PIPEDA – De Canadese Algemene Verordening Gegevensbescherming

In dit artikel leggen we alles uit over de Canadese gegevensbeschermingsverordening PIPEDA en de aanstaande CPPA-verordening. In het volgende artikel gaan we dieper in op Cookies & Toestemming.

Wat is PIPEDA?

PIPEDA is de afkorting voor Personal Information Protection and Electronic Documents Act en verwijst naar de nieuwe Canadese General Data Protection Regulation. De wijziging combineert de twee eerdere Canadese gegevensbeschermingswetten Consumer Privacy Protection Act (CPPA) en Personal Information and Data Protection Tribunal Act (PIDPTA) tot een uitgebreide verordening die gelijk is aan de AVG. De verwijzing naar de Europese Algemene Verordening Gegevensbescherming is op veel plaatsen in PIPEDA terug te vinden, daarom wordt het ook vaak GDPR Canada genoemd.

Net als de AVG regelt de Canadian Data Protection Act de verwerking van persoonlijke gegevens die worden verzameld en opgeslagen in het kader van commerciële activiteiten. De Personal Information Protection and Electronic Documents Act PIPEDA is daarom belangrijk voor alle bedrijven die consumenten in Canada willen bereiken met diensten en producten – of het nu gaat om stationaire verkoop of verkoop op afstand. Commerciële activiteiten in de zin van PIPEDA zijn alle transacties en handelingen van commerciële oorsprong of met commerciële bedoelingen.

PIPEDA is van toepassing op bedrijven en organisaties die federaal gereguleerd zijn en onderworpen zijn aan de Canadese wetgeving. De Wet bescherming persoonsgegevens en elektronische documenten is ook van toepassing op de particuliere sector van elke provincie, tenzij een provincie een eigen wet op de gegevensbescherming heeft uitgevaardigd, die in grote lijnen overeenkomt met de Wet bescherming persoonsgegevens en elektronische documenten PIPEDA. Alleen British Columbia, Alberta en Quebec hebben privacywetten die in grote lijnen vergelijkbaar zijn met de Personal Information Protection and Electronic Documents Act PIPEDA. Als een bedrijf is gevestigd in British Columbia, Alberta of Quebec, is de Personal Information Protection and Electronic Documents Act van toepassing op persoonlijke informatie die wordt verzameld door die organisaties waar het commerciële gebruik van de informatie de grenzen van die provincie overschrijdt.

De 10 privacyprincipes in de Wet bescherming persoonsgegevens en elektronische documenten PIPEDA

Bedrijven die moeten voldoen aan de PIPEDA-regelgeving moeten tijdig de privacyprincipes van deze AVG voor Canada in overweging nemen. 10 punten schetsen de rechten en plichten die organisaties moeten volgen bij het uitvoeren van commerciële transacties met Canadese consumenten onder de AVG voor Canada :

  1. verantwoordelijkheid
  2. oormerken
  3. toestemming
  4. Gegevensvermijding en gegevenseconomie
  5. Opslag, gebruik en verwerking
  6. nauwkeurigheid
  7. integriteit en vertrouwelijkheid
  8. transparantie
  9. recht op het verstrekken van informatie
  10. recht van beroep

Iedereen die bekend is met de Algemene Verordening Gegevensbescherming zal al veel aspecten herkennen in het overzicht van de 10 principes van PIPEDA dat ook terug te vinden is in de EU AVG. Toch zijn er detailverschillen , ook en vooral met betrekking tot de toestemming voor het verzamelen van persoonsgegevens. Laten we snel naar elk van de 10 punten kijken:

