PİPEDA Nedir? Uyumluluk İçin Bilmeniz Gereken Her Şey

Yayınlanan: 2022-06-28

Veri gizliliği işinizi yapabilir veya bozabilir.

Tüketicilere verileri üzerinde kontrol sağlamak ve gizliliği korumak için birçok önemli uyumluluk ve standart geliştirilmiştir. Genel olarak tüketici verileriyle uğraşırken, bloğa yapılan en son ekleme, PIPEDA, etkilenen taraflar ve uyumsuzluk cezaları dahil olmak üzere çeşitli düzenlemeleri anlamak önemlidir.

Burada, PIPEDA'nın HIPAA ve GDPR gizlilik standartlarıyla nasıl karşılaştırıldığına ve kuruluşların PIPEDA uyumluluğunu nasıl sürdürebileceğine ilişkin daha derin bir inceleme yer almaktadır.

PİPEDA nedir?

Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası (PIPEDA) , 13 Nisan 2000'de Kraliyet Onayını alan ve 1 Ocak 2001'den başlayarak aşamalı olarak yürürlüğe giren bir Kanada yasasıdır. Yasa, 1 Ocak 2004'te tamamen yürürlüğe girmiştir.

PIPEDA, Kanadalı işletmelerin küresel dijital ekonomide rekabet etmelerini sağlarken, tüketici mahremiyetine ilişkin endişeleri azaltır. Etkili mevzuat ve kişisel bilgilerin korunması gibi sonuçların sağlanması için kanun her beş yılda bir gözden geçirilmelidir.

Kişisel bilgiler, kimliği belirlenebilir bir kişi hakkında herhangi bir öznel veya olgusal bilgidir. Aşağıdaki gibi öğeler içerir:

  • Kişisel sağlık bilgileri (PHI)
  • İstihdam detayları ve dosyaları
  • Kredi ve kredi kayıtları
  • Değerlendirmeler ve disiplin cezaları gibi öznel bilgiler
  • Ad, yaş ve kimlik numaraları gibi doğrudan tanımlayıcılar

PIPEDA'nın amacı nedir?

PIPEDA gizlilik düzenlemeleri, kanuna tabi şirketlerin ticari faaliyetler yürütürken kişisel bilgileri ele almaları için temel kuralları belirler. Kanada Gizlilik Komisyonu Ofisi, PIPEDA uyumluluğunu denetler. OPC'nin görevleri arasında, işletmelerin kişisel bilgileri nasıl ele aldıklarını optimize etmelerine yardımcı olmak ve Kanada vatandaşlarından gelen gizlilik şikayetlerini araştırmak yer alıyor.

PIPEDA'nın gelişimini ne etkiledi?

Kanunlar bir sebeple teklif edilir ve onaylanır. Çoğu durumda amaç, mevcut mevzuattaki bir eksikliği veya gözden kaçmayı gidermektir.

Bu durumda, PIPEDA'nın itici gücü, giderek daha fazla müşteri e-ticaret çözümlerine yöneldikçe şirketlerin elektronik olarak iletilen kişisel verileri nasıl ele aldığına dair artan bir endişeydi. PIPEDA, ticari kuruluşların kişisel verileri nasıl yönettiğine ilişkin kurallar belirleyerek, tüketicilerin verilerinin kullanımıyla ilgili haklarını korumaya çalışır.

İşte bazı önemli PIPEDA hükümleri:

  • Kanun, bir bireyin kişisel bilgilerinin gizliliği hakkı ile kuruluşların iş yaparken bilgileri toplama ve işleme ihtiyaçları arasında denge kurmayı amaçlamaktadır .
  • PIPEDA kapsamında, Kanadalılar bir kuruluşun kişisel bilgilerini neden topladığını, kullandığını veya ifşa ettiğini bilme hakkına sahiptir . Tüketiciler toplanan verileri gözden geçirebilir ve yanlışlıkları gidermek için düzeltmeler yapabilir.
  • İşletmeler, kişisel bilgileri toplamak, kullanmak veya ifşa etmek için izin almalıdır. Bu gereklilik, veriler bir soruşturmayı kolaylaştırdığında veya ifşa edilmemesinin kamu güvenliğini tehlikeye atacağı bir acil durumda askıya alınır.
  • PIPEDA, bireylere, kuruluşların kişisel bilgilerini nasıl ele aldığı konusunda Gizlilik Komiserine şikayette bulunma hakkı verir . Gizlilik Komiseri şikayetleri inceler ve çözer.
  • Gizlilik Komiseri, bilgileri kamuya açıklayabilir veya konuyu Kanada Federal Mahkemesine havale edebilir; bu, bir kuruluşu belirli bir uygulamayı durdurmaya ve etkilenen bireylere tazminat ödemeye zorlayabilir.
  • PIPEDA, uluslararası veri koruma yasalarına ve Kanada Standartlar Birliği'nin Kişisel Bilgilerin Korunması için Model Gizlilik Koduna dayanan bir dizi adil bilgi ilkesi içerir . Bu kod, şirketler, tüketici dernekleri, hükümet ve gizlilik standartlarıyla ilgili diğer kuruluşlar tarafından ortaklaşa geliştirilmiştir.

