Datenschutzrichtlinie

Einleitung

VERICO One Link Mortgage & Financial befolgt die zehn Richtlinien von Kanada’s neuer Datenschutzgesetzgebung des Persönlichen Informationsschutzes und die Elektronische Dokumentenverordnung wie nachfolgend aufgeführt:

4.1 Prinzip 1: Rechenschaftspflicht
Eine Organisation ist für die persönlichen Informationen, die in ihrer Kontrolle sind verantwortlich, und muss eine Person oder Personen bestimmen, die für die Befolgung der folgenden Prinzipien haften.
4.1.1
Die Haftung für die Befolgung der Prinzipien seitens der Organisation liegt bei der/den bestimmten Person(en), obwohl andere Personen innerhalb der Organisation für das Sammeln und die Verarbeitung der persönlichen Information verantwortlich sein können. Zusätzlich können andere Personen innerhalb der Organisation bevollmächtigt werden, im Namen der bestimmten Person(en) zu handeln.
4.1.2
Die Identität von der Organisation für die Überwachung der Befolgung dieser Prinzipien bestimmten Person(en) soll (en) auf Anfrage bekannt gemacht werden.
4.1.3
Eine Organisation ist für persönliche Informationen in ihrem Besitz und Gewahrsam, einschließlich Informationen, die einer dritten Partei zur Bearbeitung überlassen worden ist verantwortlich. Die Organisation soll vertragliche- oder andere Mittel benutzen, einen vergleichbaren Grad des Schutzes, während die Informationen von einer dritten Partei bearbeitet wird, zu bieten.
4.1.4
Organisationen sollen Richtlinien und Praktiken implementieren um die Prinzipien einzuhalten, einschließlich
(a) die Implementation von Prozeduren um persönliche Informationen zu schützen;
(b) Prozeduren einzuführen, Beschwerden und Anfragen entgegen zu nehmen und zu beantworten.
(c) Das Personal auszubilden und Informationen bezüglich der Richtlinien und Praktiken innerhalb der Organisation mitzuteilen; und
(d) Information auszuarbeiten, die Richtlinien und Praktiken der Organisation erklären.

4.2. Das Prinzip 2: den Zweck identifizieren
Der Zweck zu dem persönliche Information von der Organisation gesammelt wird, soll entweder vor dem Sammeln oder zu der Zeit des Sammelns der Information identifiziert werden.
4.2.1
Die Organisation soll den Grund aus dem die persönliche Information gesammelt wird, dokumentieren um dem Transparenzprinzip (Klausel 4.8) und dem individuellen Einsichtsprinzip (Klausel 4.9) zu genügen.
4.2.2
Den Zweck für sammelnde Informationen zur, oder vor der Zeit der Sammlung zu identifizieren erlaubt es den Organisationen die notwendigen Informationen für einen bestimmten Zweck zu ermitteln. Das begrenzte Sammlungsprinzip (Klausel 4.4) verlangt, dass die Organisation nur die Information für die identifizierten Zwecke verlangt.
4.2.3
Die identifizierten Zwecke sollen der Person von der die Information gesammelt wird, erklärt werden. Abhängig von der Methode mit der die Information gesammelt wird, kann dieses mündlich oder schriftlich geschehen. Ein Antragsformular kann zum Beispiel die Zwecke erklären.
4.2.4
Im Falle das gesammelte persönliche Informationen zu Anderen im Voraus nicht erwähnten Zwecken benutzt werden sollen, muss der neue Zweck vor dem Gebrauch klargestellt werden. Sollte der neue Zweck nicht gesetzlich verlangt sein, ist die Zustimmung der Person vor der Benutzung der Information zu dem Zweck einzuholen. Für eine Erklärung von Zustimmung, wenden Sie sich bitte an die Zustimmungsprinzipklausel (Klausel 4.3).
4.2.5
Personen die persönliche Informationen sammeln, müssen den betroffenen Personen den Zweck zu dem die Informationen gesammelt werden erklären können.
4.2.6
Dieses Prinzip ist eng mit dem begrenzten Sammlungsprinzip (Klausel 4.4.) und dem begrenzten Gebrauchs- Offenlegungs- und Einbehaltungsprinzip (Klausel 4.5.) verknüpft.

4.3 Das Prinzip 3: Zustimmung
Das Wissen und die Zustimmung der Person für die Sammlung- Benutzung, oder die Auskunft persönlicher Information, außer wenn es nicht angebracht oder erforderlich ist.

