Что такое ПИПЕДА? Все, что вам нужно знать для соответствия

Опубликовано: 2022-06-28

Конфиденциальность данных может создать или разрушить ваш бизнес.

Было разработано множество важных требований и стандартов, чтобы дать потребителям возможность контролировать свои данные и защитить конфиденциальность. При работе с потребительскими данными в целом важно понимать различные правила, включая последнее дополнение к блоку, PIPEDA, затронутые стороны и штрафы за несоблюдение.

Вот более глубокое погружение в PIPEDA, его сравнение со стандартами конфиденциальности HIPAA и GDPR, а также то, как организации могут поддерживать соответствие PIPEDA.

Что такое ПИПЕДА?

Закон о защите личной информации и электронных документов (PIPEDA) — это канадский закон, получивший королевскую санкцию 13 апреля 2000 г. и вступивший в силу поэтапно, начиная с 1 января 2001 г. Закон полностью вступил в силу 1 января 2004 г.

PIPEDA позволяет канадским предприятиям конкурировать в глобальной цифровой экономике, снимая при этом опасения по поводу конфиденциальности потребителей. Закон необходимо пересматривать каждые пять лет, чтобы обеспечить эффективное законодательство и такие результаты, как защита личной информации.

Личная информация – это любая субъективная или фактическая информация об идентифицируемом лице. Он содержит такие элементы, как:

  • Личная медицинская информация (PHI)
  • Сведения о занятости и файлы
  • Кредитные и кредитные записи
  • Субъективная информация, такая как оценки и дисциплинарные меры
  • Прямые идентификаторы, такие как имя, возраст и идентификационные номера

Какова цель PIPEDA?

Правила конфиденциальности PIPEDA устанавливают основные правила для компаний, подпадающих под действие закона, в отношении обработки личной информации при ведении коммерческой деятельности. Управление Комиссара по вопросам конфиденциальности Канады следит за соблюдением требований PIPEDA. В обязанности OPC входит помощь предприятиям в оптимизации обработки личной информации и расследование жалоб граждан Канады на неприкосновенность частной жизни.

Что повлияло на развитие PIPEDA?

Законы предлагаются и принимаются по какой-то причине. Во многих случаях целью является устранение недостатков или упущений в действующем законодательстве.

В данном случае толчком к созданию PIPEDA стала растущая обеспокоенность по поводу того, как компании обрабатывают персональные данные, передаваемые в электронном виде, поскольку все больше и больше клиентов обращаются к решениям для электронной коммерции. Устанавливая правила управления персональными данными коммерческими организациями, PIPEDA стремится защитить права потребителей, связанные с использованием их данных.

Вот некоторые ключевые положения PIPEDA:

  • Закон стремится сбалансировать право человека на конфиденциальность своей личной информации с потребностями организаций в сборе и обработке информации при ведении бизнеса.
  • В соответствии с PIPEDA канадцы имеют право знать, почему организация собирает, использует или раскрывает их личную информацию. Потребители могут просматривать собранные данные и вносить исправления для устранения неточностей.
  • Предприятия должны получить согласие на сбор, использование или раскрытие личной информации. Это требование приостанавливается, когда данные облегчают расследование или в чрезвычайной ситуации, когда нераскрытие может поставить под угрозу общественную безопасность.
  • PIPEDA предоставляет людям право жаловаться Уполномоченному по вопросам конфиденциальности на то, как организации обращаются с их личной информацией. Уполномоченный по вопросам конфиденциальности рассматривает и разрешает жалобы.
  • Уполномоченный по вопросам конфиденциальности может обнародовать информацию или передать дело в Федеральный суд Канады, который может обязать организацию прекратить определенную практику и возместить ущерб пострадавшим лицам.
  • PIPEDA содержит ряд принципов честной информации, основанных на международных законах о защите данных и Типовом кодексе конфиденциальности Канадской ассоциации стандартов для защиты личной информации. Этот кодекс был разработан совместно компаниями, ассоциациями потребителей, правительством и другими организациями, занимающимися стандартами конфиденциальности.

10 принципов справедливой информации PIPEDA

В основе PIPEDA лежат 10 принципов честной информации, которые должны соблюдать юридические лица, участвующие в обработке персональных данных. Рассмотрим эти принципы подробнее.

