이 기사에서는 캐나다 데이터 보호 규정 PIPEDA와 향후 CPPA 규정에 대한 모든 내용을 설명합니다. 다음 글 에서는 쿠키 및 동의에 대해 자세히 알아보겠습니다.
피페다(PIPEDA)란 무엇인가요?
PIPEDA 는 개인 정보 보호 및 전자 문서법(Personal Information Protection and Electronic Documents Act) 의 약어이며 새로운 캐나다 일반 데이터 보호 규정을 나타냅니다. 개정안은 캐나다의 이전 두 가지 데이터 보호법 인 소비자 개인정보 보호법 (CPPA) 과 개인정보 및 데이터 보호 재판소법(PIDPTA)을 GDPR과 동등한 포괄적인 규정으로 결합합니다. 유럽 일반 데이터 보호 규정 에 대한 언급은 PIPEDA의 여러 부분에서 볼 수 있으며, 이것이 바로 GDPR 캐나다라고 불리는 이유입니다.
GDPR과 유사하게 캐나다의 개인정보 보호법은 상업 활동의 일부로 수집 및 저장되는 개인 정보의 처리에 적용됩니다. 따라서 개인 정보 보호 및 전자 문서법 (PIPEDA)은 고정 판매 또는 원거리 판매를 통해 캐나다 소비자에게 서비스와 제품을 제공하려는 모든 회사에 중요 합니다. PIPEDA의 의미 내에서 상업적 활동은 상업적 기원 또는 상업적 의도를 가진 모든 거래 및 활동을 의미합니다.
PIPEDA는 연방 규제를 받고 캐나다 법률이 적용되는 회사 및 조직에 적용됩니다. 개인정보 보호 및 전자문서법은 주 에서 개인정보 보호 및 전자문서법( PIPEDA)과 실질적으로 유사한 자체 데이터 보호법을 제정하지 않는 한 각 주의 민간 부문에도 적용됩니다. 브리티시 컬럼비아, 앨버타, 퀘벡만 이 개인 정보 보호 및 전자 문서법( PIPEDA)과 대체로 유사한 데이터 보호법을 갖고 있습니다. 회사가 브리티시 컬럼비아, 앨버타 또는 퀘벡에 소재한 경우 해당 조직이 수집한 개인 정보의 상업적 사용이 해당 주의 경계를 넘어서는 한도 내에서 개인 정보 보호 및 전자 문서법이 적용됩니다.
개인정보보호 및 전자문서에 관한 법률 의 10가지 개인정보 보호 원칙 PIPEDA
PIPEDA를 준수해야 하는 회사는 적시에 캐나다 GDPR의 데이터 보호 원칙을 숙지해야 합니다. 10개 항목에는 캐나다 GDPR 에 따라 캐나다 소비자와의 상업 거래에서 조직이 따라야 하는 권리와 의무가 설명되어 있습니다.
- 책임
- 할당
- 동의
- 데이터 회피 및 데이터 경제
- 보관, 사용 및 처리
- 정확성
- 무결성 및 기밀성
- 투명도
- 정보를 제공할 권리
- 항소권
일반 데이터 보호 규정(GDPR)에 대해 잘 알고 있는 사람이라면 누구나 EU의 GDPR에서도 찾아볼 수 있는 PIPEDA의 10가지 원칙 개요에서 여러 측면을 인식할 것입니다. 그러나 특히 개인정보 수집에 대한 동의 여부에 있어서는 세부적으로 차이가 있습니다. 10가지 사항을 각각 간단히 살펴보겠습니다.
