ในบทความนี้ เราจะอธิบายทุกอย่างเกี่ยวกับกฎระเบียบด้านการคุ้มครองข้อมูลของแคนาดา PIPEDA และกฎระเบียบ CPPA ที่กำลังจะมีขึ้น ใน บทความถัดไป เราจะอธิบายรายละเอียดเพิ่มเติมเกี่ยวกับคุกกี้และความยินยอม
PIPEDA คืออะไร?
PIPEDA เป็นตัวย่อของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ และหมายถึงกฎระเบียบการคุ้มครองข้อมูลทั่วไปของแคนาดาฉบับใหม่ การแก้ไขดังกล่าวได้รวมกฎหมายคุ้มครองข้อมูลของแคนาดาสองฉบับก่อนหน้านี้ ได้แก่ พระราชบัญญัติคุ้มครองความเป็นส่วนตัวของผู้บริโภค (CPPA) และ พระราชบัญญัติศาลคุ้มครองข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคล (PIDPTA) ให้เป็นกฎระเบียบที่ครอบคลุมเทียบเท่ากับ GDPR คุณสามารถดูการอ้างอิงถึง กฎระเบียบคุ้มครองข้อมูลทั่วไปของยุโรป ได้ในหลายส่วนของ PIPEDA ซึ่งเป็นเหตุผลว่าทำไมจึงมักเรียกว่า GDPR Canada
เช่นเดียวกับ GDPR กฎหมายความเป็นส่วนตัวของแคนาดาควบคุมการจัดการข้อมูลส่วนบุคคลที่รวบรวมและจัดเก็บโดยเป็นส่วนหนึ่งของกิจกรรมเชิงพาณิชย์ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ PIPEDA จึง มีความสำคัญสำหรับทุกบริษัท ที่ต้องการ เข้าถึงผู้บริโภคในแคนาดาด้วยบริการและผลิตภัณฑ์ – ไม่ว่าจะขายเครื่องเขียนหรือขายทางไกล กิจกรรมเชิงพาณิชย์ตามความหมายของ PIPEDA คือธุรกรรมและการกระทำที่มีต้นกำเนิดทางการค้าหรือมีเจตนาทางการค้า
PIPEDA ใช้กับบริษัทและองค์กรที่ได้รับการควบคุมจากรัฐบาลกลางและอยู่ภายใต้กฎหมายของแคนาดา พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ ยังบังคับใช้กับภาคเอกชนของแต่ละจังหวัด เว้นแต่จังหวัดจะออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลของตนเองซึ่งมีความคล้ายคลึงอย่างมากกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ PIPEDA มีเพียงบริติชโคลัมเบีย อัลเบอร์ตา และควิเบกเท่านั้นที่มีกฎหมายคุ้มครองข้อมูลที่คล้ายคลึงกันในวงกว้างกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ PIPEDA หากบริษัทตั้งอยู่ในบริติชโคลัมเบีย อัลเบอร์ตา หรือควิเบก พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ จะนำไปใช้กับข้อมูลส่วนบุคคลที่รวบรวมโดยองค์กรเหล่านั้น ในขอบเขตที่การใช้ข้อมูลในเชิงพาณิชย์เกินขอบเขตของจังหวัดนั้น
หลักการความเป็นส่วนตัว 10 ประการใน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ PIPEDA
