В этой статье мы расскажем все о канадском регламенте защиты данных PIPEDA и предстоящем регламенте CPPA. В следующей статье мы более подробно расскажем о файлах cookie и согласии.
Что такое ПИПЕДА?
PIPEDA — это аббревиатура Закона о защите личной информации и электронных документов, которая относится к новому Общему регламенту Канады по защите данных. Поправка объединяет два предыдущих канадских закона о защите данных, Закон о защите конфиденциальности потребителей (CPPA) и Закон о Трибунале по защите личной информации и данных (PIDPTA) , в комплексное регулирование, эквивалентное GDPR. Ссылку на Европейский общий регламент по защите данных можно увидеть во многих местах в PIPEDA, поэтому его часто также называют GDPR Canada.
Как и GDPR, канадский Закон о защите данных регулирует обращение с личной информацией, собираемой и хранимой в рамках коммерческой деятельности. Таким образом, Закон о защите личной информации и электронных документах PIPEDA важен для всех компаний , которые хотят донести до потребителей в Канаде услуги и продукты , будь то канцелярские или дистанционные продажи. Коммерческая деятельность по смыслу PIPEDA — это все сделки и действия коммерческого происхождения или с коммерческими намерениями.
PIPEDA применяется к компаниям и организациям, которые регулируются на федеральном уровне и подчиняются канадскому законодательству. Закон о защите личной информации и электронных документах также применяется к частному сектору каждой провинции, если только провинция не приняла свой собственный закон о защите данных, который в целом аналогичен Закону о защите личной информации и электронных документов PIPEDA. Только в Британской Колумбии, Альберте и Квебеке действуют законы о конфиденциальности, которые в целом аналогичны Закону о защите личной информации и электронных документов PIPEDA. Если компания базируется в Британской Колумбии, Альберте или Квебеке, Закон о защите личной информации и электронных документах применяется к личной информации, собираемой теми организациями, где коммерческое использование информации выходит за пределы этой провинции.
10 принципов конфиденциальности в Законе о защите личной информации и электронных документах PIPEDA
Компании, которым необходимо соблюдать правила PIPEDA, должны своевременно учитывать принципы защиты данных настоящего GDPR для Канады . 10 пунктов определяют права и обязанности, которым должны следовать организации при проведении коммерческих операций с канадскими потребителями в соответствии с GDPR для Канады :
- подотчетность
- назначение
- согласие
- Избегание данных и экономия данных
- Хранение, использование и обработка
- точность
- честность и конфиденциальность
- прозрачность
- право на предоставление информации
- право на апелляцию
Любой, кто знаком с Общим регламентом по защите данных, уже узнает многие аспекты в обзоре 10 принципов PIPEDA, которые также можно найти в GDPR ЕС . Тем не менее, есть различия в деталях , особенно в отношении согласия на сбор персональных данных. Давайте кратко рассмотрим каждый из 10 пунктов:
1. Подотчетность
Принцип подотчетности означает, что организация, превышающая определенный размер, должна назначить лицо , ответственное за управление собранными и персональными данными. Это лицо называется сотрудником по защите данных в GDPR — в Законе о защите личной информации и электронных документов PIPEDA он называется сотрудником по вопросам конфиденциальности или начальником отдела конфиденциальности (CPO) . В небольших компаниях сотрудник по вопросам конфиденциальности может также выполнять свою роль на условиях неполного рабочего дня . Его основная задача заключается в разработке, внедрении и мониторинге процедур , отвечающих требованиям защиты данных согласно PIPEDA . Кроме того, сотрудник по защите данных должен получать жалобы на сбор данных и отвечать на них. Еще одной важной областью является обучение сотрудников и информирование о требованиях к защите данных, относящихся к отдельным сферам ответственности. Если потребитель дал согласие на обработку данных третьими лицами, сотрудник по вопросам конфиденциальности несет ответственность за соблюдение третьими лицами требований PIPEDA.
