GDPR og hvað það þýðir fyrir Kanada

GDPR er einn mikilvægasti liðurinn í gagnaverndarlöggjöfinni sem kom út á síðustu 20 árum. Í henni eru settar fram yfirgripsmiklar viðmiðunarreglur sem allir aðilar að Evrópusambandinu eiga að fylgja og þær varða persónuverndar- og verndarlög varðandi öll viðskipti sem nota gögn viðskiptavina sinna. gdpr merki


Í ljósi þess að útbreiðsla gagna sem notuð voru við markaðssetningu og uppsetningu sniðs hjá fyrirtækjum um allan heim hefur þetta leitt til mikillar hristingar á gagnalöggjöf og hefur þegar haft víðtækar afleiðingar.

Hér að neðan er að finna skrá yfir GDPR og hvað það þýðir fyrir kanadíska löggjöf og fyrirtæki hennar. Þú munt líka finna skýringu á líkustu safni reglugerða og GDPR í Kanada – PIPEDA. Ennfremur er hægt að finna skrá yfir nýjar sögur um GDPR og áhrif þess á Kanada sem og mikilvæg skjöl sem skýra bæði lögin.

Hvað er GDPR?

GDPR, eða almenn reglugerð um gagnavernd, er reglugerð sem kemur í stað gagnaverndartilskipunarinnar formlega fylgt með aðilar að Evrópusambandinu. Samið var um GDPR í apríl 2016 og tók gildi vorið 2018, með skilafresti fyrirtækja sem verða fyrir áhrifum af GDPR frá 25. maí 2018.

GDPR hefur haft víðtækar afleiðingar fyrir stafræn viðskipti bæði innan ESB og um allan heim, þar sem það hefur ekki aðeins áhrif á fyrirtæki sem hýst er af ESB eða aðildarríkjum þess, heldur einnig fyrirtæki sem eiga viðskipti við borgara þessara aðildarríkja. Þannig er GDPR ef til vill sá víðtækasti upplýsingalöggjöf á internetinu sem samþykkt hefur verið hingað til.

gdpr merkingu

GDPR er langt skjal en helstu límmiðar fyrir kröfur þess – og þær sem eiga við um alla aðildarríki Evrópusambandsins – eru:

  • nafnleynd safnaðra gagna til að vernda friðhelgi borgaranna
  • kröfu um samþykki neytenda til að vinna úr gögnum þeirra
  • afhendingu tilkynninga til neytenda ef gögn þeirra glatast eða eru brotin
  • örugga meðhöndlun gagnaflutninga yfir landamæri
  • kröfu um gagnavernd, sem skipuð er af fyrirtækjum sjálfum, til að tryggja samræmi við GDPR

Í grundvallaratriðum krefst GDPR þess að fyrirtæki sem eiga viðskipti við gögn ESB-borgara (sem þýðir í raun hvert fyrirtæki í nútímanum) verði að taka ákveðin skref til að vernda þau gögn. Þetta felur í sér bæði vinnslu og flutning gagna, svo og sölu þeirra og hugsanlega notkun eða misnotkun fyrsta fyrirtækisins eða annarra fyrirtækja.

Hvað er samþykki?

Samþykki, eins og lýst er af GDPR, er aðeins mælanlegt ef það er á tvíræðan hátt gefið af viðkomandi einstaklingi. Þess vegna verða allir viðskiptavinir, sem gögn verða notaðir af fyrirtæki eða þjónustu, beinlínis að gefa samþykki fyrir því að gögn þeirra séu notuð annað hvort á skriflegan eða munnlegan hátt.

Dæmi um GDPR

Fyrrverandi aðferðir við samþykki, eins og leyfðar eru í fyrri tilskipun, eru ekki lengur ásættanlegar. Þessar ólöglegu leiðir til að fá samþykki eru ma:

  • Afþakka samþykki, sem tekur við samþykki af hálfu einstaklings nema þeir segi annað.
  • Imbætt samþykki, svo sem gagnavinnsla nauðsynleg til samningsgerðar.
  • Samþykki dregið af ójafnvægi valds.
  • Stöðugt samþykki, eins og það sem fæst hjá fyrirtækjum þegar þeir skipta um viðskiptavin frá einni áætlun til annarrar.

