Der kanadische Personal Information Protection and Electronic Documents Act (PIPEDA ) ist ein Bundesgesetz für den privaten Sektor, das vorschreibt, wie Organisationen persönliche Daten sammeln und verwenden.
Im Folgenden erörtere ich alles rund um PIPEDA, einschließlich der Frage, für wen es gilt, welche Strafen bei Verstößen gegen das Gesetz verhängt werden und welche Auswirkungen es auf Unternehmen und Verbraucher hat.
Was ist PIPEDA?
PIPEDA ist Kanadas umfassendes Bundesgesetz zum Datenschutz, das die Grundlage dafür bildet, wie Organisationen kanadische private Daten sammeln, verarbeiten und nutzen dürfen.
In Kanada gibt es noch weitere Gesetze zum Schutz der Privatsphäre, darunter Gesetze der Provinzen und das Privacy Act, das personenbezogene Daten im Besitz der Bundesregierung schützt, aber PIPEDA ist das wichtigste Gesetz für den privaten Sektor.
Kurze Geschichte des Gesetzes
Im November 2020 brachte die kanadische Regierung einen Gesetzesentwurf ein, der PIPEDA überarbeitet und durch ein neues Gesetz ersetzt hätte; dieser Entwurf erhielt jedoch nie die königliche Zustimmung.
Im September 2021 rief die Regierung Neuwahlen aus, und alle nicht verabschiedeten Gesetzentwürfe (einschließlich desjenigen, der eine Aktualisierung des PIPEDA-Gesetzes vorsah) blieben auf der Tagesordnung stehen.
Infolgedessen wurde PIPEDA weder überarbeitet noch ersetzt.
Für wen gilt PIPEDA?
PIPEDA gilt für privatwirtschaftliche Organisationen in ganz Kanada, die personenbezogene Daten im Rahmen kommerzieller Aktivitäten erfassen, verwenden oder weitergeben.
Jede kanadische Organisation, die Daten über die Provinz- und Landesgrenzen hinweg überträgt, muss diese Bestimmungen ebenfalls einhalten, unabhängig davon, wo sie ihren Sitz hat und welche Datenschutzgesetze in ihrer Provinz gelten.
Die folgenden staatlich beaufsichtigten Organisationen müssen sich ebenfalls daran halten:
- Fluggesellschaften und Flughäfen
- Banken
- Telekommunikationsunternehmen
- Interprovinzielle und internationale Transportunternehmen
Wer ist befreit?
Die folgenden Organisationen sind von PIPEDA ausgenommen, es sei denn, sie üben kommerzielle Tätigkeiten aus, die nicht zu ihrem Kerngeschäft gehören:
- Gemeinnützige Organisationen
- Wohltätigkeitsgruppen
- Politische Parteien
Darüber hinaus sind Organisationen in den folgenden Provinzen ebenfalls von dem Gesetz ausgenommen und unterliegen stattdessen den folgenden Provinzgesetzen für den Privatsektor, die einen ähnlichen Geltungsbereich haben:
- Alberta: Gesetz zum Schutz persönlicher Daten (PIPA)
- Britisch-Kolumbien: Gesetz zum Schutz persönlicher Daten (PIPA)
- Quebec: Das Gesetz 25 von Quebec
Die wichtigsten Anforderungen des PIPEDA
Im Folgenden erläutere ich einige der wichtigsten Anforderungen des PIPEDA und ihre Auswirkungen auf Unternehmen.
Die 10 Grundsätze der fairen Information
Organisationen, die unter das PIPEDA fallen, müssen sich an die zehn Grundsätze für faire Informationen halten, in denen die Rechte der Verbraucher und die Standards für die Erhebung und Verwendung personenbezogener Daten festgelegt sind.
Rechtliche Definition von persönlichen Informationen
Gemäß PIPEDA bezieht sich der Begriff persönliche Daten auf alle faktischen oder subjektiven Informationen über eine identifizierbare Person, einschließlich:
- Direkte Identifikatoren wie Alter, Name, ID-Nummern
- Subjektive Informationen wie Meinungen, Bewertungen und Disziplinarmaßnahmen
- Angaben zur Beschäftigung, z. B. Mitarbeiterakten, Kreditunterlagen und Darlehensunterlagen
- Persönliche Gesundheitsinformationen
- Cookie-Daten
Ausgenommen sindpersonenbezogene Daten, die von Bundesbehörden verarbeitet werden, die unter dem Privacy Act aufgeführt sind, sowie geschäftliche Kontaktinformationen, die für direkte Mitteilungen verwendet werden.