2. Ограничение цели
Почему компания хочет хранить личную информацию клиента ? Цель должна быть заявлена потребителю не позднее момента регистрации данных. Раскрытие информации создает прозрачность, но также упрощает для компании реализацию конкретного доступа. Согласно PIPEDA, цель сбора данных — сообщить каждому сотруднику, который вступает в контакт с клиентами. Если, например, у покупателя запрашивают адрес или номер телефона при совершении покупки на кассе, по запросу ему необходимо объяснить использование данных . Бумажные формы и онлайн-формы, которые собирают личную информацию от клиентов, также должны четко описывать цель сбора. Собранные персональные данные не могут быть использованы для новых целей без явного разрешения клиента. Исключением являются законодательные требования, которые требуют этого.
3. Согласие
Компания не должна собирать, использовать или раскрывать личные данные без ведома и согласия клиента. О намерении собрать данные о клиентах должно быть ясно и недвусмысленно сообщено. Если персональные данные запрашиваются в форме, двусмысленные формулировки не допускаются. Человек не пострадает, если откажется предоставить информацию. Поэтому компании также должны сделать свои продукты и услуги доступными для потребителей, которые не хотят предоставлять данные, не связанные с продуктом или услугой. Есть несколько исключений: Компания может воздержаться от дачи согласия, если для этого есть юридические или медицинские причины. Соображения безопасности также могут относиться к определенным продуктам. И если информация собирается для правоохранительных органов, от согласия также отказываются. От согласия также можно отказаться в случаях, когда лицо является несовершеннолетним, тяжелобольным или умственно отсталым. Однако согласие может дать и уполномоченный представитель.
По типу согласия различают:
- явный
- неявно
- уклоняться
Во многих случаях, таких как онлайн-регистрация, как в Европейском общем регламенте защиты данных, здесь также требуется явное согласие потребителя. Отказ обычно не предусмотрен. Например, никакие галочки или кнопки не могут быть предварительно назначены для Согласия на использование файлов cookie PIPEDA, что эквивалентно правилам использования файлов cookie в GDPR. В принципе, согласие не обязательно должно быть дано в письменной форме – достаточно устного согласия. Например, достаточно, если заинтересованное лицо дает свое согласие на включение в информационный бюллетень по телефону. Однако согласие, которое регулярно дается по телефону , затрудняет для компании предоставление доказательств . В некоторых случаях согласие также может быть получено непосредственно из действий потребителя.
Потребители могут отозвать свое согласие в любое время с учетом договорных и правовых ограничений и сроков.Компания должна информировать клиента о последствиях отзыва согласия.
4. Избегание данных и экономия данных
Принцип ограничения сбора данных объемом данных, необходимых для определенной цели, также играет важную роль в европейском GDPR. Персональные данные, собираемые компанией, должны ограничиваться тем, что необходимо для действия в рамках деловых отношений.
Согласно PIPEDA также следует избегать сбора и хранения ненужных персональных данных. Честная и законная обработка данных, которая скрывается за фразой «Честные и законные средства», направлена на суверенитет данных клиента и необходимость прозрачных процессов. Цель, для которой должны быть собраны определенные персональные данные, не должна быть затемнена обманом или двусмысленными заявлениями.
5. Хранение, использование и обработка
Использование записанных данных может двигаться только в том коридоре, который известен заказчику и на который он дал свое согласие. Раскрытие или иное использование персональных данных не разрешено Общим регламентом Канады по защите данных PIPEDA. Сроки хранения основаны на требованиях компании и других правовых нормах. Рекомендуемый минимальный срок хранения для компаний составляет один год. Этот период оставляет компании достаточно возможностей для проверки и соблюдения требований законодательства. Максимальный срок хранения должен быть определен и раскрыт компанией.
Не допускается неограниченное хранение данных — потребитель должен быть проинформирован по запросу, когда его данные будут безвозвратно удалены. При желании данные могут быть обезличены и уничтожены досрочно с учетом сроков. Кроме того, организация должна иметь возможность раскрывать информацию о том, кто получил согласие на обработку данных и в каком объеме.
6. Точность
Принцип точности гарантирует, что персональные данные, собранные компанией, являются правильными, полными и актуальными для целей, для которых они используются.
Следует иметь в виду, что собранные данные должны использоваться в интересах потребителя.
Спецификация правильности в PIPEDA важна не только для отношений между компанией и клиентом. Например, если организация собирает персональные данные для проверки профилей соискателей перед процессом найма, необходимо обеспечить, чтобы неправильная или неполная запись не создавала неудобств для соискателей.