Samkvæmt GDPR verður samþykki að vera:

  • Skýrt
  • Endurtekið þegar viðskiptavinur breytir þjónustu eða samningum
  • Sértæk
  • Láttu fylgja með valkost fyrir afturköllun eða synjun
  • Þekking á beinni markaðssetningu
  • Afturköllun eða synjun samþykkis verður að vera eins auðvelt og að veita samþykki og upplýsa verður um notendur um þennan rétt
  • Fyrir ofan 16, að öðru leyti þarfnast foreldrasamþykktar

Hve langt nær GDPR?

Nokkuð rugl hefur verið um umfang GDPR þar sem það eru ESB lög. Auðvitað á GDPR við um öll fyrirtæki innan ESB. Þessi lög hafa áhrif á hvert aðildarríki samtakanna þannig að hvert ríki þarf ekki að skrifa önnur lög sem geta komið í bága við hvert annað.

Almenn reglugerð ESB um gagnavernd - bakgrunnur

Að auki er háð ESB fyrirtæki sem markaðssetur vörur eða þjónustu fyrir íbúa ESB háð GDPR. Þetta nær til fyrirtækja með aðsetur í öðrum löndum. Sem dæmi má nefna að Amazon, sem selur viðskiptavinum um allan heim, er háð kröfum GDPR ef þeir selja vörur til ESB borgara. Þess vegna hefur GDPR haft svo víðtæk áhrif á viðskipti á heimsvísu.

Nú þegar hefur þetta skilað verulegu álagi fyrir fyrirtæki án þess að fjármagn eða framsýni hafi verið breytt til að aðlaga hegðun sína, sem hefur leitt af sér nokkrar sektir eða í sumum fyrirtækjum að hætta við afhendingu eða þjónustu til borgara ESB.

Sérstakar GDPR

Kanadískir viðskipti eigendur þurfa að vera meðvitaðir um helstu greinar innan GDPR sem hafa bein áhrif á rekstur þeirra og viðskipti.

17. og 18. gr. Veita bæði neytendum meiri stjórn á persónulegum gögnum sínum, jafnvel og sérstaklega ef þau eru afgreidd sjálfkrafa af vefsíðu eða kerfi. Þessi „réttur til færanleika“ gerir neytendum einnig kleift að flytja persónulegar upplýsingar sínar milli þjónustuaðila mun auðveldara en áður. Þetta hvetur viðskiptavini til að skipta oftar um þjónustu fyrir þráðlausa þjónustu oftar í leit að betri samningi.

Að auki tryggir 18. grein að neytendur hafi rétt til að eyða persónulegum gögnum sínum við sérstakar kringumstæður – þetta er kallað „rétturinn til að eyða“.

Í 23. og 30. gr. Er þess krafist að öll fyrirtæki sem meðhöndla gögn fyrir viðskiptavini sína innleiði hæfilegar ráðstafanir til verndunar gagna. Þetta mun verja gögn viðskiptavina sinna gegn hagnýtingu og koma í veg fyrir að gögn þeirra eða friðhelgi einkalífs glatist eða verði á óvart. Þetta á bæði við um misnotkun fyrirtækisins sjálfs og utanaðkomandi sveitir eða einstaklingar.

31. og 32. gr. Varða tilkynningar um brot á gögnum. Nánar tiltekið krefst 31. gr. Að allir umsjónarmenn gagna (sem þýðir að allir starfsmenn sem fara með persónuupplýsingar að einhverju leyti) verði að tilkynna öllum eftirlitsyfirvöldum (sem geta falið í sér stjórnendur eða framkvæmdastjóra) um brot á persónulegum gögnum innan 72 klukkustunda frá því að upphaflega var gerð grein fyrir umræddu broti. Einnig verður að veita sérstakar upplýsingar um brotið; þetta felur í sér eðli brotsins og hversu margir skráðir einstaklingar hafa áhrif.

gdpr gögn

32. gr. Nær síðan yfir viðskiptavinahlið hlutanna. Sérstaklega krefst það þess að stjórnendur gagna verði að segja einstaklingum um þau gögn eins fljótt og auðið er að gögn þeirra hafi verið brotin eða glatast, sérstaklega þegar réttindi þeirra eða frelsi er í hættu.

