Politique de sécurité
Introduction
À compter du 1er janvier 2004, le Groupe PBAS doit se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques («LPRPDE»). Une copie de la LPRPDE est disponible à www.privcom.gc.ca.
Nous avons toujours reconnu et respecté la vie privée et la confidentialité des informations personnelles que nous collectons dans le cadre de nos activités professionnelles quotidiennes. Comme autre engagement, nous avons créé ce code de confidentialité, qui est une incarnation de notre adhésion aux principes énoncés dans la LPRPDE et s’applique à toutes nos opérations.
Modifications apportées à ce code de confidentialité
Afin de garantir la mise à jour de ce code de confidentialité, nous nous réservons le droit de le modifier de temps à autre. Toute modification prendra effet trente (30) jours après que le Groupe PBAS vous en ait averti. Les avis de modification du code de confidentialité peuvent être diffusés via des bulletins, des déclarations, des bulletins d'information et / ou publiés sur notre site Web.
Définition des termes utilisés dans ce code de confidentialité
Le Groupe PBAS
“Le Groupe PBAS” est le nom du style de fonctionnement de Benchmark Decisions Ltd., Prudent Benefits Administration Services Inc. et, Student Benefits Administrators Inc.
Informations personnelles
Informations sur une personne identifiable, mais n'incluent pas le nom, le titre, l'adresse professionnelle ou le numéro de téléphone professionnel d'un employé d'une organisation.
Chef de la protection de la vie privée
La personne du groupe PBAS chargée de veiller à ce que les pratiques de gestion soient mises en œuvre pour garantir la conformité globale avec la loi.
Les dix principes de la vie privée
Les dix principes suivants de la vie privée sont interdépendants et reposent sur des pratiques d’information équitables. Ils visent à reconnaître le droit à la vie privée des individus tout en conciliant la nécessité pour une organisation de collecter, d'utiliser ou de divulguer des informations personnelles à des fins professionnelles légitimes.
Responsabilité
Le Groupe PBAS est responsable de toutes les informations personnelles en notre possession ou sous notre contrôle, y compris les informations personnelles transférées à des tiers. Nous avons établi des politiques et des procédures pour nous conformer à ce code de confidentialité, et nous avons désigné Wayne Murphy, CEBS, à titre de chef de la protection des renseignements personnels. Tout le personnel est tenu de signer un accord de confidentialité comme condition de son emploi. En plus des audits réguliers et des autres procédures de conformité, le Groupe PBAS reste pertinent en assistant à diverses conférences et symposiums éducatifs relatifs à la législation sur la protection de la vie privée afin de s’assurer que nous suivons les normes établies par la loi.
Identifier les objectifs de la collecte d'informations personnelles
Nous informerons les individus de la raison pour laquelle les informations personnelles seront utilisées avant ou lorsque nous consentirons à leur collecte. Les personnes adhérant à un régime d'avantages sociaux devront remplir notre formulaire d'inscription révisé qui indiquera les raisons pour lesquelles des informations personnelles sont collectées. Si nous identifions d'autres fins pour lesquelles les informations personnelles peuvent être utilisées, nous demanderons le consentement de la personne avant de commencer ces utilisations. Nous vous expliquerons que le droit de l’individu de nous refuser l’autorisation d’utiliser des informations personnelles à d’autres fins. Les particuliers peuvent demander des informations sur les objectifs pour lesquels le Groupe PBAS collecte des informations personnelles lorsqu'ils contactent notre bureau. Nos administrateurs sont en mesure de répondre à la plupart des demandes de renseignements sur la collecte de renseignements personnels. À moins que des fins supplémentaires ne soient identifiées à un individu avant ou au moment de la collecte, le Groupe PBAS collectera des informations personnelles uniquement aux fins suivantes:
calculer un avantage;
satisfaire aux exigences de déclaration des gouvernements provincial et fédéral;
payer des impôts et se conformer au droit civil et pénal;
déterminer les coûts d'exploitation futurs;
permettre les vérifications du plan; et, le cas échéant,
transférer des données vers un nouveau plan de remplacement.
Un numéro d'assurance sociale est recueilli parce que la Loi de l'impôt sur le revenu l'exige pour la déclaration de revenus du particulier.
Les informations personnelles sont utilisées pour établir le droit d’un individu à bénéficier d’une prestation et protéger l’individu et le groupe PBAS contre les erreurs et les fraudes.
