GDPR và ý nghĩa của nó đối với Canada

GDPR là một trong những phần quan trọng nhất của luật bảo vệ dữ liệu được đưa ra trong 20 năm qua. Nó phác thảo một bộ hướng dẫn toàn diện để tất cả các thành viên của Liên minh Châu Âu tuân theo và nó liên quan đến luật bảo vệ và quyền riêng tư dữ liệu cho bất kỳ doanh nghiệp nào đang sử dụng dữ liệu của khách hàng của họ.. logo gdpr


Với sự phổ biến của dữ liệu được sử dụng trong tiếp thị và tạo hồ sơ của các công ty trên toàn thế giới, điều này đã dẫn đến một sự chấn động lớn về luật pháp dữ liệu và đã có sự phân nhánh rộng khắp.

Dưới đây, bạn có thể tìm thấy một bản ghi GDPR và ý nghĩa của luật pháp Canada và các công ty của nó. Bạn cũng sẽ tìm thấy lời giải thích về bộ sưu tập quy định tương tự nhất với GDPR ở Canada – PIPEDA. Hơn nữa, bạn có thể tìm thấy một bản ghi về những câu chuyện mới gần đây liên quan đến GDPR và những ảnh hưởng của nó đối với Canada cũng như các tài liệu quan trọng giải thích cả hai điều luật.

GDPR là gì?

GDPR, hay Quy định bảo vệ dữ liệu chung, là một quy định thay thế Chỉ thị bảo vệ dữ liệu được chính thức tuân theo bởi các thành viên của Liên minh châu Âu. GDPR đã được thỏa thuận vào tháng 4 năm 2016 và có hiệu lực vào mùa xuân năm 2018, với thời hạn tuân thủ cho các công ty bị ảnh hưởng bởi GDPR vào ngày 25 tháng 5 năm 2018.

GDPR đã gây ra hậu quả trên diện rộng cho các doanh nghiệp kỹ thuật số cả ở EU và trên toàn thế giới, vì nó không chỉ ảnh hưởng đến các công ty do EU hoặc các quốc gia thành viên tổ chức mà còn các công ty kinh doanh với công dân của các quốc gia thành viên đó. Do đó, GDPR có lẽ là luật thông tin Internet có phạm vi rộng nhất được thông qua cho đến nay.

ý nghĩa của gdpr

GDPR là một tài liệu dài, nhưng những điểm chính cho các yêu cầu của nó – và những điểm áp dụng cho mọi thành viên của Liên minh Châu Âu – bao gồm:

  • ẩn danh của dữ liệu được thu thập để bảo vệ quyền riêng tư của công dân
  • yêu cầu của người tiêu dùng đồng ý cho dữ liệu của họ được xử lý
  • việc cung cấp thông báo cho người tiêu dùng nếu dữ liệu của họ bị mất hoặc bị vi phạm
  • xử lý an toàn việc chuyển dữ liệu qua biên giới quốc gia
  • yêu cầu của một nhân viên bảo vệ dữ liệu, được chỉ định bởi các công ty, để đảm bảo tuân thủ GDPR

Về cơ bản, GDPR yêu cầu các công ty kinh doanh dữ liệu của công dân EU (có nghĩa là mọi công ty trong thời kỳ hiện đại) phải thực hiện các bước nhất định để bảo vệ dữ liệu đó. Điều này bao gồm cả việc xử lý và di chuyển dữ liệu, cũng như việc bán và sử dụng tiềm năng hoặc sử dụng sai mục đích của công ty đầu tiên hoặc bất kỳ công ty nào khác.

Đồng ý là gì?

Sự đồng ý, như được mô tả bởi GDPR, chỉ có thể đo lường được nếu nó được đưa ra một cách mơ hồ bởi cá nhân trong câu hỏi. Do đó, bất kỳ khách hàng nào có dữ liệu sẽ được sử dụng bởi một công ty hoặc dịch vụ phải đồng ý rõ ràng cho dữ liệu của họ được sử dụng theo cách viết hoặc bằng lời nói.

Ví dụ đồng ý GDPR

Các phương pháp đồng ý trước đây, như được cho phép bởi Chỉ thị trước đó, không còn được chấp nhận. Những phương tiện bất hợp pháp để có được sự đồng ý bao gồm:

  • Từ chối chấp thuận, trong đó giả sử có sự đồng ý từ phía một cá nhân trừ khi họ nêu khác.
  • Đồng ý ngụ ý, chẳng hạn như xử lý dữ liệu cần thiết để soạn thảo hợp đồng.
  • Sự đồng ý bắt nguồn từ sự mất cân bằng quyền lực.
  • Sự đồng ý liên tục, chẳng hạn như có được từ các công ty khi họ chuyển đổi một khách hàng từ kế hoạch này sang kế hoạch khác.

