I denne artikel forklarer vi alt om den canadiske databeskyttelsesforordning PIPEDA og den kommende CPPA-forordning. I den næste artikel vil vi gå mere i detaljer om cookies og samtykke.
Hvad er PIPEDA?
PIPEDA er forkortelsen for Personal Information Protection and Electronic Documents Act og henviser til den nye canadiske General Data Protection Regulation. Ændringen kombinerer de to tidligere canadiske databeskyttelseslove Consumer Privacy Protection Act (CPPA) og Personal Information and Data Protection Tribunal Act (PIDPTA) til en omfattende forordning svarende til GDPR. Henvisningen til den europæiske generelle databeskyttelsesforordning kan ses mange steder i PIPEDA, hvorfor den ofte også kaldes GDPR Canada.
I lighed med GDPR regulerer den canadiske databeskyttelseslov håndteringen af personoplysninger, der indsamles og opbevares i forbindelse med kommercielle aktiviteter. PIPEDA- loven om beskyttelse af personlige oplysninger og elektroniske dokumenter er derfor vigtig for alle virksomheder , der ønsker at nå ud til forbrugere i Canada med tjenester og produkter – uanset om de er stationære eller fjernsalg. Kommercielle aktiviteter i PIPEDA’s betydning er alle transaktioner og handlinger af kommerciel oprindelse eller med kommerciel hensigt.
PIPEDA gælder for virksomheder og organisationer, der er føderalt reguleret og underlagt canadisk lovgivning. Loven om beskyttelse af personlige oplysninger og elektroniske dokumenter gælder også for den private sektor i hver provins, medmindre en provins har vedtaget sin egen databeskyttelseslov, som stort set svarer til loven om beskyttelse af personlige oplysninger og elektroniske dokumenter PIPEDA. Kun British Columbia, Alberta og Quebec har love om beskyttelse af personlige oplysninger, der stort set svarer til loven om beskyttelse af personlige oplysninger og elektroniske dokumenter PIPEDA. Hvis en virksomhed er baseret i British Columbia, Alberta eller Quebec, gælder loven om beskyttelse af personlige oplysninger og elektroniske dokumenter for personlige oplysninger indsamlet af de organisationer, hvor kommerciel brug af oplysningerne overskrider grænserne for den pågældende provins.
De 10 privatlivsprincipper i loven om beskyttelse af personlige oplysninger og elektroniske dokumenter PIPEDA
Virksomheder, der skal overholde PIPEDA-reglerne, bør overveje databeskyttelsesprincipperne i denne GDPR for Canada rettidigt. 10 punkter beskriver de rettigheder og forpligtelser, som organisationer skal følge, når de udfører kommercielle transaktioner med canadiske forbrugere i henhold til GDPR for Canada :
- ansvarlighed
- øremærkning
- samtykke
- Dataundgåelse og dataøkonomi
- Opbevaring, brug og behandling
- nøjagtighed
- integritet og fortrolighed
- gennemsigtighed
- ret til at give oplysninger
- klageadgang
Enhver, der er bekendt med den generelle databeskyttelsesforordning, vil allerede genkende mange aspekter i oversigten over de 10 principper i PIPEDA, som også kan findes i EU GDPR. Ikke desto mindre er der forskelle i detaljer , også og især med hensyn til samtykket til indsamling af personoplysninger. Lad os tage et hurtigt kig på hvert af de 10 punkter:
1. Ansvarlighed
Ansvarlighedsprincippet betyder, at en organisation over en vis størrelse skal udpege en person til at være ansvarlig for håndteringen af de indsamlede og personlige data. Denne person kaldes databeskyttelsesansvarlig i GDPR – i loven om beskyttelse af personlige oplysninger og elektroniske dokumenter PIPEDA kaldes han Privacy Officer eller Chief Privacy Officer (CPO) . I mindre virksomheder kan Privacy Officer også udføre sin rolle på deltid . Dens hovedopgave ligger i udvikling, implementering og overvågning af procedurer , der opfylder databeskyttelseskravene i henhold til PIPEDA . Desuden skal den databeskyttelsesansvarlige modtage og besvare klager over dataindsamling . Et andet vigtigt område er uddannelse af medarbejdere og kommunikation af databeskyttelseskrav, der er relevante for de enkelte ansvarsområder. Hvis forbrugeren har givet samtykke til databehandling fra tredjeparter, er Privacy Officer ansvarlig for tredjeparters overholdelse af PIPEDA-kravene.
