Í þessari grein útskýrum við allt um kanadísku gagnaverndarreglugerðina PIPEDA og komandi CPPA reglugerð. Í næstu grein munum við fara nánar út í vafrakökur og samþykki.
Hvað er PIPEDA?
PIPEDA er skammstöfunin fyrir lögum um persónuvernd og rafræn skjöl og vísar til nýju kanadísku almennu gagnaverndarreglugerðarinnar. Breytingin sameinar tvö fyrri kanadísku gagnaverndarlögin Consumer Privacy Protection Act (CPPA) og Persónuupplýsinga- og gagnaverndardómstóllinn (PIDPTA) í yfirgripsmikla reglugerð sem jafngildir GDPR. Tilvísun í evrópsku almennu gagnaverndarreglugerðina má sjá víða í PIPEDA, þess vegna er hún oft einnig kölluð GDPR Canada.
Svipað og GDPR, setja gagnaverndarlög Kanada um meðferð persónuupplýsinga sem safnað er og geymdar sem hluti af viðskiptastarfsemi. Lögin um verndun persónuupplýsinga og rafræn skjöl PIPEDA eru því mikilvæg fyrir öll fyrirtæki sem vilja ná til neytenda í Kanada með þjónustu og vörum – hvort sem það er í kyrrstöðu eða fjarsölu. Viðskiptastarfsemi í skilningi PIPEDA eru öll viðskipti og aðgerðir af viðskiptalegum uppruna eða í viðskiptalegum tilgangi.
PIPEDA á við um fyrirtæki og stofnanir sem eru undir alríkiseftirliti og lúta kanadískri löggjöf. Lögin um persónuvernd og rafræn skjöl gilda einnig um einkageirann í hverju héraði, nema hérað hafi sett sín eigin persónuverndarlög sem eru í stórum dráttum svipuð lögum um persónuvernd og rafræn skjöl PIPEDA. Aðeins Breska Kólumbía, Alberta og Quebec hafa persónuverndarlög sem eru í stórum dráttum svipuð lögum um persónuvernd og rafræn skjöl PIPEDA. Ef fyrirtæki er staðsett í Bresku Kólumbíu, Alberta eða Quebec, gilda lög um persónuvernd og rafræn skjöl um persónuupplýsingar sem safnað er af þeim stofnunum þar sem viðskiptaleg notkun upplýsinganna fer yfir mörk þess héraðs.
10 persónuverndarreglurnar í lögum um persónuvernd og rafræn skjöl PIPEDA
Fyrirtæki sem þurfa að fara að PIPEDA reglugerðum ættu að íhuga gagnaverndarreglur þessarar GDPR fyrir Kanada tímanlega. 10 liðir lýsa þeim réttindum og skyldum sem stofnanir verða að fylgja þegar þær stunda viðskiptaviðskipti við kanadíska neytendur samkvæmt GDPR fyrir Kanada :
- ábyrgð
- eyrnamerking
- samþykki
- Forðast gagna og gagnahagkerfi
- Geymsla, notkun og vinnsla
- nákvæmni
- heilindi og trúnað
- gagnsæi
- réttur til að veita upplýsingar
- málskotsrétt
Allir sem þekkja almennu persónuverndarreglugerðina munu þegar viðurkenna marga þætti í yfirlitinu yfir 10 meginreglur PIPEDA sem einnig er að finna í GDPR ESB . Engu að síður er munur á smáatriðum , einnig og sérstaklega hvað varðar samþykki fyrir söfnun persónuupplýsinga. Lítum fljótt á hvert af 10 punktunum:
1. Ábyrgð
Ábyrgðarreglan felur í sér að umfram ákveðna stærð þarf stofnun að tilnefna mann til að bera ábyrgð á stjórnun safnaðra og persónuupplýsinga. Þessi einstaklingur er kallaður gagnaverndarfulltrúi í GDPR – í lögum um persónuvernd og rafræn skjöl PIPEDA er hann kallaður persónuverndarfulltrúi eða framkvæmdastjóri persónuverndar (CPO) . Í smærri fyrirtækjum getur persónuverndarfulltrúinn einnig sinnt hlutverki sínu í hlutastarfi . Meginverkefni þess felst í þróun, innleiðingu og eftirliti með verklagsreglum sem uppfylla gagnaverndarkröfur samkvæmt PIPEDA . Jafnframt þarf persónuverndarfulltrúi að taka við og svara kvörtunum um gagnaöflun . Annað mikilvægt svið er þjálfun starfsmanna og miðlun gagnaverndarkrafna sem tengjast einstökum ábyrgðarsviðum. Ef neytandi hefur gefið samþykki fyrir gagnavinnslu þriðju aðila ber persónuverndarfulltrúinn ábyrgð á því að þriðju aðilar uppfylli kröfur PIPEDA.
