• 16 сентября 2022

    Канада

     

    ЗАКОНОДАТЕЛЬСТВО КАНАДЫ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

     

    Система законодательства о персональных данных

    Необходимо также отметить, что Канада не присоединилась к Конвенции о защите физических лиц при автоматизированной обработке персональных данных» (Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data CETS No.: 108).

    Отдельные законы Канады о защите данных и неприкосновенности частной жизни регулируют различные сферы отношений в области персональных данных.

    В Канаде действует множество законов провинций и два основных федеральных закона о неприкосновенности частной жизни:

    • Закон о конфиденциальности (The Privacy Act), который регулирует обработку персональных данных федеральными правительственными органами и организациями;
    • Закон о защите личной информации и электронных документах
      (he Personal Information Protection and Electronic Documents Act (далее – PIPEDA), который регулирует обработку личной информации частными коммерческими организациями.

    Кроме того, отношения в области персональных данных регулируются:

    • Канадским законодательством о борьбе со спамом SC 2010 c 23 (CASL), которое применяется к корпорациям в ходе их коммерческой деятельности;
    • Законом об Управлении суперинтенданта финансовых учреждений, RSC 1985 c 18 (далее – OSFI), который устанавливает полномочия, обязанности и функции Управления суперинтенданта финансовых учреждений. OSFI требует, чтобы федерально регулируемые финансовые учреждения сообщали об определенных инцидентах кибербезопасности, как указано в его Консультативном совете по технологиям и отчетности об инцидентах кибербезопасности (Тhe Cybersecurity Incident Reporting Advisory);
    • Законом об учреждении службы безопасности связи SC 2019 c 13 s 76 (далее – CSE), который вступил в силу 1 августа 2019 года и принят в связи с созданием специальной службы в поддержку деятельности Учреждения по обеспечению безопасности связи, канадского агентства разведки и киберзащиты. CSE уполномочена консультировать, направлять и защищать организации частного и государственного секторов, которые считаются критически важными для информационной инфраструктуры Канады.

    Наряду с указанными законами можно отметить Уголовный кодекс Канады, RSC 1985 c C-46 (далее – Уголовный кодекс), который определил некоторые виды деяний как уголовные преступления, включая мошенническое получение доступа к компьютерной системе, DDoSing (вмешательство в работу компьютерных систем), а также использование вредоносных программ или программ-вымогателей с целью умышленного уничтожения, вмешательства в использование компьютерной системы или компьютерных данных.

    Материальное и территориальное действие

    Какие именно законы применяются к конкретной обработке личных данных, зависит от нескольких факторов. Для уяснения этого необходимо иметь информацию:

    • Об организационно-правовом статусе организации, обрабатывающей личную информацию: федеральное государственное учреждение; провинциальное или территориальное государственное учреждение; частная организация;
    • О местонахождении организации;
    • О перечне обрабатываемых персональных данных;
    • Об осуществлении организацией коммерческой деятельности или иной (некоммерческой, политической и т.п.);
    • О факте передачи персональных данных за провинциальные или национальные границы.

    Закон о конфиденциальности

    Закон  о конфиденциальности  применяется только к учреждениям федерального правительства, перечисленным в специальном Перечне учреждений.  Это относится ко всей личной информации, которую федеральное правительство собирает, использует и раскрывает, в том числе
    в ходе предоставления таких услуг, как:

    • страховые пенсии по старости;
    • страхование занятости;
    • безопасность границ;
    • федеральная полиция и общественная безопасность;
    • сбор и возврат налогов.

    Кроме того, Закон о конфиденциальности применяется при обработке личной информации федеральных служащих.

    Одновременно каждая провинция и территория имеет собственные законы о конфиденциальности, которые применяются к провинциальным правительственным учреждениям и обработке личной информации.

    Закон о защите личной информации и электронных документах (PIPEDA)

    PIPEDA не распространяется на организации, которые не занимаются коммерческой деятельностью, политические партии и политических представителей. По общему правилу указанный закон устанавливает основные правила обработки личных данных частными коммерческими организациями. Он также применяется к личной информации сотрудников таких организаций.

    Вместе с тем имеются особенности его применения в зависимости от территории. Провинции вправе принимать собственные законы
    о конфиденциальности, и они могут применяться в части, не противоречащей PIPEDA. Существуют также процедуры признания законов провинций не противоречащими PIPEDA. После прохождения процедуры признания такие законы провинции могут применяться вместо PIPEDA.

    В результате развития законодательства в настоящее время  PIPEDA применяется к данным, обрабатываемым частными коммерческими организациями, ведущими бизнес в:

    • Манитоба;
    • Нью-Брансуик;
    • Ньюфаундленд и Лабрадор;
    • Северо-Западные территории;
    • Новая Шотландия;
    • Нунавут;
    • Онтарио;
    • Остров Принца Эдуарда;
    • Саскачеван;
    • Юкон.

