PIPEDA – kanadské obecné nařízení o ochraně osobních údajů

V tomto článku vysvětlujeme vše o kanadském nařízení o ochraně dat PIPEDA a připravovaném nařízení CPPA. V příštím článku se budeme podrobněji zabývat cookies a souhlasem.

Co je PIPEDA?

PIPEDA je zkratka pro zákon o ochraně osobních údajů a elektronických dokumentů a odkazuje na nové kanadské obecné nařízení o ochraně osobních údajů. Novela spojuje dva předchozí kanadské zákony na ochranu osobních údajů Zákon o ochraně soukromí spotřebitelů (CPPA) a Zákon o tribunálu pro ochranu osobních údajů (PIDPTA) do komplexního nařízení ekvivalentního GDPR. Odkaz na evropské obecné nařízení o ochraně osobních údajů lze v PIPEDA vidět na mnoha místech, proto se často nazývá také GDPR Kanada.

Podobně jako GDPR upravuje kanadský zákon o ochraně osobních údajů nakládání s osobními údaji shromažďovanými a uchovávanými v rámci komerčních aktivit. Zákon o ochraně osobních údajů a elektronických dokumentech PIPEDA je proto důležitý pro všechny společnosti , které chtějí oslovit spotřebitele v Kanadě službami a produkty – ať už stacionárními nebo prodejem na dálku. Obchodními činnostmi ve smyslu PIPEDA jsou všechny transakce a jednání obchodního původu nebo s obchodním záměrem.

PIPEDA se vztahuje na společnosti a organizace, které jsou federálně regulovány a podléhají kanadské legislativě. Zákon o ochraně osobních údajů a elektronických dokumentech se vztahuje také na soukromý sektor každé provincie, pokud provincie nepřijala vlastní zákon na ochranu údajů, který je v zásadě podobný zákonu o ochraně osobních údajů a elektronických dokumentech PIPEDA. Pouze Britská Kolumbie, Alberta a Quebec mají zákony na ochranu soukromí, které jsou v zásadě podobné zákonu o ochraně osobních údajů a elektronických dokumentech PIPEDA. Pokud má společnost sídlo v Britské Kolumbii, Albertě nebo Quebecu, vztahuje se na osobní údaje shromážděné těmi organizacemi, kde komerční využití informací přesahuje hranice dané provincie, zákon o ochraně osobních údajů a elektronických dokumentech .

10 zásad ochrany osobních údajů v zákoně o ochraně osobních údajů a elektronických dokumentech PIPEDA

Podniky, které musí dodržovat předpisy PIPEDA, by měly včas zvážit zásady ochrany údajů tohoto GDPR pro Kanadu . 10 bodů popisuje práva a povinnosti, které musí organizace dodržovat při provádění obchodních transakcí s kanadskými spotřebiteli podle GDPR pro Kanadu :

  1. odpovědnost
  2. vyčleňování
  3. souhlas
  4. Vyhýbání se datům a datová ekonomika
  5. Skladování, používání a zpracování
  6. přesnost
  7. bezúhonnost a důvěrnost
  8. průhlednost
  9. právo na poskytování informací
  10. právo na odvolání

Každý, kdo zná obecné nařízení o ochraně osobních údajů, již v přehledu 10 principů PIPEDA, které lze nalézt i v EU GDPR, pozná mnoho aspektů. V detailech však existují rozdíly , a to také a zejména pokud jde o souhlas se shromažďováním osobních údajů. Pojďme se rychle podívat na každý z 10 bodů:

1. Odpovědnost

Princip odpovědnosti znamená, že od určité velikosti musí organizace jmenovat osobu, která bude odpovědná za správu shromážděných a osobních údajů. Tato osoba je v GDPR nazývána pověřencem pro ochranu osobních údajů – v zákoně o ochraně osobních údajů a elektronických dokumentech PIPEDA se nazývá Privacy Officer nebo Chief Privacy Officer (CPO) . V menších společnostech může pověřenec pro ochranu osobních údajů vykonávat svou roli také na částečný úvazek . Její hlavní úkol spočívá ve vývoji, implementaci a monitorování postupů , které splňují požadavky na ochranu dat podle PIPEDA . Kromě toho musí pověřenec pro ochranu údajů přijímat a odpovídat na stížnosti na shromažďování údajů . Další důležitou oblastí je školení zaměstnanců a komunikace požadavků na ochranu dat relevantních pro jednotlivé oblasti odpovědnosti. Pokud spotřebitel udělil souhlas se zpracováním údajů třetími stranami, je pověřenec pro ochranu osobních údajů odpovědný za dodržování požadavků PIPEDA třetími stranami.

