de telefon atunci când face o achiziție la casă, utilizarea informațiilor de date trebuie să i se explice la cerere . Formularele pe hârtie și formularele online care colectează informații personale de la clienți trebuie, de asemenea, să descrie în mod clar scopul colectării. Datele personale colectate nu pot fi utilizate într-un nou scop fără permisiunea expresă a clientului. O excepție sunt cerințele legale care impun acest lucru.

3. Consimțământ

O companie nu trebuie să colecteze, să utilizeze sau să dezvăluie date personale fără știrea și acordul clientului. Intenția de a colecta date despre clienți trebuie să fie comunicată în mod clar și fără ambiguitate. Dacă datele personale sunt solicitate într-o formă, formulările ambigue nu sunt, prin urmare, permise. O persoană nu va fi dezavantajată dacă refuză să furnizeze informații. Prin urmare, companiile trebuie să își pună produsele și serviciile la dispoziția consumatorilor care nu doresc să furnizeze date care nu au legătură cu produsul sau serviciul respectiv. Există câteva excepții: o companie se poate abține de la a da consimțământul dacă există motive legale sau medicale pentru a nu face acest lucru. Motive de siguranță se pot aplica și anumitor produse. Și dacă informațiile sunt colectate pentru aplicarea legii, consimțământul este de asemenea renunțat. Consimțământul poate fi renunțat și în cazurile în care o persoană este minoră, grav bolnavă sau handicapată mintal. Cu toate acestea, consimțământul poate fi dat și de către un reprezentant autorizat.

Cu tipul de consimțământ, se face o distincție între:

  • explicit
  • implicit
  • a renunța

În multe cazuri – cum ar fi înregistrarea online – ca în Regulamentul general european privind protecția datelor, aici este necesar și consimțământul explicit al consumatorului. De obicei, nu este oferită o renunțare. De exemplu, nicio bifă sau buton nu poate fi prealocat Consimțământului privind cookie-urile PIPEDA – echivalent cu reglementările privind cookie-urile din GDPR. În principiu, consimțământul nu trebuie să fie dat în scris – consimțământul verbal este suficient. De exemplu, este suficient dacă o parte interesată își dă acordul pentru a fi inclusă într-un buletin informativ prin telefon. Cu toate acestea , consimțământul dat prin telefon în mod regulat îngreunează o companie să furnizeze dovezi . În unele cazuri, consimțământul poate fi, de asemenea, derivat direct din acțiunile consumatorului.

Consumatorii își pot retrage consimțământul în orice moment, sub rezerva restricțiilor contractuale și legale și a termenelor limită.Compania trebuie să informeze clientul cu privire la consecințele retragerii consimțământului.

4. Evitarea datelor și economia de date

Principiul limitării colectării datelor la cantitatea de date necesară pentru un scop este un principiu care joacă, de asemenea, un rol important în GDPR european. Datele cu caracter personal colectate de o companie ar trebui să se limiteze la ceea ce este necesar pentru o acțiune în cadrul unei relații de afaceri.

Colectarea și stocarea datelor personale inutile trebuie, de asemenea, evitate conform PIPEDA. Manipularea corectă și legală a datelor, care se ascunde în spatele expresiei „Mijloace corecte și legale”, vizează suveranitatea datelor clientului și necesitatea unor procese transparente. Scopul pentru care urmează să fie colectate anumite date cu caracter personal nu trebuie să fie ascuns prin înșelăciune sau declarații ambigue.

5. Depozitare, utilizare și prelucrare

Utilizarea datelor înregistrate se poate deplasa numai pe coridorul cunoscut de client și pentru care acesta și-a dat acordul. Dezvăluirea sau altă utilizare a datelor cu caracter personal nu este permisă în conformitate cu Regulamentul general canadian privind protecția datelor PIPEDA. Perioadele de păstrare se bazează pe cerințele companiei și pe alte reglementări legale. Perioada minimă de păstrare recomandată pentru companii este de un an. Această perioadă lasă companiei o capacitate suficientă pentru a verifica și a respecta cerințele legale. Perioada maximă de păstrare urmează să fie determinată și dezvăluită de companie.

O stocare nelimitată a datelor nu este permisă – consumatorul trebuie să fie informat la cerere când datele sale vor fi șterse definitiv. Dacă se dorește, datele pot fi anonimizate și distruse din timp, ținând cont de termenele limită. În plus, o organizație trebuie să poată dezvălui cine a primit consimțământul pentru prelucrarea datelor și în ce măsură.

6. Precizie

Principiul acurateții asigură că datele personale colectate de o companie sunt corecte, complete și actualizate pentru scopurile pentru care sunt utilizate.

Trebuie avut în vedere faptul că datele colectate trebuie utilizate în interesul consumatorului.

Specificarea corectitudinii în PIPEDA nu este importantă doar pentru relația dintre companii și clienți. De exemplu, dacă o organizație colectează date cu caracter personal pentru a verifica profilurile candidaților înainte de un proces de recrutare, trebuie să se asigure că înregistrarea incorectă sau incompletă nu are ca rezultat dezavantaje pentru candidați.