Theo GDPR, phải có sự đồng ý:

  • Rõ ràng
  • Lặp đi lặp lại mỗi khi khách hàng thay đổi dịch vụ hoặc hợp đồng
  • Riêng
  • Bao gồm một tùy chọn để rút tiền hoặc từ chối
  • Kiến thức về tiếp thị trực tiếp
  • Việc rút hoặc từ chối chấp thuận phải dễ dàng như đồng ý và người dùng phải được thông báo về quyền này
  • Trên 16, nếu không cần có sự đồng ý của cha mẹ

GDPR đạt bao xa?

Đã có một số nhầm lẫn về tầm với của GDPR vì đây là luật của EU. Tất nhiên, GDPR được áp dụng cho bất kỳ công ty nào trong EU. Luật này ảnh hưởng đến mọi quốc gia thành viên của liên minh để mọi tiểu bang không cần phải viết các luật khác nhau có thể xung đột với nhau.

Quy định bảo vệ dữ liệu chung của EU - Bối cảnh

Ngoài ra, bất kỳ công ty EU nào tiếp thị hàng hóa hoặc dịch vụ cho cư dân EU đều phải tuân theo GDPR. Điều này bao gồm các công ty có trụ sở tại các quốc gia khác. Ví dụ, Amazon, bán cho khách hàng trên toàn thế giới, phải tuân theo các yêu cầu GDPR, nếu họ bán sản phẩm cho một công dân EU. Đây là lý do tại sao GDPR đã có tác động rộng lớn như vậy đối với thương mại toàn cầu.

Điều này đã tạo ra sự căng thẳng đáng kể cho các công ty không có nguồn lực hoặc tầm nhìn xa để điều chỉnh hành vi của họ, dẫn đến một số khoản tiền phạt hoặc trong một số công ty ngừng giao hàng hoặc dịch vụ cho công dân EU.

Chi tiết cụ thể về GDPR

Chủ doanh nghiệp Canada cần lưu ý về các bài viết chính trong GDPR ảnh hưởng trực tiếp đến hoạt động và thương mại của họ.

Các điều 17 và 18 đều cung cấp cho người tiêu dùng quyền kiểm soát nhiều hơn đối với dữ liệu cá nhân của họ, thậm chí và đặc biệt nếu nó được xử lý tự động bởi một trang web hoặc hệ thống. Quyền này đối với tính di động, cũng có thể cho phép người tiêu dùng chuyển dữ liệu cá nhân của họ giữa các nhà cung cấp dịch vụ dễ dàng hơn nhiều so với trước đây. Điều này khuyến khích khách hàng chuyển đổi dịch vụ Internet cho các nhà cung cấp dịch vụ không dây thường xuyên hơn để tìm kiếm một thỏa thuận tốt hơn.

Ngoài ra, điều 18 đảm bảo rằng người tiêu dùng có quyền xóa dữ liệu cá nhân của họ trong các trường hợp cụ thể – đây được gọi là quyền xóa để xóa.

Điều 23 và 30 yêu cầu tất cả các công ty xử lý dữ liệu cho khách hàng của họ thực hiện các biện pháp bảo vệ dữ liệu hợp lý. Điều này sẽ bảo vệ khách hàng của họ dữ liệu khai thác và ngăn chặn dữ liệu hoặc quyền riêng tư của họ bị mất hoặc bị lộ quá mức. Điều này có liên quan đến cả việc lạm dụng bởi chính công ty và bởi các lực lượng hoặc cá nhân bên ngoài.

Điều 31 và 32 liên quan đến thông báo vi phạm dữ liệu. Cụ thể, điều 31 yêu cầu bất kỳ bộ điều khiển dữ liệu nào (có nghĩa là bất kỳ nhân viên nào xử lý dữ liệu cá nhân ở bất kỳ mức độ nào) phải thông báo cho bất kỳ cơ quan giám sát nào (có thể bao gồm người quản lý hoặc giám đốc điều hành) vi phạm dữ liệu cá nhân trong vòng 72 giờ kể từ khi biết vi phạm ban đầu. Chi tiết cụ thể về vi phạm cũng phải được cung cấp; điều này bao gồm bản chất của vi phạm và có bao nhiêu đối tượng dữ liệu bị ảnh hưởng.

dữ liệu gdpr

Điều 32 sau đó bao gồm phía khách hàng của sự vật. Cụ thể, nó yêu cầu các bộ điều khiển dữ liệu phải thông báo cho các đối tượng của dữ liệu đó càng sớm càng tốt rằng dữ liệu của họ bị vi phạm hoặc bị mất, đặc biệt là khi quyền hoặc quyền tự do của họ bị rủi ro.

