4 hlavní důvody, proč by finanční instituce měly používat Safetica
Jedním z nejzranitelnějších odvětví v oblasti ochrany dat je finanční sektor. Ve finančním průmyslu činily odhadované průměrné náklady na únik dat...
Pro kanadské organizace je PIPEDA, který vstoupil v platnost 13. dubna 2000, dlouhou dobu vodítkem pro ochranu osobních údajů. Tato robustní legislativa stanovuje základní pravidla pro to, jak podniky nakládají s osobními údaji v rámci své obchodní činnosti.
V tomto článku vám pomůžeme pochopit účel a důsledky PIPEDA, na koho se zákon vztahuje (to je dost trnitá otázka!), jeho 10 zásad spravedlivého nakládání s informacemi a jaké kroky mohou organizace podniknout pro zajištění souladu.
Co je PIPEDA?
PIPEDA slouží jako základní rámec ochrany soukromí v Kanadě a zajišťuje, že osobní informace zůstanou právě tím – osobními. Plný název PIPEDA, Personal Information Protection and Electronic Documents Act (Zákon o ochraně osobních údajů a elektronických dokumentech), naznačuje jeho význam.
Stručně řečeno, PIPEDA reguluje, jak podniky shromažďují, používají a zveřejňují osobní informace v kontextu svých komerčních činností. Dává jednotlivcům konkrétní (a poměrně rozsáhlá) práva na to, jak je s jejich daty nakládáno soukromými organizacemi, včetně transparentnosti, souhlasu a zabezpečení dat. Tato práva jsou stanovena v 10 zásadách spravedlivého nakládání s informacemi PIPEDA. O nich budeme hovořit později v článku.
Než se však posuneme dál, zastavme se a vysvětleme si klíčové pojmy PIPEDA.
„Osobní informace" jsou v rámci PIPEDA velmi široké a znamenají jakákoli data, která se týkají identifikovatelné osoby. To zahrnuje zřejmé identifikátory, jako je jméno, věk, identifikační čísla, finanční záznamy a lékařské záznamy, ale také méně zřejmé informace, jako jsou názory, hodnocení, komentáře nebo společenský status. Pokud lze osobu identifikovat pomocí informací (samostatně nebo v kombinaci s jinými informacemi), považují se za osobní informace.
„Komerční činnosti" v rámci PIPEDA jsou rovněž široce vymezeny a znamenají jakoukoli transakci nebo akt komerční povahy. Tyto činnosti se neomezují jen na nákup a prodej zboží; vztahují se i na barter a služby, od bankovnictví po zdravotnictví a vše mezi tím. A přestože je PIPEDA určena především pro neziskové organizace soukromého sektoru, existuje mnoho nuancí, které mohou do jeho působnosti zahrnout i neziskovou organizaci provádějící určité činnosti.
Rozsah PIPEDA: Na koho se vztahuje?
PIPEDA se vztahuje na podniky a organizace zapojené do komerčních činností, což znamená většinu společností soukromého sektoru v Kanadě. Pokud to zní trochu nejasně, máte pravdu – PIPEDA má mnoho výjimek, které někdy ztěžují určení, zda se vztahuje, či nikoli. Obecně nezáleží na tom, zda jste velká korporace nebo malý místní podnik – pokud nakládáte s osobními informacemi v rámci své činnosti, PIPEDA se na vás pravděpodobně vztahuje.
Zde je však háček. Vše se týká komerčních činností, a ty mohou provádět i neziskové organizace. Pokud vaše organizace shromažďuje, používá nebo sdílí osobní informace v rámci svých obchodních jednání, pak PIPEDA zasahuje, i když jste neziskovou organizací (většinou).
Další velký aspekt, který by mohl změnit dopad PIPEDA na vaši organizaci? Pamatujte, že Kanada není jen jednou velkou jurisdikcí ochrany soukromí. Některé provincie, jako je Alberta, Britská Kolumbie a Quebec, mají své vlastní zákony o ochraně soukromí, které úzce odpovídají PIPEDA. Pokud vaše organizace spadá pod jeden z těchto provinčních zákonů, jste z PIPEDA vyňati. Tato výjimka se však obvykle vztahuje pouze na osobní informace shromážděné, použité nebo zveřejněné v rámci dané provincie.
Pokud však vaše firma působí v Kanadě, ale vaše data putují za hranice provincií nebo státu, PIPEDA bude vždy vaším vodítkovým předpisem; nezáleží na tom, ve které provincii máte sídlo.
