Varje kanadensisk organisation i den privata sektorn som samlar in personuppgifter online har en skyldighet: att publicera en integritetspolicy som overensstammer med Personal Information Protection and Electronic Documents Act (PIPEDA). Men vad ar egentligen en “konform policy”? Vilka uppgifter ar obligatoriska, och vilka skiljer en generisk mall fran ett dokument som Office of the Privacy Commissioner of Canada (OPC) anser vara tillrackligt vid ett klagomal? Denna guide beskriver exakt vilka krav som galler, foreslar en konform mallstruktur och identifierar de avsnitt som de flesta gratismallar utelamnar. For svenska foretag som redan omfattas av GDPR ar kunskap om dessa skillnader sarskilt relevant nar de betjanar kanadensiska kunder.
Varfor PIPEDA kraver en integritetspolicy
Den attonde principen i Bilaga 1 till PIPEDA — oppenhet — kraver att “en organisations policyer och praktiker rorande hantering av personuppgifter” ska vara “latt tillgangliga”. Den integritetspolicy som publiceras pa er webbplats ar det huvudsakliga instrumentet for denna skyldighet. Det ar varken ett marknadsforingsdokument eller en defensiv brasklapp: det ar er organisations offentliga och bindande atagande gentemot de personer vars uppgifter ni behandlar.
En kumulativ skyldighet. PIPEDA kraver en policy enligt oppenhetsprincipen, men ocksa enligt principen om andamalsbestamning (andra principen): andamalen for insamling maste kommuniceras fore eller vid tidpunkten for insamling. Utan en tillganglig policy ar datainsamlingen via er webbplats tekniskt ej forenlig fran allra forsta besoket.
En bindande skyldighet. Nar den val ar publicerad binder er policy er. Om ni anger att ni inte delar uppgifter med tredje part och en utredning visar att en overforing skett till en oannonserad analystjanst bryter ni mot bade ert eget atagande och den sjatte principen (begransning av anvandning, utlamnande och lagring). Just darfor ar en generisk policy kopierad fran en annan webbplats farlig: den speglar inte era verkliga praktiker.
For det allmanna PIPEDA-ramverket och dess tillampning, se var kompletta guide for foretag i Kanada.
De 10 obligatoriska punkterna i er PIPEDA-policy
OPC har publicerat detaljerade riktlinjer for forvantat innehall i en konform integritetspolicy. Har ar de obligatoriska elementen, ordnade efter logiken i de tio principerna i Bilaga 1.
1. Organisationens identitet och kontaktuppgifter till integritetsansvarig. Er policy maste namna den juridiska enhet som kontrollerar uppgifterna och tydligt utse den person som ansvarar for PIPEDA-efterlevnad. Kontaktuppgifterna maste mojliggora direkt kontakt (e-post och postadress). En enkel “kontakt@…”-brevlada utan namn pa ansvarig ar otillracklig.
2. Typer av insamlade uppgifter. Lista specifikt datakategorierna: namn, e-postadress, IP-adress, lokaliseringsdata, enhetsidentifierare, surfhistorik, transaktionsuppgifter, innehall som anvandaren skickar in. Detaljniva maste mojliggora for en vanlig person att forsta vad som berors.
3. Andamal med insamlingen. For varje kategori, ange varfor ni samlar in uppgifterna: orderhantering, kontohantering, webbplatssakerhet, audiensmatning, marknadsforing, rattsliga skyldigheter. Den andra principen forbjuder insamling “for sakerhets skull”: varje insamling maste ha ett dokumenterat andamal.
4. Samtyckesgrund. Specificera vilken typ av samtycke ni inhamtar (uttryckligt eller underforstatt) per andamalskategori och hur anvandaren kan aterkalla det. For kansliga uppgifter (halsa, finanser, biometri) kravs uttryckligt samtycke.
5. Mottagare och tredje parter. Identifiera de kategorier av tredje parter som ni delar uppgifter med: betalningsleverantorer, hosting, analystjanster, marknadsforingsleverantorer, affarspartners. Specificera andamalet med varje overforing. Om ni anvander Google Analytics, Meta, Stripe eller en amerikansk e-postleverantor maste de namnas.