    Федерально регулируемые организации, к которым относятся, в частности, банки, авиакомпании и телекоммуникационные компании, всегда подпадают под действие PIPEDA, даже если осуществляют свою деятельность на территории провинций, не входящих в указанный выше перечень.

    Муниципалитеты, образовательные и медицинские организации, как правило, подпадают под действие законов провинций. PIPEDA может применяться только в определенных ситуациях. В частности, все предприятия, работающие в Канаде и обрабатывающие личную информацию, которая передается за пределы провинциальных или национальных границ, подпадают под действие PIPEDA, независимо от того, в какой провинции или территории предприятия базируются.

    Если личная информация не пересекает провинциальные или национальные границы,  PIPEDA  не распространяется на организации, которые работают исключительно в:

    • Альберта;
    • Британская Колумбия;
    • Квебек.

    В этих трех провинциях действуют собственные законы, которые признаны не противоречащими PIPEDA.

    Кроме того, в ряде провинций действуют законы о конфиденциальности в отношении данных о здоровье, не противоречащие PIPEDA:

    • Онтарио;
    • Нью-Брансуик;
    • Ньюфаундленд и Лабрадор;
    • Новая Шотландия.

    В то время как другие провинции и территории также приняли свои собственные законы о конфиденциальности в области здравоохранения, они не были признаны не противоречащими PIPEDA, поэтому на данных территориях может применяться как PIPEDA, так и законы провинции в части, не противоречащей PIPEDA.

    В некоторых провинциях приняты законы о конфиденциальности, которые применяются в трудовых отношениях к информации о сотрудниках:

    • Альберта;
    • Британская Колумбия.

    Надзорные органы. Соблюдение требований законов о конфиденциальности контролируется Управлением Комиссара по вопросам конфиденциальности Канады (OPC). Комиссар является должностным лицом парламента, подчиняющимся непосредственно Палате общин и Сенату.

    Комиссар уполномочен рассматривать жалобы, проводить проверки и осуществлять судебное преследование. Также он формирует публичную отчетность о практике обработки личной информации в организациях государственного и частного секторов; осуществляет поддержку, проведение и публикацию исследований по вопросам конфиденциальности; разъясняет  законодательство в сфере конфиденциальности.

    В то же время в каждой провинции и территории Канады есть комиссар или омбудсмен, отвечающий за надзор за законодательством о неприкосновенности частной жизни.

    В соответствии с PIPEDA уполномоченный орган может по разумному уведомлению и в любое разумное время провести аудит практики управления персональной информацией организации, если имеются разумные основания полагать, что организация не соблюдает требования PIPEDA.

    Альберта. Уполномоченный (комиссар) по вопросам информации и конфиденциальности является должностным лицом законодательного органа. Комиссар подчиняется непосредственно Законодательному собранию Альберты и не зависит от правительства. Его функциями являются:

    • защита прав альбертанцев на неприкосновенность частной жизни;
    • обеспечение соблюдения государственными органами, органами здравоохранения и организациями частного сектора прав на неприкосновенность частной жизни, предусмотренных законами Альберты;
    • своевременное и эффективное предоставление справедливых, независимых и беспристрастных заключений;

    Выполнение законодательных и нормативных обязанностей, изложенных в трех актах Альберты о доступе и конфиденциальности:

    • Законе о свободе информации и защите частной жизни (The Personal Information Protection Act);
    • Законе о медицинской информации (The Personal Information Protection Act);
    • Законе о защите личной информации (The Personal Information Protection Act).

    Полномочия и обязанности:

    • обеспечение независимого рассмотрения запросов о доступе к информации;
    • обеспечение независимого рассмотрения и разрешения жалоб, связанных со сбором, использованием и раскрытием личной, в том числе медицинской информации;
    • расследование вопросов, связанных с применением Законов, независимо от того, запрашивается ли оно;
    • решение вопросов факта и права путем проведения расследований и выдачи обязательных приказов;
    • информирование общественности по вопросам конфиденциальности;
    • получение комментариев от общественности относительно применения Законов;
    • консультирование и выработка рекомендаций по применению Законов к заинтересованным сторонам;
    • участие или проведение исследований, касающихся целей правовых актов;
    • разъяснение законодательных программ, которые имеют последствия для конфиденциальности;
    • разъяснения последствий воздействия на конфиденциальность личной информации.

    Комиссар также имеет право пересматривать решения Регистратора автотранспортных услуг о доступе к информации о личном вождении и транспортных средствах в соответствии с Положением о доступе к информации о транспортных средствах.

