PIPEDA – Den kanadensiska allmänna dataskyddsförordningen

I den här artikeln förklarar vi allt om den kanadensiska dataskyddsförordningen PIPEDA och den kommande CPPA-förordningen. I nästa artikel kommer vi att gå in mer i detalj om cookies och samtycke.

Vad är PIPEDA?

PIPEDA är förkortningen för Personal Information Protection and Electronic Documents Act och syftar på den nya kanadensiska General Data Protection Regulation. Tillägget kombinerar de två tidigare kanadensiska dataskyddslagarna Consumer Privacy Protection Act (CPPA) och Personal Information and Data Protection Tribunal Act (PIDPTA) till en omfattande förordning som motsvarar GDPR. Hänvisningen till den europeiska allmänna dataskyddsförordningen kan ses på många ställen i PIPEDA, varför den ofta också kallas GDPR Kanada.

I likhet med GDPR reglerar den kanadensiska dataskyddslagen hanteringen av personuppgifter som samlas in och lagras i samband med kommersiell verksamhet. Personal Information Protection and Electronic Documents Act PIPEDA är därför viktig för alla företag som vill nå konsumenter i Kanada med tjänster och produkter – oavsett om det är stationärt eller distansförsäljning. Kommersiell verksamhet enligt PIPEDA är alla transaktioner och handlingar av kommersiellt ursprung eller med kommersiella avsikter.

PIPEDA gäller företag och organisationer som är federalt reglerade och föremål för kanadensisk lagstiftning. Lagen om skydd av personuppgifter och elektroniska dokument gäller även den privata sektorn i varje provins, såvida inte en provins har antagit sin egen dataskyddslag, som i stort sett liknar lagen om personlig informationsskydd och elektroniska dokument PIPEDA. Endast British Columbia, Alberta och Quebec har integritetslagar som i stort sett liknar lagen om personlig informationsskydd och elektroniska dokument PIPEDA. Om ett företag är baserat i British Columbia, Alberta eller Quebec, gäller lagen om personlig informationsskydd och elektroniska dokument för personlig information som samlas in av de organisationer där den kommersiella användningen av informationen överskrider gränserna för den provinsen.

De 10 integritetsprinciperna i lagen om personlig informationsskydd och elektroniska dokument PIPEDA

Företag som behöver följa PIPEDA-reglerna bör överväga dataskyddsprinciperna i denna GDPR för Kanada i tid. 10 punkter beskriver de rättigheter och skyldigheter som organisationer måste följa när de genomför kommersiella transaktioner med kanadensiska konsumenter enligt GDPR för Kanada :

1. ansvarighet
2. öronmärkning
3. samtycke
4. Dataundvikande och dataekonomi
5. Lagring, användning och bearbetning
6. noggrannhet
7. integritet och konfidentialitet
8. genomskinlighet
9. rätt att lämna information
10. rätt att överklaga

Alla som är bekanta med den allmänna dataskyddsförordningen kommer redan att känna igen många aspekter i översikten av de 10 principerna för PIPEDA som också finns i EU :s GDPR. Ändå finns det skillnader i detalj , även och särskilt när det gäller samtycke till insamling av personuppgifter. Låt oss ta en snabb titt på var och en av de 10 punkterna:

1. Ansvarsskyldighet

Ansvarsprincipen innebär att en organisation över en viss storlek ska utse en person som ska ansvara för hanteringen av de insamlade och personuppgifterna. Denna person kallas dataskyddsombudet i GDPR – i lagen om personlig informationsskydd och elektroniska dokument PIPEDA kallas han Privacy Officer eller Chief Privacy Officer (CPO) . I mindre företag kan integritetsombudet även utföra sin roll på deltid . Dess huvudsakliga uppgift ligger i utveckling, implementering och övervakning av procedurer som uppfyller dataskyddskraven enligt PIPEDA . Dessutom måste dataskyddsombudet ta emot och svara på klagomål om datainsamling . Ett annat viktigt område är utbildning av anställda och kommunikation av dataskyddskrav som är relevanta för enskilda ansvarsområden. Om konsumenten har gett sitt samtycke till databehandling av tredje part, ansvarar integritetsombudet för att tredje part följer PIPEDA-kraven.