Actualizarea informațiilor personale

Actualizarea automată și regulată a datelor cu caracter personal nu este în general permisă. Acest ghid din PIPEDA se aplică și informațiilor care sunt transmise terților.

7. Integritate și confidențialitate

Principiul integrității și confidențialității înseamnă că datele cu caracter personal trebuie protejate împotriva pierderii sau furtului , accesului neautorizat, dezvăluirii, copierii, modificării sau utilizării neautorizate. Acest principiu se aplică indiferent de formatul în care sunt stocate datele.

Măsuri de protecție corespunzătoare

Efortul depinde de dimensiunea companiei. O afacere mică care colectează adrese de e-mail ale clienților pentru un buletin informativ online poate stoca adresele de e-mail într-o foaie de calcul. Dacă tabelul este protejat cu o parolă și criptat suplimentar la un grad ridicat, se poate presupune o protecție adecvată.

Organizațiile mari gestionează adesea datele personale sensibile la scară largă – în ciuda tuturor economiei de date. Aceste companii sunt, de asemenea, mai probabil să fie ținte pentru atacatori, așa că aici trebuie luate măsuri de securitate mult mai puternice.

Toate măsurile de securitate ar trebui să ofere o protecție peste medie pentru datele cu caracter personal care trebuie protejate pentru a asigura un nivel ridicat de integritate.

Distrugerea informațiilor personale

Dacă datele cu caracter personal urmează să fie eliminate sau distruse, recuperarea bazată pe raționamentul uman și prin utilizarea unor standarde tehnologice înalte pentru distrugerea datelor poate fi exclusă. Acest lucru se aplică atât distrugerii fizice a documentelor pe hârtie, cât și distrugerii bazelor de date de pe modulele de memorie.

8. Transparență

O companie trebuie să facă politicile și procedurile sale de manipulare a informațiilor personale ușor accesibile . Prin urmare, clienții trebuie să poată accesa aceste informații fără ocoliri complicate. Răspunsurile la întrebările consumatorilor cu privire la protecția datelor trebuie să primească răspuns într-un timp rezonabil și cât mai direct posibil . Informațiile furnizate trebuie formulate într-un mod care să fie înțeles în general. Terminologia juridică ar trebui evitată.

Cerințe din PIPEDA

Conform PIPEDA, o organizație trebuie să furnizeze aceste date la cerere:

  • Numele sau titlul și adresa persoanei responsabile de politicile și practicile organizației și căreia i se pot adresa plângeri sau întrebări.
  • Modalități de acces la datele personale
  • Tipul de date cu caracter personal colectate, inclusiv o descriere a utilizării acestora.
  • Informații scrise care explică politicile și standardele organizației companiei

9. Dreptul la informare

La cerere, o companie trebuie să furnizeze unei persoane informații despre datele personale stocate și utilizarea acestora după autentificare. Dacă un client se îndoiește de corectitudinea sau caracterul complet al datelor cu caracter personal, el poate insista asupra modificării datelor înregistrate. Aceasta poate însemna corectarea , ștergerea sau adăugarea datelor .

exceptii

Informațiile despre datele personale pot fi refuzate din diverse motive. Acesta este cazul când informațiile sunt supuse privilegiului avocat-client sau când informațiile comerciale confidențiale ar fi dezvăluite.

Cerințe de autentificare

Înainte de a acorda acces la datele personale, o companie trebuie să se asigure că comunică cu persoana potrivită.

Unele organizații fac acest lucru solicitând un act de identitate emis de guvern. Dacă este necesar, este posibilă și verificarea pe baza informațiilor contului în combinație cu alte informații, cum ar fi numele de fată sau o parolă stocată. Cu toate acestea, cerințele stricte de autentificare nu trebuie să constituie un obstacol în calea dreptului la informare.

Informații – timp și costuri

Solicitările de informații vor primi răspuns într-un timp rezonabil și cu costuri minime sau fără costuri pentru persoană. Nu mai târziu de 30 de zile de la primirea unei cereri, aceasta trebuie să primească răspuns. Dacă, în mod excepțional, o companie are nevoie de mai mult timp pentru a furniza informații, trebuie să transmită persoanei o decizie provizorie și să ofere un motiv plauzibil pentru întârziere.

10. Dreptul de a se plânge

Dreptul de recurs ancorat în PIPEDA le permite clienților și consumatorilor să ia măsuri specifice împotriva companiilor în cazul încălcării punctelor GDPR Canada.

Întreprinderile trebuie să ofere proceduri pentru a primi și a răspunde la plângeri și întrebări. Aceste proceduri ar trebui să fie simple și ușor de utilizat. În plus, conform GDPR Canada, companiile sunt obligate să urmărească și să investigheze plângerile, chiar dacă consideră că plângerea pare a fi nefondată . Dacă plângerea se dovedește a fi valabilă, trebuie luate măsuri corective adecvate. Responsabilul companiei cu protecția datelor este responsabil pentru primirea reclamațiilor și inițierea procedurilor.