Pada artikel ini kami akan menjelaskan segala sesuatu tentang peraturan perlindungan data Kanada PIPEDA dan peraturan CPPA yang akan datang. Pada artikel berikutnya kita akan membahas lebih detail tentang Cookies & Persetujuan.
Apa itu PIPEDA?
PIPEDA adalah singkatan dari Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik dan mengacu pada Peraturan Perlindungan Data Umum Kanada yang baru. Amandemen tersebut menggabungkan dua undang-undang perlindungan data Kanada sebelumnya , Undang-Undang Perlindungan Privasi Konsumen (CPPA) dan Undang-Undang Pengadilan Perlindungan Informasi dan Data Pribadi (PIDPTA), menjadi peraturan komprehensif yang setara dengan GDPR. Referensi Peraturan Perlindungan Data Umum Eropa dapat dilihat di banyak bagian PIPEDA, itulah sebabnya sering disebut GDPR Kanada.
Mirip dengan GDPR, Undang-Undang Perlindungan Data Kanada mengatur penanganan informasi pribadi yang dikumpulkan dan disimpan sebagai bagian dari aktivitas komersial. Oleh karena itu, Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik PIPEDA penting bagi semua perusahaan yang ingin menjangkau konsumen di Kanada dengan layanan dan produk – baik alat tulis atau melalui penjualan jarak jauh. Kegiatan komersial dalam pengertian PIPEDA adalah semua transaksi dan tindakan yang berasal dari komersial atau dengan tujuan komersial.
PIPEDA berlaku untuk perusahaan dan organisasi yang diatur secara federal dan tunduk pada hukum Kanada. Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik juga berlaku bagi sektor swasta di setiap provinsi, kecuali provinsi tersebut telah menetapkan undang-undang perlindungan datanya sendiri yang secara substansial serupa dengan Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik PIPEDA. Hanya British Columbia, Alberta, dan Quebec yang memiliki undang-undang perlindungan data yang secara umum mirip dengan Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik PIPEDA. Jika sebuah perusahaan berlokasi di British Columbia, Alberta atau Quebec, Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik berlaku untuk informasi pribadi yang dikumpulkan oleh organisasi-organisasi tersebut sepanjang penggunaan komersial atas informasi tersebut melampaui batas provinsi tersebut.
10 prinsip privasi dalam Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik PIPEDA
Perusahaan yang perlu mematuhi PIPEDA harus memahami prinsip perlindungan data GDPR untuk Kanada ini secara tepat waktu. 10 poin menguraikan hak dan kewajiban yang harus dipatuhi organisasi dalam transaksi komersial dengan konsumen Kanada berdasarkan GDPR untuk Kanada :
- akuntabilitas
- Peruntukan
- izin
- Penghindaran data dan penghematan data
- Penyimpanan, penggunaan dan pemrosesan
- ketepatan
- Integritas dan kerahasiaan
- transparansi
- hak untuk memberikan informasi
- Hak untuk mengajukan banding
Siapa pun yang memahami Peraturan Perlindungan Data Umum akan mengenali banyak aspek dalam ikhtisar 10 prinsip PIPEDA yang juga dapat ditemukan dalam GDPR UE . Namun, terdapat perbedaan secara detail , terutama dalam hal persetujuan pengumpulan data pribadi. Mari kita lihat sekilas masing-masing dari 10 poin tersebut:
1. Akuntabilitas
Asas akuntabilitas artinya suatu organisasi dengan ukuran tertentu harus menunjuk orang yang bertanggung jawab atas pengelolaan data yang dikumpulkan dan bersifat pribadi. Orang ini disebut petugas perlindungan data di GDPR – dalam Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik PIPEDA dia disebut petugas privasi atau chief privacy officer (CPO) . Di perusahaan kecil, petugas privasi juga dapat menjalankan fungsinya secara paruh waktu . Tugas utamanya adalah mengembangkan, menerapkan dan memantau prosedur yang memenuhi persyaratan perlindungan data berdasarkan PIPEDA. Selanjutnya, petugas perlindungan data harus menerima dan menanggapi keluhan tentang pengumpulan data . Bidang yang penting juga adalah pelatihan karyawan dan komunikasi tentang persyaratan perlindungan data yang relevan dengan bidang tanggung jawab masing-masing. Jika konsumen telah memberikan persetujuan atas pemrosesan data oleh pihak ketiga, Petugas Privasi bertanggung jawab atas kepatuhan pihak ketiga terhadap persyaratan PIPEDA.
