Apa itu PIPEDA? Semua yang Perlu Anda Ketahui untuk Kepatuhan

Diterbitkan: 2022-06-28

Privasi data dapat membuat atau menghancurkan bisnis Anda.

Banyak kepatuhan dan standar penting telah dikembangkan untuk memberi konsumen kendali atas data mereka dan melindungi privasi. Saat berurusan dengan data konsumen secara luas, penting untuk memahami berbagai peraturan, termasuk penambahan terbaru pada pemblokiran, PIPEDA, pihak yang terkena dampak, dan sanksi atas ketidakpatuhan.

Berikut adalah penjelasan lebih dalam tentang PIPEDA, bagaimana PIPEDA dibandingkan dengan standar privasi HIPAA dan GDPR, dan bagaimana organisasi dapat mempertahankan kepatuhan PIPEDA.

Apa itu PIPEDA?

Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik (PIPEDA) adalah undang-undang Kanada yang menerima Persetujuan Kerajaan pada 13 April 2000, dan mulai berlaku secara bertahap, mulai 1 Januari 2001. Undang-undang tersebut sepenuhnya berlaku pada 1 Januari 2004.

PIPEDA memungkinkan bisnis Kanada untuk bersaing dalam ekonomi digital global sambil mengurangi kekhawatiran tentang privasi konsumen. Undang-undang tersebut harus ditinjau setiap lima tahun untuk memastikan undang-undang dan hasil yang efektif seperti melindungi informasi pribadi.

Informasi pribadi adalah informasi subjektif atau faktual tentang individu yang dapat diidentifikasi. Ini mengandung unsur-unsur seperti:

  • Informasi kesehatan pribadi (PHI)
  • Detail dan file pekerjaan
  • Catatan kredit dan pinjaman
  • Informasi subjektif seperti evaluasi dan tindakan disipliner
  • Pengidentifikasi langsung seperti nama, usia, dan nomor ID

Apa tujuan dari PIPEDA?

Peraturan privasi PIPEDA mengatur aturan dasar bagi perusahaan yang tunduk pada hukum untuk menangani informasi pribadi saat melakukan aktivitas komersial. Kantor Komisaris Privasi Kanada mengawasi kepatuhan PIPEDA. Tugas OPC termasuk membantu bisnis mengoptimalkan cara mereka menangani informasi pribadi dan menyelidiki keluhan privasi dari warga negara Kanada.

Apa yang mempengaruhi perkembangan PIPEDA?

Hukum diusulkan dan disetujui karena suatu alasan. Dalam banyak kasus, tujuannya adalah untuk memperbaiki kekurangan atau kekhilafan dalam undang-undang yang ada.

Dalam hal ini, dorongan untuk PIPEDA adalah kekhawatiran yang berkembang tentang bagaimana perusahaan menangani data pribadi yang ditransmisikan secara elektronik karena semakin banyak pelanggan beralih ke solusi e-commerce. Dengan menetapkan aturan tentang cara organisasi komersial mengelola data pribadi, PIPEDA berupaya melindungi hak konsumen terkait penggunaan data mereka.

Berikut adalah beberapa ketentuan utama PIPEDA:

  • Undang-undang tersebut berusaha untuk menyeimbangkan hak individu atas privasi informasi pribadi mereka dengan kebutuhan organisasi untuk mengumpulkan dan menangani informasi saat menjalankan bisnis.
  • Di bawah PIPEDA, warga Kanada memiliki hak untuk mengetahui mengapa suatu organisasi mengumpulkan, menggunakan, atau mengungkapkan informasi pribadi mereka. Konsumen dapat meninjau data yang dikumpulkan dan melakukan koreksi untuk mengatasi ketidakakuratan.
  • Bisnis harus mendapatkan persetujuan untuk mengumpulkan, menggunakan, atau mengungkapkan informasi pribadi. Persyaratan ini ditangguhkan ketika data memfasilitasi penyelidikan atau dalam keadaan darurat di mana kerahasiaan akan membahayakan keselamatan publik.
  • PIPEDA memberikan hak kepada individu untuk mengeluh kepada Komisaris Privasi tentang bagaimana organisasi menangani informasi pribadi mereka. Komisaris Privasi memeriksa dan menyelesaikan keluhan.
  • Komisaris Privasi dapat memberikan informasi kepada publik atau merujuk masalah tersebut ke Pengadilan Federal Kanada, yang dapat memaksa organisasi untuk menghentikan praktik tertentu dan memberikan ganti rugi kepada individu yang terkena dampak.
  • PIPEDA berisi seperangkat prinsip informasi yang adil berdasarkan undang-undang perlindungan data internasional dan Kode Privasi Model Asosiasi Standar Kanada untuk Perlindungan Informasi Pribadi. Kode ini dikembangkan bersama oleh perusahaan, asosiasi konsumen, pemerintah, dan organisasi lain yang peduli dengan standar privasi.