บริษัทที่ต้องปฏิบัติตาม PIPEDA ควรทำความคุ้นเคยกับ หลักการปกป้องข้อมูลของ GDPR สำหรับแคนาดานี้ อย่างทันท่วงที 10 ประเด็นสรุปสิทธิและภาระหน้าที่ที่องค์กรต้องปฏิบัติตามในการทำธุรกรรมเชิงพาณิชย์กับผู้บริโภคชาวแคนาดาภายใต้ GDPR สำหรับแคนาดา :
- ความรับผิดชอบ
- การกำหนดปันส่วน
- ยินยอม
- การหลีกเลี่ยงข้อมูลและการประหยัดข้อมูล
- การจัดเก็บ การใช้ และการประมวลผล
- ความแม่นยำ
- ความซื่อสัตย์และการรักษาความลับ
- ความโปร่งใส
- สิทธิในการให้ข้อมูล
- สิทธิในการอุทธรณ์
ใครก็ตามที่คุ้นเคยกับกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคจะทราบถึงแง่มุมต่างๆ มากมายในภาพรวมของหลักการ 10 ประการของ PIPEDA ซึ่งสามารถ พบได้ใน GDPR ของสหภาพยุโรปด้วย อย่างไรก็ตาม มี ความแตกต่างในรายละเอียด โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของการยินยอมให้เก็บรวบรวมข้อมูลส่วนบุคคล เรามาดูแต่ละจุดจาก 10 ประเด็นอย่างรวดเร็ว:
1. ความรับผิดชอบ
หลักการของความรับผิดชอบหมายความว่าองค์กรในขนาดที่กำหนดจะต้อง แต่งตั้งบุคคล ที่รับผิดชอบในการจัดการข้อมูลที่รวบรวมและข้อมูลส่วนบุคคล บุคคลนี้เรียกว่าเจ้าหน้าที่คุ้มครองข้อมูลใน GDPR – ใน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ PIPEDA เขาเรียกว่า เจ้าหน้าที่ความเป็นส่วนตัวหรือหัวหน้าเจ้าหน้าที่ความเป็นส่วนตัว (CPO) ในบริษัทขนาดเล็ก เจ้าหน้าที่ความเป็นส่วนตัวสามารถ ทำงานนอกเวลาได้ หน้าที่หลักคือ การพัฒนา นำไปใช้ และตรวจสอบขั้นตอนที่ ตรงตาม ข้อกำหนดการปกป้องข้อมูล ภายใต้ PIPEDA นอกจากนี้ เจ้าหน้าที่คุ้มครองข้อมูลจะต้อง รับและตอบสนองต่อข้อร้องเรียนเกี่ยวกับการรวบรวมข้อมูล พื้นที่ที่สำคัญคือการฝึกอบรมพนักงานและการสื่อสารข้อกำหนดการปกป้องข้อมูลที่เกี่ยวข้องกับแต่ละพื้นที่ที่รับผิดชอบ หากผู้บริโภคให้ความยินยอมในการประมวลผลข้อมูลโดยบุคคลที่สาม เจ้าหน้าที่ความเป็นส่วนตัวจะต้องรับผิดชอบในการปฏิบัติตามข้อกำหนด PIPEDA โดยบุคคลที่สาม
2. การแบ่งส่วนรายได้