Anmerkung: Unter bestimmten Umständen dürfen persönliche Information ohne das Wissen oder die Zustimmung der Person gesammelt, benutzt oder weitergegeben werden. Zum Beispiel kann es aus rechtlichen, medizinischen oder Sicherheitsgründen unmöglich oder unpraktisch sein, die Einwilligung einzuholen. Wenn Information für die Aufdeckung eines Betruges oder einer Rechtsdurchsetzung notwendig ist, wäre es nicht sinnvoll, zuerst eine Erlaubnis einzuholen. Eine Erlaubniseinholung ist unmöglich oder unpraktisch, wenn es sich um eine minderjährige, schwerkranke oder geistesgestörte Person handelt. Außerdem ist es möglich, dass Organisationen die nicht in direkter Verbindung mit der Person stehen nicht immer in der Position sind, eine Zustimmung einzuholen. Zum Beispiel wäre es unpraktisch für eine Wohlfahrts- oder Direktmarketingorganisation die eine Adressenliste von einer anderen Organisation kaufen will, eine Erlaubnis einzuholen. In solchen Fällen muss die Organisation von der die Liste kommt, die entsprechende Erlaubnis einholen bevor persönliche Informationen weitergegeben werden.
4.3.1
Eine Erlaubnis ist für die Sammlung von persönlichen Informationen und der darauf folgenden Benutzung oder Weitergabe dieser Informationen erforderlich. Normalerweise wird eine Organisation vor der Benutzung oder Weitergabe und während des Sammelns die entsprechende Erlaubnis eingeholt. Unter bestimmten Umständen, kann die Erlaubnis für die Benutzung oder das Weiterreichen nach dem Sammeln der Information benutzt werden, erbeten werden (zum Beispiel wenn eine Organisation die Information für einen vorher nicht identifizierten Zweck braucht).
4.3.2
Dieses Prinzip verlangt Wissen und Einwilligung. Organisationen sollen eine angemessene Anstrengung machen, dass die Person über den Zweck der Information informiert wird. Um dieser Einwilligung Bedeutung zu verleihen, sollen die Verwendungszwecke in einer Form erklärt werden, dass die Person versteht, worum es geht.
4.3.3
Eine Organisation soll nicht als eine Kondition für die Lieferung eines Produktes oder einer Dienstleistung die Einwilligung einer Person für die Sammlung, Benutzung oder Weitergabe von Informationen die nicht für die spezifischen und rechtmäßigen Zwecke bestimmt sind verlangen.
4.3.4
Das von der Organisation verlangte Format der Einwilligung kann von den Umständen und der Art der Information abhängen. Bei der Entscheidung über die Form der Einwilligung, sollen die Organisationen die Sensitivität der Information berücksichtigen. Obwohl gewisse Informationen (zum Beispiel medizinische- und Einkommensinformationen) immer sensitiv sind, kann jede Information nach ihrem Kontext sensitiv sein. So werden die Abonnentennamen- und Adressen von Nachrichtenmagazinen normalerweise nicht als sensitiv betrachtet, obwohl es bei besonderen Magazinen durchaus der Fall sein kann.
4.3.5
Beim Einholen der Bewilligung sind die angemessenen Erwartungen der Person zu respektieren. Zum Beispiel sollte eine Person die ein Abonnement für ein Magazin kauft vernünftigerweise erwarten, dass die Organisation außer der Benutzung des Namens und der Adresse zum Zweck der Postzusendung und Rechnungstellung, sich auch mit der Person zum Zweck der Erneuerung des Abonnements in Verbindung setzen wird. In diesem Fall muss die Organisation annehmen, dass die Anfrage in sich die Bewilligung für spezifische Zwecke darstellt. Auf der anderen Seite würde eine Person nicht erwarten, dass persönliche Information für eine Person im Gesundheitswesen dann ohne Erlaubnis bei einer Firma die Produkte für das Gesundheitswesen verkauft auftaucht. Eine Bewilligung darf nicht durch Irreführung erlangt werden.
4.3.6
Je nach den Umständen und der Art der Information kann sich die Methode mit der eine Organisation eine Einwilligung sucht ändern. Eine Organisation sollte normalerweise eine ausdrückliche Einwilligung suchen, wenn es sich um sensitive Informationen handelt. Eine implizierte Einwilligung ist normalerweise bei weniger sensitiven Informationen angemessen. Eine Einwilligung kann auch durch einen bevollmächtigten Vertreter gegeben werden. (wie z. B. einem gesetzlichen Vertreter, oder einer Person mit einer Handlungsvollmacht).
4.3.7
Eine Einwilligung kann auf die verschiedenste Art und Weise erteilt werden. Zum Beispiel:
(a) ein Antragsformular kann für die Einwilligung, das Sammeln von Informationen und für die Information zu ihrem Zweck benutzt werden. Mit der Unterschrift willigt die Person zu der Sammlung und den spezifischen Anwendungen ein;
(b) ein Block zum Abhaken kann benutzt werden, der Person die Möglichkeit zu dem Ersuchen dass sein Name und Adresse nicht an andere Organisationen weiterzugeben sind. Es kann angenommen werden, dass Personen, die diese Fall nicht abhaken, dem Transfer ihrer Informationen an dritte Parteien zustimmen;
(c) eine Einwilligung kann mündlich gegeben werden wenn die Information über das Telefon gesammelt wird; oder
(d) zur Zeit wenn die Person das Produkt oder die Dienstleistung benutzt.
4.3.8
Eine Person kann seine/ihre Einwilligung zu jeder Zeit abhängig von vertraglichen Beschränkungen und einer angemessenen Benachrichtigung, widerrufen.