10 prinsip informasi yang adil PIPEDA

Inti dari PIPEDA adalah 10 prinsip informasi yang adil, yang harus dipatuhi oleh entitas yang tunduk pada hukum dan terlibat dalam pemrosesan data pribadi. Mari kita lihat lebih dekat prinsip-prinsip ini.

Untuk mematuhi PIPEDA, organisasi harus mematuhi setiap prinsip informasi yang adil berikut ini.

  1. Akuntabilitas: Bisnis perlu menunjuk setidaknya satu orang untuk tetap mematuhi PIPEDA. Orang ini harus memenuhi syarat dan menerima dukungan manajemen untuk memenuhi peran mereka. Kebijakan privasi yang mudah dipahami yang menguraikan prinsip-prinsip informasi yang adil harus dikembangkan dan dibagikan dengan semua pemangku kepentingan yang relevan.
  2. Mengidentifikasi tujuan: Bisnis harus menyatakan alasan untuk mengumpulkan jenis data tertentu. Persyaratan ini membahas tiga masalah privasi: Memverifikasi bahwa individu mengetahui mengapa data mereka dikumpulkan; memperingatkan perusahaan sehingga mereka dapat mengambil tindakan untuk mencegah penggunaan data yang tidak semestinya; mengamanatkan perusahaan untuk mendapatkan persetujuan individu baru jika mereka ingin menggunakan data mereka untuk tujuan baru
  3. Persetujuan: Perusahaan yang tunduk pada pedoman PIPEDA perlu mendapatkan persetujuan konsumen tersirat atau tersurat yang berarti. Subyek tidak dapat dipaksa untuk memberikan persetujuan dan harus memahami implikasi dari memberikannya kepada pengumpul data.
  4. Membatasi pengumpulan: Organisasi hanya dapat mengumpulkan informasi yang diperlukan dan konsisten dengan tujuan yang mereka minta persetujuannya.
  5. Membatasi penggunaan, pengungkapan, dan penyimpanan: Bisnis perlu membuat kebijakan yang memastikan informasi pelanggan hanya digunakan untuk alasan yang telah memperoleh persetujuan. Data hanya boleh disimpan selama diperlukan untuk mencapai tujuan yang dinyatakan oleh pengumpul data tetapi harus disimpan cukup lama bagi konsumen untuk mempertanyakan informasi tersebut.
  6. Ketepatan:   Bisnis harus menjamin bahwa semua informasi pribadi yang dikumpulkan akurat, lengkap, dan diperbarui seperlunya untuk tujuan yang dinyatakan.
  7. Perlindungan: Ini mungkin prinsip PIPEDA yang paling penting dan berhubungan langsung dengan perlindungan informasi pribadi yang dikumpulkan. Organisasi harus melindungi data yang dikumpulkan dari pelanggaran , perubahan pencurian, penyalinan, dan akses tidak sah. Tingkat perlindungan data pribadi harus sesuai dengan sensitivitasnya.
  8. Keterbukaan: Bisnis harus memberi tahu pengguna bagaimana data mereka dikumpulkan, diproses, dibagikan, dan disimpan. Nama dan informasi kontak orang yang ditunjuk dalam prinsip akuntabilitas harus tersedia, dan pengguna harus diberitahu tentang cara mengakses data yang dikumpulkan.
  9. Akses individu: Perusahaan harus menanggapi permintaan tertulis untuk data pribadi dengan memberikan informasi kepada pemohon tentang jenis data yang dikumpulkan dan penggunaan serta pengungkapannya dalam waktu 30 hari. Konsumen harus dapat menentukan apakah data yang dikumpulkan akurat dan melakukan koreksi yang diperlukan.
  10. Menantang kepatuhan: Organisasi harus mengembangkan prosedur untuk menerima, menyelidiki, dan menyelesaikan keluhan ketidakpatuhan dan pelanggaran. Jika keluhan dibenarkan, kebijakan yang terkait dengan data pribadi mungkin perlu diubah. Pelapor harus diberitahu tentang keluhan mereka dan langkah-langkah yang dapat mereka ambil jika mereka tidak puas dengan tanggapannya.

