PIPEDA – Kanadan yleinen tietosuoja-asetus

Tässä artikkelissa selitämme kaiken Kanadan tietosuoja-asetuksen PIPEDA ja tulevan CPPA-asetuksen suhteen. Seuraavassa artikkelissa käsitellään tarkemmin evästeitä ja suostumusta.

Mikä on PIPEDA?

PIPEDA on lyhenne sanoista Personal Information Protection and Electronic Documents Act , ja se viittaa Kanadan uuteen yleiseen tietosuoja-asetukseen. Muutos yhdistää kaksi aiempaa Kanadan tietosuojalakia Consumer Privacy Protection Act (CPPA) ja Personal Information and Data Protection Tribunal Act (PIDPTA) kattavaksi GDPR:ää vastaavaksi asetukseksi. Viittaus Euroopan yleiseen tietosuoja-asetukseen näkyy PIPEDA:ssa monin paikoin, minkä vuoksi sitä kutsutaan usein myös GDPR Kanadaksi.

Kuten GDPR, Kanadan tietosuojalaki säätelee kaupallisen toiminnan yhteydessä kerättyjen ja tallennettujen henkilötietojen käsittelyä. Henkilötietojen suojaa ja sähköisiä asiakirjoja koskeva PIPEDA-laki on siksi tärkeä kaikille yrityksille , jotka haluavat tavoittaa kuluttajat Kanadassa palveluilla ja tuotteilla – olipa kyse kiinteästä tai etämyynnistä. Kaupallisella toiminnalla PIPEDA:ssa tarkoitetaan kaikkea kaupallista alkuperää tai kaupallista tarkoitusta koskevia liiketoimia ja toimia.

PIPEDA koskee yrityksiä ja organisaatioita, jotka ovat liittovaltion säänneltyjä ja Kanadan lainsäädännön alaisia. Henkilötietojen suojaa ja sähköisiä asiakirjoja koskeva laki koskee myös kunkin maakunnan yksityistä sektoria, ellei maakunta ole säätänyt omaa tietosuojalakia, joka on pitkälti samanlainen kuin henkilötietojen suoja- ja sähköisten asiakirjojen laki PIPEDA. Vain Brittiläisessä Kolumbiassa, Albertassa ja Quebecissä on tietosuojalakeja, jotka ovat pitkälti samanlaisia kuin PIPEDA- laki henkilötietojen suojasta ja sähköisistä asiakirjoista . Jos yrityksen kotipaikka on British Columbia, Alberta tai Quebec, henkilötietojen suoja- ja sähköisten asiakirjojen lakia sovelletaan sellaisten organisaatioiden keräämiin henkilötietoihin, joissa tietojen kaupallinen käyttö ylittää kyseisen provinssin rajat.

Henkilötietojen suojasta ja sähköisistä asiakirjoista annetun lain PIPEDA 10 tietosuojaperiaatetta

Yritysten, joiden on noudatettava PIPEDA-säännöksiä, tulee harkita tämän Kanadan GDPR:n tietosuojaperiaatteet hyvissä ajoin. 10 kohtaa määrittelevät oikeudet ja velvollisuudet, joita organisaatioiden on noudatettava tehdessään kaupallisia liiketoimia kanadalaisten kuluttajien kanssa Kanadan GDPR: n mukaisesti:

  1. vastuullisuus
  2. korvamerkitseminen
  3. suostumus
  4. Datan välttäminen ja datatalous
  5. Varastointi, käyttö ja käsittely
  6. tarkkuus
  7. eheys ja luottamuksellisuus
  8. läpinäkyvyys
  9. oikeus antaa tietoja
  10. valitusoikeus

Jokainen yleiseen tietosuoja-asetukseen perehtynyt tunnistaa jo monia näkökohtia PIPEDA:n 10 periaatteen yleiskatsauksessa, jotka löytyvät myös EU:n GDPR:stä. Yksityiskohdissa on kuitenkin eroja , myös ja erityisesti henkilötietojen keräämisen suostumuksessa. Katsotaanpa nopeasti kutakin kymmentä pistettä:

1. Vastuullisuus

Vastuullisuusperiaate tarkoittaa, että tietyn koon ylittyessä organisaation on nimettävä henkilö, joka vastaa kerättyjen ja henkilötietojen hoidosta. Tätä henkilöä kutsutaan tietosuojavastaavaksi GDPR:ssä – henkilötietojen suojasta ja sähköisistä asiakirjoista annetussa laissa PIPEDA häntä kutsutaan tietosuojavastaavaksi tai tietosuojavastaavaksi (CPO) . Pienemmissä yrityksissä tietosuojavastaava voi hoitaa tehtävänsä myös osa-aikaisesti . Sen päätehtävänä on kehittää, toteuttaa ja valvoa menettelyjä , jotka täyttävät PIPEDA :n mukaiset tietosuojavaatimukset . Lisäksi tietosuojavastaavan on vastaanotettava tiedonkeruuta koskevia valituksia ja vastattava niihin . Toinen tärkeä osa-alue on henkilöstön koulutus ja yksittäisten vastuualueiden tietosuojavaatimuksista tiedottaminen. Jos kuluttaja on antanut suostumuksensa tietojen käsittelyyn kolmansien osapuolten toimesta, tietosuojavastaava on vastuussa siitä, että kolmannet osapuolet noudattavat PIPEDA-vaatimuksia.

2. Käyttötarkoituksen rajoitus

Miksi yritys haluaa tallentaa asiakkaan henkilötietoja ? Tarkoitus on ilmoitettava kuluttajalle viimeistään tietojen tallennuksen yhteydessä. Tietojen paljastaminen lisää läpinäkyvyyttä, mutta helpottaa myös tietyn pääsyn käyttöönottoa. PIPEDA:n mukaan tiedonkeruun tarkoitus on viestiä jokaiselle asiakkaiden kanssa tekemisissä olevalle työntekijälle. Mikäli asiakkaalta kysytään esimerkiksi osoitetta tai puhelinnumeroa ostoa tehdessään kassalla, on hänelle pyydettäessä selvitettävä tietojen käyttö . Paperilomakkeissa ja verkkolomakkeissa, joissa kerätään henkilökohtaisia tietoja asiakkailta, tulee myös kuvata selkeästi keräämisen tarkoitus. Kerättyjä henkilötietoja ei saa käyttää uuteen tarkoitukseen ilman asiakkaan nimenomaista lupaa. Poikkeuksena ovat lakivaatimukset, jotka edellyttävät tätä.

3. Suostumus

Yritys ei saa kerätä, käyttää tai luovuttaa henkilötietoja ilman asiakkaan tietämystä ja suostumusta . Aikomuksesta kerätä asiakastietoja on ilmoitettava selkeästi ja yksiselitteisesti. Jos henkilötietoja pyydetään muodossa, moniselitteiset sanamuodot eivät siksi ole sallittuja. Henkilö ei joudu epäedulliseen asemaan, jos hän kieltäytyy antamasta tietoja. Yritysten on siksi myös asetettava tuotteensa ja palvelunsa sellaisten kuluttajien saataville, jotka eivät halua antaa tietoja, jotka eivät liity tuotteeseen tai palveluun. On olemassa muutamia poikkeuksia: Yritys voi pidättäytyä antamasta suostumusta, jos siihen on laillisia tai lääketieteellisiä syitä olla antamatta. Turvallisuussyyt voivat koskea myös tiettyjä tuotteita. Ja jos tietoja kerätään lainvalvontaa varten, myös suostumuksesta luovutaan. Suostuksesta voidaan luopua myös silloin, kun henkilö on alaikäinen, vakavasti sairas tai henkisesti vammainen. Suostumuksen voi kuitenkin antaa myös valtuutettu edustaja.

Suostumustyypin mukaan erotetaan seuraavat:

  • selkeää
  • epäsuorasti
  • jättäytyä syrjään

Monissa tapauksissa – kuten verkkorekisteröinti – kuten Euroopan yleisessä tietosuoja-asetuksessa, tässä vaaditaan myös kuluttajan nimenomainen suostumus. Opt-out-oikeutta ei yleensä tarjota. Esimerkiksi evästeiden suostumusPIPEDAan ei saa olla ennalta määritettyjä rastia tai painikkeita – mikä vastaa GDPR:n evästesääntöjä. Periaatteessa suostumusta ei tarvitse antaa kirjallisesti – suullinen suostumus riittää. Esimerkiksi riittää, että asianomainen antaa suostumuksensa uutiskirjeeseen puhelimitse. Säännöllisesti puhelimitse annettu suostumus vaikeuttaa kuitenkin yrityksen todisteiden toimittamista . Joissain tapauksissa suostumus voidaan johtaa myös suoraan kuluttajan toiminnasta.