2. Takmörkun á tilgangi
Hvers vegna vill fyrirtækið geyma persónulegar upplýsingar viðskiptavinar ? Tilgangurinn skal tilgreindur fyrir neytanda í síðasta lagi um leið og gögnin eru skráð. Uppljóstrun skapar gagnsæi en auðveldar einnig fyrirtækinu að innleiða sérstakan aðgang. Samkvæmt PIPEDA er tilgangur gagnasöfnunar að koma á framfæri við alla starfsmenn sem komast í snertingu við viðskiptavini. Ef viðskiptavinur er td beðinn um heimilisfang eða símanúmer við kaup við kassa þarf að útskýra notkun gagnaupplýsinganna fyrir honum sé þess óskað . Eyðublöð á pappír og neteyðublöð sem safna persónugreinanlegum upplýsingum frá viðskiptavinum skulu einnig lýsa tilgangi söfnunarinnar með skýrum hætti. Safnaðar persónuupplýsingar má ekki nota í nýjum tilgangi nema með skýlausu leyfi viðskiptavinar. Undantekning eru lagaskilyrði sem krefjast þess.
3. Samþykki
Fyrirtæki má ekki safna, nota eða birta persónuupplýsingar nema með vitund og samþykki viðskiptavinarins. Áform um að safna upplýsingum um viðskiptavini verður að vera skýrt og ótvírætt komið á framfæri. Ef óskað er eftir persónuupplýsingum í formi eru óljósar samsetningar því óheimilar. Manni verður ekki hallað ef hann neitar að veita upplýsingar. Fyrirtæki verða því einnig að gera vörur sínar og þjónustu aðgengilegar neytendum sem vilja ekki veita gögn sem tengjast ekki vörunni eða þjónustunni. Það eru nokkrar undantekningar: Fyrirtæki getur sleppt því að veita samþykki ef lagalegar eða læknisfræðilegar ástæður eru til að gera það ekki. Öryggisástæður geta einnig átt við ákveðnar vörur. Og ef upplýsingum er safnað fyrir löggæslu er einnig fallið frá samþykki. Einnig er hægt að víkja frá samþykki í þeim tilvikum þegar einstaklingur er ólögráða, alvarlega veikur eða geðfatlaður. Samþykki getur þó einnig verið veitt af viðurkenndum fulltrúa.
Þegar kemur að gerð samþykkis er gerður greinarmunur á:
- skýr
- óbeint
- afþakka
Í mörgum tilfellum – eins og skráning á netinu – eins og í almennu evrópsku persónuverndarreglugerðinni, þarf einnig skýrt samþykki frá neytanda hér. Frávísun er venjulega ekki veitt. Til dæmis er ekki hægt að úthluta neinum hakum eða hnöppum fyrirfram á vafrakökusamþykki PIPEDA – jafngildir fótsporareglugerðinni í GDPR. Í grundvallaratriðum þarf samþykki ekki að vera skriflegt – munnlegt samþykki nægir. Til dæmis nægir að hagsmunaaðili veiti samþykki sitt fyrir að vera með í fréttabréfi símleiðis. Hins vegar gerir samþykki sem gefið er í síma reglulega erfiðara fyrir fyrirtæki að leggja fram sönnunargögn . Í sumum tilfellum getur samþykki einnig leitt beint til aðgerða neytandans.
Neytendur geta afturkallað samþykki sitt hvenær sem er, með fyrirvara um samningsbundnar og lagalegar takmarkanir og fresti.Fyrirtækinu ber að upplýsa viðskiptavini um afleiðingar afturköllunar samþykkis.
