Í síðustu færslu skoðuðum við hvað PIPEDA og CPPA eru í raun og veru. Nú viljum við skoða nánar hvað rekstraraðili vefsíðna þarf að huga að varðandi samþykki fyrir vafraköku, leiðbeiningar um gagnavernd og annað.
Vafrakökusamþykki í PIPEDA
Samþykki til að safna persónuupplýsingum í PIPEDA
Upplýsingar um söfnun, notkun og birtingu persónuupplýsinga skulu vera í fullu formi. Til að gera vafrakökusamþykki auðveldara að skilja í pípunni ætti að leggja meiri áherslu á suma þætti.
Lögin um persónuvernd og rafræn skjöl krefjast þess að neytandinn skilji fljótt eðli og tilgang þess sem þeir samþykkja með vafrakökusamþykki í PIPEDA . Til að samþykki teljist gilt og þýðingarmikið verða stofnanir að miðla persónuverndarvenjum sínum á yfirgripsmikinn og skiljanlegan hátt. Þetta þýðir aftur að fyrirtæki verða að veita upplýsingar um persónuverndarvenjur sínar á formi sem er aðgengilegt hagsmunaaðilum.
Því miður er raunveruleikinn oft sá að mikilvægar upplýsingar um persónuverndarstefnu eru grafnar í þjónustuskilmálum. Sá sem getur aðeins eytt smá tíma og orku í að athuga gagnaverndarupplýsingarnar hefur engan hagnýtan ávinning af ofhleðslu upplýsinga. Til að fá marktækt samþykki verða stofnanir að gera vefsíðugesti kleift að fara fljótt og beint yfir lykilatriði persónuverndarákvarðana . Þetta er mikilvægt, til dæmis ef notkun þeirrar þjónustu eða vöru sem boðið er upp á krefst þess að forrit eða annað forrit sé keypt eða niðurhalað.
Neytendur og viðskiptavinir búast við því að persónuupplýsingar þeirra verði ekki afhentar öðrum stofnunum án vitundar þeirra og samþykkis, jafnvel ef um er að ræða samþykki fyrir vafraköku í PIPEDA. Þessi þáttur verður einnig að taka með í reikninginn með vafrakökusamþykki í PIPEDA. Af þessum sökum verður birting til þriðja aðila að vera skýrt tilgreind . Sérstaklega skal huga að birtingu til þriðja aðila sem geta notað upplýsingarnar í eigin tilgangi, í stað þess að veita einfaldlega þjónustu.
Í hvaða tilgangi er persónuupplýsingum safnað, notað eða þeim deilt? Viðskiptavinir og neytendur verða að vera upplýstir um hvers kyns tilgangi sem upplýsingum er safnað og notað í. Þeir verða að geta skilið hvað þeir eru beðnir um samþykki þeirra til að gera. Þessum tilgangi ætti að lýsa á einföldu máli. Forðast ber óljósar fyrirætlanir og samsetningar eins og „þjónustuhagræðingu“. Það sem er nauðsynlegt fyrir veitingu þjónustu ber að greina frá gögnum sem eru það ekki. Allir tiltækir valkostir ættu að vera skýrir og opinskátt.
skemmdir og afleiðingar
Hætta á misnotkun gagna og tap á gögnum
Þegar fyrirtæki eða stofnun hannar hugsanlegar aðstæður fyrir skaða sem geta stafað af söfnun, notkun eða birtingu persónuupplýsinga, krefjast lög um persónuvernd og rafræn skjöl að það beri ábyrgð á að draga úr þeirri áhættu. Í sumum tilfellum getur fyrirbyggjandi viðleitni til að draga úr áhættu dregið verulega úr áhættu. Í öðrum tilvikum verður áhættan þó nánast óbreytt.
Ávallt skal upplýsa neytanda um verulegar eftirstöðvar áhættu með verulegu tjóni. Veruleg áhætta, eins og hún er skilgreind í lögum um persónuvernd og rafræn skjöl , er áhætta sem hefur meira en lágmarkslíkur. Verulegur skaði felur í sér líkamlegan skaða, niðurlægingu, skaða á orðspori, atvinnumissi, viðskipta- eða starfstækifæri og fjárhagslegt tap.
Þessi áhætta felur einnig í sér persónuþjófnað og neikvæð áhrif á lánstraust. Því ber að skilgreina tjónshættu vítt. Auk tjóns sem er tafarlaust ætti það einnig að fela í sér tjón sem hægt er að sjá fyrir með sanngjörnum hætti sem gæti hlotist af illgjarnum aðilum eða öðrum.
Veittu einstaklingum skýrar leiðir til að segja „já“ eða „nei“.
Áður en hann notar vöru eða þjónustu verður neytandinn að hafa val. Þetta val verður að vera skýrt útskýrt og gert aðgengilegt. Hvort hverju vali er best lýst sem „afþakka“ eða „afþakka“ fer eftir þáttunum sem eru til staðar með samþykki fyrir vafraköku í Pipeda.