Điều 33 và 33a đều liên quan đến Đánh giá tác động bảo vệ dữ liệu. Đây là những quy trình bắt buộc mà các công ty phải trải qua để xác định trước rủi ro cho khách hàng của họ dữ liệu. Họ cũng phải thực hiện Đánh giá tuân thủ; những điều này đảm bảo rằng mọi rủi ro được xác định sẽ được giải quyết thay vì bị bỏ qua hoặc loại bỏ là không thể.

Điều 35 liên quan đến các nhân viên bảo vệ dữ liệu nói trên. Nó mô tả rằng bất kỳ công ty nào xử lý dữ liệu về khách hàng hoặc đối tượng về sức khỏe, thông tin nhân khẩu học, thông tin di truyền hoặc dữ liệu quan trọng khác (tức là xác định) cũng phải có nhân viên bảo vệ dữ liệu được chỉ định. Các nhiệm vụ như vậy liên quan đến việc tư vấn cho các công ty chủ quản của họ về việc tuân thủ GDPR và đóng vai trò trung gian giữa các cơ quan giám sát và các quan chức GDPR.

Đương nhiên, phần lớn các công ty xử lý bất kỳ loại dữ liệu nào đều sẽ yêu cầu một nhân viên bảo vệ dữ liệu tự động. Tuy nhiên, nó không được chỉ định rằng nhân viên bảo vệ dữ liệu cần phải là một nhân viên mới; các công ty có thể chuyển đổi một nhân viên hiện có sang vai trò với điều kiện là các nhiệm vụ của nhiệm vụ được thực hiện đầy đủ.

Do đó, Điều 36 và 37 được viết để phác thảo vị trí của nhân viên bảo vệ dữ liệu và đảm bảo rằng trách nhiệm của họ là rõ ràng. Điều này liên quan đến các thủ tục để đảm bảo tuân thủ GDPR và các thủ tục liên quan đến báo cáo của cơ quan giám sát.

Điều 45 là về các yêu cầu bảo vệ dữ liệu mở rộng. Điều này liên quan đến các công ty quốc tế, xác định họ là đối tượng theo quy định GDPR nếu họ xử lý dữ liệu về công dân EU. Nó về cơ bản là ở đó để đảm bảo không có công ty quốc tế nào thoát khỏi mạng lưới GDPR..

Cuối cùng, Điều 79 nói về các hình phạt không tuân thủ GDPR.

Hậu quả của sự không tuân thủ GDPR là gì?

Trong khi biện pháp quản lý dữ liệu trước đây của EU, Chỉ thị bảo vệ dữ liệu, có các hình phạt tương đối lỏng lẻo, GDPR có hậu quả nghiêm trọng hơn nhiều đối với việc không tuân thủ. Trong luật mới này, các cơ quan giám sát có nhiều quyền hơn để ban hành thay đổi có ý nghĩa đối với hậu quả trong các công ty sử dụng lao động của họ. Ngoài ra, các cơ quan giám sát hiện có thể điều tra và khắc phục mọi sự cố không tuân thủ mà họ tìm thấy.

logo gdpr trên máy tính xách tay

Các quyền hạn khác bao gồm khả năng thực hiện kiểm toán để đảm bảo tuân thủ, đưa ra cảnh báo, yêu cầu các công ty cải thiện cụ thể, quy định thời hạn cho những cải tiến đó, ra lệnh xóa dữ liệu của công dân và ngăn các công ty chuyển dữ liệu sang các công ty khác. Bất kỳ bộ điều khiển dữ liệu nào – nghĩa là, nhân viên xử lý dữ liệu của khách hàng – phải tuân theo quyền hạn của các cơ quan giám sát.

Ngoài ra, GDPR cung cấp cho các cơ quan giám sát khả năng đưa ra các khoản tiền phạt lớn hơn nhiều so với trước đây. Bất kỳ khoản tiền phạt không tuân thủ nào được xác định dựa trên các trường hợp xảy ra lỗi và không cần phải nộp phạt trừ khi cơ quan giám sát thấy cần thiết. Tiền phạt có thể lên tới hai hoặc 4% doanh thu hàng năm trên toàn cầu, hoặc € 10 triệu hoặc € 20 triệu, tùy theo mức nào cao hơn.

GDPR áp dụng cho dữ liệu nào?

