Personal Information Protection and Electronic Documents Act (PIPEDA) ar Kanadas federala integritetslag som reglerar insamling, anvandning och utlamning av personuppgifter inom ramen for kommersiell verksamhet. I kraft sedan 2000 galler PIPEDA for organisationer i den privata sektorn som bedriver kommersiell verksamhet i Kanada, med undantag for provinser som har antagit vasentligen likvardiga lagar (Quebec, Alberta och British Columbia for inomprovinsell verksamhet). Nar Office of the Privacy Commissioner of Canada (OPC) forstarker tillsynen och lagstiftningslandskapet utvecklas, ar det vasentligt for alla foretag som verkar pa den kanadensiska marknaden att forsta sina skyldigheter enligt PIPEDA. For svenska foretag som lyder under GDPR ar kunskap om PIPEDA sarskilt relevant vid verksamhet pa eller expansion till den kanadensiska marknaden.
De 10 principerna for rattvis informationshantering
PIPEDA bygger pa tio principer for rattvis informationshantering som faststalls i Bilaga 1 till lagen. Dessa principer utgor grunden for alla efterlevnadsinsatser.
1. Ansvarsskyldighet. Din organisation ar ansvarig for de personuppgifter den innehar. Du maste utse en person eller ett team som ansvarar for PIPEDA-efterlevnad. Detta ansvar stacker sig till information som overfors till tredje part for behandling.
2. Andamalsbegransning. Andamalen for vilka personuppgifter samlas in maste identifieras fore eller vid tidpunkten for insamlingen. Data far inte samlas in spekulativt: varje insamling maste ha ett dokumenterat, specifikt andamal.
3. Samtycke. Insamling, anvandning eller utlamning av personuppgifter kraver den registrerades vetskap och samtycke, utom i specifika omstandigheter som definieras i lag. Samtycket maste vara meningsfullt, informerat och lampligt i forhallande till informationens kanslighet. For kansliga uppgifter (halsodata, finansiella data, biometriska data) kravs uttryckligt samtycke.
4. Begransning av insamling. Insamlingen av personuppgifter maste begransas till vad som ar nodvandigt for de identifierade andamalen. Att samla in overdriven data i forhallande till faktiska behov bryter mot denna princip.
5. Begransning av anvandning, utlamning och lagring. Personuppgifter far endast anvandas eller lamnas ut for de andamal for vilka de samlades in, om inte ytterligare samtycke erhalls eller en rattslig forpliktelse galler. Data ska bara lagras sa lange som nodvandigt och darefter sakert forstoras.
6. Noggrannhet. Personuppgifter maste vara sa korrekta, fullstandiga och aktuella som kravs for de andamal de anvands till. Att anvanda felaktiga uppgifter for beslut som paverkar en individ bryter mot denna princip.
7. Sakerhetsatgarder. Du maste skydda personuppgifter med sakerhetsatgarder som star i proportion till deras kanslighet: kryptering, atkomstkontroller, loggning, sakerhetskopiering och dokumenterade sakerhetspolicyer.
8. Oppenhet. Dina policyer och rutiner for hantering av personuppgifter maste vara latt tillgangliga och begripliga. Din integritetspolicy ar det primara instrumentet for denna transparens.
9. Individuell atkomst. Pa begaran maste du informera varje individ om forevkomsten av personuppgifter om honom eller henne, hur de anvands och till vem de har lamnats ut. Du maste ocksa ge atkomst och mojliggora korrigering av felaktigheter.
10. Ifraga sattande av efterlevnad. Varje individ maste kunna ifragasatta en organisations efterlevnad av dessa tio principer genom att kontakta organisationens integritetsansvarige.
