Co to jest PIPEDA? Wszystko, co musisz wiedzieć, aby zachować zgodność

Opublikowany: 2022-06-28

Prywatność danych może przyczynić się do rozwoju lub zepsucia Twojej firmy.

Opracowano wiele ważnych zgodności i standardów, aby zapewnić konsumentom kontrolę nad ich danymi i chronić prywatność. Kiedy mamy do czynienia z danymi konsumentów na dużą skalę, ważne jest zrozumienie różnych przepisów, w tym najnowszego dodatku do bloku, PIPEDA, stron zainteresowanych i kar za nieprzestrzeganie.

Oto głębsze zagłębienie się w PIPEDA, w porównaniu ze standardami prywatności HIPAA i RODO oraz w jaki sposób organizacje mogą zachować zgodność z PIPEDA.

Co to jest PIPEDA?

Ustawa o ochronie danych osobowych i dokumentach elektronicznych (PIPEDA) to kanadyjskie prawo, które otrzymało zgodę królewską 13 kwietnia 2000 r. i weszło w życie etapami, począwszy od 1 stycznia 2001 r. Ustawa została w pełni uchwalona 1 stycznia 2004 r.

PIPEDA umożliwia kanadyjskim firmom konkurowanie w globalnej gospodarce cyfrowej, jednocześnie łagodząc obawy dotyczące prywatności konsumentów. Prawo musi być poddawane przeglądowi co pięć lat, aby zapewnić skuteczne ustawodawstwo i wyniki, takie jak ochrona danych osobowych.

Dane osobowe to wszelkie subiektywne lub faktyczne informacje dotyczące możliwej do zidentyfikowania osoby. Zawiera elementy takie jak:

  • Osobiste informacje zdrowotne (PHI)
  • Dane i akta zatrudnienia
  • Dokumentacja kredytowa i pożyczkowa
  • Informacje subiektywne, takie jak oceny i działania dyscyplinarne
  • Bezpośrednie identyfikatory, takie jak imię i nazwisko, wiek i numery identyfikacyjne

Jaki jest cel PIPEDA?

Przepisy dotyczące prywatności PIPEDA określają podstawowe zasady obowiązujące firmy podlegające prawu w zakresie postępowania z danymi osobowymi podczas prowadzenia działalności handlowej. Biuro Komisarza ds. Prywatności Kanady nadzoruje zgodność z PIPEDA. Do obowiązków OPC należy pomaganie firmom w optymalizacji sposobu postępowania z danymi osobowymi oraz badanie skarg dotyczących prywatności składanych przez obywateli Kanady.

Co wpłynęło na rozwój PIPEDY?

Ustawy są proponowane i zatwierdzane z jakiegoś powodu. W wielu przypadkach celem jest zaradzenie niedociągnięciom lub niedopatrzeniom w istniejącym prawodawstwie.

W tym przypadku impulsem dla PIPEDA była rosnąca obawa o to, jak firmy przetwarzają dane osobowe przesyłane drogą elektroniczną, ponieważ coraz więcej klientów zwraca się do rozwiązań e-commerce. Ustanawiając zasady, w jaki sposób organizacje komercyjne zarządzają danymi osobowymi, PIPEDA dąży do ochrony praw konsumentów związanych z wykorzystaniem ich danych.

Oto kilka kluczowych przepisów PIPEDA:

  • Ustawa ma na celu zrównoważenie prawa jednostki do prywatności jej danych osobowych z potrzebami organizacji w zakresie gromadzenia i przetwarzania informacji podczas prowadzenia działalności.
  • W ramach PIPEDA Kanadyjczycy mają prawo wiedzieć, dlaczego organizacja zbiera, wykorzystuje lub ujawnia ich dane osobowe. Konsumenci mogą przeglądać zebrane dane i wprowadzać poprawki w celu usunięcia nieścisłości.
  • Firmy muszą uzyskać zgodę na zbieranie, wykorzystywanie lub ujawnianie danych osobowych. Wymóg ten zostaje zawieszony, gdy dane ułatwiają dochodzenie lub w sytuacji nadzwyczajnej, gdy nieujawnienie mogłoby zagrozić bezpieczeństwu publicznemu.
  • PIPEDA przyznaje osobom fizycznym prawo do złożenia skargi do Komisarza ds. Prywatności na sposób, w jaki organizacje traktują ich dane osobowe. Komisarz ds. Prywatności bada i rozpatruje skargi.
  • Komisarz ds. Prywatności może udostępnić informacje opinii publicznej lub skierować sprawę do Sądu Federalnego Kanady, co może zmusić organizację do zaprzestania określonej praktyki i przyznania odszkodowania osobom, których to dotyczy.
  • PIPEDA zawiera zestaw uczciwych zasad informacyjnych opartych na międzynarodowych przepisach dotyczących ochrony danych oraz Modelowym Kodeksie Ochrony Danych Osobowych opracowanym przez Canadian Standards Association. Kodeks ten został opracowany wspólnie przez firmy, stowarzyszenia konsumenckie, rząd i inne organizacje zajmujące się standardami prywatności.

10 zasad rzetelnej informacji PIPEDA

U podstaw PIPEDY leży 10 zasad rzetelnej informacji, których muszą przestrzegać podmioty prawa i zaangażowane w przetwarzanie danych osobowych. Przyjrzyjmy się bliżej tym zasadom.

Aby zachować zgodność z PIPEDA, organizacje muszą przestrzegać każdej z poniższych zasad rzetelnej informacji.

  1. Odpowiedzialność: Firmy muszą wyznaczyć co najmniej jedną osobę, aby zachować zgodność z PIPEDA. Osoba ta powinna być wykwalifikowana i otrzymywać wsparcie kierownictwa, aby wypełniać swoją rolę. Należy opracować łatwą do zrozumienia politykę prywatności określającą zasady uczciwej informacji i udostępnić ją wszystkim zainteresowanym stronom.
  2. Identyfikacja celów: przedsiębiorstwa muszą podać powody gromadzenia określonego rodzaju danych. Wymóg ten dotyczy trzech kwestii związanych z prywatnością: Weryfikacja, czy osoby fizyczne są świadome, dlaczego ich dane są gromadzone; ostrzeganie firm, aby mogły podjąć działania zapobiegające niewłaściwemu wykorzystaniu danych; nakazanie firmom uzyskania nowej indywidualnej zgody, jeśli chcą wykorzystać swoje dane do nowego celu;
  3. Zgoda: Firmy podlegające wytycznym PIPEDA muszą uzyskać znaczącą, dorozumianą lub wyraźną zgodę konsumenta. Podmioty nie mogą być zmuszane do wyrażenia zgody i muszą rozumieć konsekwencje przekazania jej podmiotowi gromadzącemu dane.
  4. Ograniczanie gromadzenia: Organizacje mogą gromadzić tylko informacje niezbędne i zgodne z celami, w których ubiegają się o zgodę.
  5. Ograniczenie wykorzystania, ujawniania i przechowywania: firmy muszą tworzyć zasady, które zapewniają, że informacje o klientach są wykorzystywane tylko z powodów, dla których uzyskano zgodę. Dane powinny być zatrzymywane tylko tak długo, jak jest to konieczne do osiągnięcia celu określonego przez podmiot gromadzący dane, ale muszą być zatrzymywane wystarczająco długo, aby konsumenci mogli zakwestionować informacje.
  6. Precyzja:   Firmy muszą zagwarantować, że wszystkie zebrane dane osobowe są dokładne, kompletne i aktualizowane zgodnie z potrzebami dla określonego celu.
  7. Zabezpieczenia: Jest to prawdopodobnie najważniejsza zasada PIPEDA i dotyczy bezpośrednio ochrony zebranych danych osobowych. Organizacje muszą chronić zebrane dane przed naruszeniem , kradzieżą, modyfikacją, kopiowaniem i nieautoryzowanym dostępem. Poziom ochrony danych osobowych powinien odpowiadać ich wrażliwości.
  8. Otwartość: Firmy muszą informować użytkowników, w jaki sposób ich dane są gromadzone, przetwarzane, udostępniane i przechowywane. Nazwisko i dane kontaktowe osoby wskazanej w zasadzie rozliczalności muszą być udostępnione, a użytkownicy muszą być poinformowani o sposobie dostępu do zgromadzonych danych.
  9. Dostęp indywidualny: Firma musi odpowiedzieć na pisemne prośby o dane osobowe, dostarczając wnioskodawcy informacje o rodzaju gromadzonych danych oraz ich wykorzystaniu i ujawnieniu w ciągu 30 dni. Konsumenci powinni być w stanie określić, czy zebrane dane są dokładne i dokonać niezbędnych korekt.
  10. Kwestionowanie zgodności: Organizacje muszą opracować procedury przyjmowania, badania i rozwiązywania skarg dotyczących niezgodności i naruszeń. W przypadku zasadności reklamacji może być konieczna zmiana polityk dotyczących danych osobowych. Skarżący musi zostać poinformowany o swojej skardze i krokach, jakie może podjąć, jeśli odpowiedź nie jest dla niego satysfakcjonująca.