A aby toho nebylo málo, je možné, že na jednu organizaci se může vztahovat více než jeden zákon o ochraně soukromí. Provinční nařízení o ochraně soukromí by se mohlo vztahovat na osobní informace, které organizace shromažďuje v rámci provincie, zatímco jiná část jejího zpracování dat, která zahrnuje zveřejnění přes hranice provincií, může podléhat PIPEDA.
PIPEDA nepokrývá osobní informace spravované federální vládou, protože ta má svá vlastní pravidla podle Privacy Act. Provinční a teritoriální vlády a jejich zástupci mají rovněž své zákony o ochraně soukromí. PIPEDA tedy v těchto případech ustupuje.
Když konečně určíte, zda vaše organizace spadá pod PIPEDA, či nikoli (hodně štěstí!), možná budete chtít lépe porozumět tomu, jaké jsou záměry tohoto nařízení. Znalost důvodů, které za ním stojí, může usnadnit dodržování. Pojďme se na to podívat:
Jaký je účel PIPEDA?
Účel PIPEDA je jasný – chránit osobní informace a udržovat důvěru v digitálním věku, aby podniky a organizace mohly prosperovat.
V jádru je PIPEDA jemnou rovnováhou mezi ochranou práv jednotlivců na soukromí a umožněním organizacím využívat osobní informace pro legitimní účely. Nejde o zastavení sběru dat; jde o zajištění, aby se prováděl odpovědně a se souhlasem.
5letá kontrola: PIPEDA není vytesána do kamene a je navržena tak, aby se přizpůsobovala vyvíjejícímu se digitálnímu prostředí. Proto prochází revizí každých pět let. Tato pravidelná kontrola zajišťuje, že pravidla zůstávají relevantní a účinná.
Úvod do 10 zásad spravedlivého nakládání s informacemi v rámci PIPEDA
PIPEDA využívá deset základních zásad k tomu, aby určila, jak by organizace měly nakládat s osobními informacemi pro zachování jejich soukromí a důvěry spotřebitelů. Od odpovědnosti po práva jednotlivců, pojďme nyní prozkoumat 10 zásad spravedlivého nakládání s informacemi v rámci PIPEDA a pochopit, jak zajišťují, že s osobními údaji je nakládáno s nejvyšší péčí a respektem.
Odpovědnost (Accountability)
Organizace jsou odpovědné za osobní informace, které shromažďují a kontrolují. Musí určit někoho odpovědného za zajištění souladu se zásadami PIPEDA.
Identifikace účelů (Identifying purposes)
Organizace musí vyjasnit, proč shromažďují osobní informace, buď před jejich sběrem, nebo při něm.
Souhlas (Consent)
Před shromažďováním, používáním nebo zveřejňováním osobních informací musí organizace informovat jednotlivce a získat jeho souhlas.
Omezení sběru (Limiting collection)
Organizace mohou shromažďovat pouze osobní informace nezbytné pro stanovené účely. Metody sběru musí být spravedlivé a zákonné.
Omezení používání, zveřejňování a uchovávání (Limiting use, disclosure, and retention)
Osobní informace mohou být použity nebo zveřejněny pouze pro účely, pro které byly shromážděny, pokud jednotlivec nesouhlasí nebo to nevyžaduje zákon. Musí být uchovávány pouze tak dlouho, jak je to pro tyto účely nezbytné.
Přesnost (Accuracy)
Osobní informace musí být uchovávány přesné, úplné a aktuální, aby sloužily zamýšlenému účelu.
Ochranná opatření (Safeguards)
Organizace musí chránit osobní informace bezpečnostními opatřeními založenými na jejich citlivosti.
Otevřenost (Openness)
Organizace musí zveřejnit své zásady a postupy týkající se správy osobních informací.
Individuální přístup (Individual access)
Jednotlivci mají právo vědět (a mohou požádat o informace), zda jsou jejich osobní informace používány a zveřejňovány a mít k nim přístup. Mohou napadnout jejich přesnost a úplnost a v případě potřeby požadovat opravy.
Napadnutí souladu (Challenging compliance)
Jednotlivci mají právo napadnout soulad organizace s těmito zásadami.