เหตุใดบริษัทจึงต้องการ จัดเก็บข้อมูลส่วนตัวของลูกค้า ? วัตถุประสงค์จะต้องแจ้งให้ผู้บริโภคทราบอย่างช้าที่สุด ณ เวลาที่รวบรวมข้อมูล การเปิดเผยข้อมูลสร้างความโปร่งใส แต่ยังช่วยให้บริษัทดำเนินการเข้าถึงที่เฉพาะเจาะจงได้ง่ายขึ้นอีกด้วย ตาม PIPEDA วัตถุประสงค์ของการรวบรวมข้อมูลจะต้องถ่ายทอดไปยังพนักงานทุกคนที่ติดต่อกับลูกค้า ตัวอย่างเช่น หากลูกค้าถูกถามถึงที่อยู่หรือหมายเลขโทรศัพท์เมื่อชำระเงินเมื่อทำการซื้อ จะต้องอธิบายการใช้ข้อมูลให้พวกเขาทราบเมื่อมีการร้องขอ กระดาษและแบบฟอร์มออนไลน์ที่รวบรวมข้อมูลส่วนบุคคลจากลูกค้าจะต้องอธิบายวัตถุประสงค์ของการรวบรวมอย่างชัดเจน ข้อมูลส่วนบุคคลที่รวบรวมไว้จะไม่ถูกนำมาใช้เพื่อวัตถุประสงค์ใหม่โดยไม่ได้รับอนุญาตอย่างชัดแจ้งจากลูกค้า ข้อยกเว้นคือข้อกำหนดทางกฎหมายที่กำหนดให้ต้องทำเช่นนี้
3. ความยินยอม
บริษัท ไม่อาจรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความรู้และยินยอม จากลูกค้า ความตั้งใจในการรวบรวมข้อมูลลูกค้าจะต้องมีการสื่อสารอย่างชัดเจนและไม่คลุมเครือ หากมีการร้องขอข้อมูลส่วนบุคคลในรูปแบบแบบฟอร์ม จะไม่อนุญาตให้ใช้ถ้อยคำที่คลุมเครือ บุคคลจะไม่เสียเปรียบหากพวกเขาปฏิเสธที่จะให้ข้อมูลข้อมูล บริษัทจึงต้องเผยแพร่ผลิตภัณฑ์และบริการของตนแก่ผู้บริโภคที่ไม่ต้องการให้ข้อมูลที่ไม่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการ มีข้อยกเว้นบางประการ: บริษัทสามารถสละสิทธิ์ความยินยอมได้หากมีเหตุผลทางกฎหมายหรือทางการแพทย์ เหตุผลด้านความปลอดภัย อาจนำไปใช้กับผลิตภัณฑ์บางอย่างได้เช่นกัน และหากมีการรวบรวมข้อมูลเพื่อการบังคับใช้กฎหมาย ก็ไม่จำเป็นต้องได้รับความยินยอมอีกต่อไป นอกจากนี้ยังสามารถยกเว้นความยินยอมได้ในกรณีที่บุคคลเป็นผู้เยาว์ ป่วยหนัก หรือพิการทางจิต อย่างไรก็ตาม ตัวแทนที่ได้รับอนุญาตสามารถให้ความยินยอมได้เช่นกัน
เมื่อพูดถึงประเภทของความยินยอม จะมีความแตกต่างระหว่าง:
- ชัดเจน
- โดยปริยาย
- เลือกออก
ในหลายกรณี เช่น การลงทะเบียนออนไลน์ ซึ่งคล้ายกับกฎระเบียบคุ้มครองข้อมูลทั่วไปของยุโรป จะต้องได้รับความยินยอมอย่างชัดแจ้งจากผู้บริโภคที่นี่ โดยทั่วไปจะไม่มีการเลือกไม่เข้าร่วม สำหรับการยินยอมในการใช้คุกกี้ PIPEDA – เทียบเท่ากับข้อบังคับเกี่ยวกับคุกกี้ใน GDPR – ห้ามกำหนดเครื่องหมายหรือปุ่มใดๆ ล่วงหน้า โดยหลักการแล้ว ความยินยอมไม่จำเป็นต้องทำเป็นลายลักษณ์อักษร ความยินยอมด้วยวาจาก็เพียงพอแล้ว ตัวอย่างเช่น ผู้มีส่วนได้เสียยินยอมที่จะรวมไว้ในจดหมายข่าวทางโทรศัพท์ก็เพียงพอแล้ว อย่างไรก็ตาม การให้ความยินยอมทางโทรศัพท์ มักจะ ทำให้บริษัทไม่สามารถแสดงหลักฐานได้ ในบางกรณี ความยินยอมอาจได้รับโดยตรงจากการกระทำของผู้บริโภค
