Ce este PIPEDA? Tot ce trebuie să știți pentru conformitate

Publicat: 2022-06-28

Confidențialitatea datelor poate face sau distruge afacerea dvs.

Au fost dezvoltate multe conformități și standarde importante pentru a oferi consumatorilor control asupra datelor lor și pentru a proteja confidențialitatea. Când aveți de-a face cu datele consumatorilor în general, este important să înțelegeți diferitele reglementări, inclusiv cea mai recentă adăugare la bloc, PIPEDA, părțile afectate și sancțiunile pentru nerespectare.

Iată o analiză mai profundă a PIPEDA, cum se compară cu standardele de confidențialitate HIPAA și GDPR și cum organizațiile pot menține conformitatea cu PIPEDA.

Ce este PIPEDA?

Legea privind protecția informațiilor personale și documentele electronice (PIPEDA) este o lege canadiană care a primit acordul regal la 13 aprilie 2000 și a intrat în vigoare în etape, începând cu 1 ianuarie 2001. Legea a fost adoptată integral la 1 ianuarie 2004.

PIPEDA permite companiilor canadiene să concureze în economia digitală globală, atenuând în același timp preocupările legate de confidențialitatea consumatorilor. Legea trebuie revizuită la fiecare cinci ani pentru a asigura o legislație eficientă și rezultate, cum ar fi protejarea informațiilor personale.

Informațiile personale sunt orice informații subiective sau faptice despre o persoană identificabilă. Acesta conține elemente precum:

  • Informații personale de sănătate (PHI)
  • Detalii si dosare de angajare
  • Înregistrări de credit și împrumut
  • Informații subiective precum evaluări și acțiuni disciplinare
  • Identificatori direcți, cum ar fi numele, vârsta și numerele de identificare

Care este scopul PIPEDA?

Reglementările privind confidențialitatea PIPEDA stabilesc regulile de bază pentru companiile supuse legii pentru a gestiona informațiile personale atunci când desfășoară activități comerciale. Biroul Comisarului pentru confidențialitate din Canada supraveghează conformitatea cu PIPEDA. Atribuțiile OPC includ să ajute companiile să optimizeze modul în care gestionează informațiile personale și să investigheze plângerile de confidențialitate din partea cetățenilor canadieni.

Ce a influențat dezvoltarea PIPEDA?

Legile sunt propuse și aprobate cu un motiv. În multe cazuri, scopul este de a remedia o deficiență sau o nerespectare a legislației existente.

În acest caz, impulsul pentru PIPEDA a fost o preocupare tot mai mare cu privire la modul în care companiile gestionau datele personale transmise electronic, pe măsură ce tot mai mulți clienți apelau la soluții de comerț electronic. Prin stabilirea unor reguli privind modul în care organizațiile comerciale gestionează datele cu caracter personal, PIPEDA urmărește să protejeze drepturile consumatorilor legate de utilizarea datelor lor.

Iată câteva prevederi cheie PIPEDA:

  • Legea urmărește să echilibreze dreptul unei persoane la confidențialitatea informațiilor personale cu nevoile organizațiilor de a colecta și trata informațiile atunci când desfășoară afaceri.
  • Conform PIPEDA, canadienii au dreptul de a ști de ce o organizație colectează, folosește sau dezvăluie informațiile lor personale. Consumatorii pot examina datele colectate și pot face corecții pentru a remedia inexactitățile.
  • Companiile trebuie să obțină consimțământul pentru a colecta, utiliza sau dezvălui informații personale. Această cerință este suspendată atunci când datele facilitează o investigație sau într-o situație de urgență în care nedezvăluirea ar pune în pericol siguranța publică.
  • PIPEDA acordă persoanelor dreptul de a se plânge comisarului de confidențialitate cu privire la modul în care organizațiile își gestionează informațiile personale. Comisarul pentru confidențialitate examinează și rezolvă reclamațiile.
  • Comisarul pentru confidențialitate poate emite informații publicului sau poate trimite chestiunea Curții Federale din Canada, care poate obliga o organizație să oprească o anumită practică și să acorde daune persoanelor afectate.
  • PIPEDA conține un set de principii de informare corectă bazate pe legile internaționale privind protecția datelor și pe Modelul Codului de confidențialitate al Asociației Canadei de Standarde pentru protecția informațiilor personale. Acest cod a fost dezvoltat în comun de companii, asociații de consumatori, guvern și alte organizații preocupate de standardele de confidențialitate.

Cele 10 principii de informare corectă ale PIPEDA

În centrul PIPEDA se află cele 10 principii de informare corectă, pe care trebuie să le respecte entitățile supuse legii și implicate în prelucrarea datelor cu caracter personal. Să aruncăm o privire mai atentă la aceste principii.

