GDPR og Hva det betyr for Canada

GDPR er en av de viktigste delene av lovgivningen om databeskyttelse som har kommet ut de siste 20 årene. Den skisserer et sett med omfattende retningslinjer som alle EU-medlemmer skal følge, og det gjelder personvern- og beskyttelseslover for enhver virksomhet som bruker kundenes data. gdpr-logo


Gitt spredningen av data som brukes i markedsføring og profiloppretting av selskaper over hele verden, har dette resultert i et stort rysting av datalovgivningen og har allerede hatt omfattende forgreninger.

Nedenfor kan du finne en oversikt over GDPR og hva det betyr for kanadisk lovgivning og dets selskaper. Du finner også en forklaring på den mest liknende samlingen av forskrifter til GDPR i Canada – PIPEDA. Videre kan du finne en oversikt over nyere historier om GDPR og dens effekter på Canada, samt viktige dokumenter som forklarer begge lovgivningsdelene.

Hva er GDPR?

GDPR, eller General Data Protection Regulation, er en forskrift som erstatter databeskyttelsesdirektivet formelt etterfulgt av medlemmer av Den europeiske union. GDPR ble avtalt i april 2016 og trådte i kraft våren 2018, med en overholdelsesfrist for selskaper berørt av GDPR av 25. mai 2018.

GDPR har hatt vidtrekkende konsekvenser for digitale virksomheter både i EU og over hele verden, da det ikke bare berører selskaper som er vert for EU eller dets medlemsland, men også selskaper som driver forretninger med borgere i disse medlemslandene. Dermed er GDPR kanskje den bredeste lovgivningen om internettinformasjon som er vedtatt hittil.

gdpr mening

GDPR er et langvarig dokument, men de viktigste holdepunktene for kravene – og de som gjelder for hvert medlem av EU – inkluderer:

  • anonymisering av innsamlede data for å beskytte borgernes personvern
  • kravet om forbrukernes samtykke for at dataene deres skal behandles
  • levering av varsler til forbrukere hvis deres data går tapt eller brytes
  • sikker håndtering av dataoverføringer over landegrenser
  • kravet om en databeskyttelsesansvarlig, oppnevnt av selskapene selv, for å sikre GDPR-samsvar

I utgangspunktet krever GDPR at selskaper som driver forretninger med EU-borgernes data (som egentlig betyr ethvert selskap i moderne tid) må ta visse skritt for å beskytte disse dataene. Dette inkluderer både behandling og bevegelse av data, så vel som salg og potensiell bruk eller misbruk av det første selskapet eller andre selskaper.

Hva er samtykke?

Samtykke, som beskrevet av GDPR, er bare målbar hvis den er tvetydig gitt av den aktuelle personen. Derfor må enhver kunde hvis data blir brukt av et selskap eller en tjeneste eksplisitt gi samtykke for at dataene deres skal brukes på en skriftlig eller muntlig måte.

GDPR-samtykkeeksempel

Tidligere metoder for samtykke, slik det er tillatt i forrige direktiv, er ikke lenger akseptable. Disse ulovlige virkemidlene for å innhente samtykke inkluderer:

  • Velg bort samtykke, som forutsetter samtykke fra en enkelt person med mindre de oppgir noe annet.
  • Underforstått samtykke, for eksempel databehandling nødvendig for å tegne en kontrakt.
  • Samtykke hentet fra en ubalanse i makt.
  • Kontinuerlig samtykke, slik som oppnådd fra selskaper når de bytter en kunde fra en plan til en annen.

Under GDPR må samtykke være:

  • eksplisitt
  • Gjentas hver gang en kunde endrer tjenester eller kontrakter
  • Spesifikk
  • Ta med et alternativ for tilbaketrekning eller avslag
  • Kunnskap om direkte markedsføring
  • Tilbaketrekking eller avslag på samtykke må være like enkelt som å gi samtykke, og brukere må informeres om denne rettigheten
  • Over 16, ellers krever foreldres samtykke

Hvor langt når GDPR?