2. Syftesbegränsning

Varför vill företaget lagra en kunds personliga information ? Ändamålet ska anges för konsumenten senast i samband med att uppgifterna registreras. Offentliggörande skapar transparens, men gör det också lättare för företaget att implementera specifik åtkomst. Enligt PIPEDA är syftet med datainsamlingen att kommuniceras till varje anställd som kommer i kontakt med kunder. Om till exempel en kund tillfrågas om adress eller telefonnummer vid köp i kassan, måste användningen av datainformationen förklaras för honom på begäran . Pappersformulär och onlineformulär som samlar in personligt identifierbar information från kunder måste också tydligt beskriva syftet med insamlingen. Insamlade personuppgifter får inte användas för ett nytt ändamål utan uttryckligt tillstånd från kunden. Ett undantag är lagkrav som kräver detta.

3. Samtycke

Ett företag får inte samla in, använda eller lämna ut personuppgifter utan kundens vetskap och samtycke . Avsikten att samla in kunddata måste kommuniceras tydligt och entydigt. Om personuppgifter efterfrågas i form är tvetydiga formuleringar därför inte tillåtna. En person kommer inte att missgynnas om han eller hon vägrar att lämna information. Företag måste därför också göra sina produkter och tjänster tillgängliga för konsumenter som inte vill tillhandahålla data som inte är relaterad till produkten eller tjänsten. Det finns några undantag: Ett företag kan avstå från att ge samtycke om det finns juridiska eller medicinska skäl att inte göra det. Säkerhetsskäl kan även gälla vissa produkter. Och om information samlas in för brottsbekämpning avstår också samtycke. Samtycke kan också avstås i de fall en person är minderårig, allvarligt sjuk eller förståndshandikappad. Samtycke kan dock också lämnas av en behörig representant.

När det gäller typen av samtycke skiljer man på:

• explicit
• implicit
• välja bort

I många fall – som onlineregistrering – som i den europeiska allmänna dataskyddsförordningen krävs även här uttryckligt samtycke från konsumenten. En opt-out ges vanligtvis inte. Till exempel får inga bockar eller knappar vara förtilldelade till Cookie Consent PIPEDA – motsvarande cookiebestämmelserna i GDPR. Samtycke behöver i princip inte lämnas skriftligt – muntligt samtycke är tillräckligt. Det räcker till exempel om en intressent ger sitt samtycke till att ingå i ett nyhetsbrev per telefon. Samtycke som ges per telefon gör det dock svårare för ett företag att bevisa . I vissa fall kan samtycke också härledas direkt från konsumentens agerande.

Konsumenter kan när som helst återkalla sitt samtycke, med förbehåll för avtalsenliga och juridiska begränsningar och deadlines.Företaget måste informera kunden om konsekvenserna av att återkalla samtycke.

4. Dataundvikande och dataekonomi

Principen att begränsa datainsamlingen till den mängd data som krävs för ett ändamål är en princip som också spelar en viktig roll i den europeiska GDPR. De personuppgifter som ett företag samlar in bör begränsas till vad som är nödvändigt för en åtgärd inom ramen för en affärsrelation.

Insamling och lagring av onödiga personuppgifter ska också undvikas enligt PIPEDA. Den rättvisa och lagliga hanteringen av data, som döljs bakom frasen ”Fair and Lawful Means”, syftar till kundens datasuveränitet och behovet av transparenta processer. Syftet för vilket vissa personuppgifter ska samlas in får inte skymmas av bedrägeri eller tvetydiga uttalanden.

5. Lagring, användning och bearbetning

Användningen av registrerade uppgifter får endast röra sig i den korridor som är känd för kunden och som denne har gett sitt samtycke till. Avslöjande eller annan användning av personuppgifter är inte tillåten enligt den kanadensiska allmänna dataskyddsförordningen PIPEDA. Lagringstiderna baseras på företagets krav och andra lagbestämmelser. Den rekommenderade minsta lagringstiden för företag är ett år. Denna period ger företaget tillräcklig kapacitet att kontrollera och följa lagkrav. Den maximala lagringstiden ska fastställas och offentliggöras av bolaget.

En obegränsad lagring av data är inte tillåten – konsumenten måste på begäran informeras om när hans data kommer att raderas permanent. Om så önskas kan data anonymiseras och förstöras i förväg, med hänsyn till deadlines. Dessutom ska en organisation kunna lämna ut vem som har fått samtycke till behandlingen av uppgifterna och i vilken omfattning.

6. Noggrannhet

Noggrannhetsprincipen säkerställer att de personuppgifter som samlas in av ett företag är korrekta, fullständiga och uppdaterade för de ändamål för vilka de används.

Man bör komma ihåg att de insamlade uppgifterna ska användas i konsumentens bästa.

Angivelsen av korrekthet i PIPEDA är inte bara viktig för relationen mellan företag och kund. Om en organisation till exempel samlar in personuppgifter för att kontrollera sökandeprofiler inför en rekryteringsprocess, måste det säkerställas att felaktig eller ofullständig registrering inte leder till nackdelar för sökande.