    Британская Колумбия. Уполномоченный по вопросам информации и конфиденциальности обеспечивает независимый надзор за соблюдением законов Британской Колумбии, в том числе:

    • Закона о свободе информации и защите частной жизни (The Freedom of Information and Protection of Privacy Act (далее – FIPPA), который применяется к более чем 2900 государственным органам, включая министерства, местные органы власти, школы, корпорации, больницы, муниципальные полицейские силы и многим другим органам и организациям;
    • Закона о защите личной информации (The Personal Information Protection Act (далее – PIPA), который применяется к любой организации частного сектора, которая собирает, использует и раскрывает личную информацию физических лиц в Британской Колумбии.  PIPA также распространяется на любую организацию, расположенную в Британской Колумбии, которая собирает, использует или раскрывает личную информацию любого лица внутри или за пределами Британской Колумбии.

    Уполномоченный имеет право:

    • расследовать, выступать посредником и разрешать споры о доступе к информации, включая выдачу обязательных приказов;
    • расследовать и разрешать жалобы;
    • инициировать расследования и проверки государственных органов или организаций, если есть разумные основания или если это отвечает общественным интересам;
    • разъяснять законодательство, программы или политику в сфере конфиденциальности;
    • разъяснять последствия для конфиденциальности новых технологий и/или схем сопоставления данных;
    • проводить исследования во всем, что затрагивает права на доступ и неприкосновенность частной жизни;
    • просвещать и информировать население об их правах на неприкосновенность частной жизни и соответствующих законах.

    Уполномоченный по информации и конфиденциальности осуществляет надзор за информацией и практикой конфиденциальности государственных органов и частных организаций, которые расположены в Британской Колумбии, но имеют штаб-квартиру в другом месте.

    Манитоба. Омбудсмен Манитобы может расследовать вашу жалобу на доступ к информации и вопросы конфиденциальности, справедливость действий или решений правительства или серьезные правонарушения, которые, по вашему мнению, могли иметь место. Омбудсмен Манитобы является независимым учреждением Законодательного собрания Манитобы и не является частью какого-либо государственного департамента или агентства.

    В Манитобе три закона, по вопросам исполнения которых омбудсмен уполномочен проводить расследования, в том числе в отношении:

    • департаментов и агентств правительства провинции;
    • корпораций;
    • советов и комиссий;
    • органов местного самоуправления, планирования и природоохраны;
    • региональных органов здравоохранения;
    • муниципалитетов;
    • школ, колледжей, университетов.

    В рамках Закона о свободе информации и защите частной жизни (Тhe Freedom of Information and Protection of Privacy Act (FIPPA) омбудсмен расследует жалобы от людей, которые обеспокоены любым решением, действием или бездействием, связанным с их запросами о предоставлении информации от государственных органов, или озабоченностью по поводу конфиденциальности того, как обрабатывалась их личная информация.

    В соответствии с Законом о личной медицинской информации The Personal Health Information Act (PHIA) омбудсмен рассматривает жалобы, связанные с личной медицинской информацией, обрабатываемой в государственных органах здравоохранения.

    Согласно Закону о раскрытии информации в общественных интересах The Public Interest Disclosure (Whistleblower Protection) Act (PIDA) любой может заявить о правонарушении (очень серьезном действии или бездействии, которое является преступлением, создает конкретную и существенную опасность для жизни, здоровья или безопасности людей или окружающей среды; является грубой бесхозяйственностью; связано с нецелевым использованием государственных средств или государственных активов и т.п.).

    Большинство уполномоченных провинций и территорий Канады по вопросам конфиденциальности имеeт аналогичные функции и полномочия. Уполномоченные провинций и территорий не имеют права самостоятельно взимать штрафы или администрировать денежные штрафы.

    Они направляют представления в федеральные и провинциальные органы, чтобы способствовать соблюдению законодательства, проводя расследования и аудиты, а также издавая рекомендации, в которых излагаeтся позиция относительно того, как организации должны соблюдать применимое законодательство.

    Исключение составляют уполномоченные органы Альберты и Квебека, которые вправе издавать обязательные к исполнению документы.

    Нью-Брансуик. Омбудсмен отвечает за надзор и обеспечение соблюдения провинциальных законов:

    • Закона о праве на информацию и защите частной жизни, распространяющегося на государственный сектор Нью-Брансуика;
    • Закона о конфиденциальности и доступе к личной медицинской информации, действующего в отношении медицинской информации в частном секторе.

    Ньюфаундленд и Лабрадор. Уполномоченный отвечает за надзор и обеспечение соблюдения следующих провинциальных законов о доступе и конфиденциальности:

    • Закона о доступе к информации и защите частной жизни, который действует в государственном секторе Ньюфаундленда и Лабрадора;
    • Законов о личной медицинской информации и правилах аптечной сети, касающихся медицинских записей частного сектора.

