GDPR及其对加拿大的意义

GDPR是最近20年来颁布的最重要的数据保护法规之一。它概述了一套适用于欧盟所有成员国的全面指导方针,并且涉及任何企业使用其客户数据的数据隐私和保护法律。. gdpr徽标


鉴于全球公司用于市场营销和个人资料创建的数据激增,这导致了数据法规的重大变革,并且已经产生了广泛的影响.

在下面,您可以找到GDPR的记录及其对加拿大立法及其公司的含义。您还将找到与加拿大GDPR最为相似的法规集PIPEDA的说明。此外,您可以找到有关GDPR及其对加拿大的影响的最新新闻记录,以及解释这两项法律的重要文件.

什么是GDPR?

GDPR或通用数据保护法规是取代欧盟成员正式遵循的数据保护指令的法规。 GDPR已于2016年4月达成协议,并于2018年春季生效,受GDPR影响的公司的合规期限为2018年5月25日.

GDPR对欧盟乃至全球的数字业务都产生了广泛的影响,因为它不仅影响到由欧盟或其成员国托管的公司,而且还影响与这些成员国公民进行业务往来的公司。因此,GDPR可能是迄今为止通过的范围最广的互联网信息立法.

gdpr的含义

GDPR是一份冗长的文件,但其要求的主要症结(以及适用于欧盟每个成员国的要求)包括:

  • 对收集的数据进行匿名处理以保护公民的隐私
  • 需要消费者同意才能处理其数据
  • 如果消费者的数据丢失或泄露,则向他们提供通知
  • 安全处理跨国界数据传输
  • 由公司自己任命的数据保护官员的要求,以确保符合GDPR

基本上,GDPR要求与欧盟公民数据进行业务往来的公司(这实质上意味着现代的每家公司)都必须采取某些步骤来保护该数据。这包括数据的处理和移动,以及第一公司或任何其他公司的销售和潜在使用或滥用。.

什么是同意?

根据GDPR的规定,只有在相关个人明确给出同意的情况下,才可以衡量同意。因此,其数据将由公司或服务使用的任何客户必须​​明确同意以书面或口头方式使用其数据.

GDPR同意示例

之前的指令所允许的以前的同意方法已不再可接受。这些非法的获得同意的手段包括:

  • 选择退出同意,除非个人另有说明,否则即表示个人同意.
  • 默示同意,例如草拟合同所需的数据处理.
  • 权力不平衡产生的同意.
  • 持续的同意,例如公司将客户从一个计划转换为另一个计划时获得的同意.

根据GDPR,同意必须为:

  • 明确的
  • 每当客户更改服务或合同时重复
  • 具体
  • 包括撤回或拒绝的选项
  • 直销知识
  • 撤回或拒绝同意必须与给予同意一样容易,并且必须告知用户此权利
  • 16岁以上,否则需要父母同意

GDPR达到了多少?

由于GDPR是欧盟法律,因此存在一些混淆。当然,GDPR适用于欧盟内的任何公司。这项法律会影响联盟的每个成员国,因此每个州都不必编写可能彼此冲突的不同法律.

欧盟通用数据保护条例-背景

此外,任何向欧盟居民销售商品或服务的欧盟公司都必须遵守GDPR。这包括其他国家的公司。例如,向世界各地的客户销售商品的亚马逊,如果将商品销售给欧盟公民,则必须遵守GDPR的要求。这就是GDPR对全球商业产生如此广泛影响的原因.

这已经给没有资源或没有远见的调整公司行为的公司造成了很大的压力,导致数次罚款或某些公司停止向欧盟公民提供服务或服务.

GDPR细节

加拿大企业主需要了解GDPR中直接影响其运营和商业的主要条款.

第17条和第18条均给消费者提供了对其个人数据的更多控制权,即使这些信息由网站或系统自动处理也是如此。这种“携带权”也使消费者比以前更容易在服务提供商之间传输其个人数据。这鼓励客户更频繁地切换无线服务提供商的Internet服务,以寻求更优惠的价格.