Обновление личной информации
Автоматическое и регулярное обновление персональных данных, как правило, не допускается. Это руководство в PIPEDA также применяется к информации, которая передается третьим лицам.
7. Честность и конфиденциальность
Принцип целостности и конфиденциальности означает, что персональные данные должны быть защищены от потери или кражи , несанкционированного доступа, раскрытия, копирования, изменения или несанкционированного использования. Этот принцип применяется независимо от формата, в котором хранятся данные.
Надлежащие защитные меры
Усилия зависят от размера компании. Малый бизнес, который собирает адреса электронной почты клиентов для онлайн-бюллетеня, может хранить адреса электронной почты в электронной таблице. Если таблица защищена паролем и дополнительно зашифрована в высокой степени, можно предположить адекватную защиту.
Крупные организации часто управляют конфиденциальными личными данными в больших масштабах, несмотря на всю экономию данных. Эти компании также с большей вероятностью станут мишенью для злоумышленников, поэтому здесь необходимо принять гораздо более строгие меры безопасности.
Все меры безопасности должны обеспечивать защиту персональных данных выше среднего, чтобы обеспечить высокий уровень целостности.
Уничтожение личной информации
Если личные данные должны быть удалены или уничтожены, восстановление на основе человеческого суждения и с использованием высоких технологических стандартов для уничтожения данных может быть исключено. Это касается как физического уничтожения бумажных документов, так и уничтожения баз данных на модулях памяти.
8. Прозрачность
Компания должна сделать свои политики и процедуры по работе с личной информацией легкодоступными . Поэтому клиенты должны иметь возможность доступа к этой информации без сложных окольных путей. Ответы на запросы потребителей о защите данных должны быть даны в разумные сроки и как можно более прямо . Предоставленная информация должна быть сформулирована в общедоступной форме. Следует избегать юридической терминологии.
Требования от PIPEDA
Согласно PIPEDA, организация должна предоставить эти данные по запросу:
- Имя или должность и адрес лица, ответственного за политику и практику организации и которому могут направляться жалобы или запросы.
- Способы доступа к персональным данным
- Тип собираемых персональных данных, включая описание их использования.
- Письменная информация, объясняющая политику и стандарты организации компании
9. Право на информацию
По запросу компания должна предоставить лицу информацию о сохраненных персональных данных и их использовании после аутентификации. Если клиент сомневается в правильности или полноте персональных данных, он может настоять на изменении записанных данных. Это может означать исправление , удаление или добавление данных .
исключения
В предоставлении персональных данных может быть отказано по разным причинам. Это тот случай, когда информация подлежит конфиденциальности между адвокатом и клиентом или когда конфиденциальная деловая информация может быть раскрыта.
Требования аутентификации
Прежде чем предоставить доступ к персональным данным, компания должна убедиться, что она общается с нужным лицом.
Некоторые организации делают это, запрашивая удостоверение личности государственного образца. При необходимости также возможна проверка на основе информации об учетной записи в сочетании с другой информацией, такой как девичья фамилия или сохраненный пароль. Однако строгие требования аутентификации не должны являться препятствием для права на информацию.
Информация – время и затраты
На запросы о предоставлении информации следует отвечать в разумные сроки и с минимальными затратами для лица или бесплатно. Не позднее 30 дней после получения запроса на него должен быть дан ответ. Если в исключительных случаях компании требуется больше времени для предоставления информации, она должна направить этому лицу временное решение и указать правдоподобную причину задержки.
10. Право на жалобу
Право на апелляцию, закрепленное в PIPEDA, позволяет клиентам и потребителям принимать целенаправленные меры против компаний в случае нарушения пунктов DSVGO Canada.
Предприятия должны предусмотреть процедуры для получения и ответа на жалобы и запросы. Эти процедуры должны быть простыми и удобными в использовании. Кроме того, в соответствии с GDPR Canada компании обязаны отслеживать и расследовать жалобы, даже если они считают жалобу необоснованной . Если жалоба окажется обоснованной, должны быть приняты соответствующие корректирующие меры. Сотрудник компании по защите данных отвечает за получение жалоб и инициирование процедур.