4. Forðast gagna og gagnahagkerfi
Meginreglan um að takmarka gagnasöfnun við það magn gagna sem krafist er í tilgangi er meginregla sem gegnir einnig mikilvægu hlutverki í evrópsku GDPR. Persónuupplýsingar sem fyrirtæki safnar skulu takmarkast við það sem nauðsynlegt er fyrir aðgerð innan ramma viðskiptasambands.
Einnig ber að forðast söfnun og geymslu óþarfa persónuupplýsinga samkvæmt PIPEDA. Sanngjörn og lögmæt meðferð gagna, sem er falin á bak við orðalagið „Sanngjarnt og löglegt“, miðar að fullveldi viðskiptavinarins og þörfina fyrir gagnsæja ferla. Tilgangurinn með því að safna tilteknum persónuupplýsingum má ekki hylja með blekkingum eða óljósum yfirlýsingum.
5. Geymsla, notkun og vinnsla
Notkun skráðra gagna má einungis fara um þann gang sem viðskiptavinur þekkir og hann hefur gefið samþykki sitt fyrir. Birting eða önnur notkun persónuupplýsinga er óheimil samkvæmt kanadísku almennu gagnaverndarreglugerðinni PIPEDA. Varðveislutímar eru byggðir á kröfum fyrirtækisins og öðrum lagareglum. Ráðlagður lágmarksgeymslutími fyrirtækja er eitt ár. Þetta tímabil gefur fyrirtækinu nægilegt getu til að athuga og fara að lagaskilyrðum. Hámarks varðveislutími skal ákveðinn og birtur af félaginu.
Ótakmörkuð geymsla gagna er óheimil – neytanda skal upplýst sé þess óskað hvenær gögnum hans verður eytt varanlega. Ef þess er óskað er hægt að nafngreina gögn og eyða þeim fyrirfram, að teknu tilliti til fresta. Jafnframt þarf stofnun að geta upplýst hver hefur fengið samþykki fyrir vinnslu upplýsinganna og að hve miklu leyti.
6. Nákvæmni
Meginreglan um nákvæmni tryggir að persónuupplýsingar sem fyrirtæki safnar séu réttar, fullkomnar og uppfærðar í þeim tilgangi sem þær eru notaðar í.
Hafa ber í huga að gögnin sem safnað er eru notuð í þágu neytenda.
Forskriftin um réttmæti í PIPEDA er ekki aðeins mikilvæg fyrir samskipti fyrirtækja og viðskiptavina. Til dæmis, ef stofnun safnar persónuupplýsingum til að athuga snið umsækjenda fyrir ráðningarferli, verður að tryggja að röng eða ófullkomin skráning hafi ekki í för með sér óhagræði fyrir umsækjendur.
Uppfærsla persónuupplýsinga
Sjálfvirk og regluleg uppfærsla persónuupplýsinga er almennt óheimil. Þessi leiðbeining í PIPEDA á einnig við um upplýsingar sem eru sendar til þriðja aðila.
7. Heiðarleiki og trúnaður
Meginreglan um heiðarleika og trúnað þýðir að persónuupplýsingar verða að vernda gegn tapi eða þjófnaði , óviðkomandi aðgangi, birtingu, afritun, breytingum eða óleyfilegri notkun. Þessi regla gildir óháð því á hvaða sniði gögnin eru geymd.
Viðeigandi verndarráðstafanir
Átakið fer eftir stærð fyrirtækisins. Lítið fyrirtæki sem er að safna netföngum viðskiptavina fyrir fréttabréf á netinu getur geymt netföngin í töflureikni. Ef borðið er varið með lykilorði og að auki dulkóðað að miklu leyti má gera ráð fyrir fullnægjandi vernd.
Stórar stofnanir hafa oft umsjón með viðkvæmum persónuupplýsingum í stórum stíl – þrátt fyrir allt gagnahagkerfi. Þessi fyrirtæki eru líka líklegri til að verða skotmörk fyrir árásarmenn, svo miklu sterkari öryggisráðstafanir þarf að grípa til hér.
Allar öryggisráðstafanir ættu að bjóða upp á vernd yfir meðallagi fyrir þær persónuupplýsingar sem á að vernda til að tryggja háan heiðarleika.