Í 33. og 33. gr. Eru bæði mat á áhrifum gagnaverndar. Þetta eru nauðsynlegar verklagsreglur sem fyrirtæki verða að gangast undir til að greina fyrirliggjandi áhættu fyrir gögn viðskiptavina sinna. Þeir verða einnig að framkvæma reglugerðir; þetta tryggir að tekist sé á við allar áhættur sem eru greindar frekar en að hunsað sé eða vísað frá þeim sem ólíklegt.

35. grein varðar fyrrnefnda gagnaverndarfulltrúa. Það lýsir því að öll fyrirtæki sem meðhöndla gögn um heilsufar viðskiptavinar eða einstaklinga, lýðfræðilegar upplýsingar, erfðaupplýsingar eða önnur mikilvæg (þ.e.a.s. að bera kennsl) gögn verða einnig að hafa tilnefndan verndarfulltrúa. Skyldur slíkra yfirmanna fela í sér að ráðleggja hýsingarfyrirtækjum sínum um samræmi við GDPR og að hafa milligöngu milli eftirlitsyfirvalda og embættismanna GDPR.

Auðvitað mun mikill meirihluti fyrirtækja sem meðhöndla hvers kyns gögn yfirleitt þurfa tölvuverndarfulltrúa sjálfkrafa. Hins vegar er ekki tilgreint að gagnaverndarfulltrúinn þurfi að vera nýr starfsmaður; fyrirtæki geta breytt núverandi starfsmanni í hlutverkið að því tilskildu að skyldum stöðunnar sé fullnægt á fullnægjandi hátt.

Þannig eru 36. og 37. grein skrifuð til að gera grein fyrir stöðu yfirmanns gagnaverndar og ganga úr skugga um að ábyrgð þess sé kristaltær. Þetta felur í sér verklag til að tryggja samræmi við GDPR og verklagsreglur sem fela í sér skýrslugerð eftirlitsaðila.

45. grein fjallar um auknar kröfur um gagnavernd. Þetta snýr að alþjóðlegum fyrirtækjum og bera kennsl á þau sem falla undir reglugerðir GDPR ef þau meðhöndla gögn um borgara ESB. Það er í meginatriðum til að tryggja að ekkert alþjóðlegt fyrirtæki sleppi við netið fyrir GDPR.

Að lokum er talað um 79. gr. Um viðurlög við samræmdri viðbrögð við GDPR.

Hverjar eru afleiðingar ósamræmis við GDPR?

Þrátt fyrir að fyrrum gagnafyrirmæla ESB, gagnaverndartilskipunin, hafi tiltölulega slaka viðurlög, hefur GDPR mun alvarlegri afleiðingar fyrir vanefndir. Í þessari nýju löggjöf hafa eftirlitsyfirvöld miklu meira vald til að taka gildi þýðingarmiklar breytingar á afleiðingum hjá fyrirtækjum þeirra sem starfa. Að auki geta eftirlitsstofnanir nú kannað og leiðrétt öll vandamál sem ekki eru í samræmi við þau.

gdpr merki á fartölvu

Önnur völd fela í sér hæfileika til að framkvæma úttektir til að tryggja að farið sé eftir þeim, gefa út viðvaranir, krefjast þess að fyrirtæki geri sérstakar endurbætur, mæli fyrir um fresti fyrir þær úrbætur, fyrirskipi að eyða gögnum borgaranna og koma í veg fyrir að fyrirtæki flytji gögn til annarra fyrirtækja. Allir umsjónarmenn gagna – það er að segja starfsmenn sem sjá um gögn viðskiptavina – eru háðir valdi eftirlitsaðila.

Að auki veitir GDPR eftirlitsstofnunum getu til að gefa út mun stærri sektir en áður. Sérhver sekt er ekki ákvörðuð samkvæmt ákvörðunum um villuna og sektir eru ekki nauðsynlegar nema eftirlitsaðili telji það nauðsynlegt. Sektir geta verið allt að tvö eða 4% af ársveltu á heimsvísu, eða 10 milljónir evra eða 20 milljónir evra, hvort sem það er meira.

Hvaða gögn á GDPR við?