2. Peruntukan
Mengapa perusahaan ingin menyimpan data pribadi pelanggan ? Tujuannya harus dinyatakan kepada konsumen selambat-lambatnya pada saat data dikumpulkan. Pengungkapan menciptakan transparansi, namun juga memudahkan perusahaan untuk menerapkan akses tertentu. Menurut PIPEDA, tujuan pendataan harus tersampaikan kepada setiap pegawai yang bersentuhan dengan pelanggan. Misalnya, jika pelanggan ditanyai alamat atau nomor teleponnya di kasir saat melakukan pembelian, penggunaan informasi data tersebut harus dijelaskan kepada mereka berdasarkan permintaan . Formulir kertas dan online yang mengumpulkan informasi pribadi dari pelanggan juga harus menjelaskan dengan jelas tujuan pengumpulannya. Data pribadi yang dikumpulkan tidak boleh digunakan untuk tujuan baru tanpa izin tertulis dari pelanggan. Pengecualian adalah persyaratan hukum yang mengharuskan hal ini.
3. Persetujuan
Perusahaan tidak boleh mengumpulkan, menggunakan, atau mengungkapkan informasi pribadi tanpa sepengetahuan dan persetujuan pelanggan. Niat untuk mengumpulkan data pelanggan harus dikomunikasikan dengan jelas dan tidak ambigu. Jika data pribadi diminta dalam formulir, kata-kata yang ambigu tidak diperbolehkan. Seseorang tidak akan dirugikan jika menolak memberikan informasi data. Oleh karena itu, perusahaan juga harus menyediakan produk dan layanannya kepada konsumen yang tidak ingin memberikan data yang tidak terkait dengan produk atau layanan tersebut. Ada beberapa pengecualian: Perusahaan dapat mengesampingkan persetujuan jika ada alasan hukum atau medis yang melarangnya. Alasan keamanan juga dapat diterapkan pada produk tertentu. Dan jika informasi dikumpulkan untuk penegakan hukum, persetujuan juga tidak lagi diperlukan. Persetujuan juga dapat diabaikan jika seseorang masih di bawah umur, sakit parah, atau cacat mental. Namun persetujuan juga dapat diberikan oleh wakil yang berwenang.
Berdasarkan jenis persetujuannya, dibedakan antara:
- eksplisit
- secara implisit
- Memilih untuk tidak ikut serta
Dalam banyak kasus – seperti pendaftaran online – serupa dengan Peraturan Perlindungan Data Umum Eropa, persetujuan eksplisit dari konsumen diperlukan di sini. Pilihan untuk tidak ikut serta umumnya tidak disediakan. Untuk Persetujuan Cookie PIPEDA – setara dengan peraturan cookie di GDPR – tidak ada tanda centang atau tombol yang dapat ditetapkan sebelumnya. Pada prinsipnya, persetujuan tidak harus dalam bentuk tertulis – persetujuan lisan saja sudah cukup. Misalnya, pihak yang berkepentingan cukup memberikan persetujuannya untuk dimasukkan dalam buletin melalui telepon. Namun , persetujuan yang diberikan melalui telepon seringkali menyulitkan perusahaan untuk memberikan bukti . Dalam beberapa kasus, persetujuan juga dapat diperoleh langsung dari tindakan konsumen.
Konsumen dapat menarik persetujuannya kapan saja, dengan tunduk pada batasan dan tenggat waktu dalam kontrak dan hukum.Perusahaan harus memberi tahu pelanggan tentang konsekuensi dari penarikan persetujuan.