6. Granseoverskridande overforingar. Om uppgifter lamnar Kanada maste er policy uttryckligen ange detta och identifiera mottagarlanderna. OPC har klargjort att anvandare maste informeras om att deras uppgifter kan vara underkastade utlandska lagar, inklusive lagar som tillater atkomst av utlandska statliga myndigheter.
7. Sakerhetsatgarder. Beskriv pa ett icke-tekniskt satt de atgarder som skyddar uppgifterna: kryptering under overforing (HTTPS), kryptering i vila, atkomstkontroller, overvakning, sakerhetskopiering. Den sjunde principen kraver atgarder som star i proportion till uppgifternas kanslighet.
8. Lagringstider. Ange hur lange ni behaller varje datakategori och enligt vilka kriterier (kundrelationens varaktighet + rattsliga skatte- och bokforingsskyldigheter). En vag formulering som “sa lange som nodvandigt” rcker inte.
9. Den enskildes rattigheter. Ange de rattigheter som personen kan utova enligt PIPEDA: tillgang till sina uppgifter, rattelse av felaktigheter, aterkallande av samtycke, klagomal till integritetsansvarig och darefter till OPC. Beskriv det praktiska forfarandet for att utova varje rattighet (formular, dedikerad e-post, svarstid).
10. Forfarande vid intrang och klagomal. Ange hur organisationen hanterar intrang i sakerhetsatgarder och hur anvandaren kan lamna in klagomal. Detta avsnitt behandlas mer i detalj nedan, eftersom de flesta mallar utelamnar det.
Skillnader mot en GDPR-policy
Om ni ocksa ar verksamma i Europa har ni mojligen redan en GDPR-policy. Kan ni helt enkelt aterpublicera den for Kanada? Det korta svaret ar nej. For att forsta skillnaderna, se var jamforelse PIPEDA vs GDPR.
Vokabular och referenser. PIPEDA anvander “personlig information” och inte “personuppgifter”; “intrang i sakerhetsatgarder” och inte “personuppgiftsincident”; “Office of the Privacy Commissioner of Canada” och inte “tillsynsmyndighet” eller IMY. En policy som talar om “tillsynsmyndighet” utan att namna OPC ar olamplig for en kanadensisk publik.
Rattsliga grunder. GDPR rakar upp sex rattsliga grunder (artikel 6): samtycke, avtal, rattslig forpliktelse, vitala intressen, allmant intresse, berattigade intressen. PIPEDA fungerar nastan uteslutande pa samtyckesbasis (med begransade undantag i avsnitt 7). En policy som aberopar “berattigat intresse” enligt PIPEDA saknar rattslig grund.
Den enskildes rattigheter. GDPR rakar upp atta uttryckliga rattigheter (atkomst, rattelse, radering, begransning, dataportabilitet, invandning, automatiserat beslutsfattande, klagomal). PIPEDA erkanner tre tydliga rattigheter: atkomst, rattelse, klagomal. “Ratten att bli glomd” finns formellt inte enligt PIPEDA — aven om rattspraxis utvecklas. En policy som lovar obefintliga rattigheter kan skapa en icke verkstallbar forvantning.
Anmalan av intrang. GDPR krever 72 timmar for att underratta myndigheten. PIPEDA kraver underrattelse till OPC “sa snart som mojligt” nar intrnget medfor en verklig risk for betydande skada, utan fast frist. Modaliteterna skiljer sig tillrackligt for att motivera en egen formulering.
Avsnittet om intrang: vad mallar glommer
Sedan november 2018 alagger avsnitten 10.1 till 10.3 i PIPEDA en skyldighet att anmala intrang i sakerhetsatgarder. Denna skyldighet har en direkt foljd for er integritetspolicy: den maste offentligt beskriva intrangsforfarandet, eftersom anvandare har ratt att veta hur de kommer att underrattas om deras information aventyras.
