Jesli Twoja firma obsluguje klientów w Kanadzie i Unii Europejskiej, prawdopodobnie podlegasz dwóm glównym ramom regulacyjnym dotyczacym ochrony danych: europejskiemu Ogólnemu Rozpoŗzadzeniu o Ochronie Danych (RODO) i kanadyjskiej ustawie o ochronie informacji osobistych i dokumentów elektronicznych (PIPEDA). Choc obie ustawy dziela wspólny cel ochrony informacji osobistych, róznia się znaczaco w podejsciu, zakresie i mechanizmach egzekwowania. Ten przewodnik porównuje oba ramy, aby pomóc Ci zbudowac spójna strategię zgodnosci.
Podstawy filozoficzne
RODO jest kompleksowym i nakazowym rozporzadzeniem stosowanym jednolicie w 27 panstwach czlonkowskich Unii Europejskiej. Opiera się na zasadzie, ze ochrona danych jest prawem podstawowym (art. 8 Karty Praw Podstawowych UE). Kazde przetwarzanie danych musi opierac się na jednej z szesciu podstaw prawnych wymienionych w art. 6.
PIPEDA jest ustawa oparta na zasadach, a nie na nakazowych regulach. Dziesięc zasad Zalacznika 1 tworzy elastyczne ramy interpretowane przez Komisarza ds. Prywatnosci Kanady (OPC) indywidualnie. To podejscie oferuje większa elastycznosc, ale tez mniejsza pewnosc prawna.
Ustawa 25 Quebecu, która zastępuje PIPEDA dla dzialalnosci wewnatrzprowincyjnej, przyjmuje bardziej nakazowe podejscie, zblizone do RODO. Szczególy w naszym przewodniku o Ustawie 25 Quebecu.
Zakres i zastosowalnosc
Kto jest chroniony
RODO: Kazda osoba fizyczna (osoba, której dane dotycza) znajdujaca się w Unii Europejskiej, niezaleznie od obywatelstwa lub miejsca zamieszkania.
PIPEDA: Kazda osoba, której informacje osobiste sa zbierane, uzywane lub ujawniane w ramach dzialalnosci komercyjnej w Kanadzie.
Jakie firmy musza się dostosowac
RODO: Kazda organizacja na swiecie, która przetwarza dane osobowe osób w UE, pod warunkiem ze oferuje towary lub uslugi mieszkancom UE lub monitoruje ich zachowanie (art. 3). Brak progu dochodowego, brak minimalnej ilosci danych. Sprawdz nasz artykul o kogo naprawdę dotyczy RODO.
PIPEDA: Organizacje sektora prywatnego zbierajace, uzywajace lub ujawniajace informacje osobiste w ramach dzialalnosci komercyjnej. Brak progu dochodowego, ale ustawa dotyczy wylacznie dzialalnosci komercyjnej.
Zgoda
Tu oba ramy róznia się najwyrazniej.
RODO: Zgoda jest jedna z szesciu mozliwych podstaw prawnych (art. 6). Inne podstawy — wykonanie umowy, obowiazek prawny, prawnie uzasadniony interes — pozwalaja na przetwarzanie danych bez zgody. Gdy stosowana jest zgoda, musi byc dobrowolna, konkretna, swiadoma i jednoznaczna (art. 7). Domyslna zgoda (wstępnie zaznaczone pola) jest niewazna.
PIPEDA: Zgoda jest glównym mechanizmem legitymizacji. PIPEDA uznaje zgodę wyrazna (opt-in) i zgodę domniemana, w zaleznosci od wrazliwosci informacji i rozsadnych oczekiwan osoby. Zgoda domniemana jest dopuszczalna dla uzytków niewrazliwych i rozsadnie przewidywalnych, co nie ma bezposredniego odpowiednika w RODO.
| Aspekt | RODO | PIPEDA |
|---|---|---|
| Zgoda wyrazna | Wymagana dla danych wrazliwych (art. 9) | Wymagana dla danych wrazliwych |
| Zgoda domniemana | Nieuznawana | Dopuszczalna dla uzytków niewrazliwych i przewidywalnych |
| Wstępnie zaznaczone pola | Niewazne (wyrok Planet49) | Ogólnie dopuszczalne dla zgody domniemanej |
| Alternatywne podstawy | 5 innych podstaw prawnych | Ograniczone wyjatki |
| Wycofanie | W kazdej chwili, równie latwo jak udzielenie | W kazdej chwili |
Prawa jednostek
Obie ustawy przyznaja prawa jednostkom, ale ze znaczacymi róznicami:
| Prawo | RODO | PIPEDA |
|---|---|---|
| Dostęp | Art. 15: kopia wszystkich danych | Zasada 9: dostęp i informacja |
| Sprostowanie | Art. 16 | Zasada 9 |
| Usunięcie | Art. 17: prawo do bycia zapomnianym | Brak wyraznego prawa do usunięcia |
| Przenoszalnosc | Art. 20: ustrukturyzowany format | Brak odpowiednika |
| Sprzeciw | Art. 21: prawo sprzeciwu | Brak bezposredniego odpowiednika |
| Ograniczenie | Art. 18 | Brak odpowiednika |
| Czas odpowiedzi | 1 miesiacz (przedluzalny do 3) | 30 dni (przedluzalny) |
RODO oferuje szerszy i bardziej szczególowy zakres praw.