Чтобы соответствовать PIPEDA, организации должны придерживаться каждого из следующих принципов честной информации.

  1. Подотчетность: предприятия должны назначить хотя бы одного человека, чтобы оставаться в соответствии с PIPEDA. Этот человек должен иметь квалификацию и получать поддержку со стороны руководства для выполнения своей роли. Должна быть разработана и доведена до сведения всех соответствующих заинтересованных сторон простая для понимания политика конфиденциальности, в которой излагаются принципы честной информации.
  2. Идентификация целей: предприятия должны указать причины сбора определенного типа данных. Это требование направлено на решение трех вопросов конфиденциальности: проверка того, что люди знают, для чего собираются их данные; оповещение компаний, чтобы они могли принять меры для предотвращения ненадлежащего использования данных; обязывать компании получать новое индивидуальное согласие, если они хотят использовать свои данные для новой цели
  3. Согласие: Компании, на которые распространяются рекомендации PIPEDA, должны получить значимое явное или неявное согласие потребителя. Субъекты не могут быть принуждены к даче согласия и должны понимать последствия предоставления его сборщику данных.
  4. Ограничение сбора: организации могут собирать только ту информацию, которая необходима и соответствует целям, для которых они запрашивают согласие.
  5. Ограничение использования, раскрытия и хранения: компаниям необходимо разработать политики, гарантирующие, что информация о клиентах используется только в целях, для которых было получено согласие. Данные должны храниться только до тех пор, пока это необходимо для достижения цели, заявленной сборщиком данных, но должны храниться достаточно долго, чтобы потребители могли подвергнуть сомнению информацию.
  6. Точность:   Предприятия должны гарантировать, что вся собранная личная информация является точной, полной и обновляется по мере необходимости для заявленной цели.
  7. Гарантии: это, пожалуй, самый важный принцип PIPEDA, который непосредственно касается защиты собранной личной информации. Организации должны защищать собранные данные от взлома , кражи, изменения, копирования и несанкционированного доступа. Уровень защиты персональных данных должен соответствовать их конфиденциальности.
  8. Открытость: компании должны информировать пользователей о том, как их данные собираются, обрабатываются, передаются и хранятся. Имя и контактная информация лица, указанного в соответствии с принципом подотчетности, должны быть доступны, а пользователи должны быть проинформированы о том, как получить доступ к собранным данным.
  9. Индивидуальный доступ: компания должна отвечать на письменные запросы о персональных данных, предоставляя запрашивающему информацию о типе собираемых данных, их использовании и раскрытии в течение 30 дней. Потребители должны иметь возможность определить, являются ли собранные данные точными, и внести необходимые исправления.
  10. Оспаривание соблюдения: организации должны разработать процедуры для получения, расследования и разрешения жалоб на несоблюдение и нарушения. Если жалоба обоснована, возможно, потребуется изменить политику в отношении персональных данных. Податель жалобы должен быть проинформирован о своей жалобе и о шагах, которые он может предпринять, если ответ его не удовлетворит.

На кого распространяется PIPEDA?

Не все организации, работающие в Канаде, подпадают под действие PIPEDA. Правила распространяются на:

  • Любая организация частного сектора в Канаде , которая собирает, использует или раскрывает личную информацию при ведении коммерческой деятельности.
  • Федерально регулируемые организации , такие как банки, телекоммуникационные компании и международные транспортные компании.
  • Канадские компании передают данные через провинциальные и национальные границы

Организации, освобожденные от PIPEDA:

  • Благотворительные группы
  • Политические партии
  • Некоммерческие организации
  • Организации федерального правительства, перечисленные в соответствии с Законом о конфиденциальности
  • Организации, собирающие, использующие или раскрывающие личную информацию в журналистских, художественных или литературных целях.
  • Организации в Квебеке, Британской Колумбии и Альберте, на которые распространяются аналогичные провинциальные законы о конфиденциальности частного сектора.

Как PIPEDA защищает личную информацию?

PIPEDA определяет три типа мер безопасности для обеспечения безопасности персональных данных.