4 kroky k souladu s PIPEDA
Pochopení zásad PIPEDA je zásadní, ale jejich převedení do praktických opatření je tam, kde skutečný soulad začíná. Zde jsou kroky, které vaše organizace může podniknout pro zahájení své cesty k souladu s PIPEDA:
1. Posouzení a analýza nedostatků: Začněte provedením komplexního posouzení vašich současných postupů nakládání s daty. Tento krok identifikuje stávající silné a slabé stránky ve vaší správě dat. Pro zjednodušení tohoto procesu zvažte použití samoposuzovacího nástroje od Privacy Commissioner.
2. Interpretace a akce: Po posouzení interpretujte výsledky pro získání jasného obrazu o tom, kde jsou potřeba zlepšení. Vytvořte strategický akční plán pro zlepšení vašich postupů správy osobních informací a doplnění mezer identifikovaných při posouzení. Pokud potřebujete pomoc se svým systémem řízení bezpečnosti informací, můžete si také prohlédnout mezinárodní standard ISO 27001 pro vodítko.
3. Implementace ochranných opatření soukromí: Identifikujte různé kontroly soukromí zahrnující zásady, systémy, postupy a kontroly přístupu, které je třeba vyvinout a integrovat do vaší organizace. Tyto kontroly pomáhají zajistit, aby s osobními informacemi bylo nakládáno bezpečně a v souladu s PIPEDA. Nezapomeňte vzdělávat své zaměstnance o zabezpečení dat a souladu s PIPEDA a zvažte využití přístupu Zero Trust k přístupu k datům pro ochranu dat, které kontrolujete.
4. Pravidelné přehodnocení: Jakmile se tyto kontroly stanou funkčními, sledujte a posuzujte jejich účinnost. Pamatujte, že jak se digitální prostředí vyvíjí (a hackeři se stávají zdatnějšími), pravidelné kontroly vašich postupů ochrany před ztrátou dat jsou zásadní. Upravte bezpečnostní zásady a postupy tak, aby se přizpůsobily vyvíjejícím se hrozbám a technologiím.
PIPEDA stížnosti a sankce
Office of the Privacy Commissioner of Canada (OPC) je nezávislý orgán odpovědný za prosazování práv na soukromí v Kanadě a jako takový se zabývá i souladem s PIPEDA. OPC přijímá stížnosti, poskytuje vodítka, provádí vyšetřování a nabízí zdroje, které pomáhají organizacím dodržovat PIPEDA.
OPC může iniciovat stížnosti samostatně nebo reagovat na stížnosti podané jednotlivci. Stížnosti se mohou týkat čehokoli od neoprávněného sběru dat a nedostatečných ochranných opatření po neschopnost reagovat na žádosti spotřebitelů o přístup. OPC tyto stížnosti vyšetřuje a snaží se zprostředkovat a dosáhnout řešení mezi stěžovatelem a organizací. Pokud nelze dosáhnout řešení, OPC může vydat formální závěry a doporučení, obvykle vedoucí k soudnímu řízení.
I když PIPEDA nestanoví pokuty stejným způsobem jako některé jiné zákony o ochraně dat, nedodržování může mít stále vážné důsledky. V případech, kdy organizace nedodržuje doporučení OPC, může být podána žaloba u Federálního soudu Kanady. Soud má pravomoc vydávat příkazy vyžadující od organizace konkrétní opatření, která mohou vyústit v soudem uložené sankce.
Je důležité poznamenat, že poškození pověsti a ztráta důvěry zákazníků mohou být významnými důsledky úniků soukromí a mohou vést k značné finanční ztrátě i bez peněžních sankcí. Je v nejlepším zájmu organizací brát své povinnosti vyplývající z PIPEDA vážně a zajistit, aby byly (a nadále byly) v souladu.
Jak vám Safetica může pomoci s dodržováním PIPEDA
Safetica vám může pomoci zabezpečit osobní informace a zavést opatření na ochranu dat, čímž snížíte riziko stížností souvisejících se soukromím. Náš komplexní software pro prevenci úniku dat (DLP) je navržen tak, aby pomáhal podnikům plnit jejich povinnosti v oblasti ochrany dat a především zajistit bezpečnost osobních dat svých zákazníků.
Jak se prostředí ochrany dat v Kanadě vyvíjí, nyní je čas se připravit. Nečekejte, až nové předpisy vstoupí v platnost – podnikněte proaktivní kroky k ochraně svých dat a soukromí svých zákazníků, a to nejen pro PIPEDA. Je čas posílit svou obranu a chránit data všech!