Nói rộng hơn, GDPR áp dụng cho bất kỳ dữ liệu cá nhân nào, giống như tiền thân của nó, Đạo luật bảo vệ dữ liệu. Điều này bao gồm dữ liệu cá nhân nhưng chung chung, chẳng hạn như một địa chỉ IP cá nhân. Nhưng nó cũng bao gồm dữ liệu nhạy cảm là duy nhất cho một cá nhân – đây là dữ liệu khác với dữ liệu như địa chỉ IP ở trên, về mặt lý thuyết có thể được sử dụng bởi nhiều hơn một cá nhân.

Dữ liệu nhạy cảm bao gồm dữ liệu di truyền hoặc sinh trắc học. Nó thường được hiểu là dữ liệu không thể chia sẻ với người khác. Dữ liệu cá nhân cũng bao gồm tên, ảnh, địa chỉ email, chi tiết ngân hàng hoặc bài đăng trên các trang web mạng xã hội.

GDPR áp dụng cho ai?

Như đã mô tả ở trên, bất kỳ công ty nào bán hoặc tiếp thị hàng hóa hoặc dịch vụ cho bất kỳ cư dân EU nào, bất kể công ty đó có vị trí nào, đều phải tuân thủ các quy định được mô tả trong GDPR. Nếu họ không tuân thủ các quy định này, họ phải trả tiền phạt cần thiết hoặc cải thiện.

Tại thời điểm này, bất kỳ trang web nào không tuân thủ GDPR đều không thể truy cập được bởi các quốc gia thành viên EU. Ví dụ, cả Chicago Tribune và LA Times đều tạm thời bị chặn đối với các thành viên của EU cho đến khi họ đạt được sự tuân thủ GDPR.

Mục tiêu của GDPR là gì?

GDPR rõ ràng là một phần lớn của pháp luật, nhưng mục tiêu của nó là gì và các chỉ thị hiện tại của nó tạo ra tiến bộ có thể đo lường được đối với các mục tiêu đó?

mục tiêu gdpr

Mục đích của GDPR, là xác định luật bảo vệ dữ liệu được tiêu chuẩn hóa trên tất cả các quốc gia thành viên trong Liên minh Châu Âu. Trước Chỉ thị thập niên 1990, luật bảo vệ dữ liệu phần lớn phụ thuộc vào quyết định của từng quốc gia thành viên, khiến thương mại và thực thi pháp luật trở nên phức tạp và khó khăn hơn nhiều. Ngoài ra, quyền dữ liệu của người tiêu dùng không được biết đến nhiều và thường xuyên bị các công ty xâm phạm vì mục đích khai thác.

Bằng cách tiêu chuẩn hóa các luật bảo vệ dữ liệu trên toàn bộ EU, GDPR sẽ được báo cáo:

  • cải thiện quyền riêng tư và quyền dữ liệu của tất cả cư dân EU
  • giúp những cư dân này hiểu việc sử dụng dữ liệu cá nhân của họ
  • giải quyết xuất khẩu dữ liệu cá nhân bên ngoài EU
  • cung cấp cho các cơ quan quản lý quyền hạn tốt hơn để hành động chống lại các công ty hoặc tổ chức vi phạm các quy định mới
  • đơn giản hóa các quy định cho các doanh nghiệp quốc tế để họ không cần phải nhớ luật riêng về dữ liệu cho từng quốc gia thành viên của EU
  • yêu cầu các doanh nghiệp mới tuân thủ các quy định GDPR

Những mục tiêu này rất quan trọng trong thế giới kinh tế hiện đại bởi vì dữ liệu của người dùng được cho là một loại hàng hóa trong chính nó.

Các nhà tiếp thị và công ty cho tất cả các loại sản phẩm và dịch vụ sử dụng dữ liệu họ thu thập từ cả người tiêu dùng và người tiêu dùng của các trang web hoặc dịch vụ khác để tiếp thị sản phẩm của họ tốt hơn tới những người tiêu dùng đó. Hãy xem xét Facebook hoặc các trang web mạng xã hội tương tự. Các trang web này thường bán dữ liệu họ thu thập trên người dùng của mình cho các công ty tiếp thị, sau đó họ bán dữ liệu đó cho các công ty hoặc dịch vụ sản xuất thực tế.

Được trang bị dữ liệu cụ thể, các công ty sau đó có thể nhắm mục tiêu một cá nhân bằng cách cung cấp quảng cáo được thiết kế riêng cho sở thích của họ. Ngoài ra, họ có thể mở rộng hiệu quả tiếp thị của mình bằng cách nhắm mục tiêu các nhân khẩu học hoặc cá nhân cụ thể.

quyền truy cập gdpr

Tất nhiên, điều này có vẻ phân biệt đối xử và tính hợp pháp của nó rất xám. Một trong những cách lớn nhất mà loại sử dụng dữ liệu này được coi là xấu là bởi vì nó nhất thiết phải sử dụng thông tin về các cá nhân có thể cấu thành thông tin cá nhân của ED. Một ví dụ điển hình là duyệt dữ liệu, mà các công ty tiếp thị sử dụng để ngoại suy thói quen của người tiêu dùng hoặc sự kiện nhân khẩu học.

