PIPEDA – A kanadai általános adatvédelmi rendelet

Ebben a cikkben mindent elmagyarázunk a PIPEDA kanadai adatvédelmi rendeletről és a közelgő CPPA rendeletről. A következő cikkben részletesebben foglalkozunk a cookie-kkal és a hozzájárulással.

Mi az a PIPEDA?

A PIPEDA a személyes adatok védelméről és az elektronikus dokumentumokról szóló törvény rövidítése, és az új kanadai általános adatvédelmi rendeletre utal. A módosítás a két korábbi kanadai adatvédelmi törvényt, a Consumer Privacy Protection Act (CPPA) és a Personal Information and Data Protection Tribunal Act (PIDPTA) törvényt egyesíti a GDPR-ral egyenértékű átfogó szabályozásban. A PIPEDA-ban sok helyen látható az európai általános adatvédelmi rendeletre való hivatkozás, ezért is szokták GDPR Canada néven is nevezni.

A GDPR-hoz hasonlóan a kanadai adatvédelmi törvény szabályozza a kereskedelmi tevékenység során gyűjtött és tárolt személyes adatok kezelését. A személyes adatok védelméről és az elektronikus dokumentumokról szóló PIPEDA törvény ezért fontos minden olyan vállalat számára, amely szolgáltatással és termékkel kívánja elérni a kanadai fogyasztókat – legyen szó helyhez kötött vagy távértékesítésről. A PIPEDA értelmében kereskedelmi tevékenységnek minősül minden kereskedelmi eredetű vagy kereskedelmi szándékú ügylet és tevékenység.

A PIPEDA azokra a vállalatokra és szervezetekre vonatkozik, amelyek szövetségi szabályozás alá tartoznak, és a kanadai jogszabályok hatálya alá tartoznak. A személyes adatok védelméről és az elektronikus dokumentumokról szóló törvény az egyes tartományok magánszektorára is vonatkozik, kivéve, ha egy tartomány saját adatvédelmi törvényt fogadott el, amely nagyjából hasonló a személyes adatok védelméről és az elektronikus dokumentumokról szóló PIPEDA törvényhez. Csak British Columbia, Alberta és Quebec rendelkezik olyan adatvédelmi törvényekkel, amelyek nagyjából hasonlóak a személyes adatok védelméről és az elektronikus dokumentumokról szóló PIPEDA törvényhez. Ha egy vállalat székhelye British Columbia, Alberta vagy Quebec, a személyes adatok védelméről és az elektronikus dokumentumokról szóló törvény vonatkozik az olyan szervezetek által gyűjtött személyes adatokra, ahol az információ kereskedelmi felhasználása meghaladja az adott tartomány határait.

A személyes adatok védelméről és az elektronikus dokumentumokról szóló törvény 10 adatvédelmi alapelve PIPEDA

Azoknak a vállalkozásoknak, amelyeknek meg kell felelniük a PIPEDA előírásainak, kellő időben figyelembe kell venniük a kanadai GDPR adatvédelmi elveit . 10 pont felvázolja azokat a jogokat és kötelezettségeket, amelyeket a szervezeteknek követniük kell a kanadai fogyasztókkal folytatott kereskedelmi tranzakciók során a kanadai GDPR értelmében:

  1. elszámoltathatóság
  2. elkülönítés
  3. beleegyezés
  4. Adatkerülés és adatgazdaság
  5. Tárolás, felhasználás és feldolgozás
  6. pontosság
  7. integritás és titoktartás
  8. átláthatóság
  9. tájékoztatás joga
  10. fellebbezési jog

Aki ismeri az általános adatvédelmi rendeletet, az már az EU GDPR-ban is megtalálható PIPEDA 10 alapelvének áttekintésében számos szempontot felismer. Mindazonáltal vannak eltérések a részletekben , különösen a személyes adatok gyűjtéséhez való hozzájárulás tekintetében. Vessünk egy gyors pillantást a 10 pont mindegyikére:

1. Elszámoltathatóság

Az elszámoltathatóság elve azt jelenti, hogy bizonyos méret felett a szervezetnek ki kell jelölnie egy személyt, aki az összegyűjtött és személyes adatok kezeléséért felelős. Ezt a személyt a GDPR-ban adatvédelmi tisztviselőnek nevezik – a személyes adatok védelméről és az elektronikus dokumentumokról szóló PIPEDA törvényben adatvédelmi tisztviselőnek vagy adatvédelmi vezetőnek (CPO) nevezik. Kisebb cégeknél az adatvédelmi felelős részmunkaidőben is elláthatja a feladatát . Fő feladata a PIPEDA szerinti adatvédelmi követelményeknek megfelelő eljárások kidolgozása, megvalósítása és nyomon követése . Továbbá az adatvédelmi tisztviselőnek fogadnia kell és meg kell válaszolnia az adatgyűjtéssel kapcsolatos panaszokat . További fontos terület a dolgozók képzése és az egyes felelősségi területekre vonatkozó adatvédelmi követelmények kommunikálása. Amennyiben a fogyasztó harmadik fél általi adatkezeléshez hozzájárult, az adatvédelmi tisztviselő felelős azért, hogy a harmadik felek betartsák a PIPEDA előírásait.

2. A cél korlátozása

Miért akarja a vállalat tárolni az ügyfelek személyes adatait ? A célt legkésőbb az adatrögzítéskor közölni kell a fogyasztóval. A nyilvánosságra hozatal átláthatóságot teremt, ugyanakkor megkönnyíti a vállalat számára az adott hozzáférés megvalósítását. A PIPEDA szerint az adatgyűjtés célja minden ügyféllel kapcsolatba kerülő munkatárssal közölni. Ha például a pénztárnál vásárláskor a vásárlótól elkérik a címet vagy a telefonszámot, akkor az adatok felhasználását kérésére el kell neki magyarázni . Az ügyfelektől személyazonosításra alkalmas adatokat gyűjtő papíralapú űrlapokon és online űrlapokon egyértelműen le kell írni a gyűjtés célját is. Az összegyűjtött személyes adatok az ügyfél kifejezett engedélye nélkül nem használhatók fel új célra. Kivételt képeznek az ezt megkövetelő jogi előírások.

3. Hozzájárulás

Vállalkozás nem gyűjthet, használhat fel vagy hozhat nyilvánosságra személyes adatokat az ügyfél tudta és hozzájárulása nélkül . Az ügyféladatok gyűjtésének szándékát egyértelműen és egyértelműen közölni kell. Ha a személyes adatot űrlapon kérik, akkor a kétértelmű megfogalmazások nem megengedettek. Egy személyt nem ér hátrány, ha megtagadja a tájékoztatást. A cégeknek ezért termékeiket és szolgáltatásaikat olyan fogyasztók számára is elérhetővé kell tenniük, akik nem kívánnak olyan adatokat szolgáltatni, amelyek nem a termékhez vagy szolgáltatáshoz kapcsolódnak. Van néhány kivétel: A vállalat tartózkodhat a hozzájárulás megadásától, ha jogi vagy egészségügyi okok miatt nem teszi meg. Bizonyos termékekre biztonsági okok is vonatkozhatnak. Ha pedig bűnüldözési célból gyűjtenek információkat, a beleegyezéstől is lemondanak. A beleegyezéstől el lehet tekinteni abban az esetben is, ha egy személy kiskorú, súlyosan beteg vagy értelmi fogyatékos. A hozzájárulást azonban meghatalmazott képviselő is megadhatja.

A beleegyezés típusa alapján különbséget kell tenni a következők között:

  • kifejezett
  • hallgatólagosan
  • kiszáll

Sok esetben – például az online regisztrációhoz – az Európai Általános Adatvédelmi Rendelethez hasonlóan itt is szükség van a fogyasztó kifejezett hozzájárulására. Leiratkozás általában nem biztosított. Például nem lehet előzetesen pipát vagy gombot hozzárendelni a Cookie Consent PIPEDA-hoz – ez egyenértékű a GDPR cookie-szabályozásával. A hozzájárulást elvileg nem kell írásban megadni – elegendő a szóbeli hozzájárulás. Például elegendő, ha az érdeklődő telefonon hozzájárul ahhoz, hogy hírlevélben szerepeljen. A rendszeresen telefonon adott hozzájárulás azonban megnehezíti a cég számára a bizonyítékok benyújtását . Egyes esetekben a hozzájárulás közvetlenül a fogyasztó cselekedeteiből is származhat.