Í stórum dráttum gildir GDPR um allar persónulegar upplýsingar, rétt eins og forveri hans, Persónuverndarlög. Þetta felur í sér persónuleg en almenn gögn, svo sem IP-tölu einstaklings. En það felur einnig í sér viðkvæm gögn sem eru einstök fyrir einstakling – þetta er frábrugðið gögnum eins og IP-tölu hér að ofan, sem fræðilega gæti verið notað af fleiri en einum einstaklingi.

Viðkvæm gögn innihalda erfða- eða líffræðileg tölfræðileg gögn. Það er almennt skilið sem gögn sem ekki er hægt að deila með öðrum. Persónuupplýsingar innihalda einnig nöfn, myndir, netföng, bankaupplýsingar eða færslur á netsamfélögum.

Hver á GDPR við?

Eins og lýst er hér að ofan, verður hvert fyrirtæki sem selur eða markaðssetur vörur eða þjónustu fyrir íbúa ESB, sama hvar það fyrirtæki er staðsett, að fara eftir þeim reglum sem lýst er í GDPR. Ef þeir fara ekki eftir þessum reglugerðum verða þeir að greiða nauðsynlegar sektir eða gera úrbætur.

Eins og stendur eru vefsíður sem eru ekki í samræmi við GDPR ekki aðgengilegar af aðildarríkjum ESB. Sem dæmi má nefna að bæði Chicago Tribune og LA Times var tímabundið lokað á aðild að ESB þar til þeir náðu samræmi við GDPR.

Hver eru markmið GDPR?

GDPR er greinilega umfangsmikill löggjöf, en hver eru markmið þess og gildandi tilskipanir gera mælanlegar framfarir í átt að þessum markmiðum?

gdpr markmið

Markmið GDPR er að skilgreina stöðluð gagnaverndarlög í öllum aðildarríkjum Evrópusambandsins. Fyrir tilskipunina á tíunda áratugnum voru gagnaverndarlög að mestu leyti undir ákvörðunum hvers aðildarríkis sem gerðu viðskipti og löggæslu miklu flóknari og erfiðari mál. Að auki voru gögn réttindi neytenda ekki mjög vel þekkt og voru oft brotin af fyrirtækjum í nýtingu.

Með því að staðla gagnaverndarlög í öllu ESB mun GDPR að sögn:

  • bæta friðhelgi einkalífs og gagna allra íbúa ESB
  • hjálpa þeim íbúum að skilja persónuupplýsinganotkun þeirra
  • fjalla um útflutning persónuupplýsinga utan ESB
  • veita eftirlitsaðilum betri heimildir til að bregðast við fyrirtækjum eða samtökum sem brjóta í bága við nýju reglugerðirnar
  • einfalda reglugerðir fyrir alþjóðleg fyrirtæki svo þau þurfi ekki að muna aðskilin gagnalög fyrir hvert aðildarríki ESB
  • krefjast þess að ný fyrirtæki fari eftir reglugerðum GDPR

Þessi markmið eru mikilvæg í nútíma efnahagsheimi vegna þess að gögn notenda eru eflaust verslunarvara í sjálfu sér.

Markaður og fyrirtæki fyrir allar tegundir af vörum og þjónustu nota gögnin sem þau safna bæði frá neytendum sínum og neytendum annarra vefsíðna eða þjónustu til að markaðssetja vörur sínar betur fyrir þá neytendur. Hugleiddu Facebook eða svipaðar vefsíður á félagslegur net. Þessar vefsíður selja gjarnan gögnin sem þeir safna um notendur sína til markaðsfyrirtækja, sem selja síðan þau gögn til raunverulegra framleiðsluaðila eða þjónustu.

Vopnaðir tilteknum gögnum geta fyrirtæki síðan miðað einstaklingi með því að bjóða upp á auglýsingar sem eru sérsniðnar að hagsmunum þeirra. Að öðrum kosti geta þeir aukið markaðsvirkni sína með því að miða á ákveðna lýðfræði eða einstaklinga.

gdpr umgengnisréttur

Auðvitað kann þetta að vera mismunandi og lögmæti þess er mjög grátt. Ein stærsta leiðin þar sem þessi tegund af gagnanotkun er talin slæm er vegna þess að hún notar endilega upplýsingar um einstaklinga sem geta verið „einkaupplýsingar“. Gott dæmi er að skoða gögn sem markaðsfyrirtæki nota til að framreikna neysluvenjur eða lýðfræðilegar staðreyndir.