Det har vært en viss forvirring rundt rekkevidden til GDPR siden det er en EU-lov. Selvfølgelig er GDPR gjeldende for ethvert selskap innenfor EU. Denne loven berører hvert medlemsland i koalisjonen, slik at hver stat ikke trenger å skrive forskjellige lover som kan komme i konflikt med hverandre.

EUs generelle databeskyttelsesforordning - Bakgrunn

I tillegg er ethvert EU-selskap som markedsfører varer eller tjenester til innbyggere i EU underlagt GDPR. Dette inkluderer selskaper basert i andre land. Som et eksempel er Amazon, som selger til kunder over hele verden, underlagt GDPRs krav hvis de selger produkter til en EU-borger. Dette er grunnen til at GDPR har hatt så omfattende effekter på global handel.

Allerede har dette gitt betydelig belastning for selskaper uten ressurser eller framsyn for å justere deres oppførsel, noe som resulterer i flere bøter eller i at noen selskaper slutter å levere eller levere tjenester til EU-borgere.

GDPR-spesifikasjoner

Kanadiske bedriftseiere må være klar over de viktigste artiklene innen GDPR som direkte påvirker deres drift og handel.

Artiklene 17 og 18 gir begge forbrukerne mer kontroll over personopplysningene sine, selv og spesielt hvis de behandles automatisk av et nettsted eller et system. Denne “retten til portabilitet” gjør det også mulig for forbrukerne å overføre personopplysningene sine mellom tjenesteleverandører mye lettere enn før. Dette oppfordrer kundene til å bytte Internett-tjeneste for trådløse tjenesteleverandører oftere på jakt etter en bedre avtale.

I tillegg sikrer artikkel 18 at forbrukerne har rett til å slette sine personopplysninger under spesifikke omstendigheter – dette kalles “rett til sletting”.

Artikkel 23 og 30 krever at alle selskaper som håndterer data for sine kunder iverksetter rimelige databeskyttelsestiltak. Dette vil forsvare kundenes data fra utnyttelse og forhindre at deres data eller personvern går tapt eller blir unødig eksponert. Dette er relevant både for misbruk av selskapet selv og av eksterne krefter eller enkeltpersoner.

Artikkel 31 og 32 gjelder varsler om brudd på data. Spesifikt krever artikkel 31 at alle datakontrollører (som betyr ansatte som behandler personopplysninger i noen grad) må varsle tilsynsmyndigheter (som kan inkludere ledere eller administrerende direktører) om brudd på personopplysninger innen 72 timer etter opprinnelig læring av nevnte brudd. Spesifikke detaljer om bruddet må også gis; dette inkluderer arten av bruddet og hvor mange registrerte som er berørt.

gdpr-data

Artikkel 32 dekker da kundesiden av ting. Konkret krever det at datakontrollører må fortelle personene til disse dataene så snart som mulig at deres data ble brutt eller mistet, spesielt når deres rettigheter eller friheter er utsatt.

Artiklene 33 og 33a involverer begge konsekvensanalyser av databeskyttelse. Dette er nødvendige prosedyrer som selskaper må gjennomgå for å forhåndsidentifisere risiko for kundenes data. De må også utføre Compliance Reviews; disse sikrer at eventuelle risikoer som blir identifisert blir adressert i stedet for å bli ignorert eller avskjediget som usannsynlige.

Artikkel 35 gjelder de nevnte personvernombudene. Den beskriver at ethvert selskap som håndterer data om en kundes eller forsøks helse, demografiske opplysninger, genetisk informasjon eller andre viktige (dvs. identifiserende) data, også må ha en utpekt databeskyttelsesansvarlig. Slike offiserers plikter innebærer å gi råd til vertsbedriftene deres om GDPR-samsvar og å fungere som mellommenn mellom tilsynsmyndigheter og GDPR-tjenestemenn.

Naturligvis vil de aller fleste selskaper som i det hele tatt håndterer noen form for data, kreve en databeskyttelsesansvarlig. Det er imidlertid ikke spesifisert at databeskyttelsesansvarlig trenger å være en ny ansatt; selskaper kan overføre en eksisterende ansatt til rollen forutsatt at stillingens plikter blir oppfylt i tilstrekkelig grad.