4. Penghindaran data dan penghematan data
Prinsip membatasi pengumpulan data pada jumlah data yang diperlukan untuk suatu tujuan merupakan prinsip yang juga memainkan peran penting dalam GDPR Eropa. Data pribadi yang dikumpulkan oleh perusahaan harus dibatasi pada apa yang diperlukan untuk suatu tindakan dalam konteks hubungan bisnis.
Pengumpulan dan penyimpanan data pribadi yang tidak perlu juga harus dihindari berdasarkan PIPEDA. Penanganan data yang adil dan sah, yang tersembunyi di balik ungkapan “Cara yang Adil dan Sah”, ditujukan untuk kedaulatan data pelanggan dan perlunya proses yang transparan. Tujuan pengumpulan data pribadi tertentu tidak boleh dikaburkan oleh penipuan atau pernyataan yang ambigu.
5. Penyimpanan, penggunaan dan pengolahan
Penggunaan data yang dikumpulkan hanya boleh dilakukan dalam koridor yang diketahui oleh pelanggan dan telah diberikan persetujuannya. Pengungkapan atau penggunaan informasi pribadi lainnya tidak diizinkan oleh Peraturan Perlindungan Data Umum Kanada (PIPEDA). Periode retensi didasarkan pada persyaratan perusahaan dan peraturan hukum lainnya. Periode retensi minimum yang disarankan bagi perusahaan adalah satu tahun. Periode ini memberikan perusahaan kapasitas yang cukup untuk meninjau dan mematuhi persyaratan hukum. Periode retensi maksimum harus ditentukan dan diungkapkan oleh perusahaan.
Penyimpanan data tanpa batas tidak diperbolehkan – konsumen harus diberi tahu berdasarkan permintaan kapan data mereka akan dihapus secara permanen. Jika diminta, data dapat dianonimkan dan dimusnahkan lebih awal, sesuai tenggat waktu. Selain itu, organisasi harus dapat mengungkapkan siapa yang telah mendapat persetujuan untuk memproses data tersebut dan sejauh mana.
6. Akurasi
Prinsip akurasi memastikan bahwa data pribadi yang dikumpulkan oleh perusahaan akurat, lengkap, dan terkini untuk tujuan penggunaannya.
Harus diingat bahwa data yang dikumpulkan harus digunakan untuk kepentingan terbaik konsumen.
Persyaratan keakuratan dalam PIPEDA tidak hanya penting bagi hubungan antara perusahaan dan pelanggan. Misalnya, jika sebuah organisasi mengumpulkan data pribadi untuk memeriksa profil pelamar sebelum proses perekrutan, maka harus dipastikan bahwa pencatatan yang salah atau tidak lengkap tidak mengakibatkan kerugian bagi pelamar.
Memperbarui Informasi Pribadi
Pembaruan data pribadi secara otomatis dan rutin pada umumnya tidak diizinkan. Kebijakan dalam PIPEDA ini juga berlaku untuk informasi yang dibagikan kepada pihak ketiga.
7. Integritas dan Kerahasiaan
Prinsip integritas dan kerahasiaan berarti bahwa data pribadi harus dilindungi dari kehilangan atau pencurian , akses tidak sah, publikasi, penyalinan, modifikasi atau penggunaan tidak sah. Prinsip ini berlaku terlepas dari format penyimpanan data.
Tindakan perlindungan yang tepat
Upaya tersebut tergantung pada besar kecilnya perusahaan. Bisnis kecil yang membuat alamat email pelanggan untuk buletin online dapat menyimpan alamat email dalam spreadsheet. Jika tabel dilindungi dengan kata sandi dan juga sangat terenkripsi, perlindungan yang memadai dapat diasumsikan.
Organisasi besar sering kali mengelola sejumlah besar data pribadi sensitif – meskipun data sudah diminimalkan. Perusahaan-perusahaan ini juga lebih sering menjadi target penyerang, oleh karena itu tindakan pencegahan keamanan yang lebih kuat harus diambil dalam hal ini.
Semua tindakan keamanan harus memberikan perlindungan di atas rata-rata untuk data pribadi yang dilindungi guna memastikan tingkat integritas yang tinggi.