Kogo dotyczy PIPEDA?

Nie wszystkie organizacje działające w Kanadzie podlegają PIPEDA. Regulamin dotyczy:

  • Dowolna organizacja sektora prywatnego w Kanadzie , która zbiera, wykorzystuje lub ujawnia dane osobowe podczas prowadzenia działalności komercyjnej
  • Organizacje podlegające regulacjom federalnym, takie jak banki, firmy telekomunikacyjne i międzynarodowe firmy transportowe
  • Kanadyjskie firmy przesyłające dane przez granice prowincji i państw

Organizacje zwolnione z PIPEDA:

  • Grupy charytatywne
  • Partie polityczne
  • Organizacje non-profit
  • Federalne organizacje rządowe wymienione w ustawie o prywatności
  • Organizacje zbierające, wykorzystujące lub ujawniające dane osobowe w celach dziennikarskich, artystycznych lub literackich
  • Podmioty w Quebecu, Kolumbii Brytyjskiej i Albercie podlegają podobnym prowincjonalnym przepisom dotyczącym prywatności sektora prywatnego

Jak PIPEDA chroni dane osobowe?

PIPEDA określa trzy rodzaje zabezpieczeń w celu zapewnienia bezpieczeństwa danych osobowych.

  1. Fizyczne: fizyczne zabezpieczenia wprowadzone przez organizację powinny uniemożliwiać nieupoważnionym pracownikom przeglądanie poufnych danych. Środki mogą obejmować kamery monitorujące, zamykanie biur i prowadzenie działań informatycznych w bezpiecznym wewnętrznym lub zewnętrznym centrum danych.
  2. Organizacyjne: te zabezpieczenia odnoszą się do zasad i procedur organizacji mających na celu ochronę danych osobowych. Szkolenie pracowników w zakresie tworzenia kultury korporacyjnej kładącej nacisk na prywatność jest standardowym elementem zabezpieczeń organizacyjnych. Pracownicy odpowiedzialni za przetwarzanie danych wrażliwych muszą przejść poświadczenia bezpieczeństwa, a wszystkie przypadki nieuprawnionego dostępu podmiotów wewnętrznych powinny zostać zbadane.
  3. Techniczne: W celu ochrony danych organizacji można zastosować wiele środków technicznych. Krytyczne zabezpieczenia obejmują szyfrowanie danych, zarządzanie i rejestrowanie aktywności użytkowników oraz wdrażanie solidnych zapór sieciowych, aby uniemożliwić nieautoryzowanym użytkownikom dostęp do sieci i systemów zawierających poufne informacje.

Konsumenci w ramach ochrony PIPEDA mają następujące prawa i oczekiwania dotyczące korzystania z ich danych.

  • Konsumenci mają prawo zobaczyć, co na ich temat zebrano i poprawić ewentualne błędy.
  • Mogą odrzucać prośby o podanie nadmiernych lub niepotrzebnych informacji.
  • Wszyscy konsumenci powinni liczyć na to, że ich dane będą wykorzystywane właściwie i w określonym celu, na jaki została wyrażona zgoda.
  • Obywatele mają prawo złożyć skargę, jeśli podejrzewają, że ich prawa do prywatności zostały naruszone.