  1. Физические: Физические меры безопасности, установленные организацией, должны предотвращать просмотр конфиденциальных данных неавторизованным персоналом. Меры могут включать камеры наблюдения, запирание офисов и проведение ИТ-операций в безопасном внутреннем или внешнем центре обработки данных.
  2. Организационные: эти меры безопасности относятся к политикам и процедурам организации по защите личной информации. Обучение персонала созданию корпоративной культуры с упором на конфиденциальность является стандартным компонентом организационных мер безопасности. Сотрудники, ответственные за обработку конфиденциальных данных, должны пройти проверку безопасности, а все случаи несанкционированного доступа со стороны внутренних субъектов должны быть расследованы.
  3. Технические: для защиты данных организации можно принять множество технических мер. Важнейшие меры безопасности включают шифрование данных, управление и регистрацию активности пользователей, а также внедрение надежных брандмауэров для защиты неавторизованных пользователей от сетей и систем, содержащих конфиденциальную информацию.

Потребители в рамках защиты PIPEDA имеют следующие права и ожидания в отношении использования своих данных.

  • Потребители имеют право ознакомиться с тем, что о них было собрано, и исправить любые ошибки.
  • Они могут отклонять запросы на предоставление чрезмерной или ненужной информации.
  • Все потребители должны ожидать, что их данные будут использоваться надлежащим образом и для конкретной цели, для которой было дано согласие.
  • Граждане имеют право подать жалобу, если они подозревают, что их права на неприкосновенность частной жизни были нарушены.

Реагирование на утечку данных

Организации, на которые распространяются стандарты PIPEDA, должны сообщать об утечке данных в OPC, если инцидент представляет реальный риск серьезного вреда (RROSH) для одного или нескольких потребителей.

Факторы, влияющие на решение о размере ущерба, включают конфиденциальность информации, затронутой нарушением, и вероятность того, что злоумышленники будут использовать ее не по назначению. Компании должны вести учет всех утечек данных, независимо от того, составляют ли они RROSH. Эти записи должны храниться не менее двух лет.

Штрафы за несоблюдение

Несоблюдение может привести к двум видам штрафов.

  • Финансовые санкции: в соответствии с поправками к PIPEDA от 2018 года штрафы могут быть наложены за умышленное нарушение безопасности. За каждое нарушение может быть наложен штраф в размере до 100 000 канадских долларов.
  • Неблагоприятная огласка: влияет на компании, которым не хватает надлежащих гарантий. Это подрывает доверие клиентов, потенциально влияя на бизнес-цели компании.

PIPEDA, HIPAA и GDPR

Канада, Соединенные Штаты и Европейский Союз (ЕС) приняли законы, направленные на решение проблем граждан, связанных с использованием их личной информации. Хотя все эти законы сосредоточены на защите частной личной информации, конкретные меры защиты, которые они обеспечивают, и то, как они применяются, значительно различаются.

Вот краткое сравнение между PIPEDA, Законом США о переносимости и подотчетности медицинского страхования от 1996 года (HIPAA) и Общим регламентом ЕС по защите данных (GDPR).

Сходства в этих правилах конфиденциальности

Все три положения о конфиденциальности защищают конфиденциальную личную информацию.

  • PIPEDA защищает широкий спектр персональных данных, включая информацию о состоянии здоровья, финансовые данные и прямые идентификаторы.
  • HIPAA фокусируется на защищенной медицинской информации (PHI) человека.
  • GDPR защищает данные, которые могут прямо или косвенно использоваться для идентификации живого человека. Сюда входят очевидные элементы, такие как имя, адрес, IP-адреса и данные cookie, которые можно считать личными данными. GDPR также защищает информацию о расе, религиозных убеждениях и других вещах, не подпадающих под действие PIPEDA или HIPAA.

Все три стандарта конфиденциальности требуют от организаций реализации мер безопасности для защиты собранных персональных данных.

  • PIPEDA рекомендует организациям внедрять технические, физические и организационные меры безопасности, как обсуждалось ранее в этой статье.
  • Правила HIPAA требуют аналогичных административных, технических и физических мер защиты при защите PHI.
  • Стандарты GDPR включают внедрение технических и организационных мер по защите персональных данных. Гарантии включают акцент на ограничение несанкционированного физического доступа к конфиденциальным данным.

Различия в этих регуляторных инициативах

Между этими тремя стандартами конфиденциальности данных существуют существенные различия. Штрафы структурированы по-разному за нарушение каждого нормативного стандарта.