Eyðing persónuupplýsinga
Ef farga á persónuupplýsingum eða eyða þeim er hægt að útiloka endurheimt á grundvelli mannlegs mats og með því að nota háa tæknilega staðla til eyðingar gagna. Þetta á bæði við um líkamlega eyðingu pappírsskjala og um eyðingu gagnagrunna á minniseiningum.
8. Gagnsæi
Fyrirtæki verður að gera stefnu sína og verklagsreglur um meðhöndlun persónuupplýsinga aðgengilegar . Viðskiptavinir verða því að geta nálgast þessar upplýsingar án flókinna krókaleiða. Svör við fyrirspurnum neytenda um gagnavernd skal svara innan hæfilegs tíma og eins beint og hægt er . Upplýsingarnar sem veittar eru verða að vera þannig að þær séu almennt skiljanlegar. Forðast ber lagaleg hugtök.
Kröfur frá PIPEDA
Samkvæmt PIPEDA verður stofnun að veita þessi gögn sé þess óskað:
- Nafn eða titill og heimilisfang þess sem ber ábyrgð á stefnu og starfsháttum stofnunarinnar og sem kvartanir eða fyrirspurnir má vísa til.
- Leiðir til að fá aðgang að persónuupplýsingum
- Tegund persónuupplýsinga sem safnað er, þar á meðal lýsing á notkun þeirra.
- Skriflegar upplýsingar sem útskýra stefnur fyrirtækja og staðla
9. Réttur til upplýsinga
Að beiðni skal fyrirtæki veita einstaklingi upplýsingar um persónuupplýsingar sem geymdar eru og notkun þeirra eftir auðkenningu. Ef viðskiptavinur efast um réttmæti eða heilleika persónuupplýsinga getur hann krafist þess að breyta skráðum gögnum. Þetta getur þýtt að leiðrétta , eyða eða bæta við gögnum .
undantekningar
Hægt er að hafna upplýsingum um persónuupplýsingar af ýmsum ástæðum. Þetta á við þegar upplýsingarnar eru háðar forréttindum lögmanns-viðskiptavinar eða þar sem trúnaðarupplýsingar um viðskipti yrðu birtar.
Auðkenningarkröfur
Áður en það veitir aðgang að persónuupplýsingum verður fyrirtæki að tryggja að það sé í samskiptum við réttan aðila.
Sumar stofnanir gera þetta með því að biðja um ríkisútgefin skilríki. Ef nauðsyn krefur er einnig hægt að staðfesta reikningsupplýsingar ásamt öðrum upplýsingum eins og meyjanafni eða vistað lykilorði. Hins vegar mega strangar sannvottunarkröfur ekki koma í veg fyrir upplýsingaréttinn.
Upplýsingar – tími og kostnaður
Beiðnum um upplýsingar skal svarað innan hæfilegs tíma og með lágmarks eða engum kostnaði fyrir einstaklinginn. Eigi síðar en 30 dögum eftir móttöku beiðni ber að svara henni. Ef fyrirtæki þarf í undantekningartilvikum lengri tíma til að veita upplýsingar þarf það að senda viðkomandi bráðabirgðaákvörðun og gefa upp haldbæra ástæðu fyrir töfinni.
10. Kvörtunarréttur
Áfrýjunarrétturinn sem er festur í PIPEDA gerir viðskiptavinum og neytendum kleift að grípa til markvissra aðgerða gegn fyrirtækjum ef brotið er gegn ákvæðum GDPR Kanada.
Fyrirtæki verða að útvega verklagsreglur til að taka á móti og svara kvörtunum og fyrirspurnum. Þessar aðferðir ættu að vera einfaldar og auðveldar í notkun. Ennfremur, samkvæmt GDPR Kanada, þurfa fyrirtæki að fylgja eftir og rannsaka kvartanir jafnvel þótt þau telji að kvörtunin virðist vera tilhæfulaus . Ef kvörtunin reynist gild þarf að grípa til viðeigandi úrbóta. Persónuverndarfulltrúi félagsins ber ábyrgð á móttöku kvartana og að hefja málsmeðferð.