Pentru a respecta PIPEDA, organizațiile trebuie să adere la fiecare dintre următoarele principii de informare corectă.

  1. Responsabilitate: întreprinderile trebuie să desemneze cel puțin o persoană pentru a rămâne în conformitate cu PIPEDA. Această persoană ar trebui să fie calificată și să primească sprijin managerial pentru a-și îndeplini rolul. Ar trebui dezvoltată și împărtășită tuturor părților interesate relevante o politică de confidențialitate ușor de înțeles care să sublinieze principiile echitabile a informațiilor.
  2. Identificarea scopurilor: întreprinderile trebuie să precizeze motivele colectării unui anumit tip de date. Această cerință abordează trei probleme de confidențialitate: Verificarea faptului că persoanele sunt conștiente de motivul pentru care sunt colectate datele lor; alertarea companiilor pentru a putea lua măsuri pentru a preveni utilizarea necorespunzătoare a datelor; obligarea companiilor să obțină un nou consimțământ individual dacă doresc să-și folosească datele într-un nou scop
  3. Consimțământ: Companiile care fac obiectul orientărilor PIPEDA trebuie să obțină consimțământul semnificativ, implicit sau explicit al consumatorului. Subiecții nu pot fi constrânși să își dea consimțământul și trebuie să înțeleagă implicațiile furnizării acestuia unui colector de date.
  4. Limitarea colectării: organizațiile pot colecta numai informații necesare și în concordanță cu scopurile pentru care solicită consimțământul.
  5. Limitarea utilizării, dezvăluirii și păstrării: companiile trebuie să creeze politici care să asigure că informațiile despre clienți sunt utilizate numai din motive pentru care a fost obținut consimțământul. Datele ar trebui păstrate doar atât timp cât este necesar pentru atingerea scopului declarat de colectorul de date, dar trebuie păstrate suficient pentru ca consumatorii să pună la îndoială informațiile.
  6. Precizie:   Companiile trebuie să garanteze că toate informațiile personale colectate sunt exacte, complete și actualizate, după cum este necesar, pentru scopul declarat.
  7. Măsuri de protecție: acesta este poate cel mai critic principiu PIPEDA și se ocupă direct de protejarea informațiilor personale colectate. Organizațiile trebuie să protejeze datele colectate împotriva încălcării , modificării furtului, copierii și accesului neautorizat. Nivelul de protecție a datelor cu caracter personal ar trebui să corespundă sensibilității acestuia.
  8. Deschidere: companiile trebuie să informeze utilizatorii cum sunt colectate, procesate, partajate și stocate datele lor. Numele și informațiile de contact ale persoanei desemnate în principiul răspunderii trebuie puse la dispoziție, iar utilizatorii trebuie să fie informați cu privire la modul de acces la datele colectate.
  9. Acces individual: O companie trebuie să răspundă solicitărilor scrise de date cu caracter personal furnizând solicitantului informații despre tipul de date colectate și utilizarea și dezvăluirea acestora în termen de 30 de zile. Consumatorii ar trebui să poată determina dacă datele colectate sunt exacte și să facă orice corecții necesare.
  10. Contestarea conformității: organizațiile trebuie să dezvolte proceduri pentru a primi, investiga și soluționa plângerile de neconformitate și încălcări. Dacă plângerea este justificată, politicile legate de datele cu caracter personal pot trebui modificate. Reclamantul trebuie să fie informat cu privire la reclamația sa și la măsurile pe care le poate lua dacă nu este mulțumit de răspuns.

Cui se aplică PIPEDA?

Nu toate organizațiile care operează în Canada sunt supuse PIPEDA. Reglementările se aplică:

  • Orice organizație din sectorul privat din Canada care colectează, utilizează sau dezvăluie informații personale în timp ce se angajează în activități comerciale
  • Organizații reglementate la nivel federal, cum ar fi băncile, companiile de telecomunicații și companiile internaționale de transport
  • Companii canadiene care transferă date peste granițele provinciale și naționale

Organizații exceptate de la PIPEDA:

  • Grupuri de caritate
  • Partide politice
  • Organizații non-profit
  • Organizații guvernamentale federale enumerate în conformitate cu Legea privind confidențialitatea
  • Organizații care colectează, folosesc sau dezvăluie informații personale în scopuri jurnalistice, artistice sau literare
  • Entitățile din Quebec, British Columbia și Alberta fac obiectul unor legi provinciale similare privind confidențialitatea sectorului privat

Cum protejează PIPEDA informațiile personale?

PIPEDA specifică trei tipuri de garanții pentru a asigura securitatea datelor cu caracter personal.

