Der Personal Information Protection and Electronic Documents Act (PIPEDA) ist ein kanadisches Gesetz zum Schutz der Privatsphäre der Bürger. PIPEDA regelt, wie Organisationen des privaten Sektors und des Bundes in Kanada im Rahmen ihrer kommerziellen Tätigkeit personenbezogene Daten (PI) sammeln, verwenden und weitergeben, und zwar so, dass das Recht des Einzelnen auf Privatsphäre gewahrt und anerkannt wird. Das Gesetz schreibt vor, dass Organisationen die Zustimmung des Einzelnen einholen müssen, wenn sie Informationen über den ausdrücklich festgelegten und gerechtfertigten Zweck hinaus sammeln, verwenden oder weitergeben. Es räumt dem Einzelnen das Recht ein, auf seine von einer Organisation gesammelten persönlichen Daten zuzugreifen, zu erfahren, wer für die Sammlung der Daten verantwortlich ist und aus welchen Gründen, und das Recht zu haben, die Richtigkeit der Daten anzufechten.
PIPEDA wurde ursprünglich am 13. April 2000 eingeführt, um das Vertrauen in den elektronischen Geschäftsverkehr zu stärken; es trat jedoch erst 2004 in vollem Umfang in Kraft. Später wurde es jedoch auf Branchen wie das Gesundheitswesen, Fluggesellschaften, Rundfunk, Telekommunikation, Transport und Banken ausgeweitet. Ein Schlüsselaspekt von PIPEDA ist die Tatsache, dass es darauf abzielt, die kanadischen Meldepflichten im Einklang mit der Europäischen Union, einem Handelspartner Kanadas, zu halten. Gemäß Abschnitt 29 des PIPEDA muss Teil I des Gesetzes, d.h. "Schutz personenbezogener Daten im privaten Sektor", alle fünf Jahre vom Parlament überprüft werden.
PIPEDA-ähnliche Gesetze in Kanada
Provinzielle Datenschutzgesetze, die mit PIPEDA in Kanada vergleichbar sind, sind:
- Quebec - Ein Gesetz über den Schutz der Privatsphäre im privaten Sektor
- Alberta - Personal Information Protection Act ("PIPA")
- Britisch-Kolumbien - Gesetz zum Schutz persönlicher Daten ("PIPA")
Organisationen in Kanada, die ähnliche Datenschutzgesetze der Provinzen einhalten, sind von der Einhaltung des PIPEDA befreit, wenn es um die Erhebung, Verwendung oder Weitergabe personenbezogener Daten geht, die innerhalb der jeweiligen Provinz erfolgt.
Was ist der Hauptzweck von PIPEDA?
Das Hauptziel von PIPEDA ist es, sicherzustellen, dass personenbezogene Daten in einer Weise erhoben, gespeichert und weitergegeben werden, die das Grundrecht auf Privatsphäre respektiert. Da mehrere Organisationen personenbezogene Daten verwenden, um mit ihren Kunden in Kontakt zu treten und bessere Dienstleistungen zu erbringen, muss sichergestellt werden, dass personenbezogene Daten privat und vertraulich behandelt werden.
Vollständige Infografik lesen
Wer muss sich an PIPEDA halten?
PIPEDA gilt für Organisationen, die in die Kategorie "Federal Work, Undertakings, and Businesses" (FWUB) fallen. Zu den FWUBs gehören laut dem Office of the Privacy Commissioner of Canada,:
- Banken
- Radio- und Fernsehsender
- Interprovinzieller Lkw-Verkehr
- Flughäfen und Fluggesellschaften
- Schifffahrt und Schifffahrt auf dem Wasser
- Telekommunikationsunternehmen wie Internetanbieter, Telefongesellschaften (Mobilfunk oder Festnetz), Kabelgesellschaften
- Eisenbahnen, Kanäle, Pipelines, Fähren usw., die Grenzen überschreiten
Organisationen, die keine FWUB sind, aber kommerzielle Tätigkeiten ausüben, die den Fluss personenbezogener Daten beinhalten, oder in einer Provinz tätig sind, die kein ähnliches Datenschutzgesetz hat, fallen ebenfalls in den Geltungsbereich von PIPEDA.
Was ist der territoriale Geltungsbereich von PIPEDA?
PIPEDA ist ein Bundesgesetz, das für personenbezogene Daten gilt, die von privaten Unternehmen in:
Was sind 'Persönliche Informationen (PI)' unter PIPEDA?
Nach PIPEDA sind personenbezogene Daten (PI) Informationen über eine identifizierbare Person, die alle faktischen oder subjektiven Informationen umfassen. Persönliche Informationen können die folgenden sein:
- Name, Alter, Ausweisnummern einschließlich Führerschein, Sozialversicherung, Reisepass
- Rasse, nationale oder ethnische Herkunft, Religion
- Verwandtschaft oder Familienstand
- Gesundheits-, Ausbildungs- oder Beschäftigungsgeschichte
- Finanzielle Informationen
- DNA
- Informationen, Bewertungen, Kommentare oder Meinungen über die Person als Arbeitnehmer
Was sind die Leitprinzipien von PIPEDA?