Uppdatering av personlig information

Automatisk och regelbunden uppdatering av personuppgifter är i allmänhet inte tillåten. Denna riktlinje i PIPEDA gäller även information som vidarebefordras till tredje part.

7. Integritet och konfidentialitet

Principen om integritet och sekretess innebär att personuppgifter måste skyddas mot förlust eller stöld , obehörig åtkomst, avslöjande, kopiering, ändring eller obehörig användning. Denna princip gäller oavsett i vilket format uppgifterna lagras.

Lämpliga skyddsåtgärder

Insatsen beror på företagets storlek. Ett litet företag som samlar in kunders e-postadresser för ett onlinenyhetsbrev kan lagra e-postadresserna i ett kalkylblad. Om tabellen är skyddad med ett lösenord och dessutom krypterad i hög grad, kan ett adekvat skydd antas.

Stora organisationer hanterar ofta känsliga personuppgifter i stor skala – trots all dataekonomi. Dessa företag är också mer benägna att vara mål för angripare, så mycket starkare säkerhetsåtgärder måste vidtas här.

Alla säkerhetsåtgärder bör erbjuda ett skydd över genomsnittet för de personuppgifter som ska skyddas för att säkerställa en hög integritetsnivå.

Förstörelse av personlig information

Om personuppgifter ska kasseras eller förstöras kan återvinning baserad på mänskligt omdöme och genom att använda höga tekniska standarder för dataförstöring uteslutas. Detta gäller både fysisk förstörelse av pappersdokument och förstöring av databaser på minnesmoduler.

8. Transparens

Ett företag måste göra sina policyer och rutiner för hantering av personlig information lättillgängliga . Kunderna måste därför kunna komma åt denna information utan komplicerade omvägar. Svar på konsumentförfrågningar om dataskydd ska besvaras i rimlig tid och så direkt som möjligt . Den information som lämnas ska vara formulerad på ett sätt som är allmänt begripligt. Juridisk terminologi bör undvikas.

Krav från PIPEDA

Enligt PIPEDA måste en organisation tillhandahålla dessa uppgifter på begäran:

• Namn eller titel och adress till den person som är ansvarig för organisationens policyer och praxis och till vilken klagomål eller förfrågningar kan hänvisas.
• Sätt att komma åt personuppgifter
• Typ av personuppgifter som samlas in, inklusive en beskrivning av deras användning.
• Skriftlig information som förklarar företagets organisationspolicy och standarder

9. Rätt till information

Ett företag ska på begäran ge en person information om lagrade personuppgifter och deras användning efter autentisering. Om en kund tvivlar på riktigheten eller fullständigheten av personuppgifterna kan han insistera på att ändra de registrerade uppgifterna. Detta kan innebära att korrigera , ta bort eller lägga till data .

undantag

Information om personuppgifter kan vägras av olika skäl. Detta är fallet när informationen är föremål för advokat-klientprivilegier eller där konfidentiell affärsinformation skulle avslöjas.

Autentiseringskrav

Innan ett företag beviljar tillgång till personuppgifter måste det säkerställa att det kommunicerar med rätt person.

Vissa organisationer gör detta genom att be om statligt utfärdat ID. Vid behov är även verifiering baserad på kontoinformation i kombination med annan information som flicknamn eller ett lagrat lösenord möjligt. Strikta autentiseringskrav får dock inte utgöra ett hinder för rätten till information.

Information – tid och kostnader

Begäran om information ska besvaras inom rimlig tid och till minimal eller ingen kostnad för den enskilde. Senast 30 dagar efter mottagandet av en begäran ska den besvaras. Om ett företag undantagsvis behöver mer tid för att lämna uppgifter ska det skicka ett interimistiskt beslut till personen och ange en rimlig orsak till dröjsmålet.

10. Rätt att klaga

Överklaganderätten förankrad i PIPEDA gör det möjligt för kunder och konsumenter att vidta riktade åtgärder mot företag i händelse av brott mot punkter i GDPR Kanada.

Företag måste tillhandahålla rutiner för att ta emot och svara på klagomål och förfrågningar. Dessa procedurer bör vara enkla och lätta att använda. Dessutom, enligt GDPR Kanada, är företag skyldiga att följa upp och undersöka klagomål även om de anser att klagomålet verkar vara ogrundat . Om klagomålet visar sig vara giltigt måste lämpliga korrigerande åtgärder vidtas. Företagets dataskyddsombud ansvarar för att ta emot klagomål och att inleda förfaranden.