PIPEDA – Kanados bendrasis duomenų apsaugos reglamentas

Šiame straipsnyje paaiškiname viską apie Kanados duomenų apsaugos reglamentą PIPEDA ir būsimą CPPA reglamentą. Kitame straipsnyje aptarsime slapukus ir sutikimą.

Kas yra PIPEDA?

PIPEDA yra asmens informacijos apsaugos ir elektroninių dokumentų įstatymo santrumpa ir nurodo naująjį Kanados bendrąjį duomenų apsaugos reglamentą. Pakeitimu apjungiami du ankstesni Kanados duomenų apsaugos įstatymai Vartotojų privatumo apsaugos įstatymas (CPPA) ir Asmens informacijos ir duomenų apsaugos teismo įstatymas (PIDPTA) į išsamų reglamentą, lygiavertį BDAR. Nuorodą į Europos bendrąjį duomenų apsaugos reglamentą galima pamatyti daugelyje PIPEDA vietų, todėl ji dažnai dar vadinama GDPR Kanada.

Panašiai kaip BDAR, Kanados duomenų apsaugos įstatymas reglamentuoja asmeninės informacijos, renkamos ir saugomos vykdant komercinę veiklą, tvarkymą. Todėl Asmens informacijos apsaugos ir elektroninių dokumentų įstatymas PIPEDA yra svarbus visoms įmonėms , norinčioms pasiekti Kanados vartotojus su paslaugomis ir produktais – tiek stacionariais, tiek nuotoline prekyba. Komercinė veikla PIPEDA prasme yra visi komercinės kilmės arba komerciniais tikslais esantys sandoriai ir veiksmai.

PIPEDA taikoma įmonėms ir organizacijoms, kurios yra reguliuojamos federaliniu lygmeniu ir kurioms taikomi Kanados teisės aktai. Asmens informacijos apsaugos ir elektroninių dokumentų įstatymas taip pat taikomas kiekvienos provincijos privačiam sektoriui, nebent provincija yra priėmusi savo duomenų apsaugos įstatymą, kuris iš esmės yra panašus į Asmens informacijos apsaugos ir elektroninių dokumentų įstatymą PIPEDA. Tik Britų Kolumbija, Alberta ir Kvebekas turi privatumo įstatymus, kurie iš esmės yra panašūs į Asmens informacijos apsaugos ir elektroninių dokumentų įstatymą PIPEDA. Jei įmonė yra įsikūrusi Britų Kolumbijoje, Albertoje arba Kvebeke, Asmens informacijos apsaugos ir elektroninių dokumentų įstatymas taikomas asmeninei informacijai, kurią renka tos organizacijos, kuriose komercinis informacijos naudojimas peržengia tos provincijos ribas.

10 privatumo principų, pateiktų Asmens informacijos apsaugos ir elektroninių dokumentų įstatyme PIPEDA

Įmonės, kurioms reikia laikytis PIPEDA taisyklių, turėtų laiku apsvarstyti šio BDAR Kanadoje taikomus duomenų apsaugos principus . 10 punktų apibrėžia teises ir pareigas, kurių organizacijos turi laikytis vykdydamos komercinius sandorius su Kanados vartotojais pagal Kanadoje taikomą BDAR :

1. atskaitomybė
2. skyrimas
3. sutikimas
4. Duomenų vengimas ir duomenų ekonomika
5. Laikymas, naudojimas ir apdorojimas
6. tikslumu
7. vientisumas ir konfidencialumas
8. skaidrumas
9. teisę teikti informaciją
10. apeliacijos teisė

Kiekvienas, kuris yra susipažinęs su Bendruoju duomenų apsaugos reglamentu, jau atpažins daugelį aspektų 10 PIPEDA principų apžvalgoje, kuriuos galima rasti ir ES GDPR. Nepaisant to, yra skirtumų, susijusių su sutikimu rinkti asmens duomenis. Greitai pažvelkime į kiekvieną iš 10 punktų:

1. Atsakomybė

Atskaitomybės principas reiškia, kad viršijus tam tikrą dydį, organizacija turi paskirti asmenį, atsakingą už renkamų ir asmens duomenų tvarkymą. Šis asmuo BDAR vadinamas duomenų apsaugos pareigūnu – Asmens informacijos apsaugos ir elektroninių dokumentų įstatyme PIPEDA jis vadinamas privatumo pareigūnu arba vyriausiuoju privatumo pareigūnu (CPO) . Mažesnėse įmonėse privatumo pareigūnas taip pat gali atlikti savo pareigas ne visą darbo dieną . Jos pagrindinė užduotis yra kurti, įgyvendinti ir stebėti procedūras , atitinkančias duomenų apsaugos reikalavimus pagal PIPEDA . Be to, duomenų apsaugos pareigūnas turi gauti skundus dėl duomenų rinkimo ir atsakyti į juos . Kita svarbi sritis – darbuotojų mokymai ir atskiroms atsakomybės sritims aktualių duomenų apsaugos reikalavimų komunikacija. Jei vartotojas davė sutikimą, kad duomenis tvarkytų tretieji asmenys, už trečiųjų asmenų PIPEDA reikalavimų laikymąsi atsako Privatumo pareigūnas.

2. Tikslo apribojimas

Kodėl įmonė nori saugoti asmeninę kliento informaciją ? Tikslas turi būti nurodytas vartotojui vėliausiai duomenų įrašymo metu. Atskleidimas sukuria skaidrumą, bet taip pat leidžia įmonei lengviau įgyvendinti konkrečią prieigą. Anot PIPEDA, duomenų rinkimo tikslas yra supažindinti kiekvieną su klientais bendraujančią darbuotoją. Jei, pavyzdžiui, pirkėjo, perkant kasoje, prašoma adreso ar telefono numerio, jam paprašius turi būti paaiškintas duomenų informacijos naudojimas . Popierinėse formose ir internetinėse formose, kuriose renkama asmenį identifikuojanti informacija iš klientų, taip pat turi būti aiškiai nurodytas rinkimo tikslas. Surinkti asmens duomenys negali būti naudojami naujam tikslui be aiškaus kliento leidimo. Išimtis yra teisiniai reikalavimai, pagal kuriuos tai reikalaujama.

3. Sutikimas

Įmonė neturi rinkti, naudoti ar atskleisti asmens duomenų be kliento žinios ir sutikimo . Apie ketinimą rinkti klientų duomenis turi būti aiškiai ir nedviprasmiškai pranešama. Jei asmens duomenų prašoma forma, dviprasmiškos formuluotės neleidžiamos. Atsisakęs suteikti informaciją žmogus nepatirs nepalankios sąlygos. Todėl įmonės taip pat turi pateikti savo produktus ir paslaugas vartotojams, kurie nenori teikti duomenų, nesusijusių su produktu ar paslauga. Yra keletas išimčių: įmonė gali neduoti sutikimo, jei yra teisinių ar medicininių priežasčių to neduoti. Saugos priežastys taip pat gali būti taikomos tam tikriems gaminiams. O jei informacija renkama teisėsaugai, sutikimo taip pat atsisakoma. Sutikimo galima atsisakyti ir tais atvejais, kai asmuo yra nepilnametis, sunkiai sergantis ar turintis psichikos negalią. Tačiau sutikimą gali duoti ir įgaliotas atstovas.

Atsižvelgiant į sutikimo tipą, išskiriama:

• aiškus
• netiesiogiai
• atsisakyti

Daugeliu atvejų, pavyzdžiui, registracija internetu, kaip numatyta Europos bendrajame duomenų apsaugos reglamente, čia taip pat reikalingas aiškus vartotojo sutikimas. Atsisakymas paprastai nesuteikiamas. Pavyzdžiui, slapukų sutikimui PIPEDA negali būti iš anksto priskirtos varnelės ar mygtukai – tai lygiaverčiai BDAR slapukų taisyklėms. Iš esmės sutikimas neturi būti duotas raštu – pakanka žodinio sutikimo. Pavyzdžiui, pakanka, kad suinteresuotoji šalis telefonu duotų sutikimą būti įtrauktam į informacinį biuletenį. Tačiau nuolat telefonu duodamas sutikimas apsunkina įmonei pateikti įrodymus . Kai kuriais atvejais sutikimas gali būti gautas ir tiesiogiai iš vartotojo veiksmų.

