V tem članku razlagamo vse o kanadski uredbi o varstvu podatkov PIPEDA in prihajajoči uredbi CPPA. V naslednjem članku bomo podrobneje obravnavali piškotke in soglasje.
Kaj je PIPEDA?
PIPEDA je okrajšava za Zakon o varstvu osebnih podatkov in elektronskih dokumentih in se nanaša na novo kanadsko splošno uredbo o varstvu podatkov. Sprememba združuje dva predhodna kanadska zakona o varstvu podatkov Zakon o varstvu zasebnosti potrošnikov (CPPA) in Zakon o sodišču za varstvo osebnih podatkov in podatkov (PIDPTA) v celovito uredbo, ki je enakovredna GDPR. Sklicevanje na evropsko splošno uredbo o varstvu podatkov je mogoče videti na mnogih mestih v PIPEDA, zato se pogosto imenuje tudi GDPR Canada.
Podobno kot GDPR tudi kanadski zakon o varstvu podatkov ureja ravnanje z osebnimi podatki, zbranimi in shranjenimi v okviru komercialnih dejavnosti. Zakon o varstvu osebnih podatkov in elektronskih dokumentih PIPEDA je zato pomemben za vsa podjetja , ki želijo s storitvami in izdelki – bodisi stacionarno bodisi prodajo na daljavo, doseči potrošnike v Kanadi . Komercialne dejavnosti v smislu PIPEDA so vse transakcije in dejanja komercialnega izvora ali s komercialnim namenom.
PIPEDA velja za podjetja in organizacije, ki so zvezno urejene in za katere velja kanadska zakonodaja. Zakon o varstvu osebnih podatkov in elektronskih dokumentih se uporablja tudi za zasebni sektor vsake pokrajine, razen če je pokrajina sprejela svoj zakon o varstvu podatkov, ki je na splošno podoben Zakonu o varstvu osebnih podatkov in elektronskih dokumentih PIPEDA. Samo Britanska Kolumbija, Alberta in Quebec imajo zakone o zasebnosti, ki so na splošno podobne Zakonu o varstvu osebnih podatkov in elektronskih dokumentih PIPEDA. Če ima podjetje sedež v Britanski Kolumbiji, Alberti ali Quebecu, se za osebne podatke, ki jih zbirajo tiste organizacije, kjer komercialna uporaba informacij presega meje te province, uporablja Zakon o varstvu osebnih podatkov in elektronskih dokumentih .
10 načel zasebnosti v Zakonu o varstvu osebnih podatkov in elektronskih dokumentih PIPEDA
Podjetja, ki morajo spoštovati predpise PIPEDA, bi morala pravočasno upoštevati načela varstva podatkov te GDPR za Kanado . 10 točk opisuje pravice in obveznosti, ki jih morajo organizacije upoštevati pri izvajanju komercialnih poslov s kanadskimi potrošniki v skladu z GDPR za Kanado :
- odgovornost
- namenske namene
- soglasje
- Izogibanje podatkom in ekonomičnost podatkov
- Shranjevanje, uporaba in obdelava
- natančnost
- integritete in zaupnosti
- preglednost
- pravica do posredovanja informacij
- pravica do pritožbe
Kdor pozna Splošno uredbo o varstvu podatkov, bo že v pregledu 10 načel PIPEDA prepoznal številne vidike, ki jih najdemo tudi v EU GDPR. Kljub temu pa obstajajo razlike v podrobnostih , tudi in predvsem glede privolitve za zbiranje osebnih podatkov. Oglejmo si na hitro vsako od 10 točk:
1. Odgovornost
Načelo odgovornosti pomeni, da mora organizacija nad določeno velikostjo imenovati osebo, ki bo odgovorna za upravljanje zbranih in osebnih podatkov. Ta oseba se v GDPR imenuje pooblaščena oseba za varstvo podatkov – v Zakonu o varstvu osebnih podatkov in elektronskih dokumentov PIPEDA se imenuje pooblaščenec za zasebnost ali glavni uradnik za zasebnost (CPO) . V manjših podjetjih lahko pooblaščenec za zasebnost opravlja svojo vlogo tudi s krajšim delovnim časom . Njegova glavna naloga je razvoj, izvajanje in spremljanje postopkov , ki izpolnjujejo zahteve glede varstva podatkov po PIPEDA . Poleg tega mora pooblaščena oseba za varstvo podatkov sprejemati in odgovarjati na pritožbe glede zbiranja podatkov . Drugo pomembno področje je izobraževanje zaposlenih in sporočanje zahtev glede varstva podatkov za posamezna področja odgovornosti. Če je potrošnik dal soglasje za obdelavo podatkov s strani tretjih oseb, je pooblaščenec za zasebnost odgovoren za skladnost z zahtevami PIPEDA s strani tretjih oseb.
