Zákon o ochraně osobních údajů a elektronických dokumentech (PIPEDA) je kanadský zákon, který upravuje, jak kanadský soukromý sektor používá a zveřejňuje osobní údaje jako součást komerční činnosti. PIPEDA byla vytvořena v dubnu 2000, ale zákon vstoupil v platnost až 1. ledna 2004.
Podobně jako novější Obecné nařízení o ochraně osobních údajů (GDPR) z Evropské unie (EU) představuje kanadská PIPEDA nové zaměření na ochranu osobních údajů v digitální podobě. Na celém světě se mnozí stále více zajímají o to, aby bylo s jejich osobními údaji nakládáno eticky a řádně zabezpečeny. Stejně jako se GDPR zásadně zaměřuje na ochranu dat evropských občanů, PIPEDA se zaměřuje na ochranu soukromých osobních údajů Kanaďanů.
Deset principů PIPEDA
PIPEDA je široký zákon, který zahrnuje deset zásad ochrany osobních údajů „fair information“; ty jsou považovány za základní pravidla legislativy. Účelem těchto principů je poskytnout každému jednotlivci kontrolu nad tím, co se děje s jeho informacemi.
- Odpovědnost – tento princip definuje, že organizace je odpovědná za všechny osobní údaje, které má pod kontrolou
- Určení účelů – organizace musí před jejich shromažďováním prohlásit, proč jsou osobní údaje potřebné
- Souhlas – veškeré shromážděné osobní údaje musí být učiněny se smysluplným souhlasem jednotlivce
- Omezit sbírku – Musí být shromažďovány pouze údaje, které jsou nezbytné, a musí to být vždy spravedlivé a zákonné
- Omezit používání, zveřejňovat a uchovávat – tento princip prosazuje, že data lze použít pouze k původnímu zamýšlenému účelu a jakmile jsou data použita, musí být bezpečně zničena
- Přesnost – veškeré shromážděné údaje MUSÍ být přesné, úplné a co nejaktuálnější
- Ochrana – všechna shromážděná data musí být chráněna odpovídajícím zabezpečením, aby byla zachována integrita dat
- Otevřenost – organizace shromažďující údaje musí zveřejnit zásady a procesy prováděné během shromažďování údajů
- Individuální přístup – každý jednotlivec má právo na požádání nahlížet do evidovaných údajů a zpochybnit jejich přesnost
- Výzva k dodržování předpisů – Jednotlivec může napadnout dodržování kteréhokoli z těchto principů ze strany organizace
Všechny tyto principy platí, pokud jde o hostingovou infrastrukturu vyhovující PIPEDA; primárním bodem zájmu jsou však ochranná opatření PIPEDA, protože poskytovatel hostingu má nad těmito prvky přímou kontrolu
PIPEDA Hosting Safeguards
Zásada ochrany hostingu PIPEDA přímo nespecifikuje, jaké konkrétní bezpečnostní záruky musí být implementovány na hostitelské infrastruktuře; místo toho je odpovědnost uložena na poskytovatele hostingu, aby „zajišťoval, že adekvátně chrání osobní údaje, o které se stará, jak se technologie vyvíjejí a jak se objevují nová rizika.“
To znamená, že zásada záruk je pro poskytovatele hostingu jádrem, protože ochranné nástroje musí být již implementovány na hostingové infrastruktuře. Musí být vytvořena bezpečnostní politika, která bude zahrnovat ochranu všech digitálních záznamů a zabrání neoprávněné změně nebo použití, přístupu, replikaci, zveřejnění, ztrátě nebo krádeži.
Způsoby ochrany jsou kategorizovány podobným způsobem jako ty, které jsou uvedeny v bezpečnostním pravidle zákona o přenositelnosti a odpovědnosti zdravotního pojištění z roku 1996 (HIPAA). Zatímco HIPAA nařizuje potřebu technických, administrativních a fyzických zabezpečení, PIPEDA odkazuje na technické, organizační a fyzické požadavky na ochranu.
Technická ochranná opatření
Technická zabezpečení se zaměřují na několik klíčových oblastí. Šifrování je jedním z nejdůležitějších zabezpečení, protože chrání data v případě jejich ztráty nebo odcizení. Šifrování umožňuje přístup k datům pouze oprávněnému uživateli nebo systému se soukromým klíčem. Pokud klíč nemáte, data jsou zakódovaná a nelze je dešifrovat. Ujistěte se, že jste si vybrali poskytovatele hostingu, který proaktivně šifruje data v klidu.