ผู้บริโภคสามารถเพิกถอนความยินยอมได้ตลอดเวลาโดยขึ้นอยู่กับข้อจำกัดและกำหนดเวลาตามสัญญาและกฎหมาย บริษัท ต้องแจ้งให้ลูกค้าทราบถึงผลที่ตามมาของการเพิกถอนความยินยอม
4. การหลีกเลี่ยงข้อมูลและการประหยัดข้อมูล
หลักการในการจำกัดการรวบรวมข้อมูลให้เหลือเพียงปริมาณข้อมูลที่จำเป็นสำหรับวัตถุประสงค์หนึ่งๆ เป็นหลักการที่มีบทบาทสำคัญใน GDPR ของยุโรปด้วย ข้อมูลส่วนบุคคลที่บริษัทรวบรวมควรจำกัดไว้เพียงสิ่งที่จำเป็นสำหรับการดำเนินการในบริบทของความสัมพันธ์ทางธุรกิจ
การรวบรวมและการจัดเก็บข้อมูลส่วนบุคคลที่ไม่จำเป็นจะต้องหลีกเลี่ยงภายใต้ PIPEDA การจัดการข้อมูลอย่างยุติธรรมและถูกต้องตามกฎหมาย ซึ่งซ่อนอยู่หลังวลี “วิธีการที่ยุติธรรมและถูกต้องตามกฎหมาย” มุ่งเป้าไปที่ อธิปไตยของข้อมูลของลูกค้า และความจำเป็นของกระบวนการที่โปร่งใส วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลบางอย่างจะต้องไม่ถูกบดบังโดยการหลอกลวงหรือข้อความที่ไม่ชัดเจน
5. การจัดเก็บ การใช้ และการประมวลผล
การใช้ข้อมูลที่รวบรวมไว้อาจอยู่ภายในทางเดินที่ลูกค้ารู้จักและได้รับอนุญาตเท่านั้น การเปิดเผยหรือการใช้ข้อมูลส่วนบุคคลอื่น ๆ ไม่ได้รับอนุญาตตามกฎระเบียบคุ้มครองข้อมูลทั่วไปของแคนาดา (PIPEDA) ระยะเวลาการเก็บรักษาจะขึ้นอยู่กับข้อกำหนดของบริษัทและข้อบังคับทางกฎหมายอื่นๆ ระยะเวลาการเก็บรักษาขั้นต่ำที่แนะนำสำหรับบริษัทคือหนึ่งปี ช่วงนี้ทำให้บริษัทมีความสามารถเพียงพอในการตรวจสอบและปฏิบัติตามข้อกำหนดทางกฎหมาย ระยะเวลาการเก็บรักษาสูงสุดจะต้องถูกกำหนดและเปิดเผยโดยบริษัท
ไม่อนุญาตให้เก็บรักษาข้อมูลอย่างไม่จำกัด – ผู้บริโภคจะต้องได้รับแจ้งเมื่อมีการร้องขอเมื่อข้อมูลของพวกเขาจะถูกลบอย่างถาวร หากมีการร้องขอ ข้อมูลจะถูกทำให้เป็นนิรนามและทำลายได้ก่อนกำหนด โดยขึ้นอยู่กับกำหนดเวลา นอกจากนี้องค์กรจะต้องสามารถเปิดเผยได้ว่าใครได้รับความยินยอมในการประมวลผลข้อมูลและขอบเขตเท่าใด
6. ความแม่นยำ
หลักการของความถูกต้องทำให้มั่นใจได้ว่าข้อมูลส่วนบุคคลที่บริษัทรวบรวมมีความถูกต้อง ครบถ้วน และเป็นปัจจุบันตามวัตถุประสงค์การใช้งาน
ต้องคำนึงว่าข้อมูลที่รวบรวมจะต้องถูกใช้เพื่อประโยชน์สูงสุดของผู้บริโภค
ข้อกำหนดด้านความถูกต้องแม่นยำใน PIPEDA ไม่เพียงแต่มีความสำคัญต่อความสัมพันธ์ระหว่างบริษัทและลูกค้าเท่านั้น ตัวอย่างเช่น หากองค์กรเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อตรวจสอบโปรไฟล์ของผู้สมัครก่อนกระบวนการสรรหาบุคลากร จะต้องมั่นใจว่าการบันทึกที่ไม่ถูกต้องหรือไม่สมบูรณ์จะไม่ส่งผลเสียต่อผู้สมัคร
