Om ditt företag betjänar kunder i Kanada och Europeiska unionen lyder du sannolikt under tva stora regelverk för dataskydd: den europeiska allmänna dataskyddsförordningen (GDPR) och den kanadensiska lagen om skydd av personuppgifter och elektroniska dokument (PIPEDA). Även om bada lagarna delar det gemensamma malet att skydda personlig information skiljer de sig avseevärt i tillvägagangssätt, räckvidd och tillämpningsmekanismer. Denna guide jämför de tva ramverken för att hjälpa dig bygga en sammanhängande efterlevnadsstrategi.
Filosofiska grunder
GDPR är en omfattande och föreskrivande förordning som tillämpas enhetligt i EU:s 27 medlemsländer. Den bygger pa principen att dataskydd är en grundläggande rättighet (artikel 8 i EU:s stadga om de grundläggande rättigheterna). Varje databehandling maste vila pa en av de sex rättsliga grunderna i artikel 6.
PIPEDA är en lag baserad pa principer snarare än föreskrivande regler. De tio principerna i Bilaga 1 ger ett flexibelt ramverk som Kanadas sekretesskommissionär (OPC) tolkar fran fall till fall. Detta tillvägagangssätt erbjuder mer flexibilitet men ocksä mindre rättssäkerhet.
Quebecs Lag 25, som ersätter PIPEDA för inomprovinsiell verksamhet, antar ett mer föreskrivande tillvägagangssätt som liknar GDPR. Läs mer i var guide om Quebecs Lag 25.
Räckvidd och tillämplighet
Vem skyddas
GDPR: Varje fysisk person (registrerad) som befinner sig i Europeiska unionen, oavsett nationalitet eller hemvist.
PIPEDA: Varje individ vars personliga information samlas in, används eller röjs i samband med kommersiell verksamhet i Kanada.
Vilka företag maste följa
GDPR: Varje organisation, var som helst i världen, som behandlar personuppgifter om personer i EU, förutsatt att den erbjuder varor eller tjänster till EU-invänare eller övervakar deras beteende (artikel 3). Ingen inkomsttröskel, ingen minimivolym av uppgifter. Läs var artikel om vem som verkligen berörs av GDPR.
PIPEDA: Privata organisationer som samlar in, använder eller röjer personlig information inom ramen för kommersiell verksamhet. Ingen inkomsttröskel, men lagen gäller bara kommersiell verksamhet.
Samtycke
Här skiljer sig de tva ramverken tydligast.
GDPR: Samtycke är en av sex möjliga rättsliga grunder (artikel 6). Andra grunder — fullgörande av avtal, rättslig förpliktelse, berättigat intresse — tillater databehandling utan samtycke. När samtycke används maste det vara fritt, specifikt, informerat och otvetydigt (artikel 7). Standardsamtycke (förkryssade rutor) är ogiltigt.
PIPEDA: Samtycke är den primära legitimeringsmekanismen. PIPEDA erkänner uttryckligt samtycke (opt-in) och underforstatt samtycke, beroende pa informationens känslighet och personens rimliga förväntningar. Underforstatt samtycke godtas för icke-känslig och rimligen förutsebar användning, vilket saknar direkt motsvarighet i GDPR.
| Aspekt | GDPR | PIPEDA |
|---|---|---|
| Uttryckligt samtycke | Krävs för känsliga uppgifter (art. 9) | Krävs för känsliga uppgifter |
| Underforstatt samtycke | Erkänns inte | Godtas för icke-känslig och förutsebar användning |
| Förkryssade rutor | Ogiltiga (Planet49-domen) | Allmänt godtagbara för underforstatt samtycke |
| Alternativa grunder | 5 andra rättsliga grunder | Begränsade undantag |
| Aterkallelse | Närsom helst, lika enkelt som att ge | Närsom helst |
Individers rättigheter
Bada lagarna ger individer rättigheter, men med betydande skillnader:
| Rättighet | GDPR | PIPEDA |
|---|---|---|
| Insyn | Artikel 15: kopia av alla uppgifter | Princip 9: tillgang och information |
| Rättelse | Artikel 16 | Princip 9 |
| Radering | Artikel 17: rätt att bli glömd | Ingen uttrycklig rätt till radering |
| Portabilitet | Artikel 20: strukturerat format | Ingen motsvarighet |
| Invändning | Artikel 21: rätt att göra invändning | Ingen direkt motsvarighet |
| Begränsning | Artikel 18 | Ingen motsvarighet |
| Svarstid | 1 manad (kan förlängas till 3) | 30 dagar (kan förlängas) |
GDPR erbjuder ett bredare och mer detaljerat spektrum av rättigheter.