Kuluttaja voi peruuttaa suostumuksensa milloin tahansa sopimus- ja lakirajoituksin ja määräajoin.Yrityksen on ilmoitettava asiakkaalle suostumuksen peruuttamisen seurauksista.

4. Datan välttäminen ja datatalous

Periaate tiedonkeruun rajoittamisesta tiettyyn tarkoitukseen vaadittavaan tietomäärään on periaate, jolla on tärkeä rooli myös eurooppalaisessa GDPR:ssä. Yrityksen keräämät henkilötiedot tulisi rajoittaa siihen, mikä on välttämätöntä liikesuhteen puitteissa tapahtuvaa toimintaa varten.

Myös tarpeettomien henkilötietojen keräämistä ja säilyttämistä tulee PIPEDA:n mukaan välttää. Reilu ja laillinen tietojenkäsittely, joka kätkeytyy ilmaisun ”Fair and Lawful Means” taakse, tähtää asiakkaan tietosuvereniteetiin ja läpinäkyvien prosessien tarpeeseen. Tarkoitus, jota varten tiettyjä henkilötietoja tulee kerätä, ei saa hämärtää vilpillisillä tai moniselitteisillä lausunnoilla.

5. Varastointi, käyttö ja käsittely

Tallennettujen tietojen käyttö saa liikkua vain siinä käytävässä, joka on asiakkaan tiedossa ja johon hän on antanut suostumuksensa. Henkilötietojen luovuttaminen tai muu käyttö ei ole sallittua Kanadan yleisen tietosuoja-asetuksen PIPEDA nojalla. Säilytysajat perustuvat yhtiön vaatimuksiin ja muihin lakisääteisiin. Yrityksille suositeltu vähimmäissäilytysaika on yksi vuosi. Tämä ajanjakso jättää yritykselle riittävästi kapasiteettia tarkistaa ja noudattaa lakisääteisiä vaatimuksia. Yrityksen on määriteltävä ja julkistettava enimmäissäilytysaika.

Rajoittamaton tietojen säilyttäminen ei ole sallittua – kuluttajalle on pyydettäessä ilmoitettava, milloin hänen tietonsa poistetaan pysyvästi. Tiedot voidaan haluttaessa anonymisoida ja tuhota etukäteen määräajat huomioiden. Lisäksi organisaation on voitava ilmoittaa, kuka on saanut suostumuksensa tietojen käsittelyyn ja missä laajuudessa.

6. Tarkkuus

Tarkkuusperiaatteella varmistetaan, että yrityksen keräämät henkilötiedot ovat oikeita, täydellisiä ja ajantasaisia niihin tarkoituksiin, joihin niitä käytetään.

On pidettävä mielessä, että kerättyjä tietoja tulee käyttää kuluttajan edun mukaisesti.

PIPEDA:n oikeellisuuden määrittely ei ole tärkeä vain yrityksen ja asiakkaan välisen suhteen kannalta. Jos organisaatio esimerkiksi kerää henkilötietoja tarkistaakseen hakijaprofiilit ennen rekrytointiprosessia, on varmistettava, ettei virheellisestä tai puutteellisesta tallentamisesta aiheudu hakijoille haittaa.

Henkilötietojen päivittäminen

Henkilötietojen automaattinen ja säännöllinen päivittäminen ei yleensä ole sallittua. Tämä PIPEDA:n ohje koskee myös tietoja, jotka välitetään kolmansille osapuolille.

7. Rehellisyys ja luottamuksellisuus

Eheyden ja luottamuksellisuuden periaate tarkoittaa, että henkilötiedot on suojattava katoamista tai varkautta , luvatonta pääsyä, paljastamista, kopioimista, muuttamista tai luvatonta käyttöä vastaan. Tätä periaatetta sovelletaan riippumatta siitä, missä muodossa tiedot on tallennettu.

Asianmukaiset suojatoimenpiteet

Panostus riippuu yrityksen koosta. Pieni yritys, joka kerää asiakkaiden sähköpostiosoitteita online-uutiskirjettä varten, voi tallentaa sähköpostiosoitteet laskentataulukkoon. Jos taulukko on suojattu salasanalla ja lisäksi korkeatasoisesti salattu, voidaan olettaa riittävä suojaus.

Suuret organisaatiot käsittelevät usein arkaluontoisia henkilötietoja suuressa mittakaavassa – kaikesta datataloudesta huolimatta. Nämä yritykset ovat myös todennäköisemmin hyökkääjien kohteita, joten tässä on ryhdyttävä paljon vahvempiin turvatoimiin.