Element att inkludera i detta avsnitt:
- Organisationens atagande att utvardera varje intrang enligt kriteriet “verklig risk for betydande skada” (VRBS)
- Den anvanda underrattelsekanalen (direkt e-post, brev, meddelande i kundkonto)
- Maltiden for underrattelse efter upptackt
- Atagandet att underratta OPC i fall dar VRBS konstateras
- Att fora ett internt register over alla intrang, aven de som inte uppnar VRBS-troskeln
- Mojligheten for anvandaren att begara att fa ta del av sina egna historiska underrattelser
Varfor detta avsnitt ar sa salisynt. De gratis generiska mallar som finns tillgangliga online var till storsta delen utformade fore 2018 eller kopierade fran europeiska mallar. De namner sallan VRBS, aldrig det interna registret och anger sallan en tydlig underrattelsekanal. Detta ar en stor efterlevnadslucka som OPC enkelt kan upptcka vid en utredning.
Underlatenhet att efterleva underrattelseskyldigheten kan medfora specifika boter pa upp till 100 000 CAD — den enda direkt kvantifierade monetra sanktionen i nuvarande PIPEDA.
Fyra angreppssatt for att utforma er policy
Specialiserad integritetsadvokat
Kostnad: 2 500 till 8 000 CAD. Tidsram: 2 till 4 veckor.
En specialiserad kanadensisk advokat granskar era verkliga dataflodet, utformar en skraddarsydd policy och uppdaterar den vid regulatoriska andringar. Det ar det mest noggranna alternativet, rekommenderat for foretag som behandlar kansliga uppgifter (halsa, finanser, minderarigas uppgifter) eller som ar verksamma i flera kanadensiska jurisdiktioner (PIPEDA + Lag 25 + Alberta PIPA + B.C. PIPA).
Gratis onlinemall
Kostnad: 0 CAD. Risk: hog.
Gratismallar ar generiska, ofta utformade under en annan rattslig regim (GDPR, CCPA), och aldrig anpassade till er specifika verksamhet. De utelamnar typiskt avsnittet om intrang, namner inte OPC korrekt och skapar en falsk kansla av efterlevnad. Vid ett klagomal ar de otillrackliga.
Generiskt AI-verktyg (ChatGPT och liknande)
Skenbar kostnad: 0 CAD. Verklig kostnad: de luckor det lamnar.
En generalistisk AI-assistent producerar en text som ser ut som en konform policy, men den kan inte granska era verkliga praktiker, kanner inte till den senaste versionen av OPC-riktlinjerna och blandar ofta ihop PIPEDA med andra regimer. Resultatet klarar det visuella testet, inte det rattsliga.
Specialiserad generator for juridiska dokument
Kostnad: 14,90 till 49,90 CAD. Tidsram: under 10 minuter.
En specialiserad generator stiller riktade fragor om er verksamhet, era datakategorier, era personuppgiftsbitraden och er jurisdiktion, och producerar sedan en policy som adresserar de specifika kraven i PIPEDA — inklusive intrangsavsnittet, kanadensiska rattigheter och hanvisningar till OPC. WebLegals efterlevnadsskanner tacker PIPEDA-kraven och identifierar luckorna i er nuvarande policy. Detta angreppssatt erbjuder den basta balansen mellan noggrannhet och kostnad for de flesta kanadensiska foretag online.
Slutsats
En PIPEDA-konform integritetspolicy ar varken en kopia av en europeisk mall eller utdata fran en generisk generator. Det ar ett dokument som speglar era verkliga praktiker, integrerar de tio principerna i Bilaga 1, korrekt namner de kanadensiska myndigheterna och innehaller ett robust avsnitt om intrang. Med lagforslag C-27 som kommer att hoja sanktionerna till 10 miljoner CAD eller 3 % av den varldsomspannande omsattningen, kommer skillnaden mellan en “duglig” policy och en verkligen konform policy snabbt att bli en betydande finansiell risk. Agera innan denna overgang blir tvingande.