Vertu nýstárlegur og skapandi
Stofnanir ættu að hanna og/eða innleiða nýstárleg samþykkisferli fyrir vafrakökur í PIPEDA sem hægt er að innleiða á réttum tíma, eru samhengissértæk og passa við tegund viðmóts sem notuð er.
Vafrakökusamþykki í PIPEDA
Upplýst samþykki í formi kökusamþykkis í PIPEDA er viðvarandi ferli sem breytist með breyttum aðstæðum; Stofnanir ættu ekki að treysta á kyrrstæðan tíma , heldur meðhöndla samþykki sem kraftmikið og gagnvirkt ferli .
Breytingar á persónuverndarreglugerð
Ef stofnun ætlar að gera verulegar breytingar á gagnaverndaraðferðum sínum samkvæmt GDPR fyrir Kanada verður hún að láta notendur vita og fá samþykki þeirra áður en breytingarnar taka gildi. Verulegar breytingar eru meðal annars notkun persónuupplýsinga í nýjum tilgangi sem upphaflega var ekki ætlaður eða ný birting persónuupplýsinga til þriðja aðila í öðrum tilgangi en vinnslu sem nauðsynleg er til að veita þjónustu.
Mundu friðhelgi einkalífsins
Stofnanir ættu að íhuga að minna einstaklinga reglulega á persónuverndarval þeirra og biðja þá um að endurskoða þær, í samræmi við GDPR fyrir Kanada. Að lokum, sem besta starfsvenja, ættu stofnanir reglulega að endurskoða starfshætti upplýsingastjórnunar til að tryggja að áfram sé farið með persónuupplýsingar eins og lýst er fyrir einstaklinginn.
sýna fram á samræmi
Stofnanir ættu, þegar þær eru beðnar, að geta sýnt fram á að farið sé eftir reglum og sérstaklega að samþykkisferlið sem þau innleiða sé nægilega skiljanlegt frá almennu sjónarhorni markhóps þeirra til að gera gilt og þýðingarmikið samþykki kleift.
Til þess að fá marktækt samþykki og uppfylla skyldur sínar samkvæmt gagnaverndarlögum Kanada verða stofnanir:
- Gefðu upplýsingar um persónuvernd á fullu formi, með áherslu á eða vekja athygli á fjórum lykilþáttum:
- Hvaða persónuupplýsingum á að safna?
- Með hvaða aðilum er persónuupplýsingum deilt samkvæmt?
- Í hvaða tilgangi er persónuupplýsingum safnað, notað eða þeim deilt?
- Hver er hættan á skemmdum og öðrum afleiðingum?
- Samþykkisform – samþykki fyrir kökur í PIPEDA
- Fáðu skýrt samþykki fyrir hvers kyns söfnun, notkun eða birtingu.
Algengar spurningar: PIPEDA
Persónuverndarlög einkageirans krefjast þess að fyrirtæki útbúi og birti aðgengilegar persónuverndarstefnur. Útskýrðu hvernig persónuupplýsingum viðskiptavina er safnað, notað og þeim deilt. Þetta þýðir líka að persónuverndarstefnan verður að vera birt á vefnum ef fyrirtækið er með viðveru á netinu.
Lögin um verndun persónuupplýsinga og rafræn skjöl (PIPEDA) eru alríkislög um persónuvernd fyrir stofnanir í einkageiranum. Þar eru settar grunnreglur um hvernig fyrirtækjum ber að meðhöndla persónuupplýsingar í atvinnurekstri sínum.
Lög um verndun persónuupplýsinga og rafræn skjöl (PIPEDA) eru alríkislög um persónuvernd fyrir viðskiptastofnanir í Kanada. PIPEDA þjónar til að samræma tilkynningarskyldu Kanada við viðskiptalönd landsins, nefnilega ESB.
- ábyrgð
- eyrnamerking
- samþykki
- Forðast gagna og gagnahagkerfi
- Geymsla, notkun og vinnsla
- nákvæmni
- heilindi og trúnað
- gagnsæi
- réttur til að veita upplýsingar
- málskotsrétt
Lagagrundvöllur PIPEDA tók gildi 1. janúar 2004. Lögin um vernd persónuupplýsinga og rafræn skjöl voru sett til að takast á við lögmætar áhyggjur af persónuvernd neytenda og gera kanadískum fyrirtækjum kleift að keppa í hinu alþjóðlega stafræna hagkerfi. Markmið umbótanna er að byggja upp traust á rafrænum viðskiptum.
Þýtt þýðir PIPEDA eitthvað eins og lög um vernd persónuupplýsinga og rafrænna skjala.
PIPEDA er notað fyrir stofnanir og fyrirtæki af öllum stærðum. GDPR fyrir Kanada stjórnar söfnun, notkun og birtingu persónuupplýsinga hér – einnig yfir landamæri.