此外,第18条确保消费者有权在特定情况下删除其个人数据-这称为“删除权”.

第23条和第30条要求所有为客户处理数据的公司都应采取合理的数据保护措施。这将保护客户的数据免遭利用,并防止其数据或隐私丢失或过度暴露。这与公司本身以及外部力量或个人的滥用都相关.

第31和32条涉及数据泄露通知。具体而言,第31条要求任何数据控制者(意味着在任何程度上处理个人数据的任何雇员)必须在最初了解到有关个人数据泄露的72小时内,将任何监管当局(可以包括经理或首席执行官)通知任何监管机构。还必须提供有关违规的具体细节;这包括违规的性质以及受影响的数据主体有多少.

gdpr数据

然后,第32条涵盖了客户的事物。具体来说,它要求数据控制者必须尽快告知该数据的主体其数据已被破坏或丢失,特别是当其权利或自由受到威胁时.

第33条和第33a条均涉及数据保护影响评估。这些是公司必须采取的必要程序,以抢先识别其客户数据的风险。他们还必须执行合规审查;这些确保了解决的所有风险都得到了解决,而不是被忽略或被消除为不可能.

第35条涉及上述数据保护人员。它描述了任何处理有关客户或受试者健康状况,人口统计信息,遗传信息或其他重要(即识别)数据的公司,也必须有指定的数据保护人员。这些官员的职责包括就其GDPR合规性向其托管公司提供建议,并充当监管机构和GDPR官员之间的中介人.

自然,绝大多数处理任何类型数据的公司都将自动需要一名数据保护人员。但是,未指定数据保护人员必须是新员工;公司可以将现有员工转换为该职位,前提是该职位的职责得到了充分履行.

因此,撰写第36条和第37条是为了概述数据保护官的职位,并确保其职责明确。这涉及确保符合GDPR的程序以及涉及监管机构报告的程序.

第45条是关于扩展数据保护要求的。这与国际公司有关,如果它们处理有关欧盟公民的数据,则将其确定为GDPR法规的主题。本质上是确保没有任何国际公司能逃脱GDPR的净额.

最后,第79条讨论了GDPR违规处罚.

GDPR违规的后果是什么?

尽管欧盟以前的数据监管措施(数据保护指令)的处罚相对宽松,但GDPR对违规行为的后果更为严重。在这项新立法中,监管机构拥有更大的权力来对员工公司的后果进行有意义的变更。此外,监管机构现在可以调查并更正发现的任何不合规问题.

笔记本电脑上的gdpr徽标

其他权力包括执行审核以确保合规性,发出警告,要求公司进行特定改进,规定这些改进的最后期限,命令擦除公民数据以及阻止公司将数据传输给其他公司的能力。任何数据控制者(即处理客户数据的员工)均受监管机构的权力约束.

此外,GDPR还向监管机构提供了比以往更大的罚款额度。根据错误的情况确定任何违规罚款,除非监管机构认为必要,否则无需罚款。罚款可能高达全球年营业额的2%或4%,或1000万欧元或2000万欧元,以较高者为准.

GDPR适用于哪些数据?

从广义上讲,GDPR适用于任何个人数据,就像其前身《数据保护法》一样。其中包括个人但通用的数据,例如个人的IP地址。但是它还包括个人独有的敏感数据–与上述IP地址之类的数据不同,理论上,这些数据可以由多个个人使用.

敏感数据包括遗传或生物统计数据。通常将其理解为无法与他人共享的数据。个人数据还包括姓名,照片,电子邮件地址,银行详细信息或社交网站上的帖子.

GDPR适用于谁?

如上所述,任何向任何欧盟居民出售或销售商品或服务的公司,无论该公司位于何处,都必须遵守GDPR中规定的规定。如果他们不遵守这些规定,则必须支付必要的罚款或进行改进.

目前,欧盟成员国无法访问任何不符合GDPR要求的网站。例如,《芝加哥论坛报》和《洛杉矶时报》都暂时被欧盟成员国封锁,直到它们达到GDPR要求.