2. Omezení účelu

Proč chce společnost uchovávat osobní údaje zákazníka ? Účel musí být spotřebiteli sdělen nejpozději při zaznamenání údajů. Zveřejnění vytváří transparentnost, ale také usnadňuje společnosti implementaci konkrétního přístupu. Účelem sběru dat je podle PIPEDA sdělit každému zaměstnanci, který přichází do styku se zákazníky. Pokud je například zákazník při nákupu na pokladně požádán o adresu nebo telefonní číslo, musí mu být na požádání vysvětleno použití datových informací . Papírové formuláře a online formuláře, které od zákazníků shromažďují osobní údaje, musí také jasně popisovat účel shromažďování. Shromážděné osobní údaje nelze bez výslovného souhlasu zákazníka použít k novému účelu. Výjimkou jsou zákonné požadavky, které to vyžadují.

3. Souhlas

Společnost nesmí shromažďovat, používat nebo zveřejňovat osobní údaje bez vědomí a souhlasu zákazníka. Záměr shromažďovat údaje o zákaznících musí být sdělen jasně a jednoznačně. Pokud jsou osobní údaje požadovány ve formě, nejsou proto povoleny nejednoznačné formulace. Osoba nebude znevýhodněna, pokud odmítne poskytnout informace. Společnosti proto také musí zpřístupnit své produkty a služby spotřebitelům, kteří nechtějí poskytovat údaje, které s produktem nebo službou nesouvisejí. Existuje několik výjimek: Společnost se může zdržet udělení souhlasu, pokud existují právní nebo zdravotní důvody, proč tak neučinit. Na některé produkty se mohou vztahovat i bezpečnostní důvody . A pokud jsou informace shromažďovány pro orgány činné v trestním řízení, je také upuštěno od souhlasu. Souhlasu lze prominout i v případech, kdy jde o nezletilou osobu, těžce nemocnou nebo mentálně postiženou osobu. Souhlas však může udělit i zplnomocněný zástupce.

U typu souhlasu se rozlišuje:

  • explicitní
  • implicitně
  • odhlásit se

V mnoha případech – jako je online registrace – jako v evropském obecném nařízení o ochraně osobních údajů je i zde vyžadován výslovný souhlas spotřebitele. Opt-out se obvykle neposkytuje. Například k PIPEDA souhlasu s používáním cookies nesmí být předem přiřazena žádná zaškrtnutí nebo tlačítka – ekvivalent k nařízením o souborech cookie v GDPR. Souhlas v zásadě nemusí být dán písemně – stačí ústní souhlas. Například stačí, když zájemce udělí souhlas se zařazením do newsletteru telefonicky. Souhlas daný po telefonu však společnosti pravidelně ztěžuje poskytování důkazů . V některých případech lze souhlas odvodit také přímo z jednání spotřebitele.

Spotřebitelé mohou svůj souhlas kdykoli odvolat při dodržení smluvních a zákonných omezení a lhůt Společnost musí zákazníka informovat o důsledcích odvolání souhlasu.

4. Vyhýbání se datům a datová ekonomika

Zásada omezení sběru údajů na množství údajů požadovaných pro daný účel je zásadou, která hraje důležitou roli i v evropském GDPR. Osobní údaje shromažďované společností by měly být omezeny na to, co je nezbytné pro jednání v rámci obchodního vztahu.

Podle PIPEDA je také třeba se vyhnout shromažďování a ukládání nepotřebných osobních údajů. Spravedlivé a zákonné nakládání s daty, které se skrývá za frází „Spravedlivé a zákonné prostředky“, směřuje k datové suverenitě zákazníka a potřebě transparentních procesů. Účel, pro který by měly být určité osobní údaje shromažďovány, nesmí být zastírán podvodem nebo nejednoznačnými prohlášeními.

5. Uchovávání, používání a zpracování

Použití zaznamenaných dat se smí pohybovat pouze v chodbě, která je zákazníkovi známa a ke které dal souhlas. Zveřejnění nebo jiné použití osobních údajů není povoleno podle kanadského obecného nařízení o ochraně osobních údajů PIPEDA. Doby uchování vycházejí z požadavků společnosti a dalších právních předpisů. Doporučená minimální doba uchování pro společnosti je jeden rok. Tato lhůta ponechává společnosti dostatečnou kapacitu na kontrolu a dodržování zákonných požadavků. Maximální dobu uchovávání stanoví a zveřejní společnost.

Neomezené ukládání dat není povoleno – spotřebitel musí být na požádání informován, kdy budou jeho data trvale smazána. V případě potřeby mohou být data anonymizována a zničena předem, s ohledem na termíny. Kromě toho musí být organizace schopna prozradit, kdo a v jakém rozsahu obdržel souhlas se zpracováním údajů.

6. Přesnost

Zásada přesnosti zajišťuje, že osobní údaje shromážděné společností jsou správné, úplné a aktuální pro účely, pro které jsou používány.

Je třeba mít na paměti, že shromážděné údaje mají být použity v nejlepším zájmu spotřebitele.

