Viimeisessä viestissä valaisimme, mitä PIPEDA ja CPPA todella ovat. Nyt haluamme tarkastella lähemmin, mitä verkkosivuston ylläpitäjän on otettava huomioon evästesuostumuksen, tietosuojaohjeiden ja muiden asioiden suhteen.
Evästeen suostumus PIPEDA:ssa
Suostumus henkilötietojen keräämiseen PIPEDA:ssa
Tieto henkilötietojen keräämisestä, käytöstä ja luovuttamisesta on toimitettava täydellisessä muodossa. Jotta evästeen suostumus olisi helpompi ymmärtää pipedassa, joitain elementtejä tulisi korostaa enemmän.
Henkilötietojen suojaa ja sähköisiä asiakirjoja koskeva laki edellyttää, että kuluttaja ymmärtää nopeasti PIPEDA:ssa olevan evästesuostumuksen luonteen ja tarkoituksen. Jotta suostumus katsottaisiin päteväksi ja merkitykselliseksi, organisaatioiden on kerrottava tietosuojakäytännöstään kattavasti ja ymmärrettävästi. Tämä puolestaan tarkoittaa, että yritysten on annettava tietoa tietosuojakäytännöistään muodossa, joka on helposti kiinnostuneiden osapuolten saatavilla.
Valitettavasti todellisuus on usein se, että tärkeät tietosuojakäytännöt haudataan käyttöehtoihin. Kuka tahansa, joka voi käyttää vain vähän aikaa ja energiaa tietosuojatietojen tarkistamiseen, ei hyödy tietoylimäärästä käytännössä. Järkevän suostumuksen saamiseksi organisaatioiden on annettava verkkosivun vierailijalle mahdollisuus tarkistaa nopeasti ja suoraan tietosuojapäätösten keskeiset osat . Tämä on tärkeää esimerkiksi, jos tarjotun palvelun tai tuotteen käyttö edellyttää sovelluksen tai muun sovelluksen ostamista tai lataamista.
Kuluttajat ja asiakkaat odottavat, että heidän henkilötietojaan ei luovuteta toiselle organisaatiolle ilman heidän tietämystänsä ja suostumustaan, vaikka PIPEDA:ssa olisi suostumus evästeeseen. Tämä näkökohta on myös otettava huomioon PIPEDA:n evästeen suostumuksella. Tästä syystä tietojen luovuttaminen kolmansille osapuolille on ilmoitettava selvästi . Erityistä huomiota tulee kiinnittää tietojen luovuttamiseen kolmansille osapuolille, jotka voivat käyttää tietoja omiin tarkoituksiinsa pelkän palvelujen tarjoamisen sijaan.
Mihin tarkoituksiin henkilötietoja kerätään, käytetään tai jaetaan? Asiakkaille ja kuluttajille on tiedotettava kaikista tarkoituksista, joihin tietoja kerätään ja käytetään. Heidän on kyettävä ymmärtämään, mihin heiltä pyydetään suostumusta. Tämä tarkoitus on kuvattava selkeällä kielellä. Epämääräisiä aikomuksia ja muotoiluja, kuten ”palvelun optimointi”, tulee välttää. Se, mikä on olennaista palvelun tarjoamisen kannalta, on erotettava tiedoista, jotka eivät ole sitä. Kaikki käytettävissä olevat vaihtoehdot tulee selittää selkeästi ja avoimesti.
vahinkoja ja seurauksia
Tietojen väärinkäytön ja tietojen menetyksen riskit
Kun yritys tai organisaatio suunnittelee mahdollisia skenaarioita haitoista, joita voi aiheutua henkilötietojen keräämisestä, käytöstä tai paljastamisesta, henkilötietojen suoja- ja sähköisistä asiakirjoista annettu laki edellyttää, että se on vastuussa kyseisen riskin pienentämisestä. Joissakin tapauksissa ennakoivat riskinhallintatoimet voivat vähentää riskiä merkittävästi. Muissa tapauksissa riski pysyy kuitenkin lähes ennallaan.
Kuluttajalle on aina tiedotettava merkittävistä jäännösriskeistä , joihin liittyy merkittäviä vahinkoja. Henkilötietojen suojasta ja sähköisistä asiakirjoista annetussa laissa määritelty merkittävä riski on riski, jonka todennäköisyys on suurempi kuin minimaalinen. Merkittäviä vahinkoja ovat fyysiset vahingot, nöyryytykset, maineen vahingoittaminen, työpaikan, liiketoiminta- tai uramahdollisuuksien menetys ja taloudelliset menetykset.
Näitä riskejä ovat myös identiteettivarkaudet ja negatiiviset vaikutukset luottokelpoisuuteen. Vahinkoriski on siksi määriteltävä laajasti. Välittömän vahingon lisäksi siihen tulee sisältyä myös kohtuudella ennakoitavissa oleva vahinko, jonka voivat aiheuttaa pahantahtoiset toimijat tai muut.
Tarjoa ihmisille selkeitä tapoja sanoa ”kyllä” tai ”ei”.
Ennen tuotteen tai palvelun käyttämistä kuluttajalla on oltava valinta. Tämä valinta on selitettävä selvästi ja sen on oltava helposti saatavilla. Se, onko kutakin vaihtoehtoa kuvata parhaiten ”opt-in” tai ”opt-out”, riippuu Pipedan evästeen suostumukseen liittyvistä tekijöistä.
