В тази статия обясняваме всичко за канадския регламент за защита на данните PIPEDA и предстоящия регламент CPPA. В следващата статия ще разгледаме по-подробно за бисквитките и съгласието.
Какво е PIPEDA?
PIPEDA е съкращението за Закона за защита на личната информация и електронните документи и се отнася до новия канадски общ регламент за защита на данните. Изменението комбинира двата предишни канадски закона за защита на личните данни, Закона за защита на поверителността на потребителите (CPPA) и Закона за трибунала за защита на личната информация и данните (PIDPTA) в изчерпателен регламент, еквивалентен на GDPR. Позоваването на Европейския общ регламент за защита на данните може да се види на много места в PIPEDA, поради което често се нарича още GDPR Канада.
Подобно на GDPR, Канадският закон за защита на данните регулира обработката на лични данни, събирани и съхранявани в хода на търговски дейности. Следователно Законът за защита на личната информация и електронните документи PIPEDA е важен за всички компании , които искат да достигнат до потребителите в Канада с услуги и продукти – независимо дали са стационарни или дистанционни. Търговски дейности по смисъла на ПИПЕДА са всички сделки и действия с търговски произход или с търговски намерения.
PIPEDA се прилага за компании и организации, които са федерално регулирани и подлежат на канадското законодателство. Законът за защита на личната информация и електронните документи се прилага и за частния сектор на всяка провинция, освен ако провинция не е приела свой собствен закон за защита на данните, който в общи линии е подобен на Закона за защита на личната информация и електронните документи PIPEDA. Само Британска Колумбия, Алберта и Квебек имат закони за поверителност, които са до голяма степен подобни на Закона за защита на личната информация и електронните документи PIPEDA. Ако една компания е базирана в Британска Колумбия, Алберта или Квебек, Законът за защита на личната информация и електронните документи се прилага за лична информация, събрана от тези организации, където търговската употреба на информацията надхвърля границите на тази провинция.
10-те принципа за поверителност в Закона за защита на личната информация и електронните документи PIPEDA
Бизнесите, които трябва да спазват разпоредбите на PIPEDA, трябва своевременно да обмислят принципите за поверителност на този GDPR за Канада . 10 точки очертават правата и задълженията, които организациите трябва да спазват, когато извършват търговски сделки с канадски потребители съгласно GDPR за Канада :
- отчетност
- целево предназначение
- съгласие
- Избягване на данни и икономия на данни
- Съхранение, използване и обработка
- точност
- почтеност и конфиденциалност
- прозрачност
- право на предоставяне на информация
- право на обжалване
Всеки, който е запознат с Общия регламент за защита на данните, вече ще разпознае много аспекти в прегледа на 10-те принципа на PIPEDA, които могат да бъдат намерени и в GDPR на ЕС . Въпреки това има разлики в детайлите , също и особено по отношение на съгласието за събиране на лични данни. Нека да разгледаме набързо всяка от 10-те точки:
1. Отчетност
Принципът на отчетност означава, че над определен размер една организация трябва да назначи лице, което да отговаря за управлението на събраните и лични данни. Това лице се нарича служител по защита на данните в GDPR – в Закона за защита на личната информация и електронните документи PIPEDA той се нарича служител по поверителност или главен служител по поверителност (CPO) . В по-малките компании служителят по поверителност може също да изпълнява своята роля на непълно работно време . Основната му задача е разработването, прилагането и наблюдението на процедури , отговарящи на изискванията за защита на данните съгласно PIPEDA . Освен това служителят по защита на данните трябва да получава и да отговаря на жалби относно събирането на данни . Друга важна област е обучението на служителите и съобщаването на изискванията за защита на данните, свързани с отделните области на отговорност. Ако потребителят е дал съгласие за обработка на данни от трети страни, Служителят по поверителност носи отговорност за спазването на изискванията на PIPEDA от трети страни.
2. Ограничение на целта
Защо компанията иска да съхранява личната информация на клиента ? Целта трябва да бъде посочена на потребителя най-късно в момента на записване на данните. Разкриването създава прозрачност, но също така улеснява компанията да приложи специфичен достъп. Според PIPEDA целта на събирането на данни е да бъде съобщена на всеки служител, който влиза в контакт с клиенти. Ако например клиент бъде помолен за адреса или телефонния номер, когато прави покупка на касата, използването на информацията за данните трябва да му бъде обяснено при поискване . Хартиените формуляри и онлайн формулярите, които събират лична информация от клиентите, също трябва ясно да описват целта на събирането. Събраните лични данни не могат да бъдат използвани за нова цел без изричното разрешение на клиента. Изключение са законовите изисквания, които изискват това.