GDPR的目标是什么?

GDPR显然是一项广泛的立法,但是其目标和当前指令的目标是朝着这些目标取得可衡量的进步?

gdpr目标

GDPR的目的是为欧盟所有成员国定义标准化的数据保护法律。在1990年代指令之前,数据保护法主要取决于每个成员国的决定,这使商业和执法变得更加复杂和困难。此外,消费者的数据权利不是很广为人知,并且经常被公司以利用为目的而侵犯。.

据报道,通过在整个欧盟范围内标准化数据保护法律,GDPR将:

  • 改善所有欧盟居民的隐私和数据权利
  • 帮助那些居民了解他们的个人数据使用
  • 解决欧盟以外的个人数据导出
  • 为监管机构提供更好的权力,对违反新规定的公司或组织采取行动
  • 简化国际业务的法规,这样他们就不必记住欧盟每个成员国的单独数据法
  • 要求新企业遵守GDPR法规

这些目标在现代经济世界中非常重要,因为用户数据本身可以说是一种商品.

所有类型的产品和服务的营销人员和公司都使用他们从消费者以及其他网站或服务的消费者那里收集的数据,以便更好地向这些消费者推销产品。考虑Facebook或类似的社交网站。这些网站经常将他们在用户身上收集的数据出售给营销公司,然后由营销公司将这些数据出售给实际的生产公司或服务.

有了特定数据,公司就可以通过提供针对其兴趣的广告来针对个人。另外,他们可以针对特定的受众特征或个人来扩展其营销效果.

gdpr访问权

当然,这似乎具有歧视性,其合法性非常灰暗。这种数据使用被视为不良的最大方法之一是,因为它必然使用有关可能构成“私人信息”的个人的信息。一个很好的例子是浏览数据,营销公司使用这些数据来推断消费者的习惯或人口统计事实.

这种明显的侵犯隐私行为是GDPR的一部分。它的主要重点是将更多的隐私归还给欧盟公民.

GDPR法律对加拿大意味着什么?

作为一个拥有众多与欧盟公司或公民有业务往来的公司和组织的国家,GDPR法规是加拿大许多人的主要关注点。作为一个基本示例,任何允许以欧元购买其商品或服务或向欧洲公民提供送货服务的加拿大网站,都必须遵守GDPR.

对于加拿大组织和公民而言,遵守GDPR特别重要,因为许多加拿大隐私法律已经与GDPR非常相似。因此,当公司或个人实际上不遵守法规时,很容易将其错误地遵守法规.

皮派达

加拿大拥有自己的GDPR式立法,旨在保护消费者的个人数据不受加拿大私营部门组织的攻击。该法案(《个人信息保护和电子文档法案》)旨在为加拿大所有私营企业提供收集,使用和披露个人信息的规则。它最初于2000年制定,但最近在GDPR之后进行了更新.

Pipeda徽标

PIPEDA当前适用于加拿大在商业活动过程中使用个人数据的任何私营部门组织。该行为定义的商业活动是具有商业性质的任何交易,行为或行动。这包括购买,出售,租赁,筹款或会员转换.

但是,魁北克,不列颠哥伦比亚省和艾伯塔省的领土已经有类似的私营部门隐私法。这些与PIPEDA非常相似,因此,只要那些与这些公司或组织有关的交易在这些省内发生,那么遵守这些法律的领土内的任何组织通常都被视为免于PIPEDA。如果艾伯塔省的公司要进行国际交易,则该交易应遵守PIPEDA规定的规定.

像GDPR一样,任何在加拿大开展业务并处理跨越国际或省界的个人信息的企业都必须遵守PIPEDA法规。因此,公司通常更容易确保PIPEDA的合规性,而不是地域或省级的合规性.

此外,加拿大所有受联邦监管的组织都必须遵守PIPEDA。这包括银行,航空公司,电信公司以及广播电视公司.