Die PIPEDA hat den Unternehmen Leitprinzipien an die Hand gegeben, um persönliche Daten zu schützen und das Vertrauen in die digitale Welt zu stärken. Zu den wichtigsten Grundsätzen von PIPEDA, die Unternehmen bei der Einhaltung von PIPEDA helfen, gehören:
a) Verantwortlichkeit: Jedes Unternehmen ist für die personenbezogenen Daten verantwortlich, die seiner Kontrolle unterliegen. Sie muss einen Datenschutzbeauftragten benennen, der die Einhaltung des PIPEDA durch die Organisation sicherstellt.
b) Identifizierung der Zwecke: Die Organisation muss die Zwecke, für die personenbezogene Daten gesammelt werden, vor oder zum Zeitpunkt der Sammlung identifizieren.
c) Einwilligung: Für die Erhebung, Verwendung oder Weitergabe personenbezogener Daten ist die Zustimmung einer Person erforderlich. Es kann einige Ausnahmen von diesem Grundsatz geben, z. B. in Situationen, in denen rechtliche, medizinische oder Sicherheitsgründe die Einholung der Zustimmung unpraktisch oder unmöglich machen.
d) Begrenzung der Datenerhebung: Informationen sollten nur zu dem von der Organisation angegebenen Zweck und mit fairen und rechtmäßigen Mitteln erhoben werden.
e) Begrenzung der Nutzung, Offenlegung und Aufbewahrung: Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie dies für den angegebenen Zweck erforderlich ist. Sofern der Einzelne nicht seine Zustimmung erteilt oder dies gesetzlich vorgeschrieben ist, dürfen die Informationen nur für die spezifischen Zwecke verwendet oder offengelegt werden, für die sie erhoben wurden.
f) Genauigkeit: Personenbezogene Daten müssen so vollständig, genau und aktuell wie möglich sein, um den Zwecken, für die sie erhoben wurden, gerecht zu werden.
g) Schutzmaßnahmen: Personenbezogene Daten müssen mit Hilfe geeigneter Sicherheitsmaßnahmen vor Verlust oder Diebstahl sowie vor unbefugtem Zugriff, Offenlegung, Kopieren, Verwendung oder Änderung geschützt werden.
h) Offenheit: Organisationen müssen umfassende Informationen über ihre Politik und Praktiken im Umgang mit personenbezogenen Daten bereitstellen.
i) Zugang für Einzelpersonen: Auf Anfrage muss eine Einzelperson Informationen über das Vorhandensein, die Verwendung und die Weitergabe ihrer personenbezogenen Daten erhalten. Sie müssen auch Zugang zu diesen Informationen erhalten. Der Einzelne muss auch die Möglichkeit haben, die Richtigkeit und Vollständigkeit der Informationen anzufechten und sie gegebenenfalls zu ändern.
j) Anfechtung der Einhaltung: Der Einzelne kann die Einhaltung der PIPEDA-Grundsätze durch das Unternehmen anfechten und seine Anfechtung an den Datenschutzbeauftragten weiterleiten, der für die Einhaltung von PIPEDA durch das Unternehmen zuständig ist.
PIPEDA: Geldbußen und Strafen
Eine Geldstrafe von bis zu 100.000 US-Dollar pro Verstoß kann gegen Unternehmen verhängt werden, die wissentlich gegen die PIPEDA-Richtlinien für proaktive Datensicherheitsmaßnahmen, die Meldung von Datenschutzverletzungen und die Aufbewahrung von Aufzeichnungen über Datenschutzverletzungen verstoßen.
Strafbare Handlungen unter PIPEDA
Der Hauptzweck des PIPEDA besteht darin, eine Treuhandvereinbarung zum Schutz personenbezogener Daten zu schaffen. Die meisten Fälle von PIPEDA-Beschwerden werden wirksam gelöst, mit positiven Ergebnissen sowohl für das Unternehmen als auch für den Beschwerdeführer. Der PIPEDA hat jedoch drei Fälle klar benannt, die eine Straftat darstellen und zu einer strafrechtlichen Verfolgung führen können:
a) Gezielte Vernichtung von Daten oder Informationen nach Erhalt eines Ersuchens, diese zu überprüfen
b) Vergeltungsmaßnahmen gegen Mitarbeiter, die versucht haben, das PIPEDA zu befolgen
c) Behinderung der Untersuchung, nachdem eine Beschwerde eingereicht worden ist
Datenlöschung - Technologie zur Unterstützung der Einhaltung des PIPEDA
Datenlöschung kann die Aspekte "Aufbewahrung" und "Schutz" personenbezogener Daten erleichtern, um die Einhaltung von PIPEDA zu erreichen. Die Technologie der Datenlöschung basiert auf dem Überschreiben vorhandener Daten mit binären Mustern, um sie vor Missbrauch zu schützen. Sie kann als ausfallsichere Methode für die dauerhafte Entfernung personenbezogener Daten nach Ablauf der festgelegten Aufbewahrungsfrist dienen, um die Einhaltung der PIPEDA-Richtlinien zu gewährleisten. Darüber hinaus schützt das Löschen sensibler Daten vor Diebstahl, unbefugtem Zugriff, Offenlegung, Kopieren, Verwendung oder Veränderung und erfüllt damit das Prinzip der Schutzmaßnahmen für personenbezogene Daten im Einklang mit PIPEDA.
BitRaser, eine professionelle Datenlöschsoftware, kann Daten gemäß internationalen Standards dauerhaft entfernen (löschen) und so ihre Sicherheit vor Verletzung oder unbefugter Nutzung gewährleisten. Das Tool erstellt außerdem fälschungssichere Berichte und Löschzertifikate, um die Einhaltung der Datenschutznormen von PIPEDA nachzuweisen.