Sự vi phạm quyền riêng tư rõ ràng này là một phần của GDPR. Trọng tâm chính của nó là trả lại quyền riêng tư nhiều hơn cho công dân EU.

Luật GDPR có ý nghĩa gì đối với Canada?

Là một quốc gia có nhiều công ty và tổ chức thường xuyên làm ăn với các công ty hoặc công dân EU, các quy định GDPR là mối quan tâm chính đối với nhiều người Canada. Ví dụ cơ bản, bất kỳ trang web nào của Canada cho phép mua hàng hóa hoặc dịch vụ của mình bằng euro hoặc cung cấp dịch vụ giao hàng cho công dân châu Âu sẽ yêu cầu tuân thủ GDPR.

Việc tuân thủ GDPR đối với các tổ chức và công dân Canada đặc biệt quan trọng vì nhiều luật riêng tư của Canada đã rất giống với GDPR. Do đó, các công ty hoặc cá nhân có thể dễ dàng nhầm lẫn tuân thủ khi thực sự họ không tuân thủ.

PIPEDA

Canada có luật pháp riêng về GDPR được thiết kế để bảo vệ dữ liệu cá nhân của người tiêu dùng khỏi các tổ chức khu vực tư nhân trên khắp Canada. Đạo luật này – Đạo luật Tài liệu Điện tử và Bảo vệ Thông tin Cá nhân – được viết để cung cấp các quy tắc cho việc thu thập, sử dụng và tiết lộ thông tin cá nhân cho tất cả các doanh nghiệp tư nhân Canada. Ban đầu nó được ban hành vào năm 2000 nhưng gần đây đã được cập nhật theo sau GDPR.

logo Pipeda

PIPEDA hiện áp dụng cho bất kỳ tổ chức khu vực tư nhân nào ở Canada sử dụng dữ liệu cá nhân trong quá trình hoạt động thương mại. Một hoạt động thương mại, được xác định bởi hành động này, là bất kỳ giao dịch, hành vi hoặc hành động nào có tính chất thương mại. Điều này bao gồm mua, bán, cho thuê, gây quỹ hoặc chuyển đổi thành viên.

Tuy nhiên, các lãnh thổ của Québec, British Columbia và Alberta đã có luật riêng tư tương tự khu vực tư nhân. Chúng rất giống với PIPEDA và do đó, bất kỳ tổ chức nào trong các lãnh thổ tuân theo các luật đó thường được coi là miễn trừ PIPEDA miễn là mọi giao dịch liên quan đến các công ty hoặc tổ chức đó xảy ra trong các tỉnh đó. Nếu một công ty ở Alberta thực hiện giao dịch quốc tế, giao dịch đó sẽ phải tuân theo các quy định được mô tả bởi PIPEDA.

Giống như GDPR, bất kỳ doanh nghiệp nào hoạt động ở Canada và xử lý thông tin cá nhân vượt qua biên giới quốc tế hoặc tỉnh tại bất kỳ thời điểm nào đều phải tuân theo quy định của PIPEDA. Do đó, các công ty thường dễ dàng hơn trong việc đảm bảo tuân thủ PIPEDA thay vì tuân thủ theo lãnh thổ hoặc cấp tỉnh.

Ngoài ra, tất cả các tổ chức được liên bang quy định tại Canada phải tuân theo PIPEDA. Điều này bao gồm các ngân hàng, hãng hàng không, công ty viễn thông và đài phát thanh và truyền hình.

Theo PIPEDA, thông tin cá nhân được định nghĩa là bất kỳ thông tin thực tế hoặc chủ quan nào có thể hoặc không thể được ghi lại về một cá nhân có thể nhận dạng được. Điều này bao gồm các yếu tố tương tự như định nghĩa GDPR, bao gồm tuổi, số ID, nguồn gốc dân tộc, nhóm máu, hồ sơ tín dụng, v.v. Tuy nhiên, nó cũng bao gồm nhiều thông tin chủ quan hơn như bình luận trên mạng xã hội, địa vị xã hội, ý kiến ​​hoặc hành động kỷ luật.