PIPEDA'nın 10 adil bilgi ilkesi

PIPEDA'nın temelinde, hukuka tabi ve kişisel verilerin işlenmesinde yer alan kuruluşların uyması gereken 10 adil bilgi ilkesi yer almaktadır. Bu ilkelere daha yakından bakalım.

PIPEDA'ya uymak için kuruluşların aşağıdaki adil bilgi ilkelerinin her birine uyması gerekir.

  1. Hesap Verebilirlik: İşletmelerin PIPEDA ile uyumlu kalması için en az bir kişi ataması gerekir. Bu kişi kalifiye olmalı ve rolünü yerine getirmek için yönetim desteği almalıdır. Adil bilgi ilkelerini özetleyen, anlaşılması kolay bir gizlilik politikası geliştirilmeli ve ilgili tüm paydaşlarla paylaşılmalıdır.
  2. Belirleme amaçları: İşletmeler, belirli bir veri türünü toplama nedenlerini belirtmelidir. Bu gereklilik, üç gizlilik sorununu ele alır: Bireylerin, verilerinin neden toplandığının farkında olduğunun doğrulanması; Verilerin uygunsuz kullanımını önlemek için harekete geçebilmeleri için şirketleri uyarmak; Verilerini yeni bir amaç için kullanmak istiyorlarsa, şirketlerin yeni bireysel onay almalarını zorunlu kılmak
  3. Rıza: PIPEDA yönergelerine tabi olan şirketlerin anlamlı, örtülü veya açık tüketici onayı alması gerekir. Denekler, rıza vermeye zorlanamaz ve bunu bir veri toplayıcıya vermenin sonuçlarını anlamalıdır.
  4. Toplamanın sınırlandırılması: Kuruluşlar, yalnızca gerekli ve izin istedikleri amaçlarla tutarlı olan bilgileri toplayabilir.
  5. Kullanımı, ifşayı ve saklamayı sınırlama: İşletmelerin, müşteri bilgilerinin yalnızca izin alınan nedenlerle kullanılmasını sağlayan politikalar oluşturması gerekir. Veriler, yalnızca veri toplayıcı tarafından belirtilen amaca ulaşmak için gerekli olduğu kadar, ancak tüketicilerin bilgiyi sorgulaması için yeterince uzun süre saklanmalıdır.
  6. Kesinlik:   İşletmeler, toplanan tüm kişisel bilgilerin doğru, eksiksiz ve belirtilen amaç için gerektiği şekilde güncellendiğini garanti etmelidir.
  7. Önlemler: Bu belki de en kritik PIPEDA ilkesidir ve doğrudan toplanan kişisel bilgilerin korunmasıyla ilgilidir. Kuruluşlar, toplanan verileri ihlal , hırsızlık, değişiklik, kopyalama ve yetkisiz erişime karşı korumalıdır. Kişisel verilerin koruma seviyesi, hassasiyetine uygun olmalıdır.
  8. Açıklık: İşletmeler, verilerinin nasıl toplandığı, işlendiği, paylaşıldığı ve saklandığı konusunda kullanıcıları bilgilendirmelidir. Hesap verebilirlik ilkesinde belirtilen kişinin adı ve iletişim bilgileri açıklanmalı ve toplanan verilere nasıl ulaşılacağı konusunda kullanıcılar bilgilendirilmelidir.
  9. Bireysel erişim: Bir şirket, kişisel verilere ilişkin yazılı taleplere, talepte bulunan kişiye toplanan verilerin türü ve bunların kullanımı ve ifşası hakkında bilgi vererek 30 gün içinde yanıt vermelidir. Tüketiciler, toplanan verilerin doğru olup olmadığını belirleyebilmeli ve gerekli düzeltmeleri yapabilmelidir.
  10. Zorlu uyum: Kuruluşlar, uyumsuzluk ve ihlal şikayetlerini almak, araştırmak ve çözmek için prosedürler geliştirmelidir. Şikayet haklıysa, kişisel verilerle ilgili politikaların değiştirilmesi gerekebilir. Şikayetçi, şikayeti ve yanıttan memnun kalmaması durumunda atabileceği adımlar hakkında bilgilendirilmelidir.