Dermed er artiklene 36 og 37 skrevet for å skissere stillingen som personvernombud og sørge for at dets ansvarsområder er krystallklare. Dette innebærer prosedyrer for å sikre GDPR-samsvar og prosedyrer som involverer rapportering av tilsynsmyndigheter.

Artikkel 45 handler om utvidede krav til databeskyttelse. Dette gjelder internasjonale selskaper som identifiserer dem som underlagt GDPR-regelverket hvis de håndterer data om EU-borgere. Den er egentlig der for å sikre at ingen internasjonale selskaper slipper unna GDPRs nett.

Endelig snakker artikkel 79 om straff for overholdelse av GDPR.

Hva er konsekvensene av GDPR-avvik?

Mens EUs tidligere datareguleringsmål, databeskyttelsesdirektivet, hadde relativt slappe straffer, har GDPR mye alvorligere konsekvenser for manglende overholdelse. I denne nye lovgivningen har tilsynsmyndighetene mye mer myndighet til å vedta meningsfull endring for konsekvenser i sine ansettende selskaper. I tillegg kan tilsynsmyndigheter nå undersøke og rette opp eventuelle avviksproblemer de finner.

gdpr-logo på en bærbar datamaskin

Andre krefter inkluderer muligheten til å utføre revisjoner for å sikre samsvar, utgi advarsler, kreve at selskaper foretar konkrete forbedringer, foreskriver tidsfrister for disse forbedringene, pålegg om sletting av innbyggernes data og forhindrer selskaper i å overføre data til andre selskaper. Eventuelle datakontrollere – det vil si ansatte som håndterer kundenes data – er underlagt tilsynsmyndighetene.

I tillegg gir GDPR tilsynsmyndigheter muligheten til å utstede mye større bøter enn før. Eventuell bøte som ikke overholdes, bestemmes ut fra feilens omstendigheter, og bøter er ikke nødvendige med mindre en tilsynsmyndighet finner det nødvendig. Bøter kan være opptil to eller 4% av den globale årlige omsetningen, eller € 10 millioner eller € 20 millioner, avhengig av hva som er større.

Hvilke data gjelder GDPR på?

Stort sett gjelder GDPR alle personopplysninger, akkurat som forgjengeren, databeskyttelsesloven. Dette inkluderer personlige, men generelle data, for eksempel en persons IP-adresse. Men det inkluderer også sensitive data som er unike for et individ – dette er forskjellig fra data som IP-adressen ovenfor, som teoretisk kan brukes av mer enn ett individ..

Sensitive data inkluderer genetiske eller biometriske data. Det forstås generelt som data som ikke kan deles med en annen person. Personopplysninger inkluderer også navn, bilder, e-postadresser, bankinformasjon eller innlegg på nettsteder med sosiale nettverk.

Hvem gjelder GDPR for?

Som beskrevet over, må ethvert selskap som selger eller markedsfører varer eller tjenester til EU-innbyggere, uansett hvilket selskap de befinner seg, følge forskriftene beskrevet i GDPR. Hvis de ikke overholder dette regelverket, må de betale de nødvendige bøtene eller gjøre forbedringer.

For øyeblikket er ikke nettsteder som ikke er i samsvar med GDPR tilgjengelige for EUs medlemsland. Som et eksempel ble både Chicago Tribune og LA Times midlertidig blokkert for EU-medlemmer til de oppnådde GDPR-overholdelse.

Hva er målene med GDPR?

GDPR er helt klart et omfattende stykke lovverk, men hva er dets mål og de gjeldende direktiver gjør målbare fremskritt mot disse målene?

gdpr mål

GDPRs formål er å definere standardiserte lover om databeskyttelse i alle medlemsland i EU. Før 1990-tallsdirektivet ble lovene om databeskyttelse i stor grad overlatt til beslutningene i hvert medlemsland, noe som gjorde handel og rettshåndhevelse til en mye mer komplisert og vanskelig sak. I tillegg var forbrukeres datarettigheter ikke veldig godt kjent og ble ofte krenket av selskaper for utnyttelse.