Ole innovatiivinen ja luova
Organisaatioiden tulee suunnitella ja/tai ottaa käyttöön innovatiivisia evästeiden suostumusprosesseja PIPEDA:ssa , jotka voidaan ottaa käyttöön juuri ajoissa, ovat kontekstikohtaisia ja sopivat käytettävän käyttöliittymän tyyppiin.
Evästeen suostumus PIPEDA:ssa
Tietoinen suostumus evästeen muodossa PIPEDA:ssa on jatkuva prosessi, joka muuttuu muuttuvien olosuhteiden mukaan; Organisaatioiden ei pidä luottaa staattiseen ajankohtaan , vaan käsitellä suostumusta dynaamisena ja vuorovaikutteisena prosessina .
Muutokset tietosuoja-asetukseen
Jos organisaatio aikoo tehdä olennaisia muutoksia tietosuojakäytäntöihinsä Kanadan GDPR:n mukaisesti, sen on ilmoitettava siitä käyttäjille ja hankittava heidän suostumuksensa ennen kuin muutokset tulevat voimaan. Merkittäviä muutoksia ovat henkilötietojen käyttö uuteen tarkoitukseen, jota ei ole alun perin tarkoitettu, tai henkilötietojen uusi luovuttaminen kolmansille osapuolille muuhun tarkoitukseen kuin palvelun tarjoamisen kannalta tarpeelliseen käsittelyyn.
Muista yksityisyys
Organisaatioiden tulisi harkita ajoittain yksilöiden muistuttamista heidän tietosuojavalinnoistaan ja pyytää heitä tarkistamaan ne Kanadan GDPR:n mukaisesti. Lopuksi paras käytäntö on, että organisaatioiden tulisi säännöllisesti tarkistaa tiedonhallintakäytäntöjään varmistaakseen, että henkilötietoja käsitellään jatkossakin yksilölle kuvatulla tavalla.
osoittaa noudattamista
Organisaatioiden on pyydettäessä kyettävä osoittamaan vaatimustenmukaisuus ja erityisesti, että niiden toteuttama suostumusprosessi on riittävän ymmärrettävä niiden kohdeyleisöjen yleisestä näkökulmasta, jotta se mahdollistaa pätevän ja merkityksellisen suostumuksen.
Saadakseen tarkoituksenmukaisen suostumuksen ja täyttääkseen niihin liittyvät Kanadan tietosuojalain mukaiset velvoitteensa organisaatioiden on:
- Anna tietosuojatiedot täydellisessä muodossa korostaen tai kiinnittäen huomiota neljään avaintekijään:
- Mitä henkilötietoja tulisi kerätä?
- Minkä osapuolten kanssa henkilötietoja jaetaan?
- Mihin tarkoituksiin henkilötietoja kerätään, käytetään tai jaetaan?
- Mitkä ovat vahinkojen ja muiden seurausten riskit?
- Suostumusmuoto – evästeen suostumus PIPEDA:ssa
- Hanki nimenomainen suostumus kaiken keräämiseen, käyttöön tai paljastamiseen.
FAQ: PIPEDA
Yksityisen sektorin tietosuojalait edellyttävät yrityksiä luomaan ja julkaisemaan helposti saatavilla olevia tietosuojakäytäntöjä. Selitä, kuinka asiakkaiden henkilökohtaisia tietoja kerätään, käytetään ja jaetaan. Tämä tarkoittaa myös sitä, että tietosuojaseloste on julkaistava verkossa, jos yrityksellä on läsnäolo verkossa.
Henkilötietojen suojaa ja sähköisiä asiakirjoja koskeva laki (PIPEDA) on liittovaltion yksityisen sektorin organisaatioiden tietosuojalaki. Se asettaa perussäännöt sille, kuinka yritysten tulee käsitellä henkilötietoja liiketoiminnassaan.
Henkilötietojen suojaa ja sähköisiä asiakirjoja koskeva laki (PIPEDA) on Kanadan kaupallisten organisaatioiden liittovaltion tietosuojalaki. PIPEDA pyrkii yhdenmukaistamaan Kanadan raportointivelvoitteet maan kauppakumppaneiden eli EU:n kanssa.
- vastuullisuus
- korvamerkitseminen
- hyväksyminen
- Datan välttäminen ja datatalous
- Varastointi, käyttö ja käsittely
- tarkkuus
- eheys ja luottamuksellisuus
- läpinäkyvyys
- oikeus antaa tietoja
- valitusoikeus
PIPEDA:n oikeusperusta tuli voimaan 1.1.2004. Henkilötietojen suojaa ja sähköisiä asiakirjoja koskeva laki säädettiin, jotta voidaan vastata oikeutettuihin kuluttajien tietosuojaongelmiin ja antaa kanadalaisille yrityksille mahdollisuus kilpailla maailmanlaajuisessa digitaalitaloudessa. Uudistuksen poliittinen tavoite on rakentaa luottamusta sähköiseen kaupankäyntiin.
Käännettynä PIPEDA tarkoittaa jotain henkilötietojen ja sähköisten asiakirjojen suojaamista koskevaa lakia.
PIPEDAa käytetään kaikenkokoisille organisaatioille ja yrityksille. Kanadan GDPR säätelee henkilötietojen keräämistä, käyttöä ja luovuttamista – myös rajojen yli.