Správa aktivity uživatele je další klíčovou ochranou; uživatelské účty musí být zabezpečeny složitými, víceznakovými hesly. Přístup k datům musí být řízen na základě zásady nejmenšího privilegia, což znamená, že máte přístup pouze k minimálnímu množství dat, které je nutné k dokončení daného úkolu. Musí být udržován seznam řízení přístupu (ACL), obvykle ve formě skupin zabezpečení Active Directory. Seznamy ACL udělí privilegovaný přístup pouze příslušnému uživateli v konkrétních časech nebo zeměpisných umístěních.
Podrobné protokolování by měla být povolena v celé organizaci. Protokolování by mělo správcům systému umožnit zkontrolovat, kdo, kdy a proč měl přístup k osobním údajům. Protokoly lze vkládat do platformy SIEM, která dokáže inteligentně sledovat uživatelské trendy v přístupu k datům. Upozornění mohou být vyvolány neočekávanými aktivitami, jako je například přístup k datům mimo pracovní dobu nebo osoba spojená s daty daného jednotlivce.
Podobně Systémy ochrany proti narušení (IPS) lze implementovat ve strategických bodech v rámci cloudové sítě pro práci s firewallem pomocí kontroly paketů, které firewall již přijal jako legitimní. IPS je umístěn přímo v síti a chrání před místními zranitelnostmi na hardwarové vrstvě
Síťové brány firewall jsou také velmi důležité. Jsou navrženy tak, aby vnitřně zabezpečovaly síťovou infrastrukturu a izolovaly a chránily systémy PIPEDA v rozsahu. Výsledkem je plně soukromé spravované prostředí. Hardwarové a softwarové brány firewall jsou strategicky instalovány po obvodu a vnitřních sítích. Web Application Firewall (WAF) by měl být zvážen, pokud organizace silně spoléhají na webové servery. WAF je zařízení definované zásadou, které chrání webové aplikace monitorováním a filtrováním provozu prostřednictvím Network Edge Protection
Klíčovým principem PIPEDA je zachování integrity osobních údajů, které byly shromážděny. Jedním z nejjednodušších způsobů, jak toho dosáhnout, je mít zálohovací řešení definované zabezpečením na místě. Pokud jsou data neúmyslně smazána, lze je okamžitě obnovit.
Ochrana organizace
Ochranné prvky organizace jsou obvykle vynucovány prostřednictvím správy souladu organizace, včetně postupů a procesů zavedených vedením k ochraně dat. Vzdělávací programy jsou základní součástí tohoto cíle. Školení pomáhá vytvářet kulturu povědomí o soukromí a může výrazně snížit riziko porušení pravidel PIPEDA. Školení se obvykle zaměřuje na rizika a trendy v oblasti kybernetické bezpečnosti, pravidla ochrany soukromí a pochopení sankcí, které by mohly být uvaleny na organizaci a jednotlivce v případě narušení dat.
Další interní doporučené postupy dodržovat, jsou jasná obrazovka a jasná pravidla pracovního stolu. Jasná obrazovka říká, že kdykoli vaši zaměstnanci opustí svůj stůl na delší dobu, měli by se odhlásit od svých počítačů a že kdykoli odejdou, byť jen na okamžik, měli by své počítače zamknout. Zásady čistého pracovního stolu nařizují zaměstnancům, aby ze svých stolů vyprázdnili jakýkoli materiál, včetně vyměnitelných médií, lepicích poznámek a vizitek spolu s poznámkami a dokumentací, kdykoli je nechají bez dozoru.
Všichni zaměstnanci musí mít bezpečnostní prověrku pokud práce zahrnuje zacházení s citlivými informacemi. Due diligence vyžaduje prověření pozadí předtím, než umožníte jakémukoli personálu přístup k systémům osobních údajů. Jakékoli zprávy o slídění zaměstnanců musí být plně prošetřeny, a pokud proaktivní opatření selžou, měla by být zvážena disciplinární opatření.
Fyzická ochranná opatření
Soulad s PIPEDA vyžaduje, aby hostitelské společnosti fyzicky chránily osobní údaje. Veřejnost by neměla mít možnost prohlížet žádná důvěrná data, takže přístup do citlivých míst, jako je hostitelské datové centrum, musí být omezen. Vyberte si poskytovatele hostingu, který bere zabezpečení datových center vážně. Datové centrum by mělo být ze své podstaty bezpečným komplexem, monitorovaným 24×7, často s bezpečnostním osobním a vzdáleným dohledem na místě. Uvnitř datového centra jsou místnosti zamčené a přístup je řízen oprávněným osobám pomocí klíčových karet.
Kanceláře, dveře a skříně by měly být zamčené. Bezpečnostní kamery a zásady fyzického přístupu jsou dalšími příklady „rozumných“ fyzických kontrol.
Aktualizace PIPEDA 2018
Od svého původního uzákonění PIPEDA nařizuje, že každá společnost působící v Kanadě musí zavést program ochrany údajů. Dne 1. listopadu 2018 byla aktualizována pravidla zabezpečení dat v rámci PIPEDA, která nařizují další due diligence a zvyšují přísnost pravidel.
Společnosti jsou nyní povinny kontrolovat a spravovat všechna data, která jsou v jejich systémech, a uplatňovat vhodná omezení přístupu k systémům, aby je přiměřeně chránily. Organizace, které zpracovávají údaje kanadských občanů, domácích i zahraničních, budou nyní muset provést následující nové úkoly:
- Rozešlete dotčeným uživatelům oznámení o jakémkoli porušení ochrany osobních údajů, které s sebou nese „skutečné riziko významné újmy jednotlivci“, například finanční ztrátu.
- Nahlaste jakékoli ohrožení soukromí Kanadskému úřadu pro ochranu osobních údajů
- Veřte záznamy o jakémkoli porušení ochrany osobních údajů
Směrnice pro cloud od Úřadu komisaře pro ochranu osobních údajů byly aktualizovány 14. prosince. Tyto pokyny jsou specifické pro cloud; dobře se však promítají do vztahů s jakýmkoli poskytovatelem hostingu. Často kladené otázky uvádějí, že PIPEDA „nezakazuje cloud computing, i když je poskytovatel cloudu v jiné zemi“. Pak můžete použít cloud – to je velmi jasné. Další parametry jsou následující:
- Ujistěte se, že od každé osoby získáte souhlas
- Chraňte všechna shromážděná data
- Ujistěte se, že shromažďujete osobní údaje pro vhodné účely
- Omezte shromažďování osobních údajů na vámi uvedené účely
- Zpřístupněte tyto účely svým uživatelům
- Sdělte uživatelům své postupy v oblasti ochrany osobních údajů
Pokyny PIPEDA specifické pro hosting a třetí strany
Podobně jako požadavek smlouvy s obchodními partnery (BAA) na soulad s HIPAA v rámci zdravotnického průmyslu v USA, PIPEDA nařizuje, že musíte nést odpovědnost za všechna data, kdykoli jsou přenesena na třetí stranu nebo s nimi bude nakládáno.
Pravidla nejsou tak přísná jako BAA HIPAA, která vyžaduje smlouvu. PIPEDA vyžaduje, aby každá organizace využívající třetí stranu zkontrolovala, zda je ochrana dat řádně zavedena prostřednictvím „smluvních nebo jiných prostředků“.
Každá organizace využívající poskytovatele cloudu nebo hostingové služby by si měla ověřit, že systém dodržuje požadavky PIPEDA – zejména věnovat pozornost smluvnímu jazyku, který řeší nakládání s osobními údaji.
Význam vztahů s poskytovateli pro trvalé dodržování PIPEDA
Když jsou parametry shody přísnější, organizace se stále častěji obracejí na IT partnery se specializovanými znalostmi při plnění těchto nových a specifických regulačních parametrů. Z tohoto důvodu a vzhledem k tomu, že cloud computing a další systémy třetích stran se staly v tomto odvětví tak běžné, je důležité, aby se organizace zajímaly o to, aby všichni poskytovatelé nakládající s jejich daty dodržovali stejné pokyny.
Pokud chcete splnit požadavky PIPEDA, poskytovatel třetí strany vám jistě může pomoci. Je však důležité zajistit, aby hostitel, kterého si vyberete, měl záznam v souladu a specializoval se na něj. V Atlantic.Net je náš compliance hosting certifikován a auditován nezávislými auditory třetích stran. Máme více než 25 let zkušeností v oboru; kontaktujte nás a zjistěte, jak vám můžeme pomoci.