3. Съгласие
Компанията не трябва да събира, използва или разкрива лични данни без знанието и съгласието на клиента. Намерението за събиране на клиентски данни трябва да бъде ясно и недвусмислено съобщено. Ако личните данни се изискват във форма, двусмислени формулировки не са разрешени. Човек няма да бъде в неравностойно положение, ако откаже да предостави информация. Поради това компаниите трябва също да предоставят своите продукти и услуги на потребителите, които не желаят да предоставят данни, които не са свързани с продукта или услугата. Има няколко изключения: Компанията може да се въздържа от даване на съгласие, ако има законови или медицински причини да не го направи. Съображения за безопасност могат да се отнасят и за определени продукти. И ако се събира информация за правоприлагането, съгласието също се отказва. Съгласието може да бъде отказано и в случаите, когато дадено лице е непълнолетно, тежко болно или с умствени увреждания. Въпреки това, съгласието може да бъде дадено и от упълномощен представител.
Когато става въпрос за вида на съгласие, се прави разлика между:
- изрично
- имплицитно
- откажете се
В много случаи – като онлайн регистрация – както в Европейския общ регламент за защита на данните, тук също се изисква изрично съгласие от страна на потребителя. Обикновено не се предоставя отказ. Например, не могат да бъдат предварително зададени отметки или бутони на PIPEDA за съгласие за бисквитки – еквивалентно на разпоредбите за бисквитки в GDPR. По принцип съгласието не трябва да бъде дадено писмено – достатъчно е устното съгласие. Например, достатъчно е заинтересована страна да даде съгласието си да бъде включена в бюлетин по телефона. Въпреки това , съгласието, дадено по телефона , редовно затруднява предоставянето на доказателства за компанията . В някои случаи съгласието може да бъде получено и директно от действията на потребителя.
Потребителите могат да оттеглят съгласието си по всяко време, при спазване на договорни и законови ограничения и срокове. Компанията трябва да информира клиента за последиците от оттеглянето на съгласието.
4. Избягване на данни и икономия на данни
Принципът за ограничаване на събирането на данни до количеството данни, необходими за дадена цел, е принцип, който също играе важна роля в Европейския GDPR. Личните данни, събирани от една компания, трябва да бъдат ограничени до това, което е необходимо за действие в рамките на бизнес отношения.
Събирането и съхраняването на ненужни лични данни също трябва да се избягва според PIPEDA. Честното и законосъобразно боравене с данни, което се крие зад фразата „Честни и законни средства“, цели суверенитета на данните на клиента и необходимостта от прозрачни процеси. Целта, за която трябва да бъдат събрани определени лични данни, не трябва да се закрива от измама или двусмислени изявления.
5. Съхранение, използване и обработка
Използването на записани данни може да се движи само в коридора, който е известен на клиента и за който той е дал своето съгласие. Разкриването или друго използване на лични данни не е разрешено съгласно канадския общ регламент за защита на данните PIPEDA. Периодите на задържане се основават на изискванията на компанията и други законови разпоредби. Препоръчителният минимален период на съхранение за компаниите е една година. Този период оставя на компанията достатъчен капацитет за проверка и спазване на законовите изисквания. Максималният срок на съхранение се определя и оповестява от компанията.
Не е разрешено неограничено съхранение на данни – потребителят трябва да бъде информиран при поискване кога данните му ще бъдат изтрити за постоянно. Ако желаете, данните могат да бъдат анонимизирани и унищожени предварително, като се вземат предвид крайните срокове. Освен това организацията трябва да може да разкрие кой е получил съгласие за обработката на данните и до каква степен.
6. Точност
Принципът на точност гарантира, че личните данни, събрани от дадена компания, са правилни, пълни и актуални за целите, за които се използват.
Трябва да се има предвид, че събраните данни трябва да се използват в най-добрия интерес на потребителя.
Спецификацията на коректността в PIPEDA е важна не само за взаимоотношенията между компании и клиенти. Например, ако една организация събира лични данни, за да провери профилите на кандидатите преди процес на набиране, трябва да се гарантира, че неправилното или непълно записване не води до неблагоприятни условия за кандидатите.