    Северо-западные территории. Уполномоченный отвечает за надзор и обеспечение соблюдения провинциальных законов:

    • Закона о доступе к информации и защите частной жизни, распространяющегося на государственный сектор Северо-Западных территорий;
    • Закона о личной медицинской информации (Health Information Act).

    Новая Шотландия. Комиссар по  информации и конфиденциальности Новой Шотландии отвечает за надзор и соблюдение провинциальных законов:

    • Закона о свободе информации и защите частной жизни (Freedom of Information and Protection of Privacy Act) и Закона о проверке конфиденциальности (Privacy Review Officer Act), действующих в государственном секторе Новой Шотландии;
    • Закона о личной медицинской информации (Personal Health Information Act), регулирующего частный сектор;
    • Части ХХ Закона о муниципальном управлении (Part XX of the Municipal Government Act);
    • Закона о международной защите от раскрытия личной информации (Personal Information International Disclosure Protection Act).

    Нунавут. Уполномоченный по информации и конфиденциальности отвечает за надзор и обеспечение соблюдения Закона о доступе к информации и защите частной жизни (Access to Information and Protection of Privacy Act), который распространяется на государственный сектор Нунавута.

    Онтарио. Комиссар по информации и конфиденциальности отвечает за надзор и обеспечение соблюдения провинциальных законов:

    • Закона о свободе информации и защите частной жизни (Freedom of Information and Protection of Privacy Act), действующий в государственном секторе провинции Онтарио;
    • Муниципального закона о свободе информации и защите частной жизни (Municipal Freedom of Information and Protection of Privacy Act), регулирующего государственный сектор;
    • Закона о защите личной медицинской информации (Municipal Freedom of Information and Protection of Privacy Act), в отношении частного сектора.

    Остров принца Эдуарда. Уполномоченный по информации и конфиденциальности  отвечает за надзор и обеспечение соблюдения провинциальных законов:

    • Закона о свободе информации и защите частной жизни (Freedom of Information and Protection of Privacy Act), который действует в государственном секторе;
    • Закона о медицинской информации (Health Information Act).

    Квебек. Комиссия по доступу к информации Квебека отвечает за надзор и обеспечение соблюдения провинциальных законов:

    • Закона о доступе к документам, хранящимся в государственных органах, и защите личной информации (Act Respecting Access to Documents Held by Public Bodies and the Protection of Personal Information), который распространяется на государственный сектор;
    • Закона о защите личной информации в частном секторе (Act Respecting the Protection of Personal Information in the Private Sector);
    • Закона о медицинском обслуживании и социальных услугах, Закона о медицинском страховании и Закон о страховании здоровья (Act respecting health services and social services , the Health Insurance Act and the Act respecting the Régie de l’assurance maladie du Québec).

    Саскачеван. Уполномоченный по  информации и конфиденциальности отвечает за надзор и соблюдение провинциальных законов:

    • Закона о свободе информации и защите частной жизни (Freedom of Information and Protection of Privacy Act) в государственном секторе;
    • Закона о свободе информации и защите частной жизни (Freedom of Information and Protection of Privacy Act) в муниципальном государственном секторе;
    • Закона о защите медицинской информации (Health Information Protection Act).

    Юкон. Уполномоченный по  информации и конфиденциальности осуществляет надзор и обеспечение соблюдения провинциальных законов:

    • Закона о свободе информации и защите частной жизни (Freedom of Information and Protection of Privacy Act) в государственном секторе;
    • Закона о конфиденциальности и управлении медицинской информацией (Health Information Privacy and Management Act).

    Здравоохранение.  Больницы, учреждения длительного ухода и службы по уходу на дому, финансируемые государством, не считаются ни коммерческими организациями, ни федеральными государственными учреждениями. Таким образом, федеральные законы Канады о неприкосновенности частной жизни не применяются к их основной деятельности, а именно к предоставлению медицинских услуг. Таким образом, практика обработки личной информации таких провинциальных и территориальных учреждений государственного сектора будет регулироваться законодательством о неприкосновенности частной жизни, применимым к провинциальному и территориальному государственному сектору.

    Частные медицинские клиники, учреждения длительного ухода, дома престарелых, дома престарелых и службы по уходу на дому, как правило, считаются осуществляющими коммерческую деятельность, и поэтому к ним применяется PIPEDA, если только в провинции или на территории не существует аналогичного законодательства.