PIPEDA nào không phải bao gồm thông tin liên hệ kinh doanh chỉ được sử dụng cho mục đích giao tiếp với một cá nhân liên quan đến nghề nghiệp hoặc nơi làm việc của họ. Ngoài ra, PIPEDA không bao gồm việc sử dụng hoặc tiết lộ thông tin sử dụng nghiêm ngặt cho mục đích cá nhân, chẳng hạn như thông tin thu được từ danh sách thiệp chúc mừng. Bất kỳ việc thu thập hoặc sử dụng thông tin cá nhân cho mục đích nghệ thuật, văn học hoặc báo chí cũng không phải tuân theo các quy định được mô tả bởi PIPEDA.

Điều này có xu hướng loại trừ các nhóm phi lợi nhuận hoặc từ thiện, các đảng và hiệp hội chính trị và các nhóm nghệ thuật.

thống kê liên minh an ninh mạng quốc gia

Tất cả các doanh nghiệp Canada phải tuân theo 10 nguyên tắc thông tin công bằng, được nêu trong Biểu 1 trong PIPEDA:

  • trách nhiệm giải trình
  • xác định mục đích
  • bằng lòng
  • bộ sưu tập giới hạn
  • hạn chế sử dụng, tiết lộ và duy trì
  • sự chính xác
  • biện pháp bảo vệ
  • sự cởi mở
  • truy cập cá nhân
  • tuân thủ thách thức

Sự đồng ý của PIPEDA cũng trông rất giống với sự đồng ý như được mô tả bởi GDPR. Các điểm dính chính như sau:

  • các công ty phải có được sự đồng ý để thu thập hoặc sử dụng thông tin cá nhân
  • thông tin được thu thập chỉ phải được sử dụng như một cá nhân đã đồng ý
  • bạn phải giới hạn việc thu thập và sử dụng thông tin của mình cho những gì một người hợp lý sẽ cho là phù hợp trong hoàn cảnh.
  • cá nhân phải có khả năng truy cập và thay đổi hoặc sửa chữa sai lầm về thông tin của họ bất cứ lúc nào

Sự đồng ý theo PIPEDA là rõ ràng, có chủ ý và cụ thể.

Sự khác biệt giữa GDPR và PIPEDA

Tóm lại, PIPEDA hơi nghiêm ngặt hơn một chút so với GDPR trên một số khía cạnh. Ví dụ, các công ty Canada được yêu cầu báo cáo bất kỳ vi phạm an ninh nào gây ra rủi ro thực sự gây hại cho các đối tượng. Tuy nhiên, báo cáo này phải đến ngay khi có khả năng, thay vì trong vòng 72 giờ, như được xác định bởi GDPR.

gdpr vs pipeda

Tuy nhiên, đã có nhiều lời kêu gọi cập nhật luật bảo vệ dữ liệu của Canada sau khi GDPR tiến xa hơn nữa.

Cách đảm bảo tuân thủ GDPR ở Canada

Tất cả các tổ chức Canada nên xem lại các hoạt động xử lý dữ liệu của họ và so sánh chúng với các quy định được mô tả trong GDPR.

Thứ nhất, tất cả các tổ chức hoặc cá nhân Canada tuân thủ GDPR nên đọc tài liệu nếu họ có thời gian. Mặc dù nó được viết bằng một ngôn ngữ rất hợp pháp, nhưng nó không khó đọc và dài hơn nó phức tạp. Bất cứ ai đã quen thuộc với các nguyên tắc tuân thủ PIPEDA sẽ tìm thấy rất nhiều điểm tương tự trong GDPR.

Một chiến thuật bổ sung là kiểm tra các tổ chức khác bị ảnh hưởng bởi GDPR. Bạn có thể trực tiếp liên hệ với các tổ chức hoặc công ty đó và hỏi ý kiến ​​của họ về việc tuân thủ hoặc kiểm tra những gì họ làm bên ngoài và sao chép những nỗ lực của họ.canada và eu

Tất nhiên, trang web hoặc công ty của riêng bạn nên được kiểm tra kỹ lưỡng. Nếu bạn là thành viên của một công ty quốc tế, bạn đã phải chỉ định một nhân viên bảo vệ dữ liệu; đây là một trong những nhiệm vụ chính của họ Dành nhiều thời gian để kiểm tra các phương pháp thu thập dữ liệu của bạn, cả cố ý và vô ý, để đảm bảo tuân thủ GDPR. GDPR sẽ không phân biệt giữa các hành vi vi phạm ngẫu nhiên và cố ý các quy định của nó.