1. Verantwoordelijkheid

Het verantwoordingsbeginsel houdt in dat een organisatie boven een bepaalde omvang een persoon moet aanwijzen die verantwoordelijk is voor het beheer van de verzamelde en persoonsgegevens. Deze persoon wordt in de AVG de functionaris voor gegevensbescherming genoemd – in de Wet bescherming persoonsgegevens en elektronische documenten PIPEDA wordt hij Privacy Officer of Chief Privacy Officer (CPO) genoemd. In kleinere bedrijven kan de Privacy Officer zijn of haar rol ook op parttime basis uitoefenen . Haar belangrijkste taak ligt in de ontwikkeling, implementatie en monitoring van procedures die voldoen aan de gegevensbeschermingsvereisten volgens de PIPEDA . Bovendien moet de functionaris voor gegevensbescherming klachten over gegevensverzameling ontvangen en beantwoorden . Een ander belangrijk gebied is de opleiding van werknemers en de communicatie van gegevensbeschermingsvereisten die relevant zijn voor individuele verantwoordelijkheidsgebieden. Indien de consument toestemming heeft gegeven voor gegevensverwerking door derden, is de Privacy Officer verantwoordelijk voor de naleving van de PIPEDA-eisen door de derden.

2. Doelbeperking

Waarom wil het bedrijf de persoonlijke informatie van een klant opslaan ? Het doel dient uiterlijk bij het vastleggen van de gegevens aan de consument te worden medegedeeld. Disclosure creëert transparantie, maar maakt het voor het bedrijf ook gemakkelijker om specifieke toegang te implementeren. Volgens PIPEDA is het doel van het verzamelen van gegevens om te worden gecommuniceerd naar elke medewerker die in contact komt met klanten. Als een klant bijvoorbeeld bij het afrekenen bij het afrekenen naar het adres of telefoonnummer wordt gevraagd, moet het gebruik van de gegevensinformatie hem op verzoek worden uitgelegd . Papieren formulieren en online formulieren die persoonlijk identificeerbare informatie van klanten verzamelen, moeten ook duidelijk het doel van het verzamelen beschrijven. Verzamelde persoonsgegevens mogen zonder uitdrukkelijke toestemming van de klant niet voor een nieuw doel worden gebruikt. Een uitzondering zijn wettelijke vereisten die dit vereisen.

3. Toestemming

Een bedrijf mag geen persoonlijke gegevens verzamelen, gebruiken of openbaar maken zonder medeweten en toestemming van de klant. Het voornemen om klantgegevens te verzamelen moet duidelijk en ondubbelzinnig worden gecommuniceerd. Indien persoonsgegevens in een formulier worden opgevraagd, zijn dubbelzinnige formuleringen daarom niet toegestaan. Een persoon wordt niet benadeeld als hij of zij weigert informatie te verstrekken. Bedrijven moeten daarom hun producten en diensten ook beschikbaar stellen aan consumenten die geen gegevens willen verstrekken die niet gerelateerd zijn aan het product of de dienst. Er zijn enkele uitzonderingen: Een bedrijf kan afzien van het geven van toestemming als er wettelijke of medische redenen zijn om dit niet te doen. Ook voor bepaalde producten kunnen veiligheidsredenen gelden. En als informatie wordt verzameld voor wetshandhaving, wordt ook afstand gedaan van toestemming. Ook kan van toestemming worden afgezien in gevallen waarin een persoon minderjarig, ernstig ziek of verstandelijk gehandicapt is. Toestemming kan echter ook worden gegeven door een gemachtigde.

Bij het soort toestemming wordt onderscheid gemaakt tussen:

  • expliciet
  • impliciet
  • afmelden

In veel gevallen – zoals online registratie – zoals in de Europese Algemene Verordening Gegevensbescherming is ook hier expliciete toestemming van de consument vereist. Een opt-out is meestal niet voorzien. Er mogen bijvoorbeeld geen vinkjes of knoppen worden toegewezen aan de Cookie Consent PIPEDA – gelijk aan de cookieregelgeving in de AVG. Toestemming hoeft in principe niet schriftelijk te worden gegeven, mondelinge toestemming is voldoende. Het is bijvoorbeeld voldoende als een belanghebbende telefonisch toestemming geeft voor opname in een nieuwsbrief. Echter , toestemming die via de telefoon wordt gegeven, maakt het voor een bedrijf regelmatig moeilijker om bewijs te leveren . In sommige gevallen kan toestemming ook direct worden ontleend aan het handelen van de consument.

Consumenten kunnen hun toestemming te allen tijde intrekken, met inachtneming van contractuele en wettelijke beperkingen en termijnen. Het bedrijf moet de klant informeren over de gevolgen van het intrekken van de toestemming.