    В Британской Колумбии, Альберте, Квебеке, Онтарио, Нью-Брансуике, Новой Шотландии, Ньюфаундленде и Лабрадоре существуют специальные законы частного сектора и / или сектора здравоохранения, которые считаются существенно похожими на PIPEDA и применяются к частным организациям здравоохранения вместо PIPEDA.

    Саскачеван, Манитоба, Юкон и Северо-Западные территории приняли законодательство о личной медицинской информации, которое может применяться к частным медицинским организациям, работающим в этих юрисдикциях. Однако, поскольку эти законы о здравоохранении не были объявлены существенно похожими на PIPEDA, и они не заменяют обязательства PIPEDA. PIPEDA продолжает применяться одновременно (в то же время) с этими другими законами.

    На острове Принца Эдуарда или в Нунавуте нет специального законодательства в области частного сектора или здравоохранения. Соответственно, PIPEDA применяется к частным медицинским учреждениям.

    Занятость. Практика, применимая к сотрудникам, регулируется законами о конфиденциальности, применимыми к их работодателю:

    • если работодатель является федеральным государственным учреждением, то будет применяться Закон о неприкосновенности частной жизни;
    • если работодателем является провинциальное, территориальное или муниципальное государственное учреждение, сотрудники будут подчиняться правилам обработки личной информации, изложенным в применимых провинциальных или территориальных законах;
    • если работодатель является федеральным регулируемым учреждением, PIPEDA будет охватывать сотрудников и потенциальных сотрудников федеральных регулируемых предприятий, включая сотрудников федеральных регулируемых предприятий, предприятий или предприятий, таких как банки, авиакомпании и телекоммуникационные компании;
    • если работодатель работает в частном секторе Британской Колумбии, Альберты или Квебека, то практика кибербезопасности сотрудников будет регулироваться законодательством частного сектора на провинциальном уровне.

    Основные понятия и определения

    Определение личной информации несколько отличается в соответствии с PIPEDA или Законом о конфиденциальности, но в целом согласно сведениям, размещенным на сайте Комиссара по вопросам конфиденциальности Канады (OPC), это сведения:

    • о расе, национальном или этническом происхождении,
    • о религии;
    • о возрасте, имени, семейном положении;
    • о здоровье, образовании или трудовой биографии;
    • о финансовом положении;
    • о ДНК;
    • об идентификационных номерах, таких как номер социального страхования или водительских прав;
    • о профессиональных характеристиках.

    Не считается личной информацией:

    • данные, обрабатываемые физическим лицом исключительно в личных целях;
    • личная информация, обрабатываемая исключительно в журналистских, художественных или литературных целях;
    • информация, которая не касается отдельного лица, потому что связь с человеком слишком слаба или удалена (например, почтовый индекс сам по себе, который охватывает обширную территорию со многими домами);
    • информация об организации;
    • информация, которая была предоставлена анонимной, до тех пор, пока невозможно связать эти данные с идентифицируемым лицом;
    • определенная информация о государственных служащих, такая как их имя, должность и звание;
    • деловая контактная информация лица, которую организация собирает, использует или раскрывает с единственной целью общения с этим лицом в связи с его работой, бизнесом или профессией;
    • правительственная информация.

    Личная информация. Это данные об «идентифицируемом лице», то есть информация, которая сама по себе или в сочетании с другими данными может идентифицировать физическое лицо.

    Обработка личных данных интерпретируется как включающая любое использование информации обработчиком с целью, для которой информация была первоначально собрана.

    Передача – это передача организацией личной информации для обработки с целью, для которой информация была первоначально собрана.

    В соответствии с принципом PIPEDA, который имплементирован в провинциальные законы о конфиденциальности, дальнейшая передача персональных данных третьим лицам для обработки допускается при условии, что организация использует договорные или иные средства для обеспечения сопоставимого уровня защиты во время обработки информации третьей стороной.

    Сопоставимый уровень защиты означает, что сторонний обработчик или получатель данных должен обеспечить защиту, которую можно сравнить с уровнем защиты, который личная информация получила бы, если бы она не была передана. Это не означает, что защита должна быть абсолютно одинаковой, но это означает, что они должны быть в целом эквивалентны.

    Трансграничная передача – PIPEDA не проводит различий между внутренней и международной передачей данных. Организациям в Канаде не запрещено передавать личную информацию организации, находящейся в другой юрисдикции. Вместе с тем PIPEDA устанавливает правила:

    • передающая организация несет ответственность за информацию, находящуюся в руках организации, которой она была передана;
    • организации должны защищать личную информацию, находящуюся в руках обработчиков. Основным средством, с помощью которого это достигается, является договор;
    • ни один договор не может отменять уголовное законодательство, законодательство о национальной безопасности или любые другие законы страны;
    • для организаций важно оценить риски, которые могут поставить под угрозу целостность, безопасность и конфиденциальность личной информации клиентов при ее передаче сторонним поставщикам услуг, работающим за пределами Канады;
    • организации должны быть прозрачными в отношении своих методов обработки личной информации. Это включает в себя уведомление клиентов о том, что их личная информация может быть отправлена в другую юрисдикцию для обработки и что, пока информация находится в другой юрисдикции, к ней могут получить доступ суды, правоохранительные органы и органы национальной безопасности.