Các chiến lược tốt liên quan đến việc lập bản đồ về cách dữ liệu bạn thu thập vào hệ thống của bạn, kiểm tra cách lưu trữ dữ liệu, điều tra cách dữ liệu được chuyển giữa các công ty khác nhau hoặc qua biên giới và cuối cùng là điều tra cách xóa dữ liệu (nếu có). Điều này sẽ cho phép bạn hiểu rõ hơn về cách dữ liệu di chuyển trong tổ chức của bạn và nơi bạn cần chú ý hơn hoặc thay đổi quy trình của mình.

Bạn cũng nên điều tra bất kỳ hợp đồng hoặc biểu mẫu chấp thuận nào mà bạn hiện có với công dân EU để đảm bảo rằng hợp đồng tuân thủ các quy định GDPR. Có thể là các hợp đồng hoặc điều khoản thỏa thuận trước đây của bạn không tuân thủ. Bạn cũng nên xem lại mọi hợp đồng bạn có với bộ xử lý dữ liệu (nghĩa là bất kỳ nhân viên nào trong công ty bạn xử lý dữ liệu của khách hàng hoặc người tiêu dùng của bạn) để đảm bảo rằng nhiệm vụ của họ được đặt ra một cách chính xác.

Chẳng hạn, bất kỳ bộ xử lý dữ liệu nào có hợp đồng không bao gồm các quy định GDPR đều có thể đứng vững nếu họ cho rằng bạn đang yêu cầu họ làm điều gì đó không có trong hợp đồng của họ.

Nó cũng có thể là một ý tưởng tốt để tham khảo ý kiến ​​tư vấn pháp lý. Họ có thể giải thích các hợp đồng của riêng bạn và luật pháp về GDPR và đảm bảo không có điểm mù nào mà bạn không thấy và không có vấn đề tuân thủ. Vì GDPR đã trôi qua và thời hạn tuân thủ đã qua lâu, không còn thời gian để chờ đợi các công ty sử dụng dữ liệu.

hợp pháp gdpr

Cuối cùng, những công ty Canada đã tuân thủ PIPEDA trong những năm gần đây có thể thấy rằng phần lớn cơ sở hạ tầng dữ liệu của họ đã tuân thủ GDPR. Bạn cũng có thể dựa vào các quy trình tuân thủ PIPEDA của mình để làm theo lời khuyên trên, mặc dù điều này vẫn rất quan trọng để nhận thức được sự khác biệt lớn giữa các luật pháp.

Công cụ bảo mật kỹ thuật số được đề xuất

  • Dịch vụ VPN tốt nhất
  • VPN tốt nhất cho Netflix
  • Trình quản lý mật khẩu tốt nhất
  • Trình duyệt an toàn nhất

Tin tức GDPR gần đây ở Canada

Tác động hàng năm của GDPR đối với các doanh nghiệp Canada

Cho đến nay, GDPR đã có ảnh hưởng đáng kể đến luật riêng tư của Canada, đặc biệt bởi vì nó đã truyền cảm hứng cho các cập nhật đối với luật PIPEDA của Canada. Điều này một phần là do nhiều doanh nghiệp Canada cũng kinh doanh quốc tế ở mức độ này hay mức độ khác. Người ta đã nghĩ rằng việc cập nhật PIPEDA để làm cho nó giống với GDPR hơn sẽ cải thiện dòng chảy kinh doanh từ Canada sang các nước EU.

Một ví dụ nhỏ hơn, nhiều thuật ngữ được sử dụng trong GDPR thường được sử dụng bởi các nhà lập pháp Canada và các chuyên gia khác. GDPR đã buộc nhiều doanh nghiệp và cá nhân phải làm quen với các khái niệm và ý tưởng có trong luật nhanh hơn nhiều so với bất kỳ ai tưởng tượng.

Châu Âu Luật dữ liệu mới Luật riêng tư có thể có lợi cho người Canada

Người dùng của nhiều trang web và công ty Canada đã nhận được email cập nhật chi tiết về các chính sách bảo mật và thỏa thuận hợp đồng. Điều này là do Nghị viện EU áp dụng GDPR đòi hỏi rằng bất kỳ công ty nào làm kinh doanh với công dân EU phải tuân thủ luật riêng tư dữ liệu mới.

logo microsoft

Tuy nhiên, đây là tin tốt cho nhiều công dân Canada. GDPR đang truyền cảm hứng cho các bản cập nhật về luật bảo mật dữ liệu hiện có và khuyến khích nhiều công ty lớn áp dụng các thông lệ thân thiện với người tiêu dùng liên quan đến dữ liệu của họ và việc sử dụng dữ liệu đó. Microsoft, là một ví dụ, đang áp dụng các quyền GDPR cho tất cả người dùng trên toàn thế giới, không chỉ những người ở EU. Apple đã đi theo một xu hướng tương tự.

