I förra inlägget tittade vi på vad PIPEDA och CPPA faktiskt är. Nu vill vi titta närmare på vad en webbplatsoperatör måste tänka på när det gäller samtycke till cookies, riktlinjer för dataskydd och annat.
Cookiesamtycke i PIPEDA
Samtycke att samla in personuppgifter i PIPEDA
Information om insamling, användning och utlämnande av personuppgifter ska lämnas i fullständig form. För att göra cookie-samtycke lättare att förstå i pipedan bör vissa element betonas mer.
Lagen om skydd av personuppgifter och elektroniska dokument kräver att konsumenten snabbt förstår arten och syftet med vad de samtycker till via Cookie Consent i PIPEDA . För att samtycke ska anses vara giltigt och meningsfullt måste organisationer kommunicera sin sekretesspraxis på ett heltäckande och begripligt sätt. Detta innebär i sin tur att företag måste lämna information om sin integritetspraxis i en form som är lättillgänglig för berörda parter.
Tyvärr är verkligheten ofta den att viktig information om integritetspolicy finns begravd i användarvillkoren. Den som bara kan lägga lite tid och energi på att kontrollera dataskyddsinformationen får ingen praktisk nytta av informationsöverbelastningen. För att erhålla meningsfullt samtycke måste organisationer göra det möjligt för en webbsidasbesökare att snabbt och direkt granska nyckelelementen i integritetsbeslut . Detta är viktigt, till exempel om användningen av tjänsten eller produkten som erbjuds kräver köp eller nedladdning av en app eller annan applikation.
Konsumenter och kunder förväntar sig att deras personuppgifter inte kommer att vidarebefordras till en annan organisation utan deras vetskap och samtycke, även i fallet med ett cookie-samtycke i PIPEDA. Denna aspekt måste också beaktas med cookie-medgivandet i PIPEDA. Av denna anledning måste avslöjande till tredje part tydligt anges . Särskild uppmärksamhet bör ägnas åt utlämnande till tredje parter som kan använda informationen för sina egna syften, i motsats till att bara tillhandahålla tjänster.
För vilka ändamål samlas, används eller delas personuppgifter? Kunder och konsumenter måste informeras om alla ändamål för vilka information samlas in och används. De måste kunna förstå vad de tillfrågas om deras samtycke att göra. Detta syfte bör beskrivas i klartext. Vaga avsikter och formuleringar som ”tjänstoptimering” bör undvikas. Det som är väsentligt för tillhandahållandet av en tjänst bör särskiljas från data som inte är det. Alla tillgängliga alternativ bör förklaras tydligt och öppet.
skador och konsekvenser
Risker för datamissbruk och dataförlust
När ett företag eller en organisation utformar potentiella scenarier för skada som kan uppstå från insamling, användning eller avslöjande av personlig information, kräver lagen om personlig informationsskydd och elektroniska dokument att den ansvarar för att minska den risken. I vissa fall kan proaktiva riskreducerande insatser minska riskerna avsevärt. I andra fall förblir dock risken nästan oförändrad.
Konsumenten ska alltid informeras om betydande kvarstående risker med betydande skada. En betydande risk, enligt definitionen i lagen om skydd av personuppgifter och elektroniska dokument , är en risk som har mer än en minimal sannolikhet. Betydande skada inkluderar fysisk skada, förnedring, skada på rykte, förlust av anställning, affärs- eller karriärmöjligheter och ekonomisk förlust.
Dessa risker inkluderar även identitetsstöld och negativa effekter på kreditvärdigheten. Skaderisken bör därför definieras brett. Utöver skada som är omedelbar bör den även omfatta rimligen förutsebar skada som kan orsakas av illvilliga aktörer eller andra.
Ge individer tydliga sätt att säga ”ja” eller ”nej”.
Innan en produkt eller tjänst används måste konsumenten ha ett val. Detta val måste tydligt förklaras och göras lättillgängligt. Huruvida varje val bäst beskrivs som ”opt-in” eller ”opt-out” beror på faktorerna på plats med cookie-samtycket i Pipeda.