Reagowanie na naruszenia danych

Organizacje podlegające standardom PIPEDA muszą zgłaszać naruszenia danych do OPC, jeśli incydent stwarza realne ryzyko poważnej szkody (RROSH) dla jednego lub większej liczby konsumentów.

Czynniki wpływające na decyzję o zakresie szkody obejmują wrażliwość informacji, których dotyczy naruszenie, oraz prawdopodobieństwo, że złośliwe podmioty wykorzystają je niewłaściwie. Firmy powinny prowadzić rejestr wszystkich naruszeń danych, niezależnie od tego, czy stanowią one RROSH. Zapisy te muszą być przechowywane przez co najmniej dwa lata.

Kary za niezgodność

Nieprzestrzeganie może skutkować dwoma rodzajami kar.

  • Kary finansowe: Zgodnie ze zmianami PIPEDA z 2018 r. mogą zostać nałożone grzywny za świadome naruszenie zabezpieczeń. Za każde naruszenie może zostać nałożona grzywna w wysokości do 100 000 CAD.
  • Niekorzystna reklama: Wpływa na firmy, które nie mają odpowiednich zabezpieczeń. Podważa to zaufanie klientów, potencjalnie wpływając na cele biznesowe firmy.

PIPEDA vs. HIPAA vs. RODO

Kanada, Stany Zjednoczone i Unia Europejska (UE) uchwaliły przepisy dotyczące obaw obywateli dotyczących wykorzystywania ich danych osobowych. Chociaż wszystkie te przepisy koncentrują się na ochronie prywatnych danych osobowych, konkretne zabezpieczenia, które zapewniają i sposób ich egzekwowania, znacznie się różnią.

Oto szybkie porównanie między PIPEDA, amerykańską ustawą o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych z 1996 r. (HIPAA) i unijnym ogólnym rozporządzeniem o ochronie danych (RODO).

Podobieństwa w niniejszych przepisach dotyczących prywatności

Wszystkie trzy przepisy dotyczące prywatności chronią wrażliwe dane osobowe.

  • PIPEDA chroni szeroki zakres danych osobowych, w tym informacje zdrowotne, dane finansowe i identyfikatory bezpośrednie.
  • HIPAA skupia się na chronionych informacjach zdrowotnych danej osoby (PHI).
  • RODO chroni dane, które można wykorzystać bezpośrednio lub pośrednio do identyfikacji żyjącej osoby. Obejmuje to widoczne elementy, takie jak imię i nazwisko, adres, adresy IP i dane z plików cookie, które można uznać za dane osobowe. RODO chroni również informacje o rasie, wierzeniach religijnych i innych sprawach nieobjętych PIPEDA lub HIPAA.

Wszystkie trzy standardy prywatności wymagają od organizacji wdrożenia zabezpieczeń w celu ochrony gromadzonych danych osobowych.

  • PIPEDA zachęca organizacje do wdrażania zabezpieczeń technicznych, fizycznych i organizacyjnych, jak omówiono wcześniej w tym artykule.
  • Przepisy HIPAA wymagają podobnych zabezpieczeń administracyjnych, technicznych i fizycznych przy ochronie PHI.
  • Standardy RODO obejmują wdrożenie technicznych i organizacyjnych środków ochrony danych osobowych. Zabezpieczenia kładą nacisk na ograniczenie nieuprawnionego fizycznego dostępu do danych wrażliwych.

Różnice w tych inicjatywach regulacyjnych

Między tymi trzema standardami ochrony danych istnieją znaczne różnice. Grzywny mają inną strukturę za naruszenie każdego standardu regulacyjnego.

  • PIPEDA: Do 100 000 dolarów kanadyjskich za naruszenie
  • HIPAA: Grzywny są nakładane w zależności od powagi naruszenia z maksymalnym limitem 1 500 000 USD rocznie za najbardziej rażące przeoczenia.
  • RODO: Osoby naruszające przepisy mogą zostać ukarane grzywną w wysokości do 4% rocznych globalnych przychodów firmy lub 20 milionów euro, w zależności od tego, która kwota jest większa.

Prawa jednostki różnią się w zależności od obowiązujących wytycznych.