1. 책임
책임의 원칙은 특정 규모의 조직이 수집된 데이터 및 개인 데이터의 관리를 담당하는 사람을 임명 해야 함을 의미합니다. 이 사람을 GDPR에서는 데이터 보호 책임자라고 하며, 개인정보 보호 및 전자 문서법( PIPEDA)에서는 개인정보 보호 책임자 또는 최고 개인정보 보호 책임자(CPO) 라고 합니다. 소규모 회사에서는 개인 정보 보호 책임자가 시간제로 직무를 수행 할 수도 있습니다. 주요 임무는 PIPEDA에 따른 데이터 보호 요구 사항을 충족하는 절차를 개발, 구현 및 모니터링하는 것입니다. 또한 데이터 보호 책임자는 데이터 수집에 대한 불만 사항을 접수하고 대응 해야 합니다. 직원 교육과 개별 책임 영역과 관련된 데이터 보호 요구 사항에 대한 커뮤니케이션도 중요한 영역입니다. 소비자가 제3자의 데이터 처리에 동의한 경우 개인정보 보호 책임자는 제3자의 PIPEDA 요구 사항을 준수할 책임이 있습니다.
2. 할당
회사는 왜 고객의 개인 데이터를 저장하려고 합니까? 그 목적은 늦어도 데이터가 기록되는 시점에 소비자에게 명시되어야 합니다. 공개는 투명성을 제공할 뿐만 아니라 회사가 특정 액세스를 구현하는 것을 더 쉽게 만듭니다. PIPEDA에 따르면 데이터 수집 목적은 고객과 접촉하는 모든 직원에게 전달되어야 합니다. 예를 들어, 고객이 구매 시 결제 시 주소나 전화번호를 묻는 경우, 요청 시 데이터 정보의 사용에 대해 설명해야 합니다 . 고객으로부터 개인 정보를 수집하는 종이 및 온라인 양식에도 수집 목적을 명확하게 설명해야 합니다. 수집된 개인정보는 고객의 명시적인 동의 없이 새로운 목적으로 사용될 수 없습니다. 이를 요구하는 법적 요구 사항은 예외입니다.
3. 동의
회사는 고객의 인지 및 동의 없이 개인정보를 수집, 이용, 공개할 수 없습니다 . 고객 데이터 수집 의도가 명확하고 모호하지 않게 전달되어야 합니다. 개인 데이터를 양식으로 요청하는 경우 모호한 표현은 허용되지 않습니다. 데이터 정보 제공을 거부하더라도 불이익을 받지 않습니다. 따라서 기업은 제품이나 서비스와 관련되지 않은 데이터를 제공하기를 원하지 않는 소비자에게 제품과 서비스를 제공해야 합니다. 몇 가지 예외가 있습니다. 법적 또는 의학적 사유가 있는 경우 회사는 동의를 포기할 수 있습니다. 안전상의 이유는 특정 제품에도 적용될 수 있습니다. 또한 법 집행을 위해 정보를 수집하는 경우에는 더 이상 동의가 필요하지 않습니다. 미성년자, 중병 또는 정신적 장애가 있는 경우에도 동의가 면제될 수 있습니다. 그러나 권한을 위임받은 대리인이 동의할 수도 있습니다.
동의 유형과 관련하여 다음이 구분됩니다.
- 명백한
- 암묵적으로
- 선택 해제
온라인 등록과 같은 많은 경우 유럽 일반 데이터 보호 규정과 유사하며 여기서는 소비자의 명시적인 동의가 필요합니다. 일반적으로 옵트아웃은 제공되지 않습니다. 쿠키 동의 PIPEDA(GDPR의 쿠키 규정과 동일)의 경우 체크 표시나 버튼이 사전 할당될 수 없습니다. 원칙적으로 동의는 서면으로 이루어질 필요는 없으며, 구두 동의만으로 충분합니다. 예를 들어, 이해 당사자가 전화로 뉴스레터에 포함되는 것에 동의하는 것으로 충분합니다. 그러나 전화상으로 동의를 하면 회사가 증거를 제공하기 어려운 경우가 많습니다. 어떤 경우에는 소비자의 행동에서 직접 동의가 도출될 수도 있습니다.
소비자는 계약상, 법적 제한 및 기한을 제외하고 언제든지 동의를 철회할 수 있으며, 회사는 동의 철회에 따른 결과를 고객에게 알려야 합니다.