在PIPEDA中,个人信息被定义为可能会或可能不会记录的有关可识别个人的任何事实或主观信息。其中包括与GDPR定义类似的因素,包括年龄,身份证号码,种族,血型,信用记录等。但是,它还包含更多主观信息,例如社交媒体评论,社会地位,意见或纪律处分.

PIPEDA做 涵盖仅用于与个人就其职业或工作地点进行交流的业务联系信息。此外,PIPEDA不涵盖出于个人目的严格使用的信息的使用或披露,例如从贺卡清单中获得的信息。出于艺术,文学或新闻目的的任何个人信息收集或使用也不受PIPEDA规定的约束.

这倾向于排除非营利组织或慈善团体,政党和协会以及艺术团体.

国家网络安全联盟统计

所有加拿大企业必须遵循PIPEDA附表1规定的10条公平信息原则:

  • 问责制
  • 识别目的
  • 同意
  • 限制收集
  • 限制使用,披露和保留
  • 准确性
  • 保障措施
  • 开放性
  • 个人访问
  • 挑战合规

PIPEDA同意看起来也非常类似于GDPR所述的同意。主要症结如下:

  • 公司必须征得同意才能收集或使用个人信息
  • 所收集的信息只能在个人同意的情况下使用
  • 您必须将信息的收集和使用限制为“在这种情况下,合理的人认为合适的信息”
  • 个人必须具有随时访问和更改或纠正其信息错误的能力

PIPEDA下的同意是明确的,有意的和特定的.

GDPR和PIPEDA之间的差异

简而言之,PIPEDA在几个方面都比GDPR严格一些。例如,加拿大公司必须报告任何可能对受试者造成伤害的真正安全隐患。但是,该报告必须“尽快”提出,而不是GDPR规定的72小时之内.

gdpr vs pipeda

但是,随着GDPR的到来,人们强烈呼吁更新加拿大的数据保护法律.

如何确保加拿大的GDPR合规性

所有加拿大组织都应审查其数据处理操作,并将其与GDPR中描述的规定进行比较.

首先,所有有时间遵守GDPR规定的加拿大组织或个人都应亲自阅读该文件。尽管它是用一种非常合法的语言编写的,但它并不难阅读,而且比复杂的代码还要冗长。任何已经熟悉PIPEDA合规性指南的人都应该在GDPR中找到很多相似之处.

另一种策略是检查受GDPR影响的其他组织。您可以直接与这些组织或公司联系,征求他们对合规性的建议,也可以检查他们所做的工作并复制其工作成果.加拿大和欧盟

当然,应该彻底检查您自己的网站或公司。如果您是一家国际公司的一部分,则必须已经任命了一位数据保护官;这是他们的主要职责之一。花大量时间检查您的数据收集方法(有意和无意),以确保符合GDPR。 GDPR不会区分意外和故意违反其规定.

好的策略包括规划收集的数据如何进入系统,检查数据的存储方式,调查数据在不同公司之间或跨边界的传输方式,最后调查如何删除数据(如果有的话)。这将使您深入了解数据在整个组织中的移动方式以及需要密切关注或更改程序的地方.

您还应该调查您目前与欧盟公民的所有合同或同意书,以确保合同符合GDPR法规。您以前的合同或协议条款可能不符合要求。您还应该查看与数据处理者(即公司中处理客户或消费者数据的任何员工)签订的任何合同,以确保正确安排其职责.

例如,任何合同中未包含GDPR规定的数据处理器,如果声称您要他们命令他们做其合同中没有做的事情,则可能有理由坚持.

咨询法律顾问也是一个好主意。他们也许能够解释您自己的合同和GDPR的立法,并确保您没有看到盲点,也没有合规问题。由于GDPR已经过去并且合规性期限已经很久了,因此不再有时间等待使用数据的公司.

gdpr合法性

最后,近年来已经符合PIPEDA要求的那些加拿大公司可能会发现其大多数数据基础架构已符合GDPR要求。您也可以依靠PIPEDA遵从程序来遵循上述建议,尽管了解法规之间的主要差异仍然很重要.