    PIPEDA устанавливает, что любой сбор, использование или раскрытие личной информации должно осуществляться только в целях, которые разумный человек сочтет уместными в данных обстоятельствах. Это  обязывает организации: документировать цель сбора; определять цель в момент сбора или до него; собирать только ту информацию, которая необходима для определенной цели; идентифицировать любые новые цели до использования собранной личной информации.

    OPC определил, что следующие цели, как правило, будут сочтены неуместными разумным человеком:

    • сбор, использование или раскрытие личной информации способами, которые в любом случае являются незаконными;
    • профилирование или категоризация отдельных лиц таким образом, который приводит к несправедливому, неэтичному или дискриминационному обращению, противоречащему закону о правах человека;
    • сбор, использование или раскрытие личной информации в целях, которые, могут нанести значительный вред личности;
    • публикация личной информации с целью взимания платы с людей за ее удаление;
    • требование паролей к учетным записям в социальных сетях с целью проверки сотрудников;
    • ведение наблюдения за человеком с использованием аудио- или видео функций его собственного устройства.

    Коммерческая деятельность – любая конкретная сделка, действие или поведение или любой обычный образ поведения, носящий коммерческий характер, независимо от того, делает ли лицо, которое его осуществляет, это в расчете на прибыль, за исключением любой сделки, действия или поведения, которые осуществляются в целях обеспечения правопорядка, общественной безопасности, защиты Канады, ведения международных дел или обороны Канады (раздел 1 (1) CASL).

    Принципы. В соответствии с PIPEDA существует 10 принципов добросовестной информации, которые основывают правила сбора, использования и раскрытия личной информации. OPC также создала простое и доступное руководство для предприятий, которым нужно руководствоваться при выработке практики соответствующей принципам, чтобы обеспечить их соответствие требованиям PIPEDA.

    Соблюдая каждый законодательный принцип и их дополнительные руководящие принципы, бизнес может гарантировать, что он обрабатывает персональные данные законным и справедливым образом.

    Подотчетность. Организация несет ответственность за личную информацию, находящуюся под ее контролем. Организация должна назначить лицо, ответственное за соблюдение руководящих принципов.

    Определение цели. Цели, для которых собирается личная информация, должны быть определены организацией до или во время сбора.

    Согласие. Знание и согласие физического лица необходимы для сбора, использования или раскрытия личной информации, за исключением случаев, когда это неуместно.

    Ограничение сбора. Сбор личной информации должен быть ограничен той, которая необходима для целей, определенных организацией. Сбор информации должен осуществляться честными и законными способами.

    Ограничение использования, раскрытия и хранения. Если физическое лицо не дает иного согласия или этого не требует закон, личная информация может быть использована или раскрыта только в тех целях, для которых она была собрана. Личная информация должна храниться только до тех пор, пока это требуется для этих целей.

    Точность. Личная информация должна быть максимально точной, полной и актуальной, чтобы должным образом соответствовать целям, для которых она должна использоваться.

    Гарантии. Личная информация должна быть защищена соответствующими мерами безопасности в соответствии с конфиденциальностью информации.

    Открытость. Организация должна публиковать и предоставлять подробную информацию о своей политике и практике, касающихся управления личной информацией.

    Индивидуальный доступ. По запросу физическое лицо должно быть проинформировано о существовании, использовании и раскрытии своей личной информации и получить доступ к этой информации. Физическое лицо должно иметь возможность оспорить точность и полноту информации и внести в нее соответствующие изменения.

    Оспаривание соответствия. Физическое лицо должно иметь возможность оспорить соблюдение организацией вышеуказанных принципов. Их проблема должна быть адресована лицу, ответственному за соблюдение организацией PIPEDA, обычно их главному сотруднику по вопросам конфиденциальности.

    Требования к безопасности

    Канадские законы о защите данных не определяют конкретные меры безопасности, при которых данные должны быть обработаны. Однако организации несут ответственность за защиту персональной информации, находящейся под их контролем, путем применения мер предосторожности, соответствующих чувствительности персональной информации. Меры предосторожности могут включать физические меры (например, запертые картотечные шкафы), организационные меры (например, ограничение доступа конкретным сотрудникам, которые также осведомлены о важности сохранения конфиденциальности) и технологические меры (например, шифрование данных и требование паролей для получения доступа к данным).