Internationella dataöverföringar
GDPR: Överföring av personuppgifter utanför EES är strikt reglerad genom Kapitel V i GDPR. De kräver ett adekvansbeslut, standardavtalsklausuler, bindande företagsregler eller en annan godkänd mekanism. Kanada har ett partiellt adekvansbeslut för överföringar under PIPEDA.
PIPEDA: Inga specifika begränsningar för internationella överföringar. Organisationen som överför uppgifter förblir ansvarig för deras skydd i enlighet med de tio principerna.
Rapportering av intrung
GDPR: Rapportering till tillsynsmyndigheten inom 72 timmar (artikel 33). Rapportering till registrerade utan onödigt dröjsmal vid hög risk (artikel 34).
PIPEDA: Rapportering till OPC och registrerade sa snart som möjligt om intranget innebär en verklig risk för allvarlig skada. Ingen strikt 72-timmarsfrist, men rapporteringen maste ske snabbt. Obligatoriskt register över alla intrung i 24 manader.
Sanktioner och tillämpning
| Aspekt | GDPR | PIPEDA |
|---|---|---|
| Maximal böter | 20 milj. € eller 4 % av global omsättning | 100 000 CAD (endast intrung) |
| Tillsynsmyndighet | Nationella myndigheter (IMY m.fl.) | OPC + Federaldomstol |
| Direkt sanktionsbefogenhet | Ja | Nej (utom intrung) |
| Privat talerätt | Ja (artikel 82) | Ja (via Federaldomstol efter OPC-beslut) |
GDPR har en ojämförligt kraftfullare sanktionsarsenal. Det kanadensiska lagförslaget C-27 föreskriver dock administrativa böter pa upp till 10 miljoner dollar eller 3 % av den globala omsättningen.
Läs var jämförelse med det kaliforniska ramverket i artikeln CCPA vs GDPR.
Efterlevnadsstrategi för företag i bada jurisdiktionerna
Om ditt företag betjänar kunder i Kanada och EU, här är ett praktiskt tillvägagangssätt:
1. Börja fran GDPR. GDPR-kraven är generellt strängare. Solid GDPR-efterlevnad täcker merparten av PIPEDA-skyldigheterna.
2. Lägg till PIPEDA-specifika element. Dokumentera din efterlevnad av de tio principerna och upprätta rutiner enligt PIPEDA-tidsfrister.
3. Hantera samtycksskillnaderna. Tillämpa opt-in-samtycke (GDPR) för europeiska besökare och hantera underforstatt samtycke enligt OPC-kriterier för kanadensiska besökare.
4. Förbered dig för Lag 25. Om du betjänar kunder i Quebec, följ även Lag 25. Läs var fullständiga PIPEDA-guide för det federala ramverket.
5. Dokumentera allt. Upprätthall behandlingsregister (GDPR artikel 30), intrungsregister (PIPEDA och GDPR) och sparad dokumentation av alla begäranden och svar.
Kontrollera din efterlevnad i bada jurisdiktionerna med var kostnadsfria efterlevnadsskanner.
Slutsats
GDPR och PIPEDA delar malet att skydda personlig information, men gör det enligt olika filosofier och mekanismer. GDPR är föreskrivande med omfattande rättigheter och avskräckande sanktioner. PIPEDA bygger pa principer med ett mer flexibelt tillvägagangssätt men för närvarande begränsade sanktioner. För företag som verkar i bada jurisdiktionerna är den mest effektiva strategin att bygga pa GDPR-grunden och komplettera med PIPEDA:s specifika krav. Att inte agera är inget alternativ: de regulatoriska riskerna pa bada sidor av Atlanten fortsätter att växa.