PIPEDA kimlere uygulanır?

Kanada'da faaliyet gösteren tüm kuruluşlar PIPEDA'ya tabi değildir. Yönetmelikler aşağıdakiler için geçerlidir:

  • Kanada'da ticari faaliyetlerde bulunurken kişisel bilgileri toplayan, kullanan veya ifşa eden herhangi bir özel sektör kuruluşu
  • Bankalar, telekomünikasyon şirketleri ve uluslararası taşımacılık şirketleri gibi federal olarak düzenlenmiş kuruluşlar
  • Eyalet ve ulusal sınırlar arasında veri aktaran Kanadalı şirketler

PIPEDA'dan muaf kuruluşlar:

  • hayır kurumları
  • Siyasi partiler
  • Kar amacı gütmeyen kuruluşlar
  • Gizlilik Yasası kapsamında listelenen federal hükümet kuruluşları
  • Gazetecilik, sanatsal veya edebi amaçlarla kişisel bilgileri toplayan, kullanan veya açıklayan kuruluşlar
  • Quebec, British Columbia ve Alberta'daki benzer eyalet özel sektör gizlilik yasalarına tabi kuruluşlar

PIPEDA kişisel bilgileri nasıl korur?

PIPEDA, kişisel veri güvenliğini sağlamak için üç tür güvenlik önlemi belirtir.

  1. Fiziksel: Bir kuruluş tarafından uygulanan fiziksel önlemler, yetkisiz personelin gizli verileri görüntülemesini önlemelidir. Önlemler, güvenlik kameralarını, ofisleri kilitlemeyi ve güvenli bir dahili veya harici veri merkezinde BT faaliyetlerini yürütmeyi içerebilir.
  2. Organizasyonel: Bu önlemler, bir organizasyonun kişisel bilgileri korumaya yönelik politikalarına ve prosedürlerine atıfta bulunur. Gizliliği vurgulayan bir şirket kültürü oluşturmak için işgücünü eğitmek, kurumsal korumaların standart bir bileşenidir. Hassas verilerin işlenmesinden sorumlu çalışanlar güvenlik izinlerinden geçmeli ve dahili aktörler tarafından tüm yetkisiz erişim durumları araştırılmalıdır.
  3. Teknik: Bir kuruluşun verilerini korumak için birçok teknik önlem alınabilir. Kritik güvenlik önlemleri, verileri şifrelemeyi, kullanıcı etkinliğini yönetmeyi ve kaydetmeyi ve yetkisiz kullanıcıları hassas bilgiler içeren ağlardan ve sistemlerden uzak tutmak için sağlam güvenlik duvarları uygulamayı içerir.

PIPEDA koruması kapsamındaki tüketiciler, verilerini kullanma konusunda aşağıdaki hak ve beklentilere sahiptir.

  • Tüketiciler, kendileri hakkında nelerin toplandığını görme ve varsa hataları düzeltme hakkına sahiptir.
  • Aşırı veya gereksiz bilgi taleplerini reddedebilirler.
  • Tüm tüketiciler, verilerinin uygun şekilde ve rızanın verildiği belirli amaç için kullanılmasını beklemelidir.
  • Vatandaşlar, mahremiyet haklarının ihlal edildiğinden şüphelenirlerse şikayet etme hakkına sahiptir.

Veri ihlallerine yanıt verme

PIPEDA standartlarına tabi olan kuruluşların, olayın bir veya daha fazla tüketici için ciddi bir ciddi zarar (RROSH) riski oluşturması halinde veri ihlallerini OPC'ye bildirmesi gerekir.