Obtenir le consentement
Le consentement est obtenu de la personne dont les informations personnelles sont collectées, utilisées ou divulguées. Ceci est généralement acquis par la complétion du formulaire d'inscription. Une personne peut donner son consentement à la collecte, à l'utilisation et à la divulgation des informations personnelles les concernant expressément ou par l'intermédiaire d'un représentant autorisé. Ce dernier nécessiterait une autorisation écrite de la part de l'individu pour divulguer les informations personnelles. Pour une personne mineure, gravement malade ou handicapée mentale, le consentement peut être obtenu auprès d'un tuteur légal ou d'une personne disposant d'une procuration. Le Groupe PBAS peut collecter, utiliser ou divulguer des informations personnelles sans le consentement d'une personne s'il est clairement dans l'intérêt de l'individu de le faire et que le consentement ne peut être obtenu en temps utile (par exemple, une personne gravement malade). circonstances limitées autorisées par la loi. Sous réserve de certaines restrictions légales ou contractuelles et d'un préavis raisonnable, une personne peut retirer son consentement à tout moment. Le groupe PBAS informera les individus des conséquences du refus ou du retrait du consentement lorsque des individus cherchent à le faire. Le refus ou le retrait du consentement peut précipiter la destruction des informations personnelles d’un individu et, par conséquent, rendre la participation permanente impossible.
Limites pour la collecte d'informations personnelles
Le groupe PBAS limitera la quantité et le type d'informations personnelles que nous collectons. Nous collecterons des informations personnelles uniquement aux fins identifiées ou de toute autre manière autorisée par la loi et ne collecterons les informations sur une personne que principalement auprès de l'individu ou de sources externes si des personnes ont consenti à une telle collecte.
Limites d'utilisation, de divulgation et de conservation des informations personnelles
Nous utiliserons ou divulguerons des informations personnelles uniquement pour les raisons pour lesquelles elles ont été collectées, à moins qu'une personne nous donne son consentement pour les utiliser ou les divulguer pour une autre raison. Dans certaines circonstances, le Groupe PBAS peut être légalement tenu de divulguer des informations personnelles sans consentement. Au sein du groupe PBAS, l’accès aux informations personnelles est et continuera d’être limité aux seules personnes qui en ont besoin. La majorité des informations personnelles que nous recevons sont transmises par voie électronique, avec des limitations d'accès liées aux activités spécifiques de chaque membre de notre personnel. Les informations imprimées sont soit détruites après leur transfert sous forme électronique, soit conservées dans des fichiers verrouillés auxquels seuls les membres du personnel autorisés ont accès. Il existe un nombre limité d'instances dans lesquelles les informations personnelles sont divulguées à des tiers. Le plus répandu, parmi ceux-ci, concerne les médecins concernés par le processus d’adjudication des demandes. Ils sont liés par leurs normes professionnelles. Sinon, il peut exister des tiers qui impriment et distribuent des relevés sur les droits accumulés sur les avantages / couvertures ou des tiers qui déterminent les réserves obligatoires et autres coûts projetés, des avocats chargés des règlements Dans le prolongement de notre politique d’exploitation actuelle, les renseignements personnels d’un participant ne sont pas communiqués au promoteur du régime ni à un syndicat représentatif sans le consentement spécifique du membre. Dans chacun de ces cas, nous avons besoin d'un accord de confidentialité et de confidentialité. En répondant à une demande verbale de renseignements personnels, un individu sera invité à fournir les informations suivantes:
nom complet;
date de naissance
numéro d'assurance sociale / numéro d'identification personnel; et,
lieu d'embauche
À l’exception de la révocation du consentement d’un membre (pour détenir et utiliser des informations personnelles), il existe des exigences à long terme pour la conservation des informations personnelles. Nous conserverons les informations personnelles aussi longtemps que nécessaire pour les fins identifiées. En règle générale, les dossiers de pension doivent être conservés indéfiniment, tandis que d’autres dossiers doivent être conservés pendant au moins sept ans après la cessation du régime. Dans ce dernier cas, les fichiers sont purgés, périodiquement et détruits. La destruction électronique est effectuée par le personnel informatique du groupe PBAS. Les dossiers sur papier sont déchiquetés, sur place, par des entrepreneurs réputés, qui certifient que chaque travail est terminé.