Międzynarodowe transfery danych
RODO: Transfery danych osobowych poza EOG sa scisle regulowane przez Rozdzial V RODO. Wymagaja decyzji o adekwatnosci, standardowych klauzul umownych, wiazacych regul korporacyjnych lub innego zatwierdzonego mechanizmu. Kanada korzysta z częsciowej decyzji o adekwatnosci dla transferów objętych PIPEDA.
PIPEDA: Brak specyficznych ograniczen transferów międzynarodowych. Organizacja transferujaca dane pozostaje odpowiedzialna za ich ochronę zgodnie z dziesięcioma zasadami.
Zglaszanie naruszen
RODO: Powiadomienie organu nadzorczego w ciagu 72 godzin (art. 33). Powiadomienie osób, których dane dotycza, bez zbędnej zwloki przy wysokim ryzyku (art. 34).
PIPEDA: Powiadomienie OPC i osób, których dane dotycza, tak szybko jak to mozliwe, jesli naruszenie stwarza realne ryzyko powaznej szkody. Brak scislego terminu 72 godzin, ale powiadomienie musi byc szybkie. Obowiazkowy rejestr wszystkich naruszen przez 24 miesiace.
Sankcje i egzekwowanie
| Aspekt | RODO | PIPEDA |
|---|---|---|
| Maksymalna kara | 20 mln € lub 4% globalnego obrotu | 100 000 CAD (tylko naruszenia) |
| Organ egzekwujacy | Krajowe organy (UODO itd.) | OPC + Sad Federalny |
| Bezposrednia moc sankcyjna | Tak | Nie (oprócz naruszen) |
| Prawo do powództwa | Tak (art. 82) | Tak (przez Sad Federalny po decyzji OPC) |
RODO dysponuje nieporównywalnie potężniejszym arsenalem sankcji. Jednakze kanadyjski projekt ustawy C-27 przewiduje kary administracyjne do 10 milionów dolarów lub 3% globalnego obrotu.
Porównanie z ramami kalifornijskimi znajdziesz w naszym artykule CCPA vs GDPR.
Strategia zgodnosci dla firm w obu jurysdykcjach
Jesli Twoja firma obsluguje klientów w Kanadzie i UE, oto praktyczne podejscie:
1. Zacznij od RODO. Wymagania RODO sa ogólnie bardziej rygorystyczne. Solidna zgodnosc z RODO pokryje większosc obowiazków PIPEDA.
2. Dodaj elementy specyficzne dla PIPEDA. Udokumentuj zgodnosc z dziesięcioma zasadami i ustal procedury zgodne z terminami PIPEDA.
3. Zarzadzaj róznicami w zgodzie. Stosuj zgodę opt-in (RODO) dla odwiedzajacych europejskich i zarzadzaj zgoda domniemana wedlug kryteriów OPC dla odwiedzajacych kanadyjskich.
4. Przygotuj się na Ustawę 25. Jesli obsluguesz klientów z Quebecu, dostosuj się równiez do Ustawy 25. Sprawdz nasz kompletny przewodnik PIPEDA dla ram federalnych.
5. Dokumentuj wszystko. Prowadz rejestry przetwarzan (RODO art. 30), rejestr naruszen (PIPEDA i RODO) oraz slady wszystkich zadan i odpowiedzi.
Sprawdz zgodnosc w obu jurysdykcjach za pomoca naszego darmowego skanera zgodnosci.
Podsumowanie
RODO i PIPEDA dziela cel ochrony informacji osobistych, ale realizuja go wedlug róznych filozofii i mechanizmów. RODO jest nakazowe z rozleglymi prawami i odstraszajacymi sankcjami. PIPEDA opiera się na zasadach z bardziej elastycznym podejsciem, ale obecnie ograniczonymi sankcjami. Dla firm dzialajacych w obu jurysdykcjach najskuteczniejsza strategia polega na budowaniu na bazie RODO i uzupelnianiu specyficznymi wymaganiami PIPEDA. Brak dzialania nie jest opcja: ryzyka regulacyjne po obu stronach Atlantyku stale rosna.