Vem maste folja PIPEDA
PIPEDA galler for alla organisationer i den privata sektorn som samlar in, anvander eller lamnar ut personuppgifter inom ramen for kommersiell verksamhet. I praktiken omfattar detta:
- Foretag som verkar i provinser utan vasentligen likvardiga lagar (alla utom Quebec, Alberta och British Columbia for inomprovinsell verksamhet)
- Alla foretag for mellanprovinsell och internationell verksamhet, aven i provinser med egna lagar
- Federalt reglerade foretag (banker, telekommunikation, mellanprovinsiell transport) overallt i Kanada
Anmarkningsvart undantag: Quebec. Sedan ikrafttradandet av Lag 25 (Lag om modernisering av lagbestammelser om skydd av personuppgifter) har Quebec ett eget heltackande integritetsramverk. For foretag som huvudsakligen verkar i Quebec ersatter Lag 25 PIPEDA for inomprovinsell verksamhet.
Jamforelse med det svenska ramverket
For svenska foretag ar det vardefullt att jamfora PIPEDA med det nationella ramverket. GDPR, som tillampas i Sverige och overvakas av IMY (Integritetsskyddsmyndigheten), ar avsevert mer foreskrivande an PIPEDA. Medan IMY kan utfarda sanktionsavgifter pa upp till 20 miljoner euro eller 4 % av den globala arsomsattningen, ar de direkta sanktionerna under PIPEDA begransade till 100 000 CAD for overtraddelser av rapporteringsskyldigheten vid dataintrang. Det kanadensiska lagforslaget C-27 syftar dock till att minska denna skillnad genom att infora sanktioner pa upp till 10 miljoner CAD eller 3 % av de globala bruttointakterna.
Samtycke under PIPEDA
Samtycke ar PIPEDA:s hornsten. OPC har publicerat detaljerade riktlinjer om vad som utgor giltigt samtycke:
Uttryckligt vs underforstaett samtycke. Uttryckligt samtycke (opt-in) kravs for kansliga uppgifter och for anvandningar som inte rimligen forvantas av individen. Underforstaett samtycke kan vara godtagbart for uppenbara, icke-kansliga anvandningar, som att anvanda en leveransadress for att leverera en bestallning.
Giltighetskriterier. OPC kraver att samtycke ska vara:
- Informerat: individen maste forsta vad han eller hon samtycker till
- Frivilligt: inget otillborligt tryck eller missbrukliga villkor
- Specifikt: samtycket tacker bestamda andamal, inte en generell fullmakt
- Aterkallbart: individen kan aterkkalla samtycket nar som helst
Undantag fran samtycke. PIPEDA foreskriver undantag dar samtycke inte kravs: eftertlevnad av en stamning eller kallelse, nodfall som hotar livet, journalistiska, konsnarliga eller littarara andamal, och viss tredjepartsinsamling for att utreda avtalsbrott.
Skyldigheter for integritetspolicyn
Under PIPEDA maste din integritetspolicy vara tillganglig, tydlig och heltackande. Den maste innehalla:
- Din organisations identitet och kontaktuppgifter till din integritetsansvarige
- Typerna av personuppgifter du samlar in
- Andamalen med insamling, anvandning och utlamning
- Tredje parter med vilka du delar information och varfor
- De sakerhetsatgarder du har vidtagit
- Individuella rattigheter (atkomst, korrigering, klagomal)
- Forfarandena for att utova dessa rattigheter
- Lagringstiderna for personuppgifter
Obligatorisk rapportering av dataintrang
Sedan november 2018 kraver PIPEDA obligatorisk rapportering av brott mot sakerhetsatgarder (avsnitt 10.1 till 10.3 i lagen). Nar ett intrang skapar en verklig risk for betydande skada for individer maste du:
1. Meddela OPC. Rapporten maste beskriva intrangets art, de paverkade uppgifterna, antalet beorda individer, de vidtagna atgarderna och de planerade atgarderna for att minska skaderisken.
2. Meddela paverkade individer. Meddelandet maste vara direkt (e-post, brev, telefonsamtal) och innehalla en beskrivning av intranget, de beorda uppgifterna, de atgarder individen kan vidta for att skydda sig och kontaktuppgifter till en person i din organisation.