Vartotojai gali bet kada atšaukti savo sutikimą, atsižvelgiant į sutartinius ir teisinius apribojimus bei terminus.Įmonė privalo informuoti klientą apie sutikimo atšaukimo pasekmes.

4. Duomenų vengimas ir duomenų ekonomika

Duomenų rinkimo ribojimas iki tam tikram tikslui reikalingų duomenų kiekio yra principas, kuris taip pat atlieka svarbų vaidmenį Europos BDAR. Įmonės renkami asmens duomenys turėtų apsiriboti tiek, kiek būtina veiksmams verslo santykių sistemoje.

PIPEDA teigimu, taip pat reikia vengti nereikalingų asmens duomenų rinkimo ir saugojimo. Sąžiningu ir teisėtu duomenų tvarkymu, kuris slepiasi po fraze „Sąžiningos ir teisėtos priemonės“, siekiama kliento duomenų suverenumo ir skaidrių procesų poreikio. Tikslo, kuriuo turi būti renkami tam tikri asmens duomenys, neturi užgožti apgaulė ar dviprasmiški teiginiai.

5. Laikymas, naudojimas ir apdorojimas

Įrašytų duomenų naudojimas gali judėti tik klientui žinomu koridoriumi, kuriam jis davė sutikimą. Asmens duomenų atskleidimas ar kitoks naudojimas neleidžiamas pagal Kanados bendrąjį duomenų apsaugos reglamentą PIPEDA. Saugojimo terminai yra pagrįsti įmonės reikalavimais ir kitais teisės aktais. Rekomenduojamas minimalus saugojimo laikotarpis įmonėms yra vieneri metai. Per šį laikotarpį įmonė turi pakankamai pajėgumų patikrinti ir laikytis teisinių reikalavimų. Didžiausią saugojimo laikotarpį turi nustatyti ir atskleisti bendrovė.

Neribotas duomenų saugojimas neleidžiamas – vartotojas paprašius turi būti informuojamas, kada jo duomenys bus ištrinti visam laikui. Jei pageidaujama, duomenys gali būti anonimizuoti ir sunaikinti iš anksto, atsižvelgiant į terminus. Be to, organizacija turi turėti galimybę atskleisti, kas ir kokia apimtimi gavo sutikimą tvarkyti duomenis.

6. Tikslumas

Tikslumo principas užtikrina, kad įmonės renkami asmens duomenys būtų teisingi, išsamūs ir atnaujinami tiems tikslams, kuriems jie naudojami.

Reikėtų nepamiršti, kad surinkti duomenys turi būti naudojami atsižvelgiant į vartotojo interesus.

Korektiškumo specifikacija PIPEDA yra svarbi ne tik įmonės ir kliento santykiams. Pavyzdžiui, jei organizacija renka asmens duomenis, kad galėtų patikrinti kandidatų profilius prieš įdarbinimo procesą, turi būti užtikrinta, kad neteisingas ar neišsamus įrašymas nepadarytų pareiškėjams nepatogumų.

Asmeninės informacijos atnaujinimas

Automatiškai ir reguliariai atnaujinti asmens duomenis paprastai neleidžiama. Šios PIPEDA gairės taip pat taikomos informacijai, kuri perduodama trečiosioms šalims.

7. Sąžiningumas ir konfidencialumas

Vientisumo ir konfidencialumo principas reiškia, kad asmens duomenys turi būti apsaugoti nuo praradimo ar vagystės , neteisėtos prieigos, atskleidimo, kopijavimo, pakeitimo ar neteisėto naudojimo. Šis principas taikomas neatsižvelgiant į duomenų saugojimo formatą.

Atitinkamos apsaugos priemonės

Pastangos priklauso nuo įmonės dydžio. Maža įmonė, renkanti klientų el. pašto adresus internetiniam naujienlaiškiui, gali saugoti el. pašto adresus skaičiuoklėje. Jei lentelė yra apsaugota slaptažodžiu ir papildomai aukštai užšifruota, galima manyti, kad ji yra pakankamai apsaugota.

Didelės organizacijos dažnai tvarko jautrius asmens duomenis dideliu mastu – nepaisant visos duomenų taupymo. Šios įmonės taip pat dažniau taps užpuolikų taikiniais, todėl čia reikia imtis daug griežtesnių saugumo priemonių.