Актуализиране на личната информация
Автоматичното и редовно актуализиране на лични данни по принцип не е разрешено. Тази насока в PIPEDA се прилага и за информация, която се предава на трети страни.
7. Почтеност и конфиденциалност
Принципът на целостта и поверителността означава, че личните данни трябва да бъдат защитени срещу загуба или кражба , неоторизиран достъп, разкриване, копиране, промяна или неоторизирана употреба. Този принцип се прилага независимо от формата, в който се съхраняват данните.
Подходящи защитни мерки
Усилието зависи от размера на компанията. Малък бизнес, който събира имейл адреси на клиенти за онлайн бюлетин, може да съхранява имейл адресите в електронна таблица. Ако таблицата е защитена с парола и допълнително криптирана до висока степен, може да се приеме адекватна защита.
Големите организации често управляват чувствителни лични данни в голям мащаб – въпреки цялата икономия на данни. Тези компании също са по-склонни да бъдат мишени за нападатели, така че тук трябва да се вземат много по-строги предпазни мерки за сигурност.
Всички мерки за сигурност трябва да предлагат защита над средната за защитата на личните данни, за да се гарантира високо ниво на интегритет.
Унищожаване на лична информация
Ако личните данни трябва да бъдат унищожени или унищожени, възстановяването въз основа на човешка преценка и чрез използване на високи технологични стандарти за унищожаване на данни може да бъде изключено. Това се отнася както за физическото унищожаване на хартиени документи, така и за унищожаването на бази данни на модули памет.
8. Прозрачност
Една компания трябва да направи своите политики и процедури за работа с лична информация лесно достъпни . Поради това клиентите трябва да имат достъп до тази информация без сложни заобикаляния. На отговорите на запитванията на потребителите относно защитата на данните трябва да се отговаря в разумен срок и възможно най-пряко . Предоставената информация трябва да бъде формулирана по общоразбираем начин. Правната терминология трябва да се избягва.
Изисквания от PIPEDA
Според PIPEDA организацията трябва да предостави тези данни при поискване:
- Име или заглавие и адрес на лицето, отговорно за политиките и практиките на организацията и до което могат да бъдат отправени жалби или запитвания.
- Начини за достъп до лични данни
- Вид на събраните лични данни, включително описание на тяхното използване.
- Писмена информация, която обяснява политиките и стандартите на организацията на компанията
9. Право на информация
При поискване дружеството трябва да предостави на лице информация за съхраняваните лични данни и тяхното използване след удостоверяване. Ако клиент се съмнява в коректността или пълнотата на личните данни, той може да настоява за промяна на записаните данни. Това може да означава коригиране , изтриване или добавяне на данни .
изключения
Информация за лични данни може да бъде отказана по различни причини. Такъв е случаят, когато информацията е предмет на привилегия на адвокат-клиент или когато поверителна бизнес информация ще бъде разкрита.
Изисквания за удостоверяване
Преди да предостави достъп до лични данни, компанията трябва да се увери, че комуникира с правилния човек.
Някои организации правят това, като искат държавен документ за самоличност. При необходимост е възможна и проверка въз основа на информация за акаунта в комбинация с друга информация, като моминско име или съхранена парола. Въпреки това, строгите изисквания за удостоверяване не трябва да представляват пречка за правото на информация.
Информация – време и разходи
На исканията за информация се отговаря в разумен срок и с минимални или никакви разходи за лицето. Не по-късно от 30 дни след получаване на искането трябва да бъде отговорено. Ако по изключение дадена компания се нуждае от повече време, за да предостави информация, тя трябва да изпрати на лицето временно решение и да посочи правдоподобна причина за забавянето.
10. Право на оплакване
Правото на обжалване, закрепено в PIPEDA, позволява на клиентите и потребителите да предприемат целенасочени действия срещу компании в случай на нарушение на точки от GDPR Канада.
Бизнесът трябва да осигури процедури за получаване и отговор на жалби и запитвания. Тези процедури трябва да са прости и лесни за използване. Освен това, съгласно GDPR Canada, компаниите са длъжни да проследяват и разследват жалби, дори ако смятат, че жалбата изглежда неоснователна . Ако жалбата се окаже валидна, трябва да се предприемат подходящи коригиращи мерки. Служителят по защита на данните на компанията отговаря за получаването на жалби и започване на процедури.