Þetta augljós brot á friðhelgi einkalífsins er hluti af GDPR. Megináhersla þess er að skila íbúum ESB meira næði.

Hvað þýða GDPR lög fyrir Kanada?

Sem land með mörg fyrirtæki og stofnanir sem eiga oft viðskipti við ESB-fyrirtæki eða borgara eru reglugerðir GDPR aðallega áhyggjuefni margra íbúa Kanada. Sem grunndæmi, allir kanadískir vefsíður sem leyfa kaup á vörum sínum eða þjónustu í evrum eða sem afhenda evrópskum borgurum afhendingu, þurfa að fylgja GDPR.

Fylgni GDPR fyrir kanadísk samtök og borgarar er sérstaklega mikilvæg vegna þess að mörg kanadísk persónuverndarlög eru þegar mjög svipuð og GDPR. Þannig getur verið auðvelt fyrir fyrirtæki eða einstaklinga að misskilja samræmi þegar þeir eru í raun ekki í samræmi.

PIPEDA

Kanada hefur sína eigin GDPR-löggjöf sem ætlað er að vernda persónuupplýsingar neytenda frá samtökum einkageirans í Kanada. Lög þessi – lög um persónuvernd og rafræn skjöl – voru skrifuð til að setja reglur um söfnun, notkun og miðlun persónuupplýsinga fyrir öll einkafyrirtæki í Kanada. Það var upphaflega sett í gildi árið 2000 en hefur nýlega verið uppfært í kjölfar GDPR.

pipeda merki

PIPEDA gildir nú um öll einkageirasamtök í Kanada sem nota persónuleg gögn við atvinnustarfsemi. Auglýsingastarfsemi, skilgreind með þessum lögum, er öll viðskipti, háttsemi eða aðgerðir sem eru af viðskiptalegum toga. Þetta felur í sér kaup, sölu, útleigu, fjáröflun eða aðildarskiptingu.

Svæði Québec, Bresku Kólumbíu og Alberta hafa þó þegar svipuð einkalög á almennum vinnumarkaði. Þetta eru mjög lík PIPEDA og því eru öll samtök innan þessara svæða sem fylgja þessum lögum oft talin undanþegin PIPEDA svo framarlega sem viðskipti sem tengjast þeim fyrirtækjum eða samtökum eiga sér stað innan þessara héraða. Ef fyrirtæki í Alberta myndi framkvæma alþjóðleg viðskipti væru þau viðskipti háð þeim reglum sem PIPEDA lýst.

Eins og GDPR, falla undir PIPEDA reglugerðir öll fyrirtæki sem starfa í Kanada og sjá um persónulegar upplýsingar sem fara yfir alþjóð eða héruð landamæri. Fyrir vikið er oft auðveldara fyrir fyrirtæki að tryggja samræmi við PIPEDA frekar en landhelgi eða fylki.

Að auki eru PODEDA háð öllum samtökum sem eru skipuleg lögbundin samtök í Kanada. Þar á meðal eru bankar, flugfélög, fjarskiptafyrirtæki og útvarps- og sjónvarpsstöðvar.

Samkvæmt PIPEDA eru persónulegar upplýsingar skilgreindar sem allar staðreyndir eða huglægar upplýsingar sem kunna að vera eða ekki er hægt að skrá um greinanlegan einstakling. Þetta felur í sér svipaða þætti og skilgreiningin á GDPR, þar með talið aldur, kennitölur, þjóðernisuppruni, blóðgerð, lánsfé og fleira. En það felur einnig í sér huglægari upplýsingar eins og athugasemdir á samfélagsmiðlum, félagslega stöðu, skoðanir eða agaaðgerðir.

PIPEDA gerir það ekki ná yfir samskiptaupplýsingar fyrirtækja sem eingöngu eru notaðar í þeim tilgangi að eiga samskipti við einstakling í tengslum við starfsgrein sína eða vinnustað. Að auki nær PIPEDA ekki til notkunar eða miðlunar upplýsinga sem eru stranglega notaðar í persónulegum tilgangi, svo sem upplýsingar sem fengnar eru af kveðjuorðalista. Sérhver söfnun eða notkun persónuupplýsinga í listrænum, bókmenntafræðilegum eða blaðamennskum tilgangi er heldur ekki háð þeim reglum sem PIPEDA lýst..