Siekiant užtikrinti aukštą vientisumo lygį, visos saugos priemonės turėtų užtikrinti aukštesnę nei vidutinę saugotinų asmens duomenų apsaugą.

Asmeninės informacijos sunaikinimas

Jei asmens duomenys turi būti naikinami arba sunaikinami, jų atkūrimas remiantis žmogaus sprendimu ir naudojant aukštus technologinius duomenų naikinimo standartus gali būti atmestas. Tai taikoma tiek fiziniam popierinių dokumentų sunaikinimui, tiek atminties modulių duomenų bazių sunaikinimui.

8. Skaidrumas

Įmonė turi padaryti savo asmens informacijos tvarkymo politiką ir procedūras lengvai prieinamas . Todėl klientai turi turėti galimybę pasiekti šią informaciją be sudėtingų aplinkkelių. Į vartotojų užklausas dėl duomenų apsaugos turi būti atsakyta per protingą terminą ir kiek įmanoma tiesiogiai . Pateikta informacija turi būti suformuluota taip, kad būtų visiems suprantama. Reikėtų vengti teisinės terminijos.

Reikalavimai iš PIPEDA

PIPEDA teigimu, organizacija turi pateikti šiuos duomenis pareikalavus:

• Asmens, atsakingo už organizacijos politiką ir praktiką ir kuriam gali būti perduoti skundai ar paklausimai, pavardė arba pareigos ir adresas.
• Prieigos prie asmens duomenų būdai
• Surinktų asmens duomenų tipas, įskaitant jų naudojimo aprašymą.
• Rašytinė informacija, paaiškinanti įmonės organizacijos politiką ir standartus

9. Teisė į informaciją

Įmonė, gavusi prašymą, privalo suteikti asmeniui informaciją apie saugomus asmens duomenis ir jų naudojimą po autentifikavimo. Jei klientas abejoja savo asmens duomenų teisingumu ar išsamumu, jis gali reikalauti pakeisti įrašytus duomenis. Tai gali reikšti duomenų taisymą , ištrynimą ar pridėjimą .

išimtis

Suteikti asmens duomenis gali būti atsisakyta dėl įvairių priežasčių. Taip yra, kai informacijai taikoma advokato-kliento privilegija arba kai būtų atskleista konfidenciali verslo informacija.

Autentifikavimo reikalavimai

Prieš suteikdama prieigą prie asmens duomenų, įmonė turi įsitikinti, kad bendrauja su tinkamu asmeniu.

Kai kurios organizacijos tai daro prašydamos vyriausybės išduoto asmens tapatybės dokumento. Jei reikia, taip pat galima patikrinti sąskaitos informaciją kartu su kita informacija, tokia kaip mergautinė pavardė arba išsaugotas slaptažodis. Tačiau griežti autentiškumo patvirtinimo reikalavimai neturi būti kliūtis teisei į informaciją.

Informacija – laikas ir sąnaudos

Į prašymus pateikti informaciją atsakoma per protingą terminą ir asmeniui už minimalias išlaidas arba be jų. Ne vėliau kaip per 30 dienų nuo prašymo gavimo į jį turi būti atsakyta. Jeigu išimtiniais atvejais įmonei reikia daugiau laiko pateikti informaciją, ji turi išsiųsti asmeniui tarpinį sprendimą ir nurodyti pagrįstą vėlavimo priežastį.

10. Teisė skųstis

PIPEDA įtvirtinta apeliacijos teisė suteikia klientams ir vartotojams galimybę imtis tikslinių veiksmų prieš įmones , jei pažeidžiami DSVGO Canada punktai.

Įmonės turi numatyti skundų ir užklausų gavimo ir atsakymo į juos procedūras. Šios procedūros turėtų būti paprastos ir lengvai naudojamos. Be to, pagal BDAR Kanadą įmonės privalo imtis tolesnių veiksmų ir tirti skundus, net jei mano, kad skundas yra nepagrįstas . Jei skundas pasitvirtina, reikia imtis atitinkamų taisomųjų priemonių. Už skundų priėmimą ir procedūrų inicijavimą atsakingas įmonės duomenų apsaugos pareigūnas.