  • PIPEDA: до 100 000 канадских долларов за нарушение
  • HIPAA: Штрафы взимаются в зависимости от серьезности нарушения с максимальным ограничением в 1 500 000 долларов США в год за самые вопиющие нарушения.
  • GDPR: Нарушители могут быть оштрафованы на сумму до 4% от годового глобального дохода компании или до 20 миллионов евро, в зависимости от того, что больше.

Права человека различаются в зависимости от того, какие принципы действуют.

  • PIPEDA: Потребители имеют право просматривать и исправлять собранные о них данные.
  • HIPAA: пациенты имеют право видеть PHI, которую организация собирает и хранит.
  • GDPR: физические лица могут просматривать свои данные и запрашивать их удаление из баз данных организации.

Что такое соответствие PIPEDA?

Соответствие PIPEDA — это набор федеральных канадских правил и положений о конфиденциальности для компаний, которые должны соблюдать стандарты конфиденциальности. Чтобы соответствовать PIPEDA, коммерческие организации должны понимать, что влечет за собой закон, и следовать его указаниям. Несоблюдение требований может привести к штрафам и снижению доверия потребителей.

Почему важно соблюдать PIPEDA?

Рост электронной коммерции и социальных сетей усилил соблюдение правил конфиденциальности данных, включая PIPEDA. Соблюдение нормативных требований жизненно важно для бизнеса и его клиентов по многим причинам.

  • Конфиденциальные личные данные клиентов должны быть защищены от неправомерного использования или доступа неавторизованными и потенциально злонамеренными субъектами.
  • Несоблюдение нормативных стандартов, таких как PIPEDA, может привести к значительным штрафам.

Компании, которые не соблюдают правила защиты данных, могут потерять доверие клиентов и репутацию компании, которые уже никогда не восстановить.

Как добиться соответствия PIPEDA

Чтобы поддерживать соответствие PIPEDA, организации должны внедрять меры безопасности для защиты личной информации отдельных лиц. Компании, которым необходимо соблюдать PIPEDA, имеют два основных варианта.

Соответствие внутренним требованиям по сравнению с соблюдением требований поставщика

Организации могут внедрить необходимую инфраструктуру и совместимые системы, используя собственные ресурсы, или обратиться к опытному стороннему программному обеспечению для обеспечения соответствия требованиям к облаку . У каждого подхода есть преимущества и недостатки.

Использование внутренних ресурсов

  • Компании, создающие соответствующую инфраструктуру с использованием внутренних ресурсов, могут лучше контролировать конфиденциальные данные, которые они собирают и обрабатывают.
  • Капитальные затраты могут быть высокими при покупке нового оборудования для создания среды.
  • Организации с ограниченным количеством ИТ-отделов могут не иметь опыта или свободных циклов, необходимых для внедрения и обслуживания среды, совместимой с PIPEDA.

Привлечение стороннего облачного партнера

  • Капитальные затраты снижаются, поскольку облачный хостинг предоставляет вычислительную инфраструктуру.
  • Опыт авторитетного поставщика снижает вероятность утечки данных или нарушений мер безопасности, изложенных в PIPEDA.
  • С помощью облачных ресурсов компании могут быстро увеличить или уменьшить масштаб, чтобы удовлетворить меняющийся или сезонный спрос клиентов.

Следите за соблюдением

Не следует упускать из виду соответствие PIPEDA. В то время как финансовые штрафы значительно влияют на прибыль компании, менее ощутимые последствия могут быть гораздо более дорогостоящими. Может оказаться невозможным восстановить доверие клиентов, если утечка данных поставит под угрозу личные данные.

Предприятия, которым необходимо соблюдать PIPEDA, могут значительно снизить нагрузку и сложность обеспечения соблюдения требований, работая с надежным провайдером веб-хостинга. Правильный поставщик может предложить инфраструктуру, соответствующую стандартам PIPEDA, что позволит компании сосредоточиться на своих основных бизнес-целях, гарантируя соответствие всем нормативным требованиям.

Любопытно, какое будущее ждет онлайн-данные о клиентах? Узнайте, чего ожидать от надвигающегося будущего без файлов cookie.