Hasarın kapsamına ilişkin kararı etkileyen faktörler, ihlalden etkilenen bilgilerin hassasiyetini ve kötü niyetli kişilerin bu bilgileri kötüye kullanma olasılığını içerir. İşletmeler, RROSH oluşturup oluşturmadığına bakılmaksızın tüm veri ihlallerinin kayıtlarını tutmalıdır. Bu kayıtlar en az iki yıl süreyle saklanmalıdır.

Uyumsuzluk cezaları

Uyumsuzluk iki tür cezaya neden olabilir.

  • Mali cezalar: 2018 PIPEDA değişiklikleri kapsamında, güvenliği bilerek ihlal etmek için para cezaları uygulanabilir. Her bir ihlal için 100.000 CAD$'a kadar para cezası alınabilir.
  • Olumsuz tanıtım: Yeterli güvencelere sahip olmayan şirketleri etkiler. Bu, müşteri güvenini aşındırır ve potansiyel olarak bir şirketin iş hedeflerini etkiler.

PIPEDA ve HIPAA ve GDPR karşılaştırması

Kanada, Amerika Birleşik Devletleri ve Avrupa Birliği (AB), vatandaşların kişisel bilgilerini kullanma konusundaki endişelerini ele alan yasalar çıkarmıştır. Bu yasaların tümü özel kişisel bilgilerin korunmasına odaklanırken, sağladıkları özel korumalar ve bunların uygulanma biçimleri önemli ölçüde farklılık gösterir.

İşte PIPEDA, 1996 tarihli ABD Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) ve AB Genel Veri Koruma Yönetmeliği (GDPR) arasında hızlı bir karşılaştırma.

Bu gizlilik düzenlemelerindeki benzerlikler

Her üç gizlilik düzenlemesi de hassas kişisel bilgileri korur.

  • PIPEDA, sağlık bilgileri, finansal veriler ve doğrudan tanımlayıcılar dahil olmak üzere çok çeşitli kişisel verileri korur.
  • HIPAA, bireyin korunan sağlık bilgilerine (PHI) odaklanır.
  • GDPR, yaşayan bir kişiyi tanımlamak için doğrudan veya dolaylı olarak kullanılabilecek verileri korur. Bu, kişisel veri olarak kabul edilebilecek ad, adres, IP adresleri ve çerez verileri gibi görünen öğeleri içerir. GDPR ayrıca ırk, dini inançlar ve PIPEDA veya HIPAA kapsamında olmayan diğer şeyler hakkındaki bilgileri de korur.

Her üç gizlilik standardı da kuruluşların toplanan kişisel verileri korumak için önlemler almasını gerektirir.

  • PIPEDA, kuruluşları bu makalenin önceki bölümlerinde tartışıldığı gibi teknik, fiziksel ve organizasyonel önlemleri uygulamaya teşvik eder.
  • HIPAA düzenlemeleri , PHI'yi korurken benzer idari, teknik ve fiziksel önlemler gerektirir.
  • GDPR standartları, kişisel verileri korumak için teknik ve organizasyonel önlemlerin uygulanmasını içerir. Güvenlik önlemleri arasında, hassas verilere yetkisiz fiziksel erişimin sınırlandırılmasının vurgulanması yer alır.

Bu düzenleyici girişimlerdeki farklılıklar

Bu üç veri gizliliği standardı arasında önemli farklılıklar vardır. Para cezaları, her bir düzenleyici standardı ihlal etmek için farklı şekilde yapılandırılmıştır.

  • PIPEDA: İhlal başına 100.000 Kanada dolarına kadar
  • HIPAA: Para cezaları, en korkunç gözetimler için yılda maksimum 1.500.000 ABD Doları olan bir ihlalin ciddiyetine göre alınır.
  • GDPR: İhlal edenler, bir şirketin yıllık küresel gelirlerinin %4'üne veya 20 milyon €'ya kadar (hangisi daha büyükse) para cezasına çarptırılabilir.

Bir bireyin hakları, hangi yönergelerin geçerli olduğuna bağlı olarak değişir.