    Согласие на обработку персональных данных

    Для того чтобы согласие было информированным и действительным, физические лица должны понимать характер, цель и последствия сбора, использования или раскрытия их личной информации. Например, организации должны предоставлять информацию в ясной, легкодоступной, краткой, прозрачной и понятной форм. Это включает в себя использование осмысленного языка, обеспечение достаточной детализации, избегание расплывчатости и выделение любых целей, которые не были бы разумно очевидны для человека.

    В соответствии с PIPEDA организации могут собирать, использовать и раскрывать личную информацию без согласия при определенных обстоятельствах, например, если этого требует закон или общественные интересы либо личные данные собираются и обрабатываются в целях трудоустройства.

    Права субъекта персональных данных

    Канадские законы о защите данных предоставляют физическим лицам общее право получать информацию об использовании и раскрытии их личной информации, а также получать доступ к их личной информации, хранящейся в организациях. По запросу организация должна сообщить физическому лицу, владеет ли она персональной информацией об этом физическом лице, и предоставить ему доступ к такой информации в разумные сроки и с минимальными затратами или вообще без них. Организациям также рекомендуется указывать источник своей информации.

    Существуют некоторые ограничения на осуществление прав отдельных лиц. Например, организация не должна предоставлять физическому лицу доступ к личной информации, если это может привести к раскрытию личной информации третьей стороны, а информация о третьей стороне не может быть отделена. Кроме того, право на доступ к личной информации ограничено в определенных ситуациях, если она затрагивает адвокатскую тайну, судебную тайну, коммерческую тайну и т.п.

    В некоторых случаях организации могут быть не в состоянии предоставить доступ ко всей личной информации, которую они хранят о человеке. В таких случаях организации должны указать причины отказа в доступе. Эти исключения из доступа должны быть ограниченными и конкретными.

    В соответствии с PIPEDA если физическое лицо докажет, что его личная информация является неточной или неполной, организация обязана внести соответствующие изменения в эту информацию. Изменение может включать исправление, удаление или добавление информации. Измененная информация должна быть передана третьим лицам, имеющим доступ к такой информации, где это уместно.

    PIPEDA не предусматривает конкретного права на удаление персональных данных, когда это все еще требуется для целей, для которых эти данные были собраны. Однако личная информация, которая больше не требуется для достижения определенных целей, должна быть уничтожена, стерта или анонимизирована.

    Канадские законы о конфиденциальности не предусматривают права возражать против деятельности организации по обработке данных. Однако физические лица, как правило, могут отозвать свое согласие на сбор, использование и раскрытие своей личной информации с учетом некоторых ограничений (например, юридических и договорных ограничений). Организация также должна информировать человека о последствиях такого решения.

    Канадское законодательство о конфиденциальности не предусматривает права возражать против обработки персональных данных в целях маркетинга. Однако физические лица, как правило, могут отозвать свое согласие на сбор, использование и раскрытие своей личной информации с учетом некоторых ограничений. Организация также должна информировать человека о последствиях отзыва согласия.

    Кроме того, канадское законодательство о борьбе со спамом (CASL) действует в отношении электронной маркетинговой деятельности, включая распространение коммерческих электронных сообщений (CEMs). Организации должны получить согласие, предоставить идентификационную информацию и включить механизм отписки. Форма требуемого согласия будет зависеть от обстоятельств, уровня чувствительности личной информации и разумных ожиданий человека.

    Специальные категории персональных данных. Чувствительные персональные данные

    Канадские законы о конфиденциальности не содержат какой-либо специальной категории личных данных, которые требуют особые меры защиты.

    Вместе с тем в 2012 г. Федеральный суд признал, что медицинская информация является чрезвычайно конфиденциальной и должна получать самую высокую степень защиты.

    С течением времени суды пришли к выводу, что информация, которая сама по себе может рассматриваться как безобидная в другом контексте (например, имена или адреса электронной почты), может приобретать более чувствительный характер при подключении к сервисам, которые могут раскрывать личные действия и предпочтения своих пользователей.

    Чувствительной признается личная информация об этническом происхождении, религиозных взглядах, сексуальной ориентации,  употреблении наркотиков и алкоголя, одиночестве и депрессии и т.п.

    Такая личная информация требует явного согласия для ее сбора и обработки.

    Биометрическая информация является конфиденциальной почти при любых обстоятельствах, поскольку она внутренне и в большинстве случаев постоянно связана с человеком. Она своеобразна, стабильна с течением времени, трудно поддается изменению и в значительной степени уникальна для конкретного человека.