Þetta hefur tilhneigingu til að útiloka félagasamtök eða góðgerðarfélög, stjórnmálaflokka og samtök og listahópa.

innlendar tölfræði um netöryggisbandalag

Öll kanadísk fyrirtæki verða að fylgja 10 sanngjörnum upplýsingagjöfum sem settar eru fram í tímaáætlun í PIPEDA:

  • ábyrgð
  • að bera kennsl á tilgang
  • samþykki
  • takmarka söfnun
  • takmarka notkun, miðlun og varðveislu
  • nákvæmni
  • verndarráðstafanir
  • hreinskilni
  • einstaklingur aðgangur
  • krefjandi samræmi

PIPEDA samþykki lítur líka mjög út eins og samþykki eins og lýst er af GDPR. Helstu límmiðar eru eins og hér segir:

  • fyrirtæki verða að fá samþykki til að safna eða nota persónulegar upplýsingar
  • upplýsingum sem safnað verður að nota aðeins eins og einstaklingur hefur samþykkt
  • þú verður að takmarka söfnun þína og notkun upplýsinga við „það sem skynsamlegum einstaklingi þykir viðeigandi við aðstæður“
  • einstaklingar verða að hafa getu til að fá aðgang að og breyta eða leiðrétta mistök varðandi upplýsingar sínar hvenær sem er

Samþykki samkvæmt PIPEDA er beinlínis, viljandi og sértækt.

Mismunur á milli GDPR og PIPEDA

Í stuttu máli, PIPEDA er aðeins minna ströng en GDPR á nokkrum sviðum. Sem dæmi eru kanadísk fyrirtæki skylt að tilkynna um öryggisbrot sem skapa raunverulega hættu á einstaklingum. Samt sem áður, þessi skýrsla verður að koma „eins fljótt og auðið er“ frekar en innan 72 klukkustunda eins og ráðgert er af GDPR.

gdpr vs pipeda

Samt sem áður hafa verið talsverðar ákall um að uppfæra kanadísk lög um gagnavernd í kjölfar GDPR enn frekar.

Hvernig á að tryggja samræmi við GDPR í Kanada

Öll kanadísk samtök ættu að fara yfir gagnavinnsluaðgerðir sínar og bera þær saman við reglugerðirnar sem lýst er í GDPR.

Í fyrsta lagi ættu öll kanadísk samtök eða einstaklingar, sem lúta samræmi við GDPR, að lesa skjalið ef þeir hafa tíma. Þó að það sé skrifað á mjög lagalegu máli er það ekki erfitt að lesa og er lengra en það er flókið. Allir sem þegar þekkja leiðbeiningar um samræmi PIPEDA ættu að finna mikið sem er svipað og í GDPR.

Önnur aðferð er að skoða aðrar stofnanir sem hafa áhrif á GDPR. Þú getur annað hvort leitað til þessara samtaka eða fyrirtækja beint og beðið um ráðleggingar þeirra um samræmi eða skoðað hvað þeir gera út á við og afritað viðleitni þeirra.Kanada og Eu

Auðvitað ætti að skoða eigin vefsíðu eða fyrirtæki þitt rækilega. Ef þú ert hluti af alþjóðlegu fyrirtæki, verður þú nú þegar að skipa yfirmann gagnaverndar; þetta er ein helsta skylda þeirra. Eyddu miklum tíma í að skoða gagnaöflunaraðferðir þínar, bæði af ásetningi og óviljandi, til að tryggja samræmi við GDPR. GDPR mun ekki gera greinarmun á brotum af slysni og ásetningi á reglugerðum sínum.

Góðar aðferðir fela í sér að kortleggja hvernig gögnin sem þú safnar fara inn í kerfin þín, skoða hvernig gögnin eru geymd, kanna hvernig gögnin eru flutt milli mismunandi fyrirtækja eða yfir landamæri og loks kanna hvernig gögnunum er eytt (ef yfirleitt). Þetta gerir þér kleift að fá góða innsýn í hvernig gögn flytjast um allt skipulag þitt og hvar þú þarft að fylgjast náið með eða breyta verklagsreglum þínum.