  1. Fizic: Măsurile de protecție fizice puse în aplicare de o organizație ar trebui să împiedice personalul neautorizat să vadă datele confidențiale. Măsurile pot include camere de supraveghere, blocarea birourilor și desfășurarea activităților IT într-un centru de date intern sau extern securizat.
  2. Organizaționale: Aceste măsuri de protecție se referă la politicile și procedurile unei organizații pentru a proteja informațiile personale. Formarea forței de muncă pentru a crea o cultură corporativă care să pună accentul pe confidențialitate este o componentă standard a garanțiilor organizaționale. Angajații responsabili cu gestionarea datelor sensibile trebuie să treacă prin autorizații de securitate, iar toate cazurile de acces neautorizat al actorilor interni ar trebui investigate.
  3. Tehnic: Se pot lua multe măsuri tehnice pentru a proteja datele unei organizații. Măsurile de protecție critice includ criptarea datelor, gestionarea și înregistrarea activității utilizatorilor și implementarea de firewall-uri robuste pentru a ține utilizatorii neautorizați de rețelele și sistemele care conțin informații sensibile.

Consumatorii care intră sub incidența protecției PIPEDA au următoarele drepturi și așteptări cu privire la utilizarea datelor lor.

  • Consumatorii au dreptul de a vedea ce a fost colectat despre ei și de a corecta eventualele erori.
  • Aceștia pot refuza cererile de informații excesive sau inutile.
  • Toți consumatorii ar trebui să se aștepte ca datele lor să fie utilizate în mod corespunzător și în scopul specific pentru care a fost dat consimțământul.
  • Cetăţenii au dreptul de a se plânge dacă bănuiesc că au fost încălcate drepturile lor de intimitate.

Răspunsul la încălcarea datelor

Organizațiile care fac obiectul standardelor PIPEDA trebuie să raporteze încălcările datelor către OPC dacă incidentul prezintă un risc real de vătămare gravă (RROSH) pentru unul sau mai mulți consumatori.

Factorii care influențează decizia cu privire la amploarea prejudiciului includ sensibilitatea informațiilor afectate de încălcare și probabilitatea ca actorii rău intenționați să le utilizeze greșit. Întreprinderile ar trebui să păstreze evidența tuturor încălcărilor de date, indiferent dacă acestea constituie RROSH. Aceste înregistrări trebuie păstrate cel puțin doi ani.

Sancțiuni pentru nerespectare

Nerespectarea poate duce la două tipuri de sancțiuni.

  • Sancțiuni financiare: în conformitate cu modificările PIPEDA din 2018, pot fi impuse amenzi pentru încălcarea cu bună știință a securității. Pentru fiecare încălcare pot fi percepute amenzi de până la 100.000 USD.
  • Publicitate adversă: Afectează companiile care nu au garanții adecvate. Acest lucru erodează încrederea clienților, având un impact potențial asupra obiectivelor de afaceri ale unei companii.

PIPEDA vs. HIPAA vs. GDPR

Canada, Statele Unite și Uniunea Europeană (UE) au adoptat legi care abordează preocupările cetățenilor cu privire la utilizarea informațiilor lor personale. Deși toate aceste legi se concentrează pe protejarea informațiilor personale private, protecțiile specifice pe care le oferă și modul în care sunt aplicate variază semnificativ.

Iată o comparație rapidă între PIPEDA, Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate din SUA din 1996 (HIPAA) și Regulamentul general al UE privind protecția datelor (GDPR).

Asemănări în aceste reglementări de confidențialitate

Toate cele trei reglementări privind confidențialitatea protejează informațiile personale sensibile.

  • PIPEDA protejează o gamă largă de date cu caracter personal, inclusiv informații despre sănătate, date financiare și identificatori direcți.
  • HIPAA se concentrează pe informațiile de sănătate protejate (PHI) ale unei persoane.
  • GDPR protejează datele care pot fi utilizate direct sau indirect pentru a identifica o persoană în viață. Aceasta include elemente aparente, cum ar fi numele, adresa, adresele IP și datele cookie, care pot fi considerate date personale. GDPR protejează, de asemenea, informațiile despre rasă, credințe religioase și alte lucruri care nu sunt acoperite de PIPEDA sau HIPAA.

Toate cele trei standarde de confidențialitate impun organizațiilor să implementeze măsuri de protecție pentru a proteja datele personale colectate.

  • PIPEDA încurajează organizațiile să implementeze garanții tehnice, fizice și organizaționale, așa cum sa discutat mai devreme în acest articol.
  • Reglementările HIPAA necesită garanții administrative, tehnice și fizice similare atunci când protejează PHI.
  • Standardele GDPR includ implementarea unor măsuri tehnice și organizatorice pentru protejarea datelor cu caracter personal. Măsurile de protecție includ accentuarea limitării accesului fizic neautorizat la datele sensibile.