4. 데이터 회피와 데이터 경제
데이터 수집을 특정 목적에 필요한 데이터 양으로 제한하는 원칙은 유럽 GDPR에서도 중요한 역할을 하는 원칙입니다. 회사가 수집하는 개인 데이터는 비즈니스 관계의 맥락에서 조치에 필요한 정도로 제한되어야 합니다.
PIPEDA에서는 불필요한 개인 데이터의 수집 및 저장도 피해야 합니다. “공정하고 적법한 수단”이라는 문구 뒤에 숨겨진 공정하고 적법한 데이터 처리는 고객의 데이터 주권 과 투명한 프로세스의 필요성을 목표로 합니다. 특정 개인 데이터를 수집하는 목적이 사기나 모호한 진술로 인해 모호해져서는 안 됩니다.
5. 보관, 이용 및 처리
수집된 데이터는 고객에게 알려져 있고 고객이 동의한 범위 내에서만 사용할 수 있습니다. 개인정보의 공개 또는 기타 사용은 캐나다 일반 데이터 보호 규정(PIPEDA)에 의해 허용되지 않습니다. 보존 기간은 회사 요구 사항 및 기타 법적 규정에 따라 결정됩니다. 기업에 권장되는 최소 보존 기간은 1년입니다. 이 기간 동안 회사는 법적 요구 사항을 검토하고 준수할 수 있는 충분한 역량을 확보하게 됩니다. 최대 보유 기간은 회사가 정하여 공개해야 합니다.
데이터를 무제한으로 보관하는 것은 허용되지 않습니다. 요청 시 데이터가 영구적으로 삭제되는 시기를 소비자에게 알려야 합니다. 요청 시 데이터는 마감 기한에 따라 익명화되어 조기에 파기될 수 있습니다. 또한 조직은 데이터 처리에 대한 동의를 받은 사람과 그 범위를 공개할 수 있어야 합니다.
6. 정확성
정확성 원칙은 회사가 수집한 개인 데이터가 사용 목적에 맞게 정확하고 완전하며 최신 상태임을 보장합니다.
수집된 데이터는 소비자의 최선의 이익을 위해 사용되어야 한다는 점을 고려해야 합니다.
PIPEDA의 정확성 요구 사항은 회사와 고객 간의 관계에만 중요한 것이 아닙니다. 예를 들어, 조직이 채용 프로세스 전에 지원자 프로필을 확인하기 위해 개인 데이터를 수집하는 경우, 부정확하거나 불완전한 기록으로 인해 지원자에게 불이익이 발생하지 않도록 해야 합니다.
개인정보 업데이트
개인 데이터의 자동 및 정기적 업데이트는 일반적으로 허용되지 않습니다. PIPEDA의 이 정책은 제3자와 공유되는 정보에도 적용됩니다.
7. 무결성 및 기밀성
무결성 및 기밀성 원칙은 개인 데이터가 손실 이나 도난 , 무단 접근, 출판, 복사, 수정 또는 무단 사용으로부터 보호되어야 함 을 의미합니다. 이 원칙은 데이터가 저장되는 형식에 관계없이 적용됩니다.
적절한 보호 조치
노력은 회사의 규모에 따라 다릅니다. 온라인 뉴스레터용 고객 이메일 주소를 생성하는 소규모 기업은 이메일 주소를 스프레드시트에 저장할 수 있습니다. 테이블이 비밀번호로 보호되고 고도로 암호화된 경우 적절한 보호가 가능하다고 가정할 수 있습니다.
대규모 조직에서는 모든 데이터 최소화에도 불구하고 상당한 양의 민감한 개인 데이터를 관리하는 경우가 많습니다. 이러한 회사는 공격자의 표적이 되는 경우가 더 많기 때문에 여기서는 훨씬 더 강력한 보안 예방 조치를 취해야 합니다.