การอัปเดตข้อมูลส่วนบุคคล
โดยทั่วไปไม่อนุญาตให้อัปเดตข้อมูลส่วนบุคคลโดยอัตโนมัติและสม่ำเสมอ นโยบายใน PIPEDA นี้ยังใช้กับข้อมูลที่แบ่งปันกับบุคคลที่สามด้วย
7. ความซื่อสัตย์และการรักษาความลับ
หลักการของความซื่อสัตย์และการรักษาความลับหมายความว่าข้อมูลส่วนบุคคล จะต้องได้รับการปกป้อง จาก การสูญหาย หรือ การโจรกรรม การเข้าถึงโดยไม่ได้รับอนุญาต การตีพิมพ์ การคัดลอก การดัดแปลง หรือการใช้งานโดยไม่ได้รับอนุญาต หลักการนี้ใช้โดยไม่คำนึงถึงรูปแบบการจัดเก็บข้อมูล
มาตรการป้องกันที่เหมาะสม
ความพยายามขึ้นอยู่กับขนาดของบริษัท ธุรกิจขนาดเล็กที่สร้างที่อยู่อีเมลของลูกค้าสำหรับจดหมายข่าวออนไลน์สามารถจัดเก็บที่อยู่อีเมลไว้ในสเปรดชีตได้ หากตารางได้รับการป้องกันด้วยรหัสผ่านและมีการเข้ารหัสสูง ก็สามารถถือว่ามีการป้องกันที่เพียงพอ
องค์กรขนาดใหญ่มักจะจัดการข้อมูลส่วนบุคคลที่ละเอียดอ่อนจำนวนมาก แม้ว่าข้อมูลจะลดน้อยลงก็ตาม บริษัทเหล่านี้มักตกเป็นเป้าหมายของผู้โจมตี ซึ่งเป็นเหตุผลว่าทำไมจึงต้องมีมาตรการรักษาความปลอดภัยที่เข้มงวดมากขึ้นที่นี่
มาตรการรักษาความปลอดภัยทั้งหมดควรให้การป้องกันที่สูงกว่าค่าเฉลี่ยสำหรับข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองเพื่อให้มั่นใจถึงความสมบูรณ์ในระดับสูง
การทำลายข้อมูลส่วนบุคคล
หากข้อมูลส่วนบุคคลถูกกำจัดหรือทำลาย การกู้คืนจะต้องถูกตัดออกไปโดยใช้ดุลยพินิจของมนุษย์และโดยการใช้มาตรฐานทางเทคโนโลยีระดับสูงในการทำลายข้อมูล สิ่งนี้ใช้กับทั้งการทำลายทางกายภาพของเอกสารกระดาษและการทำลายข้อมูลในโมดูลจัดเก็บข้อมูล
8. ความโปร่งใส
บริษัทจะต้องจัดทำ นโยบายและขั้นตอน เกี่ยวกับวิธีการจัดการข้อมูลส่วนบุคคล ให้เข้าถึงได้ง่าย ลูกค้าจึงต้องสามารถเข้าถึงข้อมูลนี้ได้โดยไม่ต้องอ้อมที่ซับซ้อน การตอบ คำถามของผู้บริโภค เกี่ยวกับการคุ้มครองข้อมูล จะต้องตอบภายในระยะเวลาที่เหมาะสมและโดยตรงที่สุดเท่าที่จะเป็นไปได้ ข้อมูลที่ให้จะต้องจัดทำในลักษณะที่เข้าใจได้โดยทั่วไป ควรหลีกเลี่ยงเงื่อนไขทางกฎหมาย
ข้อกำหนดจาก PIPEDA
ตาม PIPEDA องค์กรจะต้องให้ข้อมูลเหล่านี้เมื่อมีการร้องขอ:
- ชื่อหรือตำแหน่งและที่อยู่ของผู้รับผิดชอบนโยบายและแนวปฏิบัติขององค์กร และผู้ที่สามารถส่งต่อข้อร้องเรียนหรือสอบถามข้อมูลได้