Kepada siapa PIPEDA berlaku?

Tidak semua organisasi yang beroperasi di Kanada tunduk pada PIPEDA. Peraturan tersebut berlaku untuk:

  • Setiap organisasi sektor swasta di Kanada yang mengumpulkan, menggunakan, atau mengungkapkan informasi pribadi saat terlibat dalam aktivitas komersial
  • Organisasi yang diatur secara federal seperti bank, perusahaan telekomunikasi, dan perusahaan transportasi internasional
  • Perusahaan Kanada mentransfer data melintasi batas provinsi dan nasional

Organisasi yang dikecualikan dari PIPEDA:

  • Grup amal
  • Partai-partai politik
  • Organisasi nirlaba
  • Organisasi pemerintah federal yang terdaftar di bawah Privacy Act
  • Organisasi yang mengumpulkan, menggunakan, atau mengungkapkan informasi pribadi untuk tujuan jurnalistik, artistik, atau sastra
  • Entitas di Quebec, British Columbia, dan Alberta tunduk pada undang-undang privasi sektor swasta provinsi yang serupa

Bagaimana PIPEDA melindungi informasi pribadi?

PIPEDA menetapkan tiga jenis perlindungan untuk memastikan keamanan data pribadi.

  1. Fisik: Pengamanan fisik yang dilakukan oleh organisasi harus mencegah personel yang tidak berwenang melihat data rahasia. Tindakan dapat mencakup kamera pengintai, mengunci kantor, dan melakukan aktivitas TI di pusat data internal atau eksternal yang aman.
  2. Organisasi: Pengamanan ini mengacu pada kebijakan dan prosedur organisasi untuk melindungi informasi pribadi. Melatih tenaga kerja untuk menciptakan budaya perusahaan yang menekankan privasi adalah komponen standar perlindungan organisasi. Karyawan yang bertanggung jawab untuk menangani data sensitif harus menjalani izin keamanan, dan semua kasus akses tidak sah oleh aktor internal harus diselidiki.
  3. Teknis: Banyak tindakan teknis yang dapat diambil untuk melindungi data organisasi. Perlindungan kritis termasuk mengenkripsi data, mengelola dan mencatat aktivitas pengguna, dan menerapkan firewall yang kuat untuk menjaga pengguna yang tidak sah dari jaringan dan sistem yang berisi informasi sensitif.

Konsumen dalam lingkup perlindungan PIPEDA memiliki hak dan harapan berikut tentang penggunaan data mereka.

  • Konsumen memiliki hak untuk melihat apa yang telah dikumpulkan tentang mereka dan memperbaiki kesalahan apa pun.
  • Mereka mungkin menolak permintaan informasi yang berlebihan atau tidak perlu.
  • Semua konsumen harus mengharapkan bahwa data mereka akan digunakan dengan tepat dan untuk tujuan tertentu yang memberikan persetujuan.
  • Warga memiliki hak untuk mengadu jika mereka mencurigai hak privasi mereka telah dilanggar.

Menanggapi pelanggaran data

Organisasi yang tunduk pada standar PIPEDA perlu melaporkan pelanggaran data ke OPC jika insiden tersebut menimbulkan risiko bahaya serius (RROSH) nyata bagi satu atau lebih konsumen.