4. Gegevensvermijding en gegevenseconomie

Het principe om gegevensverzameling te beperken tot de hoeveelheid gegevens die nodig is voor een doel is een principe dat ook in de Europese AVG een belangrijke rol speelt. De persoonlijke gegevens die door een bedrijf worden verzameld, moeten worden beperkt tot wat nodig is voor een actie in het kader van een zakelijke relatie.

Ook het verzamelen en opslaan van onnodige persoonsgegevens moet volgens PIPEDA worden vermeden. De eerlijke en rechtmatige omgang met gegevens, die schuilgaat achter de uitdrukking “Fair and Lawful Means”, is gericht op de gegevenssoevereiniteit van de klant en de behoefte aan transparante processen. Het doel waarvoor bepaalde persoonsgegevens moeten worden verzameld, mag niet worden verdoezeld door bedrog of dubbelzinnige verklaringen.

5. Opslag, gebruik en verwerking

Het gebruik van vastgelegde gegevens mag alleen plaatsvinden in de gang die bij de klant bekend is en waar hij toestemming voor heeft gegeven. Openbaarmaking of ander gebruik van persoonlijke gegevens is niet toegestaan onder de Canadese Algemene Verordening Gegevensbescherming PIPEDA. De bewaartermijnen zijn gebaseerd op bedrijfseisen en andere wettelijke voorschriften. De aanbevolen minimale bewaartermijn voor bedrijven is één jaar. Deze periode geeft het bedrijf voldoende capaciteit om de wettelijke vereisten te controleren en na te leven. De maximale bewaartermijn wordt door het bedrijf bepaald en bekendgemaakt.

Een onbeperkte opslag van gegevens is niet toegestaan – de consument moet op verzoek worden geïnformeerd wanneer zijn gegevens definitief worden verwijderd. Indien gewenst kunnen gegevens vooraf worden geanonimiseerd en vernietigd, rekening houdend met deadlines. Daarnaast moet een organisatie openbaar kunnen maken wie toestemming heeft gekregen voor de verwerking van de gegevens en in welke mate.

6. Nauwkeurigheid:

Het nauwkeurigheidsbeginsel zorgt ervoor dat de door een bedrijf verzamelde persoonsgegevens juist, volledig en actueel zijn voor de doeleinden waarvoor ze worden gebruikt.

Houd er rekening mee dat de verzamelde gegevens in het belang van de consument moeten worden gebruikt.

Het specificeren van correctheid in PIPEDA is niet alleen belangrijk voor de relatie tussen bedrijven en klanten. Als een organisatie bijvoorbeeld persoonsgegevens verzamelt om sollicitantenprofielen te controleren voorafgaand aan een wervingsproces, moet ervoor worden gezorgd dat onjuiste of onvolledige registratie niet leidt tot nadelen voor sollicitanten.

Persoonlijke informatie bijwerken

Het automatisch en regelmatig bijwerken van persoonsgegevens is over het algemeen niet toegestaan. Deze richtlijn in de PIPEDA is ook van toepassing op informatie die aan derden wordt doorgegeven.

7. Integriteit en vertrouwelijkheid

Het principe van integriteit en vertrouwelijkheid houdt in dat persoonsgegevens moeten worden beschermd tegen verlies of diefstal , onbevoegde toegang, openbaarmaking, kopiëren, wijziging of onbevoegd gebruik. Dit principe geldt ongeacht het formaat waarin de gegevens worden opgeslagen.

Passende beschermende maatregelen

De inspanning is afhankelijk van de grootte van het bedrijf. Een klein bedrijf dat e-mailadressen van klanten verzamelt voor een online nieuwsbrief, kan de e-mailadressen opslaan in een spreadsheet. Als de tabel is beveiligd met een wachtwoord en bovendien in hoge mate is versleuteld, kan worden aangenomen dat er voldoende bescherming is.

Grote organisaties beheren gevoelige persoonsgegevens vaak op grote schaal – ondanks alle data-economie. Deze bedrijven zijn ook vaker het doelwit van aanvallers, dus hier moeten veel sterkere veiligheidsmaatregelen worden genomen.