Kaikkien turvatoimien tulee tarjota suojeltaville henkilötiedoille keskimääräistä korkeampi suoja, jotta voidaan varmistaa korkean eheyden taso.

Henkilötietojen tuhoaminen

Jos henkilötietoja on tarkoitus hävittää tai tuhota, ihmisten harkintaan perustuva hyödyntäminen ja korkeat tekniset standardit tietojen tuhoamisessa voidaan sulkea pois. Tämä koskee sekä paperiasiakirjojen fyysistä tuhoamista että muistimoduulien tietokantojen tuhoamista.

8. Läpinäkyvyys

Yrityksen tulee asettaa henkilötietojen käsittelyyn liittyvät politiikkansa ja menettelynsä helposti saataville . Asiakkaiden on siksi voitava päästä käsiksi näihin tietoihin ilman monimutkaisia kiertoteitä. Vastauksiin kuluttajien tietosuojaa koskeviin tiedusteluihin tulee vastata kohtuullisessa ajassa ja mahdollisimman suoraan . Annetut tiedot on muotoiltava yleisesti ymmärrettävällä tavalla. Oikeudellista terminologiaa tulee välttää.

PIPEDA:n vaatimukset

PIPEDA:n mukaan organisaation on toimitettava nämä tiedot pyynnöstä:

  • Organisaation politiikoista ja käytännöistä vastaavan henkilön nimi tai nimike ja osoite, jolle valitukset tai tiedustelut voidaan ohjata.
  • Tapoja päästä käsiksi henkilötietoihin
  • Kerättyjen henkilötietojen tyyppi, mukaan lukien kuvaus niiden käytöstä.
  • Kirjallista tietoa, joka selittää yrityksen organisaation käytännöt ja standardit

9. Oikeus saada tietoa

Yrityksen on pyynnöstä annettava henkilölle tiedot tallennetuista henkilötiedoista ja niiden käytöstä todennuksen jälkeen. Jos asiakas epäilee henkilötietojensa oikeellisuutta tai täydellisyyttä, hän voi vaatia tallennettujen tietojen muuttamista. Tämä voi tarkoittaa tietojen korjaamista , poistamista tai lisäämistä .

poikkeuksia

Henkilötietoja koskevien tietojen antaminen voidaan evätä useista syistä. Näin on silloin, kun tiedot ovat asianajajan ja asiakkaan etuoikeuden alaisia tai jos luottamuksellisia yritystietoja paljastetaan.

Todennusvaatimukset

Yrityksen on ennen henkilötietoihin pääsyn myöntämistä varmistettava, että se on yhteydessä oikeaan henkilöön.

Jotkut organisaatiot tekevät tämän pyytämällä viranomaisten myöntämää henkilötodistusta. Tarvittaessa myös tilitietoihin perustuva varmennus yhdessä muiden tietojen, kuten tyttönimen tai tallennetun salasanan, kanssa on mahdollista. Tiukat todennusvaatimukset eivät kuitenkaan saa muodostaa estettä tiedonsaantioikeudelle.

Tiedot – aika ja kustannukset

Tietopyyntöihin on vastattava kohtuullisessa ajassa ja mahdollisimman vähäisin kustannuksin tai ilman kustannuksia. Siihen on vastattava viimeistään 30 päivän kuluessa pyynnön vastaanottamisesta. Jos yritys poikkeuksellisesti tarvitsee lisäaikaa tietojen toimittamiseen, sen on lähetettävä henkilölle välipäätös ja annettava uskottava syy viivästymiseen.

10. Oikeus valittaa

PIPEDAan ankkuroitu valitusoikeus antaa asiakkaille ja kuluttajille mahdollisuuden ryhtyä kohdennettuihin toimiin yrityksiä vastaan , jos Kanadan GDPR:n kohtia rikotaan.

Yritysten on tarjottava menettelyt valitusten ja tiedustelujen vastaanottamiseksi ja niihin vastaamiseksi. Näiden menettelyjen tulee olla yksinkertaisia ja helppokäyttöisiä. Lisäksi Kanadan GDPR:n mukaan yritysten on seurattava ja tutkittava valituksia, vaikka ne uskoisivat valituksen olevan perusteeton . Jos valitus osoittautuu aiheelliseksi, on ryhdyttävä asianmukaisiin korjaaviin toimenpiteisiin. Yrityksen tietosuojavastaava vastaa valitusten vastaanottamisesta ja menettelyjen aloittamisesta.