Penghancuran Informasi Pribadi
Jika data pribadi akan dibuang atau dimusnahkan, pemulihan harus dilakukan dengan menggunakan kebijaksanaan manusia dan dengan menerapkan standar teknologi tinggi untuk pemusnahan data. Hal ini berlaku baik untuk pemusnahan fisik dokumen kertas maupun pemusnahan data pada modul penyimpanan.
8. Transparansi
Perusahaan harus membuat kebijakan dan prosedurnya mengenai cara menangani informasi pribadi mudah diakses . Oleh karena itu, pelanggan harus memiliki akses ke informasi ini tanpa jalan memutar yang rumit. Tanggapan terhadap pertanyaan konsumen mengenai perlindungan data harus dijawab dalam jangka waktu yang wajar dan selangsung mungkin . Informasi yang diberikan harus dirumuskan dengan cara yang dapat dimengerti secara umum. Istilah hukum harus dihindari.
Persyaratan dari PIPEDA
Menurut PIPEDA, organisasi harus menyediakan data berikut berdasarkan permintaan:
- Nama atau jabatan dan alamat orang yang bertanggung jawab atas kebijakan dan praktik organisasi dan kepada siapa pengaduan atau pertanyaan dapat diteruskan.
- Cara mengakses data pribadi
- Jenis data pribadi yang dikumpulkan termasuk deskripsi penggunaannya.
- Informasi tertulis yang menjelaskan kebijakan dan standar organisasi perusahaan
9. Hak atas informasi
Berdasarkan permintaan, perusahaan harus memberikan informasi kepada individu tentang data pribadi yang disimpan dan bagaimana data tersebut digunakan setelah otentikasi. Jika pelanggan meragukan keakuratan atau kelengkapan data pribadi, dia dapat bersikeras untuk mengubah data yang tercatat. Ini bisa berarti mengoreksi , menghapus, atau menambah data .
Pengecualian
Informasi mengenai data pribadi dapat ditolak karena berbagai alasan. Hal ini terjadi jika informasi tersebut tunduk pada hak istimewa pengacara-klien atau jika informasi bisnis rahasia akan diungkapkan.
Persyaratan otentikasi
Sebelum memberikan akses terhadap data pribadi, perusahaan harus memastikan bahwa perusahaan berkomunikasi dengan orang yang tepat.
Beberapa organisasi melakukan hal ini dengan meminta tanda pengenal yang dikeluarkan pemerintah. Jika perlu , verifikasi berdasarkan informasi akun yang dikombinasikan dengan informasi lain seperti nama gadis atau kata sandi yang disimpan juga dimungkinkan. Namun, persyaratan otentikasi yang ketat tidak boleh menjadi hambatan terhadap hak atas informasi.
Informasi – waktu dan biaya
Permintaan informasi harus ditanggapi dalam waktu yang wajar dan dengan biaya minimal atau tanpa biaya bagi individu. Permintaan harus dijawab selambat-lambatnya 30 hari setelah diterima. Jika sebuah perusahaan sangat membutuhkan lebih banyak waktu untuk memberikan informasi, perusahaan tersebut harus mengirimkan keputusan sementara kepada orang tersebut dan memberikan alasan yang masuk akal atas penundaan tersebut.
10. Hak untuk mengeluh
Hak pengaduan yang tercantum dalam PIPEDA memungkinkan pelanggan dan konsumen mengambil tindakan yang ditargetkan terhadap perusahaan jika poin GDPR Kanada dilanggar.
Perusahaan harus menyediakan prosedur untuk menerima dan menanggapi keluhan dan pertanyaan. Prosedur-prosedur ini harus sederhana dan mudah digunakan. Selain itu, menurut GDPR Kanada, perusahaan harus menyelidiki dan menyelidiki pengaduan , meskipun mereka tampaknya tidak yakin bahwa pengaduan tersebut dapat dibenarkan . Jika pengaduan terbukti sah, tindakan yang tepat harus diambil untuk menyelesaikannya. Petugas perlindungan data perusahaan bertanggung jawab menerima keluhan dan memulai prosedur.