Những người khác, như Facebook, đã tuyên bố rằng họ có ý định minh bạch hơn, mặc dù một số người đã chỉ trích họ vì đã khiến cho các nguyên tắc thông báo của họ trở nên khó khăn trong việc từ chối.

Canada cập nhật luật dữ liệu lên tiêu chuẩn GDPR

Kể từ khi GDPR có hiệu lực vào ngày 25 tháng 5 năm 2018, nó đã đóng vai trò là chất xúc tác để các quốc gia khác cập nhật luật riêng tư dữ liệu của riêng họ và khuyến khích những cái nhìn mới về việc sử dụng dữ liệu có trách nhiệm. Argentina và Nhật Bản là một trong những công ty đầu tiên sắp xếp luật bảo vệ dữ liệu quốc gia của họ với GDPR. Điều này phần lớn là do nhiều công ty của họ kinh doanh quốc tế và áp dụng luật tương tự làm cho việc kinh doanh trở nên dễ dàng hơn.

Canada hiện đang tìm cách làm điều tương tự chính xác bằng cách cập nhật luật PIPEDA. Tuy nhiên, những cập nhật này sẽ không nhất thiết phải nghiêm ngặt như GDPR.

Ngoài ra, sự tập trung quốc gia mới về chuyển đổi dữ liệu và kỹ thuật số sẽ diễn ra trong tương lai gần. Những điều này sẽ kiểm tra lại vai trò của tính trung lập ròng trong bảo vệ dữ liệu đối với người Canada và xem xét cách tốt nhất để áp dụng luật mới hoặc điều chỉnh luật PIPEDA hiện hành.

Cập nhật cho PIPEDA

Văn phòng Ủy viên quyền riêng tư Canada đã đưa ra yêu cầu báo cáo vi phạm mới cho các doanh nghiệp. Đây là bản cập nhật chính thức cho PIPEDA, lần đầu tiên trở thành luật vào năm 2000. Nó sẽ ảnh hưởng đến bất kỳ tổ chức khu vực tư nhân nào kinh doanh hoặc hoạt động với người Canada.

riêng tư không phải là một tội ác

Cụ thể, các bản cập nhật liên quan đến báo cáo vi phạm dữ liệu. Mặc dù các cập nhật này không nghiêm ngặt như các bản cập nhật hiện tại được áp dụng bởi GDPR, nhưng chúng rõ ràng hơn nhiều và sẽ dẫn đến báo cáo vi phạm dữ liệu phù hợp hơn so với luật trước đây.

Tóm lại, một tổ chức thuộc PIPEDA phải báo cáo cho văn phòng Ủy viên quyền riêng tư nếu bất kỳ vi phạm dữ liệu nào có thể dẫn đến nguy cơ thực sự gây tổn hại đáng kể và thông báo cho các cá nhân về vi phạm an ninh nói trên. Hồ sơ vi phạm an ninh phải được lưu giữ trong hai năm. Một số người đã lưu ý rằng các bước này không đầy đủ nhưng ít nhất là theo đúng tinh thần bảo vệ dữ liệu tốt hơn.

Tác động của tiền phạt GDPR đối với Canada

Vì luật mới của GDPR đã dẫn đến một số công ty phải đối mặt với tiền phạt, những khoản tiền phạt này đã được các công ty Canada xem xét kỹ lưỡng. Cụ thể, British Airways và Marriott quốc tế đã bị phạt lần lượt 183,4 triệu bảng Anh và 99,2 triệu bảng Anh.

Những ví dụ này đã cung cấp cái nhìn sâu sắc có giá trị cho các công ty Canada để thấy kết quả thực tế của việc không tuân thủ GDPR. Theo GDPR, các tổ chức vi phạm các quy định cho biết có thể bị phạt tới 4% doanh thu hàng năm hoặc € 20 triệu, tùy theo mức nào cao hơn. Do đó, các công ty có thể cân nhắc các rủi ro tiềm ẩn khi vi phạm các quy định GDPR. Cần lưu ý rằng tiền phạt GDPR thực tế được quy định bởi các cơ quan chức năng chứ không phải phân phối như số tiền đặt trước.

Tài nguyên GDPR

  • Hướng dẫn về Pháp luật PIPEDA của Canada
  • Văn phòng Ủy viên quyền riêng tư Canada – PIPEDA tóm tắt
  • Văn phòng Ủy viên quyền riêng tư Canada – Trợ giúp tuân thủ PIPEDA cho các công ty
  • Văn phòng Ủy viên quyền riêng tư Canada – Tài nguyên chính của PIPEDA
  • Văn bản pháp lý chính của GDPR
  • Danh sách kiểm tra tuân thủ GDPR
Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me