Kanadyjska ustawa o ochronie danych osobowych i dokumentach elektronicznych (PIPEDA)

Rozmawialiśmy już wiele razy na naszym blogu o prywatności i ochronie danych osobowych; o temacie w ogóle, o GDPR, LGPD, a nawet CCPA, ale nigdy wcześniej nie poruszaliśmy tematu PIPEDA - Ustawy o ochronie danych osobowych i dokumentów elektronicznych. Tak więc w tym artykule zamierzamy przyjrzeć się przepisom o ochronie prywatności w Kanadzie, obecnym przepisom i przyszłym propozycjom legislacyjnym.

Prywatności w Kanadzie (Office of the Privacy Commissioner of Canada - OPC), wyspecjalizowanej instytucji odpowiedzialnej za zajmowanie się i ochronę prawa do prywatności, odpowiednik Urzędu Ochrony Danych Osobowych (Data Protection Authority - DPA) w UE. Według oficjalnej strony internetowej OPC ( która jest bardzo rozbudowana i zdecydowanie należy ją sprawdzić, jeśli jesteś właścicielem kanadyjskiej strony internetowej), krajowe federalne prawa dotyczące prywatności są następujące:

Ustawa o ochronie prywatności

Ustawa o ochronie prywatności reguluje sposób postępowania rządu z danymi osobowymi dotyczącymi jego obywateli, danymi wykorzystywanymi do realizacji polityki publicznej i programów krajowych. Stanowi ona, że Kanadyjczycy mają prawo wiedzieć, kiedy i w jaki sposób gromadzone są ich dane osobowe i jak są one wykorzystywane przez agencje rządowe. Ustawa ta chroni dane osobowe przechowywane przez te instytucje i przyznaje obywatelom prawo dostępu do ich danych. Ustawa o ochronie prywatności ma zwykle zastosowanie do następujących usług świadczonych przez rząd:

• ubezpieczenie zatrudnienia

• świadczenia z tytułu zabezpieczenia emerytalnego

• bezpieczeństwo publiczne i polityka federalna

• pobór i zwrot podatku

• bezpieczeństwo na granicy.

Ustawa o ochronie danych osobowych i dokumentach elektronicznych (PIPEDA)

PIPEDA reguluje sposób, w jaki sektor prywatny traktuje dane osobowe i została ostatnio zmieniona w maju 2019 roku. Zgodnie z OPC, PIPEDA definiuje dane osobowe jako subiektywne informacje o możliwej do zidentyfikowania osobie fizycznej "w każdej formie, takiej jak:

• wiek, nazwisko, numery identyfikacyjne, dochody, pochodzenie etniczne lub grupa krwi;

• opinie, oceny, komentarze, status społeczny lub działania dyscyplinarne; oraz

• akta pracownicze, dokumentacja kredytowa, dokumentacja kredytowa, dokumentacja medyczna, istnienie sporu między konsumentem a handlowcem, zamiary (na przykład nabycia towarów lub usług, lub zmiany pracy)".

Aby przedsiębiorstwo było zgodne z wymogami PIPEDA, musi zawsze uzyskać zgodę osoby fizycznej przed zebraniem jej danych osobowych, a dane te mogą być wykorzystywane wyłącznie w celu, dla którego zostały zebrane. Nowa zgoda jest konieczna, jeśli dane dotyczą ujawnienia i wykorzystania w inny sposób, niż został on wcześniej zatwierdzony przez osobę fizyczną. Ludzie mają prawo dostępu do swoich danych w każdej chwili i kwestionowania ich dokładności. Może to brzmieć bardzo rygorystycznie, ale należy pamiętać, że PKBR jest bardziej rygorystyczny niż i jest lepiej zdefiniowany. Podczas gdy dla PIPEDA zgoda może być "wyraźna" lub "dorozumiana", pozostawiając pole do dyskusji, zgoda GDPR musi być bardzo szczegółowa. Kolejna bardzo duża różnica ma związek z grzywnami - grzywny PIPEDA są znacznie niższe (100 000 CAD$, około 65 000 €) w porównaniu z grzywnami GDPR (20 milionów €, czyli 4% rocznych obrotów przedsiębiorstwa). Zastosowanie eksterytorialne i naruszenia danych są również traktowane w różny sposób. Bardziej szczegółowe porównanie pomiędzy PIPEDA i GDPR można znaleźć w niniejszej broszurze.

Oprócz PIPEDA i ustawy o ochronie danych osobowych, istnieją również regionalne ustawy o ochronie danych osobowych, różniące się w zależności od prowincji. Na przykład Alberta i Kolumbia Brytyjska przyjęły przepisy o ochronie danych osobowych, aby lepiej regulować informacje o pracownikach, a kilka innych prowincji, w tym Ontario, posiada przepisy o ochronie danych osobowych dotyczące zdrowia, aby lepiej chronić informacje o pacjentach medycznych. Istnieją również przepisy o ochronie prywatności specyficzne dla danego sektora, takie jak ustawa o banku, która zapewnia dokładność danych i ogranicza ujawnianie informacji.

The Digital Charter Implementation Act, 2020

Ta pandemia z pewnością zmieniła sposób, w jaki ludzie żyją, sprawiając, że oddziałują na siebie bardziej niż kiedykolwiek dzięki technologii. Więcej danych osobowych niż kiedykolwiek wcześniej jest przekazywanych za pośrednictwem mediów internetowych, zwłaszcza przy obecnym przejściu z biur do WFH, większość dokumentów prawnych z firm jest obecnie przekazywana online. Oczywiście dzieje się to na całym świecie, ale rząd kanadyjski postrzegał to jako punkt wyjścia do poprawy ich obecnych przepisów o ochronie prywatności, a na tych terenach, kanadyjski minister innowacji, nauki i przemysłu, Navdeep Bains zaproponował nowy projekt prawa: Digital Charter Implementation Act, 2020.

"Pandemia COVID-19 przyspieszyła transformację cyfrową, która zmienia sposób pracy Kanadyjczyków, dostępu do informacji, usług dostępu i łączenia się z ich najbliższymi. Ta transformacja sprawia, że troska o prywatność i sposób, w jaki firmy radzą sobie z danymi Kanadyjczyków, jest ważniejsza niż kiedykolwiek. Ponieważ Kanadyjczycy w coraz większym stopniu polegają na technologii, potrzebujemy systemu, w którym będą wiedzieć, jak ich dane są wykorzystywane i gdzie mają kontrolę nad sposobem ich przetwarzania. Aby Kanada odniosła sukces, a nasze firmy mogły wprowadzać innowacje w tej nowej rzeczywistości, potrzebujemy systemu opartego na zaufaniu z jasnymi zasadami i ich egzekwowaniem. To prawodawstwo stanowi ważny krok w kierunku osiągnięcia tego celu". - Navdeep Bains, Minister Innowacji, Nauki i Przemysłu, źródło: Rząd Kanady, Canada.ca.

Podsumowując, zmiany i ulepszenia są w toku, ale w Visitor Analytics zawsze staramy się być na bieżąco z przepisami międzynarodowymi i dostarczać najlepsze na rynku narzędzie do analizy stron internetowych pod kątem ochrony prywatności, aby nasi użytkownicy byli bezpieczni przed pozwami sądowymi i karami.