推荐的数字隐私工具

  • 最佳VPN服务
  • Netflix的最佳VPN
  • 最佳密码管理器
  • 最安全的浏览器

加拿大最近的GDPR新闻

GDPR对加拿大企业的第一年影响

到目前为止,GDPR已经对加拿大隐私法产生了重大影响,特别是因为它启发了加拿大PIPEDA法规的更新。部分原因是许多加拿大企业也都在某种程度上开展国际业务。人们一直认为,更新PIPEDA以使其更像GDPR将会改善从加拿大到欧盟国家的业务流程.

举一个较小的例子,GDPR中使用的许多术语是加拿大立法者和其他专业人员常用的。 GDPR迫使许多企业和个人比任何人想象的都要快得多地熟悉立法中的概念和观念.

欧洲的新数据隐私法可能使加拿大人受益

许多加拿大网站和公司的用户已经收到了电子邮件,其中详细介绍了这些公司的隐私权政策和合同协议。这是因为欧盟议会通过GDPR要求与欧盟公民开展业务的任何公司都必须遵守新的数据隐私法.

微软徽标

但是,这对于许多加拿大公民来说是个好消息。 GDPR激励人们更新现有的数据隐私法,并鼓励许多大公司在数据及其使用方面采取对消费者友好的做法。以微软为例,它正在向全世界的用户而不只是欧盟的用户采用GDPR权利。苹果也遵循了类似的趋势.

其他人,例如Facebook,则表示他们打算提高透明度,尽管有些人批评他们使通知准则出众地难以退出。.

加拿大将数据法律更新为GDPR标准

自GDPR自2018年5月25日生效以来,它已成为其他国家/地区更新其数据隐私法的催化剂,并鼓励人们对负责任的数据使用的含义进行重新审视。阿根廷和日本是最早将其国家数据保护法律与GDPR保持一致的公司之一。这主要是因为他们的许多公司都从事国际业务,而采用类似的法律会使整个公司的业务更加容易.

加拿大现在正在通过更新其PIPEDA立法来做完全相同的事情。但是,这些更新不一定像GDPR那样严格.

此外,不久的将来将在数字和数据转换方面进行新的全国性集中。这些将重新审查网络中立性在加拿大人数据保护中的作用,并考虑如何最好地采用新法律或调整现有的PIPEDA立法.

PIPEDA更新

加拿大隐私事务专员办公室发布了一项新的企业违规报告要求。这是对PIPEDA的正式更新,PIPEDA于2000年首次成为法律。这将影响与加拿大人有业务往来或与加拿大人打交道的任何私营部门组织.

隐私不是犯罪

具体而言,更新与数据泄露报告有关。尽管这些更新不如GDPR当前采用的更新严格,但它们更加明确,与以前的法规相比,将导致更一致的数据泄露报告.

简而言之,受PIPEDA约束的组织必须向隐私事务专员办公室报告,如果任何数据泄露可能导致重大危害的真正风险,并将此安全漏洞通知个人。安全违规记录必须保存两年。有些人指出,这些步骤尚未完成,但至少是出于更好的数据保护的正确精神.

GDPR罚款对加拿大的影响

由于GDPR的新立法已导致几家公司面临罚款,因此这些罚款已受到加拿大公司的审查。具体来说,英国航空公司和万豪国际分别被罚款1.834亿英镑和9920万英镑。.

这些示例为加拿大公司提供了宝贵的见解,使他们可以直接了解GDPR违规的实际结果。根据GDPR,违反规定的组织将被处以最高年营业额的4%或2000万欧元的罚款,以较高者为准。因此,公司可以权衡违反GDPR法规的潜在风险。应该注意的是,实际GDPR罚款是由当局规定的,而不是按预设金额分配的.

GDPR资源

  • 加拿大PIPEDA立法指南
  • 加拿大隐私专员办公室-PIPEDA简介
  • 加拿大隐私事务专员办公室– PIPEDA合规帮助公司
  • 加拿大隐私专员办公室– PIPEDA主要资源
  • GDPR官方主要法律文本
  • GDPR合规性检查表
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map