A fogyasztó a hozzájárulását szerződéses és jogszabályi korlátozások és határidők betartásával bármikor visszavonhatja, a hozzájárulás visszavonásának következményeiről a vállalkozás köteles tájékoztatni a vásárlót.

4. Adatkerülés és adatgazdaság

Az adatgyűjtésnek a célhoz szükséges adatmennyiségre való korlátozásának elve az európai GDPR-ban is fontos szerepet játszik. A társaság által gyűjtött személyes adatoknak az üzleti kapcsolat keretében folytatott tevékenységhez szükséges mértékre kell korlátozódniuk.

A PIPEDA szerint kerülni kell a szükségtelen személyes adatok gyűjtését és tárolását is. A „tisztességes és jogszerű eszközök” kifejezés mögött megbúvó tisztességes és jogszerű adatkezelés az ügyfél adatszuverenitását és az átlátható folyamatok szükségességét célozza. Bizonyos személyes adatok gyűjtésének célját nem takarhatják el megtévesztés vagy félreérthető kijelentések.

5. Tárolás, használat és feldolgozás

A rögzített adatok felhasználása csak azon a folyosón mozoghat, amelyről az ügyfél tudomást szerez, és amelyhez hozzájárulását adta. A személyes adatok nyilvánosságra hozatala vagy egyéb felhasználása a PIPEDA kanadai általános adatvédelmi rendelet értelmében nem megengedett. A megőrzési időszakok a társasági követelményeken és egyéb jogszabályokon alapulnak. A társaságok számára ajánlott minimális megőrzési idő egy év. Ez az időszak elegendő kapacitást hagy a vállalat számára ahhoz, hogy ellenőrizze és megfeleljen a jogi követelményeknek. A maximális megőrzési időt a társaság határozza meg és hozza nyilvánosságra.

Az adatok korlátlan tárolása nem megengedett – a fogyasztót kérésre tájékoztatni kell, hogy adatai véglegesen törlésre kerülnek. Igény szerint az adatok anonimizálhatók és idő előtt megsemmisíthetők, a határidők figyelembevételével. Ezenkívül a szervezetnek képesnek kell lennie arra, hogy nyilvánosságra hozza, hogy ki és milyen mértékben kapott hozzájárulást az adatok kezeléséhez.

6. Pontosság

A pontosság elve biztosítja, hogy a vállalkozás által gyűjtött személyes adatok helyesek, teljesek és naprakészek legyenek abból a célból, amelyre azokat felhasználják.

Nem szabad megfeledkezni arról, hogy az összegyűjtött adatokat a fogyasztó mindenek felett álló érdekében kell felhasználni.

A helyesség meghatározása a PIPEDA-ban nem csak a vállalatok és az ügyfelek közötti kapcsolat szempontjából fontos. Például, ha egy szervezet személyes adatokat gyűjt a jelentkezői profilok toborzási folyamat előtti ellenőrzése érdekében, akkor gondoskodni kell arról, hogy a hibás vagy hiányos rögzítés ne okozzon hátrányt a jelentkezőknek.

Személyes adatok frissítése

A személyes adatok automatikus és rendszeres frissítése általában nem megengedett. A PIPEDA ezen irányelve a harmadik félnek továbbított információkra is vonatkozik.

7. Integritás és titoktartás

Az integritás és a titoktartás elve azt jelenti, hogy a személyes adatokat védeni kell az elvesztés vagy ellopás , a jogosulatlan hozzáférés, nyilvánosságra hozatal, másolás, megváltoztatás vagy jogosulatlan felhasználás ellen. Ez az elv függetlenül attól, hogy az adatokat milyen formátumban tárolják.

Megfelelő védőintézkedések

Az erőfeszítés a vállalat méretétől függ. Azok a kisvállalkozások, amelyek online hírlevélhez gyűjtik az ügyfelek e-mail címeit, eltárolhatják az e-mail címeket egy táblázatban. Ha a táblázatot jelszóval védik, és emellett magas fokon titkosítják, akkor megfelelő védelem feltételezhető.

A nagy szervezetek gyakran nagy mennyiségben kezelnek érzékeny személyes adatokat – minden adattakarékosság ellenére. Ezek a cégek nagyobb valószínűséggel lesznek támadók célpontjai, ezért itt sokkal szigorúbb biztonsági óvintézkedéseket kell tenni.