    Конфиденциальная личная информация, такая как финансовая информация и/или подробная идентификационная информация (например, дата рождения и ответы на секретные вопросы), может стать объектом фишинговых атак или кражи личных данных. В связи с этим организации должны принимать повышенные меры предосторожности для защиты такой конфиденциальной информации от несанкционированного доступа.

    Элементы данных, будучи объединены, могут быть использованы злоумышленниками для кражи личных данных соответствующих лиц. Поэтому меры предосторожности должны быть соразмерно высокими.

    В целом, организациям, хранящим личную информацию в электронном виде, рекомендуется внедрить процессы, процедуры и системы для борьбы с рисками информационной безопасности, подкрепленные надлежащими экспертными знаниями, особенно в тех случаях, когда хранимая личная информация включает информацию чувствительного характера.

    Несовершеннолетние

    Любая информация о детях считается конфиденциальной. Организации должны избегать сбора личной информации детей. Во всех случаях, кроме исключительных, согласие на сбор, использование и раскрытие личной информации детей в возрасте до 13 лет должно быть получено от их родителей или опекунов.

    Осуществляя сбор личной информации детей в Интернете, организация должна установить соответствующий график хранения неактивных учетных записей (например, удаление после определенного периода бездействия) и иметь опцию, которая позволяет полностью удалять учетные записи пользователей, а не просто архивировать их.  Учитывая практические препятствия для получения осознанного согласия от детей, операторы веб-сайтов, ориентированных на детей, не должны разрешать размещение на веб-сайте каких-либо технологий отслеживания.

    Трансграничная передача данных

    Канадские законы о конфиденциальности не запрещают организациям в Канаде передавать личную информацию третьим лицам в иностранной юрисдикции для обработки. Однако в соответствии с канадскими законами о неприкосновенности частной жизни в частном секторе организации несут ответственность за защиту личной информации во время передачи в рамках каждого отдельного аутсорсингового соглашения; и обязаны уведомлять субъекта персональных данных или иным образом получать новое согласие в тех случаях, когда персональные данные передаются для цели, отличной от той, для которой они были изначально переданы.

    В случае аутсорсинга в другую юрисдикцию PIPEDA не требует прямого сравнения иностранных законов о конфиденциальности с канадскими законами о конфиденциальности. Вместо этого она требует, чтобы организации принимали во внимание все элементы, окружающие сделку.
    В том числе передача данных не должна быть произведена из-за таких факторов, как политическая неопределенность или нестабильность в иностранном режиме или наличие информации настолько конфиденциальной, что она в любом случае не должна направляться в какую-либо иностранную юрисдикцию.

    В случаях обработки персональных данных в иностранной юрисдикции, организация, передавшая данные, должна принять все разумные меры для защиты ее от несанкционированного использования и раскрытия, пока она находится в руках стороннего обработчика.

    Передающая организация должна убедиться, что у третьей стороны есть политика и процессы, включая обучение ее персонала и эффективные меры безопасности, чтобы обеспечить надлежащую защиту информации, находящейся на ее попечении, в любое время. Передающая организация также должна иметь право проверять, как третья сторона обрабатывает и хранит личную информацию, а также осуществлять право на аудит и проверку, когда это оправдано.

    Ответственность за нарушение законодательства по обработке персональных данных

    Возмещение убытков

    На федеральном уровне PIPEDA уполномочивает суды рассматривать заявления о компенсации убытков в связи с нарушением установленных законом обязательств.

    Административная ответственность. Согласно PIPEDA, непредставление надлежащего сообщения о нарушении мер безопасности может привести к штрафу в размере до 100 000 канадских долларов (около 69 830 евро) за каждый раз, когда человек подвергается нарушению.

    Штраф за нарушение требований законодательства о борьбе со спамом составляет до 1 000 000 канадских долларов (приблизительно 698 745 евро) в случае физического лица и 10 000 000 канадских долларов (приблизительно 6 987 380 евро) в случае организации, партнерства, корпорации или физического лица, действующего в определенных фидуциарных ролях.

    Уголовная ответственность. Уголовный кодекс Канады, RSC 1985 c C-46 предусматривает ответственность за взлом (мошенническое получение доступа к компьютерной системе), DDoSing (вмешательство в работу компьютерных систем), а также использование вредоносных программ или программ-вымогателей (умышленное уничтожение, вмешательство в использование или бесполезность компьютерная система или компьютерные данные).

    Правоохранительные органы. Правоохранительные органы и органы национальной безопасности по судебному решению получают доступ к личным данным. Канада является членом Альянса, состоящего из Австралии, Канады, Новой Зеландии, Соединенного Королевства и Соединенных Штатов. Эти страны-партнеры обмениваются друг с другом широким спектром разведданных.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению М.Г. Тепляковой на законодательство
    Канады

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.