  • PIPEDA: Konsumenci mają prawo do przeglądania i poprawiania zebranych na ich temat danych.
  • HIPAA: Pacjenci mają prawo do wglądu do PHI, które organizacja gromadzi i przechowuje.
  • RODO: osoby fizyczne mogą przeglądać swoje dane i żądać ich usunięcia z baz danych organizacji.

Co to jest zgodność z PIPEDA?

Zgodność PIPEDA to zestaw federalnych kanadyjskich zasad i przepisów dotyczących prywatności, które mają na celu spełnienie przez firmy standardów prywatności. Aby uzyskać zgodność z PIPEDA, organizacje komercyjne muszą zrozumieć, co oznacza prawo i przestrzegać jego wytycznych. Nieprzestrzeganie może skutkować grzywnami i zmniejszeniem zaufania konsumentów.

Dlaczego zgodność z PIPEDA jest niezbędna?

Rozwój handlu elektronicznego i mediów społecznościowych wzmocnił zgodność z przepisami dotyczącymi prywatności danych, w tym PIPEDA. Zgodność z przepisami ma kluczowe znaczenie dla firmy i jej klientów z wielu powodów.

  • Poufne dane osobowe klientów muszą być chronione przed niewłaściwym wykorzystaniem lub dostępem ze strony nieautoryzowanych i potencjalnie złośliwych podmiotów.
  • Nieprzestrzeganie norm regulacyjnych, takich jak PIPEDA, może skutkować wysokimi grzywnami.

Firmy, które nie przestrzegają przepisów o ochronie danych, mogą stracić zaufanie klientów i reputację firmy, której nigdy nie można przywrócić.

Jak uzyskać zgodność z PIPEDA

Aby zachować zgodność z PIPEDA, organizacje muszą wdrożyć zabezpieczenia w celu ochrony danych osobowych osób. Firmy, od których wymaga się przestrzegania PIPEDA, mają do wyboru dwie główne opcje.

Zgodność wewnętrzna a zgodność ze wsparciem dostawcy

Organizacje mogą zdecydować się na wdrożenie wymaganej infrastruktury i zgodnych systemów przy użyciu własnych zasobów lub skorzystać z doświadczonego zewnętrznego oprogramowania zapewniającego zgodność z chmurą . Każde podejście ma zalety i wady.

Korzystanie z własnych zasobów

  • Firmy, które budują zgodną infrastrukturę przy użyciu wewnętrznych zasobów, mogą sprawować większą kontrolę nad wrażliwymi danymi, które zbierają i przetwarzają.
  • Koszty kapitałowe mogą być wysokie przy zakupie nowego sprzętu do budowy środowiska.
  • Organizacje z ograniczonymi działami IT mogą nie mieć doświadczenia lub bezpłatnych cykli potrzebnych do wdrożenia i utrzymania środowiska zgodnego z PIPEDA.

Angażowanie zewnętrznego partnera w chmurze

  • Koszty kapitałowe są zmniejszone, ponieważ hosting w chmurze zapewnia infrastrukturę obliczeniową.
  • Doświadczenie renomowanego dostawcy zmniejsza ryzyko naruszenia danych lub naruszenia środków ostrożności określonych w PIPEDA.
  • Firmy mogą szybko skalować w górę lub w dół, korzystając z zasobów w chmurze, aby sprostać zmieniającym się lub sezonowym potrzebom klientów.

Miej oko na swoją zgodność

Nie należy przeoczyć zgodności PIPEDA. Podczas gdy kary finansowe znacząco wpływają na wynik finansowy firmy, mniej namacalne skutki mogą być znacznie bardziej kosztowne. Przywrócenie zaufania klientów może być niemożliwe, jeśli naruszenie danych naruszy dane osobowe.

Firmy, które muszą przestrzegać PIPEDA, mogą znacznie zmniejszyć stres i złożoność utrzymania zgodności, współpracując z renomowanym dostawcą usług hostingowych. Właściwy dostawca może zaoferować infrastrukturę zgodną ze standardami PIPEDA, dzięki czemu firma może skupić się na swoich podstawowych celach biznesowych, mając pewność, że spełnia wszystkie wymogi regulacyjne.

Zastanawiasz się, co przyniesie przyszłość danych klientów online? Dowiedz się, czego się spodziewać w nadchodzącej przyszłości bez plików cookie.