Ved å standardisere databeskyttelseslover i hele EU vil BNP angivelig:

  • forbedre personvernet og datarettene for alle innbyggere i EU
  • hjelpe de innbyggerne til å forstå deres personopplysninger
  • adressere eksport av personopplysninger utenfor EU
  • gi myndighetene bedre beføyelser til å handle mot selskaper eller organisasjoner som bryter det nye regelverket
  • forenkle regelverket for internasjonale virksomheter slik at de ikke trenger å huske separate datalover for hvert EU-land
  • krever at nye virksomheter overholder GDPR-forskriften

Disse målene er viktige i den moderne økonomiske verden fordi brukernes data uten tvil er en vare i seg selv.

Markedsførere og selskaper for alle typer produkter og tjenester bruker dataene de samler inn fra både forbrukere og forbrukere av andre nettsteder eller tjenester for å bedre markedsføre produktene sine til disse forbrukerne. Vurder Facebook eller lignende sosiale nettverk nettsteder. Disse nettstedene selger ofte dataene de samler inn på brukerne sine til markedsføringsbedrifter, som deretter selger disse dataene til faktisk produserende selskaper eller tjenester.

Bevæpnet med spesifikke data, kan selskaper deretter målrette mot en person ved å tilby annonser som er spesielt tilpasset deres interesser. Alternativt kan de utvide markedsføringseffekten ved å målrette mot spesifikk demografi eller enkeltpersoner.

gdpr innsynsrett

Selvfølgelig kan dette virke diskriminerende og dets lovlighet er veldig grått. En av de største måtene denne typen databruk blir sett på som dårlig er fordi den nødvendigvis bruker informasjon om enkeltpersoner som kan utgjøre ”privat informasjon”. Et godt eksempel er å bla gjennom data, som markedsføringsbedrifter bruker for å ekstrapolere forbrukervaner eller demografiske fakta.

Denne tilsynelatende krenkelsen av personvernet er en del av GDPR. Det primære fokuset er å gi mer privatliv til EUs borgere.

Hva betyr GDPR-lover for Canada?

Som et land med mange selskaper og organisasjoner som ofte driver forretninger med EU-selskaper eller borgere, er GDPR-forskriftene en viktig bekymring for mange av Canadas mennesker. Som et grunnleggende eksempel vil ethvert kanadisk nettsted som tillater kjøp av sine varer eller tjenester i euro eller som leverer leveranser til europeiske statsborgere, følge samsvar med GDPR.

GDPR-samsvar for kanadiske organisasjoner og borgere er spesielt viktig fordi mange kanadiske personvernlovgivninger allerede er veldig lik GDPR. Dermed kan det være lett for selskaper eller enkeltpersoner å ta feil av samsvar når de faktisk ikke er i samsvar.

PIPEDA

Canada har sin egen GDPR-lovgivning designet for å beskytte personopplysningene til forbrukere fra organisasjoner i privat sektor over hele Canada. Denne loven – loven om beskyttelse av personlig informasjon og elektroniske dokumenter – ble skrevet for å gi regler for innsamling, bruk og avsløring av personlig informasjon for alle kanadiske private virksomheter. Det ble opprinnelig vedtatt i 2000, men har nylig blitt oppdatert i kjølvannet av GDPR.

pipeda-logo

PIPEDA gjelder i dag for enhver privat sektor i Canada som bruker personopplysninger i løpet av en kommersiell aktivitet. En kommersiell aktivitet, definert av denne loven, er enhver transaksjon, oppførsel eller handling som er av kommersiell karakter. Dette inkluderer kjøp, salg, leasing, innsamling eller medlemskapsoverganger.

Områdene i Québec, British Columbia og Alberta har imidlertid allerede lignende privatrettslige lover. Disse ligner veldig på PIPEDA, og organisasjoner i disse områdene som følger disse lovene blir ofte ansett som unntatt fra PIPEDA så lenge transaksjoner knyttet til disse selskapene eller organisasjonene skjer i disse provinsene. Hvis et selskap i Alberta skulle utføre en internasjonal transaksjon, ville den transaksjonen være underlagt forskriftene beskrevet av PIPEDA.

I likhet