2. Omejitev namena
Zakaj želi podjetje shraniti osebne podatke stranke ? Namen mora biti potrošniku naveden najkasneje ob evidentiranju podatkov. Razkritje ustvarja preglednost, hkrati pa podjetju olajša izvajanje posebnega dostopa. Po mnenju PIPEDE je namen zbiranja podatkov sporočiti vsakemu zaposlenemu, ki pride v stik s strankami. Če na primer kupca pri nakupu na blagajni vprašamo za naslov ali telefonsko številko , mu je treba na zahtevo razložiti uporabo podatkovnih podatkov . Papirni obrazci in spletni obrazci, ki zbirajo osebne podatke strank, morajo jasno opisati tudi namen zbiranja. Zbranih osebnih podatkov ni dovoljeno uporabljati za nov namen brez izrecnega dovoljenja stranke. Izjema so zakonske zahteve, ki to zahtevajo.
3. Privolitev
Podjetje ne sme zbirati, uporabljati ali razkriti osebnih podatkov brez vednosti in privolitve stranke. Namera zbiranja podatkov o strankah mora biti jasno in nedvoumno sporočena. Če se osebni podatki zahtevajo v obliki, dvoumne formulacije zato niso dovoljene. Oseba ne bo prikrajšana, če noče posredovati informacij. Podjetja morajo zato svoje izdelke in storitve dati na voljo tudi potrošnikom, ki ne želijo posredovati podatkov, ki niso povezani z izdelkom ali storitvijo. Obstaja nekaj izjem: podjetje se lahko vzdrži dajanja soglasja, če obstajajo pravni ali zdravstveni razlogi, da tega ne stori. Za nekatere izdelke lahko veljajo tudi varnostni razlogi . In če se podatki zbirajo za organe pregona, se privolitev tudi odpove. Privolitvi se lahko odpove tudi v primerih, ko je oseba mladoletna, hudo bolna ali duševno prizadeta. Privolitev pa lahko poda tudi pooblaščeni zastopnik.
Glede na vrsto privolitve ločimo:
- izrecno
- implicitno
- onemogočiti
V mnogih primerih – kot je na primer spletna registracija – kot v evropski splošni uredbi o varstvu podatkov je tudi tukaj potrebna izrecna privolitev potrošnika. Odjava običajno ni na voljo. Na primer, kljukice ali gumbi ne smejo biti vnaprej dodeljeni za soglasje za piškotke PIPEDA – enakovredno predpisom o piškotkih v GDPR. Privolitve načeloma ni treba dati pisno – zadostuje ustna privolitev. Zadostuje na primer, če zainteresirana oseba po telefonu da soglasje za vključitev v glasilo. Vendar pa soglasje, dano po telefonu , podjetjem redno otežuje predložitev dokazov . V nekaterih primerih je privolitev mogoče pridobiti tudi neposredno iz dejanj potrošnika.
Potrošniki lahko kadar koli prekličejo svoje soglasje, ob upoštevanju pogodbenih in zakonskih omejitev ter rokov, o posledicah preklica privolitve pa mora podjetje obvestiti stranko.
4. Izogibanje podatkom in ekonomičnost podatkov
Načelo omejevanja zbiranja podatkov na količino podatkov, potrebnih za določen namen, je načelo, ki igra pomembno vlogo tudi v evropski GDPR. Osebni podatki, ki jih zbira podjetje, bi morali biti omejeni na tisto, kar je potrebno za dejanje v okviru poslovnega razmerja.
Po mnenju PIPEDA se je treba izogibati tudi zbiranju in shranjevanju nepotrebnih osebnih podatkov. Pošteno in zakonito ravnanje s podatki, ki se skriva za besedno zvezo »Poštena in zakonita sredstva«, je namenjena podatkovni suverenosti stranke in potrebi po preglednih procesih. Namen, za katerega se zbirajo določeni osebni podatki, ne sme biti zakrit s prevarami ali dvoumnimi izjavami.
5. Shranjevanje, uporaba in obdelava
Uporaba zabeleženih podatkov se lahko giblje le na hodniku, ki je stranki znan in za katerega je dal soglasje. Razkritje ali druga uporaba osebnih podatkov po kanadski splošni uredbi o varstvu podatkov PIPEDA ni dovoljena. Obdobja hrambe temeljijo na zahtevah podjetja in drugih zakonskih predpisih. Priporočeno minimalno obdobje hrambe za podjetja je eno leto. To obdobje daje podjetju dovolj zmogljivosti za preverjanje in izpolnjevanje zakonskih zahtev. Najdaljše obdobje hrambe določi in razkrije podjetje.
Neomejeno shranjevanje podatkov ni dovoljeno – potrošnik mora biti na zahtevo obveščen, kdaj bodo njegovi podatki trajno izbrisani. Po želji lahko podatke predčasno anonimiziramo in uničimo ob upoštevanju rokov. Poleg tega mora biti organizacija sposobna razkriti, kdo je prejel soglasje za obdelavo podatkov in v kakšnem obsegu.
6. Natančnost
Načelo točnosti zagotavlja, da so osebni podatki, ki jih zbira podjetje, pravilni, popolni in ažurni za namene, za katere se uporabljajo.
Upoštevati je treba, da se zbrani podatki uporabljajo v najboljšem interesu potrošnika.
Specifikacija pravilnosti v PIPEDA ni pomembna le za odnos med podjetji in kupci. Na primer, če organizacija zbira osebne podatke, da bi preverila profile kandidatov pred postopkom zaposlovanja, je treba zagotoviti, da napačna ali nepopolna evidenca ne bo povzročila neugodja za prijavitelje.
Posodabljanje osebnih podatkov
Samodejno in redno posodabljanje osebnih podatkov praviloma ni dovoljeno. Ta smernica v PIPEDA velja tudi za informacije, ki se posredujejo tretjim osebam.
7. Integriteta in zaupnost
Načelo celovitosti in zaupnosti pomeni, da je treba osebne podatke zaščititi pred izgubo ali krajo , nepooblaščenim dostopom, razkritjem, kopiranjem, spreminjanjem ali nepooblaščeno uporabo. To načelo velja ne glede na obliko, v kateri so podatki shranjeni.
Ustrezni zaščitni ukrepi
Trud je odvisen od velikosti podjetja. Malo podjetje, ki zbira e-poštne naslove strank za spletno glasilo, lahko e-poštne naslove shrani v preglednico. Če je tabela zaščitena z geslom in dodatno šifrirana do visoke stopnje, je mogoče predvideti ustrezno zaščito.
Velike organizacije pogosto upravljajo z občutljivimi osebnimi podatki v velikem obsegu – kljub vsej ekonomičnosti podatkov. Ta podjetja so tudi bolj verjetno tarče napadalcev, zato je treba tukaj sprejeti veliko močnejše varnostne ukrepe.
Vsi varnostni ukrepi bi morali zagotavljati nadpovprečno zaščito osebnih podatkov, ki jih je treba varovati, da se zagotovi visoka raven integritete.
Uničenje osebnih podatkov
Če je treba osebne podatke odstraniti ali uničiti, je mogoče izključiti obnovitev na podlagi človeške presoje in z uporabo visokih tehnoloških standardov za uničenje podatkov. To velja tako za fizično uničenje papirnatih dokumentov kot za uničenje baz podatkov na pomnilniških modulih.
8. Preglednost
Podjetje mora omogočiti enostavno dostopnost svojih politik in postopkov za ravnanje z osebnimi podatki. Stranke morajo zato imeti možnost dostopa do teh informacij brez zapletenih obvozov. Na odgovore na poizvedbe potrošnikov o varstvu podatkov je treba odgovoriti v razumnem času in čim bolj neposredno . Predložene informacije morajo biti oblikovane na splošno razumljiv način. Pravnemu žargonu se je treba izogibati.
Zahteve PIPEDA
Po mnenju PIPEDA mora organizacija na zahtevo zagotoviti te podatke:
- Ime ali naziv in naslov osebe, ki je odgovorna za politike in prakse organizacije in na katero se lahko naslovijo pritožbe ali poizvedbe.
- Načini dostopa do osebnih podatkov
- Vrsta zbranih osebnih podatkov, vključno z opisom njihove uporabe.
- Pisne informacije, ki pojasnjujejo pravilnike in standarde organizacije podjetja
9. Pravica do informacij
Podjetje mora osebi na zahtevo posredovati podatke o shranjenih osebnih podatkih in njihovi uporabi po avtentikaciji. Če stranka dvomi v pravilnost ali popolnost osebnih podatkov, lahko vztraja pri spremembi zabeleženih podatkov. To lahko pomeni popravljanje , brisanje ali dodajanje podatkov .
izjeme
Podatki o osebnih podatkih se lahko zavrnejo iz različnih razlogov. To je v primeru, ko so informacije predmet tajnosti odvetnika in stranke ali če bi bile razkrite zaupne poslovne informacije.
Zahteve za preverjanje pristnosti
Preden podjetje omogoči dostop do osebnih podatkov, mora zagotoviti, da komunicira s pravo osebo.
Nekatere organizacije to storijo tako, da zahtevajo osebni dokument, ki ga je izdal državni organ. Po potrebi je možno tudi preverjanje na podlagi podatkov o računu v kombinaciji z drugimi podatki, kot je dekliški priimek ali shranjeno geslo. Vendar stroge zahteve za preverjanje pristnosti ne smejo biti ovira za pravico do informacij.
Informacije – čas in stroški
Na zahteve po informacijah se odgovori v razumnem času in z minimalnimi stroški za posameznika ali brez njih. Najkasneje v 30 dneh po prejemu zahteve je treba nanjo odgovoriti. Če podjetje izjemoma potrebuje več časa za posredovanje informacij, mora osebi poslati vmesno odločbo in navesti verjeten razlog za zamudo.
10. Pravica do pritožbe
Pravica do pritožbe, ki je zasidrana v PIPEDA, omogoča strankam in potrošnikom, da v primeru kršitve točk DSVGO Canada ukrepajo proti podjetjem .
Podjetja morajo zagotoviti postopke za prejemanje in odgovarjanje na pritožbe in poizvedbe. Ti postopki morajo biti enostavni in enostavni za uporabo. Poleg tega so v skladu z GDPR Canada dolžna podjetja nadaljevati in preiskati pritožbe, tudi če menijo, da je pritožba neutemeljena . Če se izkaže, da je reklamacija utemeljena, je treba sprejeti ustrezne popravne ukrepe. Pooblaščena oseba za varstvo podatkov družbe je odgovorna za sprejemanje pritožb in začetek postopkov.
