PIPEDA/CPPA 同意解决方案

我们已经帮助超过25,000个网站遵守GDPR，TTDSG和ePrivacy。

我们的客户包括一些最大的网站和世界上最知名的品牌。

…等等。

PIPEDA 背景下的 cookie 同意

同意在 PIPEDA 中收集个人数据

• 有关收集、使用和披露个人数据的信息必须以完整的形式提供。 为了更容易理解加拿大个人信息保护和电子文件法案 （PIPEDA） 中的 cookie 同意，应强调一些要素。
• 《个人数据保护和电子文件法》要求消费者通过 PIPEDA 中的 cookie 同意快速了解他们同意的内容的性质和目的。 为了使同意被视为有效和有意义，公司必须以全面且易于理解的方式提供有关其隐私规则和法规的信息。 反过来，这意味着组织必须以个人易于访问的形式提供有关其隐私规则和法规的信息。
• 不幸的是，现实表明，有关隐私政策的重要信息通常隐藏在条款和条件中。 那些几乎没有时间和精力来审查隐私信息的人不会从信息过载中获得任何实际好处。 为了获得有意义的同意，组织需要允许网站访问者快速直接地查看隐私政策的关键元素。 这一点很重要，例如，如果使用所提供的服务或产品需要购买或下载应用程序。
• 消费者和客户希望，即使 PIPEDA 中已获得 Cookie 同意，他们的个人数据也不会在他们不知情和同意的情况下与其他组织共享。 在加拿大 PIPEDA 中，当涉及到 cookie 同意时，也必须考虑到这一点。 因此，必须明确标识向第三方披露的内容。 应特别注意与第三方共享信息，第三方可能将信息用于自己的目的，而不仅仅是提供服务。
• 收集、使用或共享个人数据的目的是什么？ 必须告知客户和消费者收集和使用信息的所有目的。 他们需要能够理解他们被要求同意的内容。 这个目的应该用简单的语言来描述。 应避免使用模糊的目的和短语，例如“服务优化”。 对于提供服务至关重要的东西应该与不是服务的数据区分开来。 应清楚地解释所有可用的选项。

数据滥用和丢失的风险

• 损害和后果

  当公司或组织设计因收集、使用或披露个人信息而可能造成的损失的潜在场景时，《个人数据和电子文件保护法》要求负责任地将这种风险降至最低。 在某些情况下，主动缓解工作可以显著降低风险。 然而，在其他情况下，风险几乎保持不变。

• 必须始终告知消费者重大的剩余风险和重大损失。 就《个人数据和电子文件保护法》而言，重大风险是指发生概率极小的风险。 重大风险包括人身伤害、羞辱、声誉受损、失业、商业或职业机会以及经济损失。

• 身份盗窃和对信用评分的负面影响也是这些风险之一。 因此，应广泛界定损害风险。 除了直接发生的损害外，还应包括可能由恶意行为者或其他方造成的可预见损害。

• 为个人提供明确的机会说“是”或“否”。

• 在使用产品或服务之前，必须为消费者提供选择。 这种选择应该清楚地解释并易于访问。 每个选择最好地描述为“选择加入”还是“选择退出”取决于 PIPEDA 中 cookie 同意时指定的因素。

• 勇于创新与创新

  组织应在 PIPEDA 中设计和/或实施创新的 cookie 同意流程，这些流程可以及时实施，特定于上下文，并适合所使用的界面类型。

PIPEDA 中的 cookie 同意书

隐私政策的变更

PIPEDA 中以更改 cookie 同意的形式提供的知情同意是一个持续的过程，会随着情况的变化而变化;组织不应依赖于静态的时间点，而应将同意视为一个动态的交互式过程。

• 如果组织打算根据加拿大 GDPR 对其隐私规则和法规进行重大更改，则必须在更改生效之前通知用户并获得他们的同意。 内容变更包括将个人数据用于最初未商定的目的以外的目的，或出于提供服务所需的目的以外的目的向第三方披露个人数据。

• 数据保护提醒

  组织应考虑定期提醒个人加拿大GDPR下的隐私选项，并要求他们对其进行审查。 最后，作为最佳实践，组织应定期审查其信息管理规则和法规，以确保个人数据继续按照与个人的约定进行处理。

• 证明合规性

  根据要求，组织应该能够证明合规性，特别是从目标受众的一般角度来看，他们正在实施的同意流程的明确和明确的性质，以确保有效和有意义的同意。

• 为了获得明确同意并履行《加拿大隐私法》规定的义务，组织应能够：
  • 以完整形式提供隐私信息，并强调或提请注意四个关键要素：
    • 收集哪些个人数据？
    • 个人数据共享给谁？
    • 收集、使用或共享个人数据的目的是什么？
    • 损害和其他后果的风险是什么？
  • 同意形式 – 加拿大 PIPEDA 中的 Cookie 同意书。
  • 获得收集、使用或披露信息的明确同意。