Faktor-faktor yang mempengaruhi keputusan tentang tingkat kerusakan termasuk sensitivitas informasi yang terpengaruh oleh pelanggaran dan kemungkinan bahwa pelaku jahat akan menyalahgunakannya. Bisnis harus menyimpan catatan semua pelanggaran data, apakah itu merupakan RROSH. Catatan ini harus disimpan setidaknya selama dua tahun.

Hukuman untuk ketidakpatuhan

Ketidakpatuhan dapat mengakibatkan dua jenis hukuman.

  • Sanksi finansial: Berdasarkan amandemen PIPEDA 2018, denda dapat dikenakan karena dengan sengaja melanggar keamanan. Denda hingga CAD$ 100.000 dapat dikenakan untuk setiap pelanggaran.
  • Publisitas yang merugikan: Mempengaruhi perusahaan yang tidak memiliki perlindungan yang memadai. Ini mengikis kepercayaan pelanggan, berpotensi berdampak pada tujuan bisnis perusahaan.

PIPEDA vs. HIPAA vs. GDPR

Kanada, Amerika Serikat, dan Uni Eropa (UE) telah memberlakukan undang-undang yang menangani kekhawatiran warga tentang penggunaan informasi pribadi mereka. Meskipun semua undang-undang ini berfokus pada perlindungan informasi pribadi pribadi, perlindungan khusus yang diberikan dan cara penegakannya sangat bervariasi.

Berikut perbandingan cepat antara PIPEDA, Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan AS tahun 1996 (HIPAA), dan Peraturan Perlindungan Data Umum (GDPR) UE.

Kesamaan dalam peraturan privasi ini

Ketiga peraturan privasi melindungi informasi pribadi yang sensitif.

  • PIPEDA melindungi berbagai data pribadi, termasuk informasi kesehatan, data keuangan, dan pengenal langsung.
  • HIPAA berfokus pada informasi kesehatan yang dilindungi individu (PHI).
  • GDPR melindungi data yang dapat digunakan secara langsung atau tidak langsung untuk mengidentifikasi orang yang masih hidup. Ini termasuk elemen nyata seperti nama, alamat, alamat IP, dan data cookie, yang dapat dianggap sebagai data pribadi. GDPR juga melindungi informasi tentang ras, keyakinan agama, dan hal-hal lain yang tidak tercakup oleh PIPEDA atau HIPAA.

Ketiga standar privasi mengharuskan organisasi untuk menerapkan perlindungan untuk melindungi data pribadi yang dikumpulkan.

  • PIPEDA mendorong organisasi untuk menerapkan pengamanan teknis, fisik, dan organisasi, seperti yang dibahas sebelumnya dalam artikel ini.
  • Peraturan HIPAA mensyaratkan pengamanan administratif, teknis, dan fisik yang serupa saat melindungi PHI.
  • Standar GDPR mencakup penerapan langkah-langkah teknis dan organisasi untuk melindungi data pribadi. Pengamanan tersebut mencakup penekanan pada pembatasan akses fisik yang tidak sah ke data sensitif.

Perbedaan dalam inisiatif regulasi ini

Ada perbedaan substansial antara ketiga standar privasi data ini. Denda terstruktur secara berbeda karena melanggar setiap standar peraturan.

  • PIPEDA: Hingga 100.000 dolar Kanada per pelanggaran
  • HIPAA: Denda dikenakan sesuai dengan tingkat keparahan pelanggaran dengan batas maksimal $1.500.000 per tahun untuk kelalaian yang paling parah.
  • GDPR: Pelanggar dapat didenda hingga 4% dari pendapatan global tahunan perusahaan atau €20 juta, mana yang lebih besar.

Hak-hak individu bervariasi tergantung pada pedoman apa yang dimainkan.

  • PIPEDA: Konsumen berhak untuk melihat dan mengoreksi data yang dikumpulkan tentang mereka.
  • HIPAA: Pasien memiliki hak untuk melihat PHI yang dikumpulkan dan disimpan oleh organisasi.
  • GDPR: Individu dapat melihat data mereka dan memintanya untuk dihapus dari database organisasi.