Anforderungen an die Benachrichtigung bei Datenschutzverletzungen
PIPEDA verlangt von den betroffenen Unternehmen, dass sie Datenverletzungen, die ein "reales Risiko eines erheblichen Schadens" darstellen, dem Office of the Privacy Commissioner (OPC) von Kanada mit Hilfe eines PIPEDA-Formulars melden.
Beispiele für erhebliche Schäden sind:
- Körperlicher Schaden
- Reputationsschaden
- Finanzieller Verlust
- Verlust von Arbeitsplätzen
Unternehmen müssen die betroffenen Personen so schnell wie möglich über den Verstoß informieren und Aufzeichnungen über alle Datenschutzverletzungen zwei Jahre lang aufbewahren.
Verbraucherrechte unter PIPEDA
PIPEDA gibt Kanadiern das Recht auf:
- Zugang zu den über sie gesammelten persönlichen Informationen
- Korrigieren Sie die persönlichen Informationen
- die Zustimmung zur Verarbeitung ihrer personenbezogenen Daten zu widerrufen
- bei den Behörden eine Beschwerde über die Verarbeitung ihrer Daten einreichen
PIPEDAs Auswirkungen auf Unternehmen
PIPEDA wirkt sich auf Unternehmen aus, da sie verpflichtet sind, auf ihren Websites und Anwendungen Lösungen zur Einhaltung des Datenschutzes bereitzustellen, wie etwa Datenschutzrichtlinien und Cookie-Banner.
Diese Lösungen tragen dazu bei, dass geschützte Nutzer angemessen informiert werden, damit Ihr Unternehmen die gesetzlich vorgeschriebenen Grundsätze der fairen Information erfüllt.
Um die Melde- und Transparenzanforderungen zu erfüllen, sollten die Unternehmen darüber verfügen:
- Eine genaue Datenschutzrichtlinie
- Eine aktualisierte Cookie-Richtlinie
- Eine klare Möglichkeit für die Nutzer, Anträge auf Durchsetzung ihrer Rechte zu stellen
- Ein Zustimmungsbanner, das die Präferenzen der Nutzer einholt und verfolgt
Durchsetzung und Sanktionen bei Nichteinhaltung der Vorschriften
PIPEDA wird vom Amt des Datenschutzbeauftragten(Office of the Privacy Commissioner, OPC) durchgesetzt, das aber nicht die eigentlichen Bußgelder verhängt.
Sie führen Untersuchungen als Reaktion auf Beschwerden im Rahmen des PIPEDA durch und geben dann im Rahmen ihrer Ergebnisse Empfehlungen an die Bundesregierung ab.
Dies kann zu einer Strafverfolgung auf Bundesebene und zu Geldstrafen von bis zu 100.000 CAD (79.815 USD) führen.
Wie Termly bei der Einhaltung von PIPEDA hilft
Unternehmen können Termly's Datenschutzerklärung Generator verwenden, um eine maßgeschneiderte PIPEDA-konforme Richtlinie zu erstellen.
Unser Generator wird von unserem Rechtsteam und unseren Datenschutzexperten unterstützt und wurde so entwickelt, dass er für jeden leicht zu bedienen ist. Er stellt einfache Fragen zu Ihrem Unternehmen und Ihren Datenverarbeitungsaktivitäten und erstellt dann auf der Grundlage Ihrer Antworten eine einzigartige Richtlinie.
Wir bieten auch eine Consent Management Platform die Ihnen dabei helfen kann, die gesetzlich vorgeschriebenen Zustimmungserfordernisse (Opt-in und Opt-out) zu erfüllen.
Zusammenfassung
Um PIPEDA einzuhalten, müssen Organisationen die zehn Grundsätze für faire Informationen einhalten, die die Grundregeln für den Umgang mit Daten festlegen.
Unternehmen sollten eine Datenschutzrichtlinie erstellen, in der sie sich zum Schutz der Nutzerdaten verpflichten, und sicherstellen, dass Datenschutzverletzungen dem OPC und allen betroffenen Nutzern so schnell wie möglich gemeldet werden.
Um die Anforderungen von PIPEDA besser zu verstehen, lesen Sie die PIPEDA-Gesetzgebung oder besuchen Sie die OPC-Website, wo Sie verschiedene Ressourcen zu PIPEDA finden.