Var innovativ och kreativ
Organisationer bör designa och/eller implementera innovativa processer för samtycke för cookies i PIPEDA som kan implementeras just-in-time, är kontextspecifika och passar den typ av gränssnitt som används.
Cookiesamtycke i PIPEDA
Ett informerat samtycke i form av ett cookie-samtycke i PIPEDA är en pågående process som förändras med förändrade omständigheter; Organisationer bör inte förlita sig på en statisk tidpunkt , utan behandla samtycke som en dynamisk och interaktiv process .
Ändringar i dataskyddsförordningen
Om en organisation planerar att göra väsentliga ändringar i sina dataskyddsmetoder enligt GDPR för Kanada, måste den meddela användarna och inhämta deras samtycke innan ändringarna träder i kraft. Väsentliga förändringar inkluderar användning av personuppgifter för ett nytt ändamål som inte ursprungligen var avsett eller ett nytt utlämnande av personuppgifter till tredje part för ett annat ändamål än behandling som är nödvändig för tillhandahållande av en tjänst.
Kom ihåg integritet
Organisationer bör överväga att med jämna mellanrum påminna individer om deras integritetsval och be dem att granska dem, i enlighet med GDPR för Kanada. Slutligen, som en bästa praxis, bör organisationer regelbundet se över sina rutiner för informationshantering för att säkerställa att personuppgifter fortsätter att hanteras enligt beskrivningen för individen.
visa efterlevnad
Organisationer bör, när de tillfrågas, kunna visa efterlevnad och i synnerhet att samtyckesprocessen de implementerar är tillräckligt förståelig ur det allmänna perspektivet för deras målgrupp(er) för att möjliggöra ett giltigt och meningsfullt samtycke.
För att erhålla meningsfullt samtycke och uppfylla sina skyldigheter enligt Kanadas dataskyddslag måste organisationer:
- Tillhandahåll integritetsinformation i en fullständig form, och betona eller uppmärksamma fyra nyckelelement:
- Vilka personuppgifter ska samlas in?
- Med vilka parter delas personuppgifter enligt?
- För vilka ändamål samlas, används eller delas personuppgifter?
- Vilka är riskerna för skador och andra konsekvenser?
- Form för samtycke – samtycke till cookies i PIPEDA
- Skaffa uttryckligt medgivande för all insamling, användning eller avslöjande.
Vanliga frågor: PIPEDA
Privatsektorns integritetslagar kräver att företag skapar och publicerar lättillgängliga sekretesspolicyer. Förklara hur kunders personliga information samlas in, används och delas. Detta innebär också att integritetspolicyn ska publiceras på webben om företaget har en onlinenärvaro.
Lagen om personlig informationsskydd och elektroniska dokument (PIPEDA) är den federala integritetslagen för organisationer inom den privata sektorn. Den sätter grundreglerna för hur företag ska hantera personuppgifter under sin affärsverksamhet.
Personal Information Protection and Electronic Documents Act (PIPEDA) är den federala integritetslagstiftningen för kommersiella organisationer i Kanada. PIPEDA tjänar till att anpassa Kanadas rapporteringsskyldigheter till landets handelspartner, nämligen EU.
- ansvarighet
- öronmärkning
- godkännande
- Dataundvikande och dataekonomi
- Lagring, användning och bearbetning
- noggrannhet
- integritet och konfidentialitet
- genomskinlighet
- rätt att lämna information
- rätt att överklaga
Den rättsliga grunden för PIPEDA trädde i kraft den 1 januari 2004. Lagen om personlig informationsskydd och elektroniska dokument antogs för att ta itu med legitima konsumenters integritetsproblem och göra det möjligt för kanadensiska företag att konkurrera i den globala digitala ekonomin. Det politiska syftet med reformen är att bygga förtroende för e-handel.
Översatt betyder PIPEDA något i stil med lag för skydd av personlig information och elektroniska dokument.
PIPEDA används för organisationer och företag av alla storlekar. GDPR för Kanada reglerar insamling, användning och utlämnande av personuppgifter – inklusive över gränserna.