2. Formålsbegrænsning
Hvorfor ønsker virksomheden at gemme en kundes personlige oplysninger ? Formålet skal være oplyst til forbrugeren senest på det tidspunkt, hvor dataene registreres. Offentliggørelse skaber gennemsigtighed, men gør det også nemmere for virksomheden at implementere specifik adgang. Ifølge PIPEDA er formålet med dataindsamlingen at blive kommunikeret til hver medarbejder, der kommer i kontakt med kunder. Hvis en kunde for eksempel bliver bedt om adresse eller telefonnummer ved køb ved kassen, skal brugen af dataoplysningerne forklares for vedkommende efter anmodning . Papirformularer og onlineformularer, der indsamler personhenførbare oplysninger fra kunder, skal også klart beskrive formålet med indsamlingen. Indsamlede personoplysninger må ikke bruges til et nyt formål uden kundens udtrykkelige tilladelse. En undtagelse er lovkrav, der kræver dette.
3. Samtykke
En virksomhed må ikke indsamle, bruge eller videregive persondata uden kundens viden og samtykke . Hensigten med at indsamle kundedata skal kommunikeres klart og utvetydigt. Hvis personoplysninger anmodes i en form, er tvetydige formuleringer derfor ikke tilladt. En person vil ikke blive ringere stillet, hvis han eller hun nægter at give oplysninger. Virksomheder skal derfor også stille deres produkter og ydelser til rådighed for forbrugere, som ikke ønsker at levere data, der ikke er relateret til produktet eller ydelsen. Der er nogle få undtagelser: En virksomhed kan undlade at give samtykke, hvis der er juridiske eller medicinske grunde til ikke at gøre det. Sikkerhedsmæssige årsager kan også gælde for visse produkter. Og hvis der indsamles oplysninger til retshåndhævelse, frafaldes samtykke også. Samtykke kan også fraviges i tilfælde, hvor en person er mindreårig, alvorligt syg eller psykisk handicappet. Samtykke kan dog også gives af en autoriseret repræsentant.
Når det kommer til typen af samtykke, skelnes der mellem:
- eksplicit
- implicit
- fravælge
I mange tilfælde – såsom online registrering – som i den europæiske generelle databeskyttelsesforordning kræves der også udtrykkeligt samtykke fra forbrugeren her. Et fravalg er normalt ikke givet. For eksempel må ingen flueben eller knapper være forhåndstildelt til Cookie Consent PIPEDA – svarende til cookiereglerne i GDPR. Som udgangspunkt skal samtykke ikke gives skriftligt – mundtligt samtykke er tilstrækkeligt. Det er fx tilstrækkeligt, hvis en interesseret telefonisk giver samtykke til at blive optaget i et nyhedsbrev. Samtykke givet over telefonen gør det dog sværere for en virksomhed at fremlægge beviser . I nogle tilfælde kan samtykke også udledes direkte af forbrugerens handlinger.
Forbrugere kan til enhver tid trække deres samtykke tilbage med forbehold af kontraktmæssige og juridiske begrænsninger og frister Virksomheden skal informere kunden om konsekvenserne af at trække samtykket tilbage.
4. Dataundgåelse og dataøkonomi
Princippet om at begrænse dataindsamling til den mængde data, der kræves til et formål, er et princip, der også spiller en vigtig rolle i den europæiske GDPR. De personoplysninger, som en virksomhed indsamler, bør begrænses til, hvad der er nødvendigt for en handling inden for rammerne af et forretningsforhold.
Indsamling og opbevaring af unødvendige personlige data skal også undgås ifølge PIPEDA. Den retfærdige og lovlige håndtering af data, som er skjult bag sætningen “Fair and Lawful Means”, sigter mod kundens datasuverænitet og behovet for gennemsigtige processer. Formålet, hvortil visse personoplysninger skal indsamles, må ikke tilsløres af vildledning eller tvetydige udtalelser.
5. Opbevaring, brug og behandling
Brugen af registrerede data må kun færdes i den korridor, som kunden kender, og som denne har givet sit samtykke til. Videregivelse eller anden brug af personlige data er ikke tilladt i henhold til den canadiske generelle databeskyttelsesforordning PIPEDA. Opbevaringsperioderne er baseret på virksomhedens krav og andre lovbestemmelser. Den anbefalede mindste opbevaringsperiode for virksomheder er et år. Denne periode efterlader virksomheden med tilstrækkelig kapacitet til at kontrollere og overholde lovkrav. Den maksimale opbevaringsperiode skal fastsættes og oplyses af selskabet.
En ubegrænset opbevaring af data er ikke tilladt – forbrugeren skal på anmodning informeres om, hvornår hans data vil blive slettet permanent. Hvis det ønskes, kan data anonymiseres og destrueres før tid under hensyntagen til deadlines. Derudover skal en organisation kunne oplyse, hvem der har modtaget samtykke til behandlingen af dataene og i hvilket omfang.
6. Nøjagtighed
Princippet om nøjagtighed sikrer, at de personoplysninger, som en virksomhed indsamler, er korrekte, fuldstændige og ajourførte til de formål, de bruges til.
Man skal huske på, at de indsamlede data skal bruges i forbrugerens bedste interesse.