Diferențele dintre aceste inițiative de reglementare

Există diferențe substanțiale între aceste trei standarde de confidențialitate a datelor. Amenzile sunt structurate diferit pentru încălcarea fiecărui standard de reglementare.

  • PIPEDA: Până la 100.000 de dolari canadieni per încălcare
  • HIPAA: Amenzile sunt percepute în funcție de gravitatea unei încălcări, cu o limită maximă de 1.500.000 USD pe an pentru cele mai flagrante neglijeri.
  • GDPR: Încalcătorii pot fi amendați cu până la 4% din veniturile globale anuale ale unei companii sau cu 20 de milioane de euro, oricare dintre acestea este mai mare.

Drepturile unei persoane variază în funcție de orientările în joc.

  • PIPEDA: Consumatorii au dreptul de a vizualiza și corecta datele colectate despre ei.
  • HIPAA: Pacienții au dreptul de a vedea PHI pe care o organizație le colectează și le stochează.
  • GDPR: Persoanele fizice își pot vizualiza datele și pot solicita eliminarea acestora din bazele de date ale unei organizații.

Ce este conformitatea cu PIPEDA?

Conformitatea PIPEDA este un set de reguli și reglementări federale canadiene privind confidențialitatea pentru ca întreprinderile să îndeplinească standardele de confidențialitate. Pentru a deveni conforme cu PIPEDA, organizațiile comerciale trebuie să înțeleagă ce presupune legea și să urmeze liniile directoare ale acesteia. Nerespectarea poate duce la amenzi și la reducerea încrederii consumatorilor.

De ce este esențială conformitatea cu PIPEDA?

Creșterea comerțului electronic și a rețelelor sociale a consolidat conformitatea cu reglementările privind confidențialitatea datelor, inclusiv PIPEDA. Conformitatea cu reglementările este vitală pentru o afacere și pentru clienții săi din mai multe motive.

  • Datele personale sensibile ale clienților trebuie protejate împotriva utilizării greșite sau a accesului de către actori neautorizați și potențial rău intenționați.
  • Nerespectarea standardelor de reglementare precum PIPEDA poate duce la amenzi semnificative.

Companiile care nu respectă reglementările privind protecția datelor pot pierde încrederea clienților și reputația companiei, care s-ar putea să nu fie restabilită niciodată.

Cum să obțineți conformitatea cu PIPEDA

Pentru a menține conformitatea cu PIPEDA, organizațiile trebuie să implementeze măsuri de protecție pentru a proteja informațiile personale ale persoanelor. Companiile care trebuie să respecte PIPEDA au două opțiuni principale disponibile.

Conformitatea internă versus asistată de furnizor

Organizațiile pot alege să implementeze infrastructura necesară și sistemele conforme utilizând resurse interne sau să apeleze la un software de conformitate cu cloud terț cu experiență. Fiecare abordare are avantaje și dezavantaje.

Utilizarea resurselor interne

  • Companiile care construiesc o infrastructură conformă folosind resurse interne pot exercita mai mult control asupra datelor sensibile pe care le colectează și le procesează.
  • Costurile de capital pot fi mari atunci când achiziționați hardware nou pentru a construi mediul.
  • Este posibil ca organizațiile cu departamente IT limitate să nu aibă expertiza sau ciclurile libere necesare pentru a implementa și menține un mediu conform PIPEDA.

Angajarea unui partener cloud terț

  • Costurile de capital sunt reduse deoarece găzduirea în cloud oferă infrastructura de calcul.
  • Expertiza unui furnizor de renume reduce potențialul de încălcare a datelor sau de încălcare a măsurilor de securitate prezentate în PIPEDA.
  • Companiile pot crește sau reduce rapid folosind resursele cloud pentru a satisface cererea fluctuantă sau sezonieră a clienților.

Urmăriți conformitatea dvs

Conformitatea PIPEDA nu trebuie trecută cu vederea. În timp ce sancțiunile financiare afectează în mod semnificativ rezultatul final al unei companii, efectele mai puțin tangibile pot fi mult mai costisitoare. Poate fi imposibil să restabiliți încrederea clienților dacă o încălcare a datelor compromite datele personale.

Companiile care trebuie să respecte PIPEDA pot reduce semnificativ stresul și complexitatea menținerii conformității lucrând cu un furnizor de găzduire web de renume. Furnizorul potrivit poate oferi o infrastructură conformă cu standardele PIPEDA, permițând unei companii să se concentreze asupra obiectivelor sale principale de afaceri, cu asigurarea că îndeplinește toate cerințele de reglementare.

Sunteți curios ce ne rezervă viitorul pentru datele clienților online? Aflați la ce să vă așteptați cu viitorul iminent fără prăjituri.