Apa yang dimaksud dengan kepatuhan PIPEDA?

Kepatuhan PIPEDA adalah seperangkat aturan dan peraturan privasi federal Kanada bagi bisnis untuk memenuhi standar privasi. Agar sesuai dengan PIPEDA, organisasi komersial perlu memahami apa yang dimaksud dengan undang-undang dan mengikuti pedomannya. Kegagalan untuk mematuhi dapat mengakibatkan denda dan kepercayaan konsumen berkurang.

Mengapa kepatuhan PIPEDA penting?

Maraknya e-commerce dan media sosial telah memperkuat kepatuhan terhadap peraturan privasi data, termasuk PIPEDA. Kepatuhan terhadap peraturan sangat penting bagi bisnis dan pelanggannya karena berbagai alasan.

  • Data pribadi pelanggan yang sensitif perlu dilindungi dari penyalahgunaan atau akses oleh pelaku yang tidak sah dan berpotensi jahat.
  • Kegagalan untuk mematuhi standar peraturan seperti PIPEDA dapat mengakibatkan denda yang signifikan.

Bisnis yang gagal mematuhi peraturan perlindungan data dapat kehilangan kepercayaan pelanggan dan reputasi perusahaan yang mungkin tidak akan pernah dipulihkan.

Cara mendapatkan kepatuhan PIPEDA

Untuk menjaga kepatuhan terhadap PIPEDA, organisasi harus menerapkan pengamanan untuk melindungi informasi pribadi individu. Perusahaan yang diwajibkan untuk mematuhi PIPEDA memiliki dua opsi utama yang tersedia.

Kepatuhan internal versus kepatuhan yang dibantu vendor

Organisasi dapat memilih untuk menerapkan infrastruktur yang diperlukan dan sistem yang sesuai menggunakan sumber daya internal atau beralih ke perangkat lunak kepatuhan cloud pihak ketiga yang berpengalaman . Setiap pendekatan memiliki kelebihan dan kekurangan.

Menggunakan sumber daya internal

  • Perusahaan yang membangun infrastruktur yang sesuai dengan menggunakan sumber daya internal dapat melakukan kontrol lebih besar atas data sensitif yang mereka kumpulkan dan proses.
  • Biaya modal bisa tinggi saat membeli perangkat keras baru untuk membangun lingkungan.
  • Organisasi dengan departemen TI yang terbatas mungkin tidak memiliki keahlian atau siklus bebas yang diperlukan untuk menerapkan dan memelihara lingkungan yang sesuai dengan PIPEDA.

Melibatkan mitra cloud pihak ketiga

  • Biaya modal berkurang karena cloud hosting menyediakan infrastruktur komputasi.
  • Keahlian penyedia terkemuka mengurangi potensi pelanggaran data atau pelanggaran tindakan pencegahan keamanan yang diuraikan dalam PIPEDA.
  • Bisnis dapat dengan cepat meningkatkan atau menurunkan skala menggunakan sumber daya cloud untuk memenuhi permintaan pelanggan yang berfluktuasi atau musiman.

Awasi kepatuhan Anda

Kepatuhan PIPEDA tidak boleh diabaikan. Sementara hukuman finansial secara signifikan mempengaruhi laba perusahaan, efek yang kurang nyata bisa jauh lebih mahal. Mungkin tidak mungkin untuk memulihkan kepercayaan pelanggan jika pelanggaran data membahayakan data pribadi.

Bisnis yang harus mematuhi PIPEDA dapat secara signifikan mengurangi stres dan kerumitan dalam menjaga kepatuhan dengan bekerja sama dengan penyedia hosting web yang bereputasi baik. Penyedia yang tepat dapat menawarkan infrastruktur yang sesuai dengan standar PIPEDA, yang memungkinkan perusahaan untuk fokus pada tujuan bisnis intinya, memastikan bahwa ia memenuhi semua persyaratan peraturan.

Penasaran seperti apa masa depan data pelanggan online? Pelajari apa yang diharapkan dengan masa depan tanpa cookie yang akan datang.