3. Meddela tredjepartsorganisationer. Om en annan organisation kan minska skaderisken (till exempel ett finansinstitut vid lackta bankuppgifter) maste du ocksa meddela dem.
4. Fora register. Alla intrang maste registreras, aven de som inte utgor en verklig risk for betydande skada. OPC kan begara detta register nar som helst.
Underlatenhet att uppfylla dessa skyldigheter ar ett brott som kan bestraffas med boter pa upp till 100 000 CAD.
OPC:s befogenheter och konsekvenser av bristande efterlevnad
Office of the Privacy Commissioner utreder klagomal, genomfor revisioner och publicerar resultat. Aven om OPC inte har direkt befogenhet att utdoma boter enligt PIPEDA (utom vid overtraddelser av rapporteringsskyldigheten), kan det:
- Publicera resultat som namnger organisationer som inte foljer reglerna
- Hanvisa arenden till den federala domstolen, som kan forordna om efterlevnad och utdoma skadestand
- Genomfora revisioner pa kommissariens initiativ
- Publicera vagledning som paverkar lagtolkningen
Lagforslaget C-27 (Digital Charter Implementation Act). Detta forslag, som syftar till att ersatta PIPEDA med Consumer Privacy Protection Act (CPPA), skulle infora administrativa sanktionsavgifter pa upp till 10 miljoner CAD eller 3 % av de globala bruttointakterna. Aven om forslaget annu inte har antagits, signalerar det den riktning Kanada tar i tillsynen av integritetsskydd.
Fyra ansatser for PIPEDA-efterlevnad
Anlita en integritetsadvokat
Kostnad: 3 000 till 10 000 CAD for ett heltackande efterlevnadsprogram. Tidsram: 3 till 6 veckor.
En integritetsadvokat kan genomfora en fullstandig revision av dina rutiner, utarbeta din integritetspolicy, upprratta forfaranden for hantering av forfrgangar och utbilda ditt team. Denna ansats rekommenderas for foretag som behandlar stora volymer kansliga personuppgifter.
Anvanda ett generiskt AI-verktyg
Skenbar kostnad: 0 $. Verklig kostnad: de efterlevnadsluckor det skapar.
En generisk chattbot kan generera text som liknar en integritetspolicy, men den kan inte granska dina faktiska datafloden eller sakerstalla att dina upplysningar tar upp alla tio PIPEDA-principer. Klyftan mellan sken och verklig efterlevnad ar precis dar tillsynsrisken ligger.
Kopiera en gratis mall
Kostnad: 0 $. Risk: hog.
Gratis mallar ar generiska, ofta foraldrade och aldrig anpassade till din specifika verksamhet. De tacker vanligtvis inte den obligatoriska rapporteringsskyldigheten vid dataintrang eller OPC-specifika krav.
Anvanda en specialiserad generator for rattsliga dokument
Kostnad: 19,90 € till 49,90 €. Tidsram: under 10 minuter.
En specialiserad generator staller riktade fragor om ditt foretag och producerar en integritetspolicy som uppfyller PIPEDA:s krav. WebLegals efterlevnadsskanner tacker PIPEDA:s krav. Denna ansats erbjuder den basta balansen mellan efterlevnadsrigor och tillganglighet for merparten av onlineforetag.
Slutsats
PIPEDA alagger kanadensiska foretag tydliga och detaljerade skyldigheter nar det galler skydd av personuppgifter. De tio principerna for rattvis informationshantering, samtyckeskraven, transparensskyldigheterna och den obligatoriska rapporteringen av dataintrang bildar ett heltackande ramverk som inte kan ignoreras. Med tillsynen som gradvis starks och lagstiftningsriktningen som ror sig mot strangare sanktioner ar efterlevnad inte bara en laglig skyldighet — det ar en operativ nodvandighet. Agera nu for att skydda ditt foretag och dina kunders fortroende.