Specifikace správnosti v PIPEDA není důležitá pouze pro vztah mezi firmami a zákazníky. Pokud například organizace shromažďuje osobní údaje, aby zkontrolovala profily uchazečů před náborovým procesem, musí být zajištěno, že nesprávné nebo neúplné záznamy nebudou mít za následek nevýhody pro uchazeče.

Aktualizace osobních údajů

Automatická a pravidelná aktualizace osobních údajů není obecně povolena. Tento pokyn v PIPEDA platí také pro informace, které jsou předávány třetím stranám.

7. Bezúhonnost a důvěrnost

Zásada integrity a důvěrnosti znamená, že osobní údaje musí být chráněny před ztrátou nebo krádeží , neoprávněným přístupem, zveřejněním, kopírováním, pozměňováním nebo neoprávněným použitím. Tento princip platí bez ohledu na formát, ve kterém jsou data uložena.

Vhodná ochranná opatření

Snaha závisí na velikosti společnosti. Malá firma, která shromažďuje e-mailové adresy zákazníků pro online zpravodaj, může tyto e-mailové adresy uložit do tabulky. Pokud je tabulka chráněna heslem a navíc ve vysoké míře šifrována, lze předpokládat odpovídající ochranu.

Velké organizace často spravují citlivá osobní data ve velkém – navzdory veškeré datové ekonomice. Tyto společnosti se také s větší pravděpodobností stanou terčem útočníků, takže je zde potřeba přijmout mnohem přísnější bezpečnostní opatření.

Všechna bezpečnostní opatření by měla nabízet nadprůměrnou ochranu osobních údajů, které mají být chráněny, aby byla zajištěna vysoká úroveň integrity.

Zničení osobních údajů

Pokud mají být osobní údaje zlikvidovány nebo zničeny, lze jejich obnovu na základě lidského úsudku a za použití vysokých technologických standardů pro likvidaci dat vyloučit. To platí jak pro fyzickou likvidaci papírových dokumentů, tak pro zničení databází na paměťových modulech.

8. Transparentnost

Společnost musí své zásady a postupy pro nakládání s osobními údaji snadno zpřístupnit . Zákazníci se proto musí k těmto informacím dostat bez složitých oklik. Odpovědi na dotazy spotřebitelů týkající se ochrany údajů musí být zodpovězeny v přiměřené době a pokud možno přímo . Poskytované informace musí být formulovány způsobem, který je obecně srozumitelný. Je třeba se vyhnout právnímu žargonu.

Požadavky od PIPEDA

Podle PIPEDA musí organizace na vyžádání poskytnout tyto údaje:

  • Jméno nebo titul a adresa osoby odpovědné za zásady a postupy organizace a na kterou se mohou obracet se stížnostmi nebo dotazy.
  • Způsoby přístupu k osobním údajům
  • Typ shromažďovaných osobních údajů včetně popisu jejich použití.
  • Písemné informace, které vysvětlují zásady a standardy organizace společnosti

9. Právo na informace

Společnost musí na požádání poskytnout osobě informace o uložených osobních údajích a jejich použití po ověření. Pokud zákazník pochybuje o správnosti nebo úplnosti osobních údajů, může trvat na změně zaznamenaných údajů. To může znamenat opravu , smazání nebo přidání dat .

výjimky

Informace o osobních údajích mohou být z různých důvodů odmítnuty. To je případ, kdy informace podléhají právu advokáta a klienta nebo kdy by byly zveřejněny důvěrné obchodní informace.

Požadavky na autentizaci

Před udělením přístupu k osobním údajům se společnost musí ujistit, že komunikuje se správnou osobou.

Některé organizace to dělají tak, že žádají o státem vydaný průkaz totožnosti. V případě potřeby je také možné ověření na základě informací o účtu v kombinaci s dalšími informacemi, jako je rodné jméno nebo uložené heslo. Přísné požadavky na autentizaci však nesmí představovat překážku práva na informace.

Informace – čas a náklady

Žádosti o informace musí být zodpovězeny v přiměřené době a za minimální nebo žádné náklady pro jednotlivce. Nejpozději do 30 dnů od obdržení žádosti musí být zodpovězena. Pokud společnost výjimečně potřebuje na poskytnutí informací více času, musí dané osobě zaslat předběžné rozhodnutí a uvést věrohodný důvod prodlení.

10. Právo na stížnost

Právo na odvolání zakotvené v PIPEDA umožňuje zákazníkům a spotřebitelům podnikat cílená opatření proti společnostem v případě porušení bodů GDPR Canada.

Podniky musí poskytnout postupy pro přijímání a odpovídání na stížnosti a dotazy. Tyto postupy by měly být jednoduché a snadno použitelné. Kromě toho jsou podle GDPR Canada společnosti povinny sledovat a prošetřovat stížnosti, i když se domnívají, že se stížnost jeví jako neopodstatněná . Pokud se reklamace ukáže jako oprávněná, je třeba přijmout vhodná nápravná opatření. Za přijímání stížností a zahajování postupů je odpovědný pověřenec pro ochranu osobních údajů společnosti.