Þú ættir einnig að rannsaka alla samninga eða samþykkisform sem þú hefur nú við ESB borgara til að ganga úr skugga um að samningurinn sé í samræmi við GDPR reglugerðir. Það getur verið að fyrri samningar þínir eða samningsskilmálar séu ekki í samræmi. Þú ættir auk þess að fara yfir alla samninga sem þú hefur við gagnavinnsluaðila (þ.e.a.s alla starfsmenn fyrirtækisins sem annast gögn viðskiptavina þinna eða neytenda) til að ganga úr skugga um að skyldur þeirra séu lagðar rétt út.

Sem dæmi má nefna að allir gagnavinnsluaðilar, þar sem samningur er ekki með reglum um GDPR, getur haft grundvöll til að standa á ef þeir halda því fram að þú séð að skipa þeim að gera eitthvað sem ekki er í þeirra samningi.

Það getur líka verið góð hugmynd að ráðfæra sig við lögfræðiráðgjafa. Þeir geta hugsanlega túlkað eigin samninga og löggjöf GDPR og gengið úr skugga um að það séu engir blindir blettir sem þú sérð ekki og engin vandamál í samræmi við það. Þar sem GDPR er þegar liðinn og skilafrestur er löngu liðinn er ekki lengur tími til að bíða eftir gögnum sem nota gögn.

gdpr lögmæti

Að lokum, þessum kanadísku fyrirtækjum sem þegar hafa verið PIPEDA-samhæfð á undanförnum árum, gæti komið fram að meirihluti gagnagrunns þeirra sé nú þegar samsvarandi GDPR. Þú getur líka reitt þig á PIPEDA samræmi við málsmeðferðina til að fylgja ofangreindum ráðum, þó að það sé samt mikilvægt að vera meðvitaður um meiriháttar mismun á löggjöfinni.

Mælt með stafrænum persónuverndartólum

  • Besta VPN þjónusta
  • Bestu VPN fyrir Netflix
  • Besti lykilorðastjóri
  • Öruggustu vafrar

Nýlegar GDPR fréttir í Kanada

Áhrif ársins í eitt af GDPR á kanadísk fyrirtæki

Hingað til hefur GDPR þegar haft veruleg áhrif á kanadísk persónuverndarlög, einkum vegna þess að það hefur hvatt til uppfærslna á kanadísku PIPEDA löggjöfinni. Þetta er að hluta til vegna þess að mörg kanadísk fyrirtæki stunda einnig alþjóðleg viðskipti að einu leyti eða öðru. Talið hefur verið að uppfærsla PIPEDA til að gera hana líkari GDPR muni bæta viðskiptaflæði frá Kanada til ESB-ríkja.

Sem smærri dæmi eru mörg hugtök sem notuð eru í GDPR oft notuð af kanadískum löggjafarmönnum og öðru fagfólki. GDPR hefur neytt mörg fyrirtæki og einstaklinga til að kynnast hugtökum og hugmyndum sem eru til staðar í löggjöfinni miklu hraðar en nokkur ímyndaði sér.

Nýju persónuverndarlögin í Evrópu geta komið Kanadamönnum til góða

Notendur margra kanadískra vefsíðna og fyrirtækja hafa þegar fengið tölvupóst þar sem farið er yfir uppfærslur á persónuverndarstefnu og samningum þessara fyrirtækja. Þetta er vegna þess að samþykkt GDPR af ESB-þinginu hefur krafist þess að öll fyrirtæki sem eiga viðskipti við borgara ESB verða að vera í samræmi við ný lög um persónuvernd..

Microsoft merki

Þetta eru þó góðar fréttir fyrir marga kanadíska borgara. The GDPR er hvetjandi uppfærð skoðun á gildandi lögum um persónuvernd og hvetur mörg stór fyrirtæki til að taka upp neytendavæn vinnubrögð í tengslum við gögn þeirra og notkun þeirra. Microsoft, sem dæmi, er að taka upp GDPR réttindi gagnvart notendum sínum um allan heim, ekki bara þá sem eru innan ESB. Apple hefur fylgt svipaðri þróun.