Garder des informations personnelles précises
Nous garderons les informations personnelles en notre possession ou sous notre contrôle, exactes, complètes, actuelles et pertinentes, sur la base des informations les plus récentes dont nous disposons. Les individus peuvent contester l'exactitude et l'exhaustivité des informations personnelles les concernant et les modifier comme il convient. Nous comptons sur les individus pour garder certaines informations personnelles les concernant exactes, complètes et à jour.
Si une personne démontre que les informations personnelles sont inexactes, incomplètes, obsolètes ou non pertinentes, le Groupe PBAS révisera ou supprimera les informations personnelles et divulguera les informations personnelles révisées à des tiers auxquels nous avons divulgué des informations erronées ou obsolètes. afin de leur permettre de réviser leurs dossiers. Si des informations restent en litige, elles seront dûment notées dans le dossier individuel
Protection des informations personnelles
Le groupe PBAS protège les informations personnelles avec des garanties adaptées à la sensibilité des informations.
À quelques exceptions près où les fichiers papier sont conservés, les informations personnelles détenues par le Groupe PBAS sont stockées sur des serveurs sécurisés. Les installations sont protégées par cryptage, pare-feu, programmes antivirus et détection d’intrusion physique régulièrement mis à jour. Les mots de passe et numéros d'identification personnels sont d'autres mesures prises pour protéger les informations personnelles.
Les tests de récupération après sinistre sont effectués chaque année sur un site de reprise après sinistre distant. Dans le cadre de ce test, tous les systèmes serveur sont récupérés et vérifiés. La protection de la vie privée est décrite dans un accord contractuel que nous concluons chaque année avec la société qui effectue les tests de reprise après sinistre.
L'admission physique à notre service informatique a toujours été contrôlée par des verrous et des codes d'accès sélectionnés. Seul un nombre limité de membres du personnel peut pénétrer dans ces locaux sans surveillance étroite.
Mise à disposition d'informations sur les politiques et procédures
Le groupe PBAS sera ouvert sur les procédures de gestion des informations personnelles. Les individus auront accès aux informations sur ces procédures par le biais de ce code de confidentialité ou en contactant le responsable de la confidentialité. Si une personne souhaite déposer une plainte, elle peut le faire en communiquant avec notre chef de la protection des renseignements personnels. Une copie électronique de ce code de confidentialité sera disponible sur notre site Web à l'adresse www.pbas.ca ou des copies peuvent être obtenues en écrivant au responsable de la protection de la vie privée à l'adresse suivante: 61 International Blvd. Suite 110, Toronto, Ontario M9W 6K4.
Accès à des informations personnelles
Lorsqu'une personne en fait la demande, le Groupe PBAS informera l'individu des informations personnelles que nous avons en notre possession ou sous notre contrôle sur la personne, à quoi elle est destinée et à qui elle a été divulguée. Dans certaines situations exceptionnelles, le Groupe PBAS peut ne pas être en mesure de donner aux individus l’accès à toutes les informations personnelles les concernant. Nous répondrons à la demande le plus rapidement possible et au plus tard trente (30) jours après la réception de la demande. Ce délai peut être prolongé pour un maximum de trente (30) jours supplémentaires si, par exemple, un délai supplémentaire est requis pour mener des consultations. Si cela se produisait, nous en informerions la personne par écrit. Dans le cas improbable où le Groupe PBAS détermine qu’il pourrait y avoir un coût pour la personne qui accorde cet accès, nous informerons le particulier des coûts autorisés par la loi avant d’accorder cet accès. Toutes les demandes de renseignements personnels doivent être adressées par écrit au chef de la protection des renseignements personnels.
Traitement des plaintes et des questions
Les plaintes et les demandes de renseignements doivent être adressées à notre chef de la protection des renseignements personnels.
Les individus peuvent contester la conformité du Groupe PBAS avec ce code de confidentialité. Toutes les plaintes seront examinées. Si une plainte est jugée fondée, nous tenterons de la résoudre. Si nécessaire, nous modifierons nos politiques et procédures pour nous assurer que d'autres personnes ne rencontreront pas le même problème. Si des personnes ne sont pas satisfaites de la manière dont nous avons répondu à leur plainte, elles peuvent déposer une plainte écrite auprès de:
Office of the Privacy Commissioner of Canada
30 Victoria Street
Gatineau, Quebec
K1A 1H3