모든 보안 조치는 높은 수준의 무결성을 보장하기 위해 보호되는 개인 데이터에 대해 평균 이상의 보호를 제공해야 합니다.
개인정보의 파기
개인 데이터를 폐기하거나 파기해야 하는 경우 인간의 재량에 따라 데이터 파기에 대한 높은 기술 표준을 적용하여 복구를 배제해야 합니다. 이는 종이 문서의 물리적 파기 및 저장 모듈에 있는 데이터 파기 모두에 적용됩니다.
8. 투명성
회사는 개인정보 처리 방법에 대한 정책과 절차를 쉽게 확인할 수 있도록 마련해야 합니다. 따라서 고객은 복잡한 우회 과정 없이 이 정보에 액세스할 수 있어야 합니다. 데이터 보호에 관한 소비자 문의 에 대한 응답은 합리적인 기간 내에 가능한 한 직접적으로 답변되어야 합니다 . 제공된 정보는 일반적으로 이해할 수 있는 방식으로 작성되어야 합니다. 법적 용어는 피해야 합니다.
PIPEDA의 요구사항
PIPEDA에 따르면 조직은 요청 시 다음 데이터를 제공해야 합니다.
- 조직의 정책 및 관행을 책임지고 불만 사항이나 문의 사항이 전달될 수 있는 사람의 이름 또는 직위 및 주소.
- 개인 데이터에 접근하는 방법
- 사용 설명을 포함하여 수집된 개인 데이터의 유형입니다.
- 회사 조직 정책 및 표준을 설명하는 서면 정보
9. 정보에 대한 권리
회사는 요청이 있을 경우, 저장된 개인정보와 인증 후 이용방법에 대한 정보를 개인에게 제공해야 합니다. 고객이 개인정보의 정확성이나 완전성에 의문이 있는 경우, 기록된 데이터의 변경을 주장할 수 있습니다. 이는 데이터 수정 , 삭제 또는 추가를 의미할 수 있습니다.
예외
개인정보에 관한 정보는 다양한 이유로 거부될 수 있습니다. 해당 정보가 변호사-의뢰인 특권의 대상이거나 기밀 사업 정보가 공개되는 경우가 이에 해당합니다.
인증 요구 사항
개인 데이터에 대한 접근 권한을 부여하기 전에 회사는 올바른 사람과 통신하고 있는지 확인해야 합니다.
일부 조직에서는 정부 발급 신분증을 요청하여 이를 수행합니다. 필요한 경우 , 본명이나 저장된 비밀번호 등의 다른 정보와 결합하여 계정 정보를 기반으로 한 확인 도 가능합니다. 그러나 엄격한 인증 요건이 정보권에 장애가 되어서는 안 됩니다.
정보 – 시간과 비용
정보 요청은 합리적인 시간 내에 개인이 부담하는 비용을 최소화하거나 무료로 응답해야 합니다. 요청은 접수 후 30일 이내에 답변되어야 합니다. 회사가 예외적으로 정보 제공에 더 많은 시간이 필요한 경우, 해당 개인에게 임시 결정을 보내고 지연에 대한 타당한 이유를 제공해야 합니다.
10. 불만을 제기할 권리
PIPEDA에 기반한 불만 사항에 대한 권리를 통해 고객과 소비자는 캐나다 GDPR 조항을 위반한 경우 회사에 대해 표적 조치를 취할 수 있습니다.
회사는 불만사항 및 문의사항을 접수하고 대응하기 위한 절차를 제공해야 합니다. 이러한 절차는 간단하고 사용하기 쉬워야 합니다. 또한 캐나다 GDPR에 따르면 기업은 불만 사항이 정당하다고 생각하지 않는 것처럼 보이 더라도 불만 사항을 조사하고 조사 해야 합니다. 불만사항이 타당한 것으로 판명되면 이를 해결하기 위한 적절한 조치를 취해야 합니다. 회사의 데이터 보호 담당자는 불만 사항을 접수하고 절차를 개시할 책임이 있습니다.