Angivelsen af rigtighed i PIPEDA er ikke kun vigtig for forholdet mellem virksomheder og kunder. Hvis en organisation for eksempel indsamler personoplysninger for at kontrollere ansøgerprofiler inden en rekrutteringsproces, skal det sikres, at forkert eller ufuldstændig registrering ikke medfører ulemper for ansøgere.
Opdatering af personlige oplysninger
Automatisk og regelmæssig opdatering af personoplysninger er generelt ikke tilladt. Denne retningslinje i PIPEDA gælder også for oplysninger, der videregives til tredjepart.
7. Integritet og fortrolighed
Princippet om integritet og fortrolighed betyder, at personoplysninger skal beskyttes mod tab eller tyveri , uautoriseret adgang, videregivelse, kopiering, ændring eller uautoriseret brug. Dette princip gælder uanset i hvilket format dataene er lagret.
Passende beskyttelsesforanstaltninger
Indsatsen afhænger af virksomhedens størrelse. En lille virksomhed, der indsamler kunde-e-mailadresser til et online-nyhedsbrev, kan gemme e-mailadresserne i et regneark. Hvis bordet er beskyttet med en adgangskode og yderligere krypteret i høj grad, kan der antages tilstrækkelig beskyttelse.
Store organisationer administrerer ofte følsomme persondata i stor skala – trods al dataøkonomi. Disse virksomheder er også mere tilbøjelige til at være mål for angribere, så meget stærkere sikkerhedsforanstaltninger skal tages her.
Alle sikkerhedsforanstaltninger bør tilbyde beskyttelse over gennemsnittet for de personoplysninger, der skal beskyttes, for at sikre et højt niveau af integritet.
Destruktion af personlige oplysninger
Hvis persondata skal bortskaffes eller destrueres, kan genopretning baseret på menneskelig dømmekraft og ved brug af høje teknologiske standarder for datadestruktion udelukkes. Det gælder både fysisk destruktion af papirdokumenter og destruktion af databaser på hukommelsesmoduler.
8. Gennemsigtighed
En virksomhed skal gøre sine politikker og procedurer for håndtering af personlige oplysninger let tilgængelige . Kunderne skal derfor kunne tilgå disse oplysninger uden komplicerede omveje. Svar på forbrugerhenvendelser om databeskyttelse skal besvares i rimelig tid og så direkte som muligt . Oplysningerne skal være formuleret på en måde, der er alment forståelig. Juridisk jargon bør undgås.
Krav fra PIPEDA
Ifølge PIPEDA skal en organisation give disse data på anmodning:
- Navn eller titel og adresse på den person, der er ansvarlig for organisationens politikker og praksis, og til hvem klager eller forespørgsler kan henvises.
- Måder at få adgang til personlige data
- Type af indsamlede personlige data, herunder en beskrivelse af deres brug.
- Skriftlig information, der forklarer virksomhedens organisationspolitikker og standarder
9. Ret til information
En virksomhed skal på anmodning give en person oplysninger om opbevarede persondata og deres brug efter autentificering. Hvis en kunde tvivler på rigtigheden eller fuldstændigheden af de personlige data, kan han insistere på at ændre de registrerede data. Dette kan betyde korrigering , sletning eller tilføjelse af data .
undtagelser
Oplysninger om persondata kan afvises af forskellige årsager. Dette er tilfældet, når oplysningerne er underlagt advokat-klient-privilegium, eller hvor fortrolige forretningsoplysninger ville blive videregivet.
Godkendelseskrav
Inden der gives adgang til personoplysninger, skal en virksomhed sikre sig, at den kommunikerer med den rette person.
Nogle organisationer gør dette ved at bede om statsudstedt ID. Om nødvendigt er verifikation baseret på kontooplysninger i kombination med andre oplysninger såsom pigenavnet eller en gemt adgangskode også mulig. Men strenge autentificeringskrav må ikke udgøre en hindring for retten til information.
Information – tid og omkostninger
Anmodninger om oplysninger skal besvares inden for rimelig tid og med minimale eller ingen omkostninger for den enkelte. Senest 30 dage efter modtagelsen af en henvendelse skal den besvares. Hvis en virksomhed undtagelsesvis har brug for mere tid til at give oplysninger, skal den sende personen en foreløbig afgørelse og give en plausibel årsag til forsinkelsen.
10. Ret til at klage
Ankeretten forankret i PIPEDA gør det muligt for kunder og forbrugere at træffe målrettede foranstaltninger mod virksomheder i tilfælde af en overtrædelse af punkter i GDPR Canada.
Virksomheder skal levere procedurer til at modtage og besvare klager og forespørgsler. Disse procedurer skal være enkle og nemme at bruge. Desuden er virksomheder i henhold til GDPR Canada forpligtet til at følge op og undersøge klager, selvom de mener, at klagen ser ud til at være ubegrundet . Hvis klagen viser sig at være gyldig, skal der træffes passende korrigerende foranstaltninger. Virksomhedens databeskyttelsesansvarlige er ansvarlig for at modtage klager og iværksætte procedurer.