Alle beveiligingsmaatregelen dienen een bovengemiddelde bescherming van de te beschermen persoonsgegevens te bieden om een hoog niveau van integriteit te waarborgen.

Vernietiging van persoonlijke informatie

Als persoonlijke gegevens moeten worden verwijderd of vernietigd, kan herstel op basis van menselijk oordeel en met behulp van hoge technologische normen voor gegevensvernietiging worden uitgesloten. Dit geldt zowel voor de fysieke vernietiging van papieren documenten als voor de vernietiging van databases op geheugenmodules.

8. Transparantie

Een bedrijf moet zijn beleid en procedures voor het omgaan met persoonlijke informatie gemakkelijk toegankelijk maken . Klanten moeten daarom zonder ingewikkelde omwegen bij deze informatie kunnen. Antwoorden op vragen van consumenten over gegevensbescherming moeten binnen een redelijke termijn en zo direct mogelijk worden beantwoord . De verstrekte informatie moet op een algemeen begrijpelijke manier worden geformuleerd. Juridisch jargon moet worden vermeden.

Vereisten van PIPEDA

Volgens PIPEDA moet een organisatie deze gegevens op verzoek verstrekken:

  • Naam of titel en adres van de persoon die verantwoordelijk is voor het beleid en de praktijken van de organisatie en naar wie klachten of vragen kunnen worden verwezen.
  • Manieren om toegang te krijgen tot persoonlijke gegevens
  • Type verzamelde persoonlijke gegevens inclusief een beschrijving van het gebruik ervan.
  • Schriftelijke informatie die het beleid en de normen van de bedrijfsorganisatie uitlegt

9. Recht op informatie

Op verzoek moet een bedrijf een persoon na authenticatie informatie verstrekken over opgeslagen persoonsgegevens en het gebruik ervan. Indien een klant twijfelt aan de juistheid of volledigheid van de persoonsgegevens, kan hij aandringen op wijziging van de vastgelegde gegevens. Dit kan betekenen dat u gegevens moet corrigeren , verwijderen of toevoegen .

uitzonderingen

Informatie over persoonsgegevens kan om verschillende redenen worden geweigerd. Dit is het geval wanneer de informatie onderworpen is aan het privilege van advocaat-cliënt of wanneer vertrouwelijke bedrijfsinformatie zou worden bekendgemaakt.

Authenticatievereisten

Alvorens toegang te verlenen tot persoonsgegevens, moet een bedrijf ervoor zorgen dat het met de juiste persoon communiceert.

Sommige organisaties doen dit door om een door de overheid uitgegeven identiteitsbewijs te vragen. Indien nodig is verificatie op basis van accountgegevens in combinatie met andere gegevens zoals de meisjesnaam of een opgeslagen wachtwoord ook mogelijk. Strenge authenticatie-eisen mogen echter geen belemmering vormen voor het recht op informatie.

Informatie – tijd en kosten

Op verzoeken om informatie wordt binnen een redelijke termijn en tegen minimale of geen kosten voor de betrokkene gereageerd. Een verzoek dient uiterlijk binnen 30 dagen na ontvangst te zijn beantwoord. Als een bedrijf bij wijze van uitzondering meer tijd nodig heeft om informatie te verstrekken, moet het de persoon een tussentijds besluit sturen en een plausibele reden voor de vertraging opgeven.

10. Recht om te klagen

Het in PIPEDA verankerde beroepsrecht stelt klanten en consumenten in staat om gericht op te treden tegen bedrijven bij overtreding van punten van de AVG Canada.

Bedrijven moeten procedures voorzien om klachten en vragen te ontvangen en erop te reageren. Deze procedures moeten eenvoudig en gebruiksvriendelijk zijn. Bovendien zijn bedrijven onder AVG Canada verplicht om klachten op te volgen en te onderzoeken , zelfs als ze denken dat de klacht ongegrond lijkt . Indien de klacht gegrond blijkt te zijn, dienen passende corrigerende maatregelen te worden genomen. De functionaris voor gegevensbescherming van het bedrijf is verantwoordelijk voor het ontvangen van klachten en het initiëren van procedures.