Aðrir, eins og Facebook, hafa lýst því yfir að þeir hyggist vera gegnsærri, þó að sumir hafi gagnrýnt þau fyrir að gera tilkynningarleiðbeiningar sínar afar erfiðar að afþakka.

Kanada til að uppfæra gagnalög að GDPR staðlinum

Frá því að GDPR tók gildi 25. maí 2018 hefur það virkað sem hvati fyrir önnur lönd til að uppfæra eigin persónuverndarlög og hvatt til nýrrar skoðunar á því hvað ábyrg gagnanotkun þýðir. Argentína og Japan voru meðal fyrstu fyrirtækja til að samræma innlend lög um gagnavernd sína við GDPR. Þetta er að mestu leyti vegna þess að mörg fyrirtæki þeirra stunda alþjóðleg viðskipti og að samþykkja svipuð lög auðveldar viðskipti víðsvegar um borð.

Kanada er nú að leita að gera nákvæmlega það sama með því að uppfæra PIPEDA löggjöf sína. Hins vegar verða þessar uppfærslur ekki endilega eins strangar og GDPR.

Að auki mun nýr landsstyrkur um stafræna og umbreytingu gagna eiga sér stað á næstunni. Þetta mun endurskoða hlutverk nettóhlutleysi í gagnavernd fyrir Kanadamenn og íhuga hvernig best sé að taka upp ný lög eða laga núverandi PIPEDA löggjöf.

Uppfærslur á PIPEDA

Skrifstofa persónuverndarlögreglustjóra Kanada hefur sent frá sér nýja kröfu um tilkynningar um brot vegna fyrirtækja. Þetta er opinber uppfærsla á PIPEDA sem varð fyrst lög árið 2000. Það mun hafa áhrif á allar stofnanir einkageirans sem eiga viðskipti við eða starfa við Kanadamenn.

næði er ekki glæpur

Sérstaklega varðar uppfærslurnar skýrslugjöf um brot á gögnum. Þótt þessar uppfærslur séu ekki eins strangar og þær sem nú eru samþykktar af GDPR, eru þær mun skýrari og munu hafa í för með sér stöðugri skýrslugerð um gagnabrot en fyrri löggjöf.

Í stuttu máli, samtök sem heyra undir PIPEDA verða að tilkynna til skrifstofu persónuverndarmálastjóra ef gagnabrot geta leitt til raunverulegs hættu á verulegum skaða og tilkynna einstaklingum um umrædda öryggisbrot. Halda verður skrá yfir öryggisbrot í tvö ár. Sumir hafa tekið fram að þessi skref eru ekki lokið en eru að minnsta kosti í réttum anda betri gagnaverndar.

Áhrif Sektar á GDPR á Kanada

Þar sem ný löggjöf GDPR hefur skilað sér í nokkrum fyrirtækjum sem sæta sektum, hafa þessar sektir verið til skoðunar af kanadískum fyrirtækjum. Nánar tiltekið hefur British Airways og Marriott international verið sektað um 183,4 milljónir breskra punda og 99,2 milljónir breskra punda í sömu röð.

Þessi dæmi hafa veitt kanadískum fyrirtækjum dýrmæta innsýn til að sjá raunverulegan árangur af ósamræmi við GDPR í fyrstu hendi. Samkvæmt GDPR er hægt að sekta samtök sem hafa brotið á umræddum reglugerðum með allt að 4% af ársveltu þeirra eða 20 milljónum evra, hvort sem það er meira. Þannig geta fyrirtæki vegið að hugsanlegri áhættu af því að brjóta reglur GDPR. Rétt er að taka fram að raunverulegar sektir GDPR eru ráðnar af yfirvöldum frekar en dreift sem fyrirfram ákveðnum fjárhæðum.

GDPR auðlindir

  • Leiðbeiningar um kanadíska PIPEDA löggjöf
  • Skrifstofa persónuverndarlögreglustjóra Kanada – PIPEDA í stuttu máli
  • Skrifstofa persónuverndarlögreglustjóra Kanada – hjálp PIPEDA fyrir fyrirtæki
  • Skrifstofa persónuverndarlögreglustjóra Kanada – aðalauðlind PIPEDA
  • Opinber aðal lagalisti GDPR
  • Gátlisti um samræmi við GDPR
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map