  • PIPEDA: Tüketiciler, kendileri hakkında toplanan verileri görme ve düzeltme hakkına sahiptir.
  • HIPAA: Hastalar, bir kuruluşun topladığı ve sakladığı PHI'yi görme hakkına sahiptir.
  • GDPR: Kişiler verilerini görüntüleyebilir ve bir kuruluşun veritabanlarından kaldırılmasını talep edebilir.

PIPEDA uyumluluğu nedir?

PIPEDA uyumluluğu, işletmelerin gizlilik standartlarını karşılaması için bir dizi federal Kanada gizlilik kuralı ve düzenlemesidir. PIPEDA uyumlu olmak için, ticari kuruluşların yasanın ne anlama geldiğini anlaması ve yönergelerini izlemesi gerekir. Uyulmaması para cezalarına ve tüketici güveninin azalmasına neden olabilir.

PIPEDA uyumluluğu neden önemlidir?

E-ticaret ve sosyal medyanın yükselişi, PIPEDA dahil olmak üzere veri gizliliği düzenlemelerine uyumu güçlendirdi. Mevzuata uygunluk, birçok nedenden dolayı bir işletme ve müşterileri için hayati öneme sahiptir.

  • Müşterilerin hassas kişisel verileri, yetkisiz ve potansiyel olarak kötü niyetli aktörler tarafından kötüye kullanım veya erişime karşı korunmalıdır.
  • PIPEDA gibi düzenleyici standartlara uyulmaması önemli para cezalarına neden olabilir.

Veri koruma yönetmeliklerine uymayan işletmeler, müşteri güvenini ve asla geri getirilemeyecek olan şirket itibarını kaybedebilir.

PIPEDA uyumluluğu nasıl elde edilir

PIPEDA ile uyumu sürdürmek için kuruluşlar, bireylerin kişisel bilgilerini korumak için önlemler almalıdır. PIPEDA'ya uyması gereken şirketlerin iki ana seçeneği bulunmaktadır.

Şirket içi ve satıcı destekli uyumluluk

Kuruluşlar, şirket içi kaynakları kullanarak gerekli altyapıyı ve uyumlu sistemleri uygulamayı seçebilir veya deneyimli bir üçüncü taraf bulut uyumluluk yazılımına yönelebilir. Her yaklaşımın avantajları ve dezavantajları vardır.

Şirket içi kaynakları kullanma

  • İç kaynakları kullanarak uyumlu bir altyapı oluşturan şirketler, topladıkları ve işledikleri hassas veriler üzerinde daha fazla kontrol sahibi olabilir.
  • Ortamı oluşturmak için yeni donanım satın alırken sermaye maliyetleri yüksek olabilir.
  • Sınırlı BT departmanlarına sahip kuruluşlar, PIPEDA uyumlu bir ortamı uygulamak ve sürdürmek için gereken uzmanlığa veya serbest döngülere sahip olmayabilir.

Üçüncü taraf bir bulut iş ortağıyla etkileşim kurma

  • Bulut barındırma, bilgi işlem altyapısını sağladığı için sermaye maliyetleri azalır.
  • Saygın bir sağlayıcının uzmanlığı, PIPEDA'da özetlenen güvenlik önlemlerinin veri ihlalleri veya ihlalleri olasılığını azaltır.
  • İşletmeler, dalgalı veya mevsimlik müşteri talebini karşılamak için bulut kaynaklarını kullanarak ölçeği hızla büyütebilir veya küçültebilir.

Uyumluluğunuzu takip edin

PIPEDA uyumluluğu göz ardı edilmemelidir. Mali cezalar bir şirketin kârlılığını önemli ölçüde etkilerken, daha az somut etkiler çok daha maliyetli olabilir. Bir veri ihlali kişisel verileri tehlikeye atıyorsa, müşteri güvenini yeniden sağlamak imkansız olabilir.

PIPEDA'ya uyması gereken işletmeler, saygın bir web barındırma sağlayıcısıyla çalışarak uyumluluğu sürdürmenin stresini ve karmaşıklığını önemli ölçüde azaltabilir. Doğru sağlayıcı, PIPEDA standartlarına uygun bir altyapı sunabilir ve bir şirketin tüm yasal gereklilikleri karşıladığından emin olarak temel iş hedeflerine odaklanmasına olanak tanır.

Geleceğin çevrimiçi müşteri verileri için neler getireceğini merak ediyor musunuz? Yaklaşan çerezsiz gelecekten ne bekleyeceğinizi öğrenin.