- วิธีการเข้าถึงข้อมูลส่วนบุคคล
- ประเภทของข้อมูลส่วนบุคคลที่รวบรวมรวมถึงคำอธิบายการใช้งาน
- ข้อมูลที่เป็นลายลักษณ์อักษรที่อธิบายนโยบายและมาตรฐานองค์กรของบริษัท
9. สิทธิ์ในข้อมูล
เมื่อมีการร้องขอ บริษัทจะต้องให้ข้อมูลแก่บุคคลเกี่ยวกับข้อมูลส่วนบุคคลที่จัดเก็บและวิธีการนำไปใช้หลังจากการรับรองความถูกต้อง หากลูกค้าสงสัยในความถูกต้องหรือความสมบูรณ์ของข้อมูลส่วนบุคคล เขาหรือเธอสามารถยืนกรานที่จะเปลี่ยนแปลงข้อมูลที่บันทึกไว้ได้ ซึ่งอาจหมายถึง การแก้ไข การลบ หรือ การเพิ่มข้อมูล
ข้อยกเว้น
ข้อมูลเกี่ยวกับข้อมูลส่วนบุคคลสามารถถูกปฏิเสธได้ด้วยเหตุผลหลายประการ ในกรณีนี้หากข้อมูลดังกล่าวอยู่ภายใต้สิทธิพิเศษของทนายความ-ลูกค้า หรือหากข้อมูลทางธุรกิจที่เป็นความลับจะถูกเปิดเผย
ข้อกำหนดการรับรองความถูกต้อง
ก่อนที่จะอนุญาตให้เข้าถึงข้อมูลส่วนบุคคล บริษัทจะต้องตรวจสอบให้แน่ใจว่ากำลังสื่อสารกับบุคคลที่ถูกต้อง
บางองค์กรทำเช่นนี้โดยขอบัตรประจำตัวที่ออกโดยรัฐบาล หากจำเป็น สามารถ ตรวจสอบยืนยันตามข้อมูลบัญชี ร่วมกับข้อมูลอื่น ๆ เช่น นามสกุลเดิมหรือรหัสผ่านที่เก็บไว้ได้เช่นกัน อย่างไรก็ตาม ข้อกำหนดการรับรองความถูกต้องที่เข้มงวดจะต้องไม่เป็นอุปสรรคต่อสิทธิ์ในข้อมูล
ข้อมูล – เวลาและต้นทุน
การร้องขอข้อมูลจะต้องตอบกลับภายในเวลาที่เหมาะสมและมีค่าใช้จ่ายขั้นต่ำหรือไม่มีเลยสำหรับบุคคลนั้น คำขอจะต้องตอบภายใน 30 วันหลังจากได้รับ หากบริษัทต้องการเวลาเพิ่มเติมในการให้ข้อมูลเป็นพิเศษ บริษัทจะต้องส่งการตัดสินใจชั่วคราวให้กับบุคคลนั้นและระบุเหตุผลที่เป็นไปได้สำหรับความล่าช้า
10. สิทธิในการร้องเรียน
สิทธิ์ในการร้องเรียนที่อยู่ใน PIPEDA ช่วยให้ลูกค้าและผู้บริโภค สามารถดำเนินการแบบกำหนดเป้าหมายต่อบริษัทได้ หากจุดต่างๆ ของ GDPR Canada ถูกละเมิด
บริษัทจะต้องจัดให้มีขั้นตอนในการรับและตอบสนองต่อข้อร้องเรียนและการสอบถาม ขั้นตอนเหล่านี้ควรเรียบง่ายและใช้งานง่าย นอกจากนี้ ตาม GDPR Canada บริษัทต่างๆ จะต้อง ตรวจสอบและสอบสวนข้อร้องเรียน แม้ว่าพวกเขาจะ ไม่เชื่อว่าการร้องเรียนนั้นมีความสมเหตุสมผลก็ตาม หากการร้องเรียนพิสูจน์ได้ว่าถูกต้อง จะต้องดำเนินมาตรการที่เหมาะสมเพื่อแก้ไขปัญหาดังกล่าว เจ้าหน้าที่คุ้มครองข้อมูลของบริษัทมีหน้าที่รับเรื่องร้องเรียนและดำเนินขั้นตอนต่างๆ