Minden biztonsági intézkedésnek átlagon felüli védelmet kell kínálnia a védendő személyes adatok számára a magas szintű integritás biztosítása érdekében.

Személyes adatok megsemmisítése

A személyes adatok selejtezése vagy megsemmisítése esetén kizárható az emberi megítélés alapján történő helyreállítás és az adatmegsemmisítés magas technológiai színvonalának alkalmazása. Ez vonatkozik mind a papíralapú dokumentumok fizikai megsemmisítésére, mind a memóriamodulokon lévő adatbázisok megsemmisítésére.

8. Átláthatóság

A társaságnak könnyen hozzáférhetővé kell tennie a személyes adatok kezelésére vonatkozó irányelveit és eljárásait . Az ügyfeleknek ezért bonyolult kitérők nélkül hozzá kell tudniuk férni ezekhez az információkhoz. Az adatvédelemmel kapcsolatos fogyasztói megkeresésekre adott válaszokat ésszerű időn belül és a lehető legközvetlenebbül kell megválaszolni . A közölt információkat általánosan érthető módon kell megfogalmazni. Kerülni kell a jogi szakzsargont.

A PIPEDA követelményei

A PIPEDA szerint a szervezetnek kérésre meg kell adnia ezeket az adatokat:

  • Annak a személynek a neve vagy beosztása és címe, aki felelős a szervezet politikájáért és gyakorlatáért, és akihez panaszt vagy vizsgálatot lehet küldeni.
  • A személyes adatokhoz való hozzáférés módjai
  • Az összegyűjtött személyes adatok típusa, beleértve a felhasználás leírását.
  • Írásos információ, amely elmagyarázza a vállalati szervezeti szabályzatokat és szabványokat

9. Információhoz való jog

A társaságnak kérésre tájékoztatást kell adnia a személynek a tárolt személyes adatokról és azok hitelesítés utáni felhasználásáról. Ha az ügyfél kétségbe vonja a személyes adatok helyességét vagy teljességét, ragaszkodhat a rögzített adatok megváltoztatásához. Ez jelentheti az adatok javítását , törlését vagy hozzáadását .

kivételek

A személyes adatokra vonatkozó tájékoztatás különböző okokból megtagadható. Ez az eset áll fenn, ha az információ ügyvéd-ügyfél kiváltság alá tartozik, vagy ha bizalmas üzleti információkat hozzák nyilvánosságra.

Hitelesítési követelmények

A személyes adatokhoz való hozzáférés engedélyezése előtt a társaságnak meg kell győződnie arról, hogy a megfelelő személlyel kommunikál.

Egyes szervezetek ezt úgy teszik meg, hogy államilag kibocsátott személyazonosító okmányt kérnek. Szükség esetén lehetőség van a számlainformációk alapján történő ellenőrzésre más adatokkal, például a leánykori névvel vagy a tárolt jelszóval kombinálva. A szigorú hitelesítési követelmények azonban nem akadályozhatják az információhoz való jogot.

Információ – idő és költségek

A tájékoztatás iránti megkeresésekre ésszerű időn belül kell válaszolni, minimális vagy költségmentesen az egyén számára. A kérelem kézhezvételétől számított legkésőbb 30 napon belül meg kell válaszolni. Ha egy cégnek kivételesen több időre van szüksége az információszolgáltatáshoz, akkor köztes határozatot kell küldenie az érintettnek, és meg kell indokolnia a késedelmet.

10. Panaszjog

A PIPEDA-ban rögzített fellebbezési jog lehetővé teszi az ügyfelek és a fogyasztók számára, hogy célzott lépéseket tegyenek a vállalatok ellen a DSVGO Canada pontjainak megsértése esetén.

A vállalkozásoknak eljárásokat kell biztosítaniuk a panaszok és megkeresések fogadására és megválaszolására. Ezeknek az eljárásoknak egyszerűnek és könnyen használhatónak kell lenniük. Ezenkívül a Kanadai GDPR értelmében a vállalatoknak nyomon kell követniük és ki kell vizsgálniuk a panaszokat, még akkor is, ha úgy vélik, hogy a panasz megalapozatlannak tűnik . Ha a panasz megalapozottnak bizonyul, megfelelő korrekciós intézkedéseket kell tenni. A panaszok fogadásáért és az eljárások megindításáért a társaság adatvédelmi felelőse a felelős.