4.4 Prinzip 4: Begrenzte Sammlung
Das Sammeln persönlicher Information soll auf die von der Organisation identifizierten notwendigen Zwecke begrenzt sein. Informationen sollen mit fairen und rechtmäßigen Mitteln gesammelt werden.
4.4.1
Organisationen sollen persönliche Informationen nicht wahllos sammeln. Beides, die Anzahl und Art der gesammelten Information soll auf den identifizierten Zweck begrenzt sein. Organisationen sollen die Art der gesammelten Information als einen Teil der Information Gebrauchs- und Handhabungsregeln gemäß dem Transparenzprinzip protokollieren. (Klausel 4.8).
4.4.2
Die Auflage, dass Information mit fairen und rechtmäßigen Mitteln gesammelt werden muss, soll Organisationen davon abhalten, persönliche Informationen mit irreführenden oder betrügerischen Aussagen über ihren Zweck zu sammeln. Diese Auflage setzt voraus, dass die Einwilligung zum Sammeln der Information nicht durch Irreführung eingeholt wird.
4.4.3
Dieses Prinzip ist eng mit dem Zweckidentifizierungsprinzip (Klausel 4.2) und dem Einwilligungsprinzip (Klausel 4.3) verknüpft.

4.5 Prinzip 5: Begrenzte Benutzung, Veröffentlichung und Aufbewahrung
Persönliche Informationen sollen nicht für andere Zwecke, als diejenigen für die sie gesammelt wurden, außer mit der Einwilligung der Person oder wenn es gesetzlich vorgeschrieben ist, benutzt oder weitergegeben werden. Die Information soll nur solange aufbewahrt werden, wie es zu der Bearbeitung notwendig ist.
4.5.1
Organisationen welche Informationen für einen neuen Zweck benötigen, sollen diesen Zweck dokumentieren (auch Klausel 4.2.1).
4.5.2
Organisationen sollten Richtlinien und Prozeduren für die Handhabung und Aufbewahrung persönlicher Informationen entwickeln. Diese Richtlinien sollen minimale und maximale Zeitspannen der Aufbewahrung einschließen. Information für eine Entscheidung über eine Person, soll solange aufbewahrt werden, dass die Person bis zu dem Zeitpunkt nachdem die Entscheidung getroffen worden ist, Zugriff hat. Eine Organisation kann gesetzlichen Vorschriften über die Informationsaufbewahrung unterliegen.
4.5.3
Nicht notwendige persönliche Informationen sollen zerstört ausgelöscht oder anonym gemacht werden. Organisationen sollen Richtlinien und Prozeduren für die Zerstörung persönlicher Information einleiten.
4.5.4
Dieses Prinzip ist eng mit dem Einwilligungsprinzip (Klausel 4.3) und dem Zeckidentifizierungsprinzip (Klausel 4.2) sowie dem individuellen Zugriffsprinzip (Klausel 4.9) verknüpft.

4.6 Prinzip 6: Sorgfalt
Persönliche Informationen sollen so fehlerfrei, komplett und aktuell sein, wie es für den Anwendungszweck für den sie notwendigen gesammelten und benutzt werden sollen.
4.6.1
Das Ausmaß zu dem die persönliche Information akkurat, vollständig und aktuell sein soll kommt auf den Zweck an und ziehen die Interessen der Person in Betracht. Informationen müssen genügend, genau, vollständig und aktuell sein, um die Möglichkeit der Benutzung unangebrachter Informationen für eine Entscheidung über eine Person zu verhindern.
4.6.2
Eine Organisation soll Informationen nicht routinemäßig auf den neuesten Stand bringen, außer wenn es für die Ausführung des Vorhabens notwendig ist.
4.6.3
Persönliche Informationen die fortlaufend benutzt werden inklusive der Information die einer dritten Partei mitgeteilt wird, sollte generell genau und aktuell sein, außer wenn die Grenzen für die Auflage der Genauigkeit eindeutig festgesetzt sind.

4.7 Prinzip 7: Sicherheitsmaßnahmen
Persönliche Information soll durch der Sensitivität entsprechenden Sicherheitsmassnahmen geschützt sein.
4.7.1
Die Sicherheitsmassnahmen sollen die persönliche Information gegen Verlust oder Diebstahl sowohl wie unerlaubten Zugriff, Veröffentlichung, Kopieren, Benutzung oder Änderung beschützen. Organisationen sollen persönliche Informationen ohne Rücksicht auf das Format in dem sie gehalten werden schützen.
4.7.2
Die Art der Schutzmassnahmen wird im Verhältnis zu der Sensitivität der gesammelten Information, der Menge, Verteilung und der Aufbewahrungsmethode bestimmt. Prekärere Information muss mit einem höheren Grad der Sicherheitsmassnahmen geschützt werden. Das Konzept der Sensitivität ist in der Klausel 4.3.4 diskutiert.
4.7.3
Die Methoden des Schutzes sollen Folgendes einschließen:
(a) physische Maßregeln wie zum Beispiel verschlossene Aktenschränke und begrenzter Zutritt zu Büros;
(b) organisatorische Maßnahmen wie zum Beispiel Angestellten Sicherheitsdeklarierung und begrenzter Zutritt auf der Basis des Wissen m üssens,
(c) technische Maßnahmen wie zum Beispiel die Benutzung von Kennworten und Verschlüsselungen.
4.7.4
Die Organisation soll die Angestellten über die Wichtigkeit, persönliche Informationen vertraulich zu behandelnde informieren.
4.7.5
Die Zerstörung oder Beseitigung von persönlichen Informationen sollte mit Vorsicht geschehen, um unbefugte Parteien daran zu hindern, Zutritt zu der Information zu erlangen (siehe Klausel 4.5.3).

4.8 Prinzip 8 Transparenz
Eine Organisation muss über ihre Regeln und Prozeduren bezüglich des Managements persönlicher Informationen offen sein.
4.8.1
Personen sollten im Stande sein, ohne unangemessenen Aufwand Information über die Regeln und Prozeduren der Organisation Auskunft zu erhalten. Diese Information soll in einem generell verständlichen Format verfügbar sein.
4.8.2
Die zur Verfügung gestellte Information sollte Folgendes einschließen:
(a) den Namen, Titel und die Adresse der Person die für die Regeln und Maßnahmen der Organisation verantwortlich ist und an die Beschwerden oder Anfragen gerichtet werden können.
(b) die Methoden für den Zutritt zu den von der Organisation gehaltenen persönlichen Informationen;
(c) Beschreibung der Art der von der Organisation gehaltenen persönlichen Information inklusive einer Nutzungsbeschreibung;
(d) eine Kopie sämtlicher Broschüren, welche die Regeln, Prozeduren , den Standard und Code der Organisation beschreiben;
(e) Welche Informationen verwandten Organisationen zur Verfügung gestellt werden (z.B. Tochtergesellschaften)
4.8.3
Eine Organisation kann die Information über ihre Regeln und Prozeduren auf verschiedene Art zur Verfügung stellen. Die Methode hängt von der Art des Geschäftes und anderen Erwägungen ab. Zum Beispiel kann eine Organisation Broschüren zur Verfügung stellen, Informationen an die Kunden schicken, online Zutritt gewähren, oder eine gebührenfreie Telefonnummer für Anfragen benutzen.

4.9 Prinzip 9: Individueller Zutritt
Auf Grund eines Ersuchens soll eine Person über das Vorhandensein, die Benutzung und Weitergabe seiner oder ihrer persönlichen Information unterrichtet werden. Eine Person muss im Stande sein, die Genauigkeit und Vollständigkeit der Information anzufechten und sie, wenn es angebracht ist, ändern zu lassen.

Vermerk: In gewissen Situationen gibt es Ausnahmen in der Gewähr für den Zutritt sämtlicher persönlicher Informationen. Ausnahmen des Zutrittserfordernisses müssen begrenzt und spezifisch sein. Die Gründe Zutritt nicht zu gewähren muss der Person auf ihre Anfrage mitgeteilt werden. Ausnahmen können durch hohe Kosten bestimmt sein, Information einschließen, die auch Angaben über andere Personen enthält, Informationen die aus Rechtlichen- , Sicherheits- , oder Kommerziell geschützten Gründen, sowie Information die der Anwalt-Klient oder dem Rechtsstreitprivileg unterliegen.
4.9.1
Auf Anfrage muss die Organisation eine Person informieren, ob die Organisation persönliche Information der Person hält, oder nicht. Organisationen sind gehalten, den Ursprung dieser Information anzugeben. Die Organisation muss der Person Zutritt zu dieser Information gewähren. Die Organisation kann jedoch entscheiden, prekäre medizinische Information über einen Arzt zur Verfügung stellen. Außerdem muss die Organisation ein Protokoll über die vollendet oder noch zukünftige Benutzung dieser Information und eine Liste der dritten Parteien an diese Information weitergegeben wurde vorlegen.
4.9.2
Eine Person muss unter Umständen eine Beschreibung der Existenz, Benutzung, und Weiterreichung der persönlichen Information beibringen. Die gelieferte Information darf nur zu diesem Zweck benutzt werden.
4.9.3
Wenn die Organisation eine Rechtfertigung der Weiterreichung persönlicher Informationen einer Person an eine dritte Partei protokolliert, sollte sie versuchen, so spezifisch wie möglich sein. Wenn es nicht möglich ist, eine Liste dieser Organisationen denen sie Informationen über eine Person weitergeleitet hat beizubringen, so muss die Organisation eine Liste der Organisationen an die sie diese persönliche Information weitergeleitet haben könnte zur Verfügung stellen.
4.9.4
Eine Organisation muss auf die Anfrage einer Person innerhalb einer angemessenen Zeit antworten und das sollte kostenlos oder mit geringen Kosten verbunden sein. Die beantragte Information soll in normal verständiger Form zur Verfügung gestellt werden. Wenn die Organisation zum Beispiel Abkürzungen oder Codeworte zum Erfassen von Information benutzt, muss eine Erklärung beigefügt werden.
4.9.5
Wenn eine Person die Ungenauigkeit oder Unvollständigkeit persönlicher Information demonstriert, muss die Organisation die Information entsprechend ändern. Je nach der Art der angefochtenen Information bedeutet die Änderung eine Berichtigung, Löschung oder Ergänzung der Information. Wenn es angebracht ist, muss die geänderte Information an dritte Parteien die Zugang zu der betreffenden Information haben, weitergeleitet werden.
4.9.6
Im Falle dass eine Anfechtung nicht zu der Zufriedenheit der Person gelöst werden kann, muss der Inhalt der Anfechtung von der Organisation protokolliert werden. Wenn es angebracht ist, muss die ungelöste Anfechtung an dritte Parteien die Zutritt zu der Information haben, weitergeleitet werden. .

4.10 Prinzip 10: das Anfechten der Befolgung dieser Prinzipien
Eine Person hat das Recht eine Anfechtung hinsichtlich der Befolgung der obigen Prinzipien an die designierte, der für die Befolgung durch die Organisation verantwortlichen Person oder Personen zu richten.
4.10.1
Die verantwortliche Person für die Befolgung der Organisation ist in Klausel 4.1.1 bereits diskutiert.
4.10.2
Die Organisation muss Maßnahmen einrichten, Beanstandungen und Fragen über ihre Methoden und Richtlinien für die Bearbeitung persönlicher Informationen entgegenzunehmen und zu beantworten. Die Beanstandungsmaßnahmen müssen leicht zugänglich und in der Ausführung einfach sein.
4.10.3
Organisationen müssen Personen die Anfragen stellen oder Beanstandungen haben über die Existenz sachbezogener Beanstandungsmaßnahmen informieren. Die Anzahl dieser Maßnahmen kann variieren. Zum Beispiel akzeptieren einige der entsprechenden Regulierungsbehörden Beschwerden über die Bearbeitungsmethoden persönlicher Informationen der von ihnen regulierten Organisationen.
4.10.4
Eine Organisation muss jede Beschwerde ermitteln. Sollte sich eine Beschwerde als berechtigt herausstellen, muss die Organisation entsprechende Maßnahmen ergreifen und wenn nötig ihre Richtlinien und Maßnahmen ändern.