PIPEDA – kanadské všeobecné nariadenie o ochrane údajov

V tomto článku vysvetľujeme všetko o kanadskom nariadení o ochrane údajov PIPEDA a pripravovanom nariadení CPPA. V nasledujúcom článku sa budeme podrobnejšie zaoberať súbormi cookie a súhlasom.

Čo je PIPEDA?

PIPEDA je skratka pre zákon o ochrane osobných údajov a elektronických dokumentov a odkazuje na nové kanadské všeobecné nariadenie o ochrane údajov. Novela spája dva predchádzajúce kanadské zákony o ochrane osobných údajov, Zákon o ochrane súkromia spotrebiteľov (CPPA) a Zákon o tribunáli pre ochranu osobných údajov a údajov (PIDPTA) do komplexného nariadenia ekvivalentného GDPR. Odkaz na európske všeobecné nariadenie o ochrane údajov je možné vidieť na mnohých miestach v PIPEDA, a preto sa často nazýva aj GDPR Kanada.

Podobne ako GDPR, kanadský zákon o ochrane údajov upravuje nakladanie s osobnými údajmi zhromaždenými a uloženými v priebehu komerčných aktivít. Zákon o ochrane osobných údajov a elektronických dokumentoch PIPEDA je preto dôležitý pre všetky spoločnosti , ktoré chcú osloviť spotrebiteľov v Kanade službami a produktmi – či už stacionárnymi alebo predajom na diaľku. Komerčné aktivity v zmysle PIPEDA sú všetky transakcie a akcie komerčného pôvodu alebo s komerčným zámerom.

PIPEDA sa vzťahuje na spoločnosti a organizácie, ktoré sú federálne regulované a podliehajú kanadskej legislatíve. Zákon o ochrane osobných údajov a elektronických dokumentoch sa vzťahuje aj na súkromný sektor každej provincie, pokiaľ provincia neprijala vlastný zákon o ochrane údajov, ktorý je vo všeobecnosti podobný zákonu o ochrane osobných údajov a elektronických dokumentoch PIPEDA. Iba Britská Kolumbia, Alberta a Quebec majú zákony o ochrane osobných údajov, ktoré sú vo všeobecnosti podobné zákonu o ochrane osobných údajov a elektronických dokumentoch PIPEDA. Ak má spoločnosť sídlo v Britskej Kolumbii, Alberte alebo Quebecu, na osobné údaje zhromaždené organizáciami, kde komerčné využitie informácií presahuje hranice danej provincie, sa vzťahuje zákon o ochrane osobných údajov a elektronických dokumentoch .

10 zásad ochrany osobných údajov v zákone o ochrane osobných údajov a elektronických dokumentoch PIPEDA

Podniky, ktoré musia dodržiavať nariadenia PIPEDA, by mali včas zvážiť zásady ochrany údajov tohto GDPR pre Kanadu . 10 bodov uvádza práva a povinnosti, ktoré musia organizácie dodržiavať pri uskutočňovaní obchodných transakcií s kanadskými spotrebiteľmi podľa GDPR pre Kanadu :

1. zodpovednosť
2. vyčleňovanie
3. súhlas
4. Vyhýbanie sa údajom a hospodárnosť údajov
5. Skladovanie, používanie a spracovanie
6. presnosť
7. bezúhonnosť a dôvernosť
8. transparentnosť
9. právo na poskytovanie informácií
10. právo na odvolanie

Každý, kto pozná Všeobecné nariadenie o ochrane údajov, už spozná mnohé aspekty v prehľade 10 princípov PIPEDA, ktoré možno nájsť aj v EÚ GDPR. Napriek tomu existujú rozdiely v detailoch , a to aj a najmä pokiaľ ide o súhlas so zhromažďovaním osobných údajov. Poďme sa rýchlo pozrieť na každý z 10 bodov:

1. Zodpovednosť

Zásada zodpovednosti znamená, že nad určitú veľkosť musí organizácia vymenovať osobu, ktorá bude zodpovedná za správu zhromaždených a osobných údajov. Táto osoba sa v GDPR nazýva úradník pre ochranu údajov – v zákone o ochrane osobných údajov a elektronických dokumentoch PIPEDA sa nazýva úradník pre ochranu osobných údajov alebo hlavný úradník pre ochranu osobných údajov (CPO) . V menších spoločnostiach môže úradník pre ochranu osobných údajov vykonávať svoju úlohu aj na čiastočný úväzok . Jeho hlavnou úlohou je vývoj, implementácia a monitorovanie postupov , ktoré spĺňajú požiadavky na ochranu údajov podľa PIPEDA . Okrem toho musí úradník pre ochranu údajov prijímať a odpovedať na sťažnosti týkajúce sa zhromažďovania údajov . Ďalšou dôležitou oblasťou je vzdelávanie zamestnancov a komunikácia požiadaviek na ochranu údajov relevantných pre jednotlivé oblasti zodpovednosti. Ak spotrebiteľ udelil súhlas so spracovaním údajov tretími stranami, zodpovedná osoba za ochranu osobných údajov je zodpovedná za dodržiavanie požiadaviek PIPEDA tretími stranami.

2. Obmedzenie účelu

Prečo chce spoločnosť uchovávať osobné údaje zákazníka ? Účel musí byť spotrebiteľovi uvedený najneskôr pri zaznamenávaní údajov. Zverejnenie vytvára transparentnosť, ale tiež uľahčuje spoločnosti implementáciu špecifického prístupu. Účelom zberu údajov je podľa PIPEDA komunikovať s každým zamestnancom, ktorý prichádza do kontaktu so zákazníkmi. Ak je napríklad zákazník pri nákupe pri pokladni požiadaný o adresu alebo telefónne číslo, je potrebné mu na požiadanie vysvetliť použitie údajov . Papierové formuláre a online formuláre, ktoré zhromažďujú osobné údaje od zákazníkov, musia tiež jasne popisovať účel zhromažďovania. Zhromaždené osobné údaje nemožno použiť na nový účel bez výslovného súhlasu zákazníka. Výnimkou sú zákonné požiadavky, ktoré to vyžadujú.

3. Súhlas

Spoločnosť nesmie zhromažďovať, používať alebo zverejňovať osobné údaje bez vedomia a súhlasu zákazníka. Zámer zhromažďovať údaje o zákazníkoch musí byť oznámený jasne a jednoznačne. Ak sú osobné údaje požadované vo forme, nejednoznačné formulácie nie sú povolené. Osoba nebude znevýhodnená, ak odmietne poskytnúť informácie. Spoločnosti preto musia svoje produkty a služby sprístupniť aj spotrebiteľom, ktorí nechcú poskytovať údaje, ktoré nesúvisia s produktom alebo službou. Existuje niekoľko výnimiek: Spoločnosť môže upustiť od udelenia súhlasu, ak na to existujú právne alebo zdravotné dôvody. Na niektoré produkty sa môžu vzťahovať aj bezpečnostné dôvody . A ak sa zhromažďujú informácie pre orgány činné v trestnom konaní, udeľuje sa aj súhlas. Súhlasu možno upustiť aj v prípadoch, ak ide o maloletú, ťažko chorú alebo mentálne postihnutú osobu. Súhlas však môže udeliť aj splnomocnený zástupca.

Pri type súhlasu sa rozlišuje:

• explicitné
• implicitne
• odhlásiť sa

V mnohých prípadoch – ako je online registrácia – ako v európskom všeobecnom nariadení o ochrane údajov, aj tu sa vyžaduje výslovný súhlas spotrebiteľa. Odhlásenie sa zvyčajne neposkytuje. Napríklad k PIPEDA súhlasu so súbormi cookie nesmú byť vopred priradené žiadne začiarknutia ani tlačidlá – ekvivalent k nariadeniam o súboroch cookie v GDPR. Súhlas v zásade nemusí byť udelený písomne – stačí ústny súhlas. Napríklad stačí, ak záujemca udelí súhlas so zaradením do newslettera telefonicky. Súhlas udelený telefonicky však spoločnosti pravidelne sťažuje poskytovanie dôkazov . V niektorých prípadoch možno súhlas odvodiť aj priamo z konania spotrebiteľa.

Spotrebitelia môžu svoj súhlas kedykoľvek odvolať pri dodržaní zmluvných a zákonných obmedzení a lehôt Spoločnosť musí zákazníka informovať o dôsledkoch odvolania súhlasu.

4. Vyhýbanie sa údajom a dátová ekonomika

Princíp obmedzenia zberu údajov na množstvo údajov požadovaných na určitý účel je zásadou, ktorá zohráva dôležitú úlohu aj v európskom GDPR. Osobné údaje, ktoré spoločnosť zhromažďuje, by mali byť obmedzené na to, čo je nevyhnutné pre konanie v rámci obchodného vzťahu.

Podľa PIPEDA je tiež potrebné vyhnúť sa zhromažďovaniu a uchovávaniu nepotrebných osobných údajov. Spravodlivé a zákonné nakladanie s údajmi, ktoré sa skrýva za slovným spojením „Spravodlivé a zákonné prostriedky“, smeruje k dátovej suverenite zákazníka a potrebe transparentných procesov. Účel, na ktorý sa majú zbierať určité osobné údaje, nesmie byť zastretý podvodom alebo nejednoznačnými vyhláseniami.

5. Uchovávanie, používanie a spracovanie

Využitie zaznamenaných údajov sa môže pohybovať len na chodbe, ktorá je zákazníkovi známa a na ktorú dal súhlas. Zverejnenie alebo iné použitie osobných údajov nie je povolené podľa kanadského všeobecného nariadenia o ochrane údajov PIPEDA. Doby uchovávania vychádzajú z požiadaviek spoločnosti a iných právnych predpisov. Odporúčaná minimálna doba uchovávania pre spoločnosti je jeden rok. Táto lehota ponecháva spoločnosti dostatočné kapacity na kontrolu a dodržiavanie zákonných požiadaviek. Maximálnu dobu uchovávania určí a zverejní spoločnosť.

Neobmedzené ukladanie údajov nie je povolené – spotrebiteľ musí byť na požiadanie informovaný, kedy budú jeho údaje natrvalo vymazané. Ak je to potrebné, údaje môžu byť anonymizované a zničené vopred, berúc do úvahy termíny. Okrem toho musí byť organizácia schopná zverejniť, kto a v akom rozsahu dostal súhlas so spracovaním údajov.

6. Presnosť

Zásada presnosti zabezpečuje, že osobné údaje zhromaždené spoločnosťou sú správne, úplné a aktuálne na účely, na ktoré sa používajú.

Treba mať na pamäti, že zozbierané údaje sa majú použiť v najlepšom záujme spotrebiteľa.

Špecifikácia správnosti v PIPEDA nie je dôležitá len pre vzťah medzi firmami a zákazníkmi. Napríklad, ak organizácia zhromažďuje osobné údaje, aby skontrolovala profily uchádzačov pred výberovým konaním, musí sa zabezpečiť, aby nesprávne alebo neúplné zaznamenanie neviedlo k nevýhodám pre uchádzačov.

Aktualizácia osobných údajov

Automatická a pravidelná aktualizácia osobných údajov nie je vo všeobecnosti povolená. Toto usmernenie v PIPEDA sa vzťahuje aj na informácie, ktoré sa odovzdávajú tretím stranám.

7. Bezúhonnosť a dôvernosť

Zásada integrity a dôvernosti znamená, že osobné údaje musia byť chránené pred stratou alebo krádežou , neoprávneným prístupom, zverejnením, kopírovaním, pozmenením alebo neoprávneným použitím. Tento princíp platí bez ohľadu na formát, v ktorom sú údaje uložené.

Vhodné ochranné opatrenia

Snaha závisí od veľkosti spoločnosti. Malý podnik, ktorý zhromažďuje e-mailové adresy zákazníkov pre online bulletin, môže tieto e-mailové adresy uložiť do tabuľky. Ak je tabuľka chránená heslom a navyše vo vysokej miere zašifrovaná, možno predpokladať adekvátnu ochranu.

Veľké organizácie často vo veľkom spravujú citlivé osobné údaje – napriek všetkej dátovej ekonomike. Tieto spoločnosti sa tiež s väčšou pravdepodobnosťou stanú terčom útočníkov, preto je tu potrebné prijať oveľa prísnejšie bezpečnostné opatrenia.

Všetky bezpečnostné opatrenia by mali poskytovať nadpriemernú ochranu osobných údajov, ktoré sa majú chrániť, aby sa zabezpečila vysoká úroveň integrity.

Zničenie osobných údajov

Ak sa majú osobné údaje zlikvidovať alebo zničiť, obnovenie na základe ľudského úsudku a použitím vysokých technologických štandardov na zničenie údajov možno vylúčiť. Týka sa to tak fyzického zničenia papierových dokumentov, ako aj zničenia databáz na pamäťových moduloch.

8. Transparentnosť

Spoločnosť musí sprístupniť svoje zásady a postupy nakladania s osobnými údajmi. Zákazníci sa preto musia k týmto informáciám dostať bez zložitých obchádzok. Odpovede na otázky spotrebiteľov týkajúce sa ochrany údajov musia byť zodpovedané v primeranom čase a čo možno najpriamejšie . Poskytnuté informácie musia byť formulované spôsobom, ktorý je všeobecne zrozumiteľný. Právnemu žargónu sa treba vyhnúť.

Požiadavky od PIPEDA

Podľa PIPEDA musí organizácia poskytnúť tieto údaje na požiadanie:

• Meno alebo titul a adresa osoby zodpovednej za zásady a postupy organizácie a na ktorú sa možno obrátiť so sťažnosťami alebo otázkami.
• Spôsoby prístupu k osobným údajom
• Typ zhromažďovaných osobných údajov vrátane popisu ich použitia.
• Písomné informácie, ktoré vysvetľujú zásady a štandardy organizácie spoločnosti

9. Právo na informácie

Spoločnosť musí na požiadanie poskytnúť osobe informácie o uložených osobných údajoch a ich použití po overení totožnosti. Ak má zákazník pochybnosti o správnosti alebo úplnosti osobných údajov, môže trvať na zmene zaznamenaných údajov. To môže znamenať opravu , vymazanie alebo doplnenie údajov .

výnimky

Informácie o osobných údajoch môžu byť odmietnuté z rôznych dôvodov. Ide o prípad, keď sa na informácie vzťahuje privilégium medzi advokátom a klientom, alebo ak by boli zverejnené dôverné obchodné informácie.

Požiadavky na overenie

Pred udelením prístupu k osobným údajom sa spoločnosť musí uistiť, že komunikuje so správnou osobou.

Niektoré organizácie to robia tak, že žiadajú o vládou vydaný preukaz totožnosti. V prípade potreby je možné overenie na základe informácií o účte v kombinácii s inými informáciami, ako je rodné priezvisko alebo uložené heslo. Prísne požiadavky na autentifikáciu však nesmú predstavovať prekážku práva na informácie.

Informácie – čas a náklady

Na žiadosti o informácie sa odpovedá v primeranom čase a za minimálne alebo žiadne náklady pre jednotlivca. Žiadosť musí byť zodpovedaná najneskôr do 30 dní od prijatia žiadosti. Ak spoločnosť výnimočne potrebuje na poskytnutie informácií viac času, musí danej osobe zaslať predbežné rozhodnutie a uviesť vierohodný dôvod omeškania.

10. Právo na sťažnosť

Právo na odvolanie zakotvené v PIPEDA umožňuje zákazníkom a spotrebiteľom podniknúť cielené kroky proti spoločnostiam v prípade porušenia bodov GDPR Kanada.

Podniky musia poskytnúť postupy na prijímanie a odpovedanie na sťažnosti a otázky. Tieto postupy by mali byť jednoduché a ľahko použiteľné. Okrem toho, podľa GDPR Canada sú spoločnosti povinné sledovať a prešetrovať sťažnosti, aj keď sa domnievajú, že sťažnosť sa zdá byť neopodstatnená . Ak sa reklamácia ukáže ako oprávnená, je potrebné prijať primerané nápravné opatrenia. Za prijímanie sťažností a začatie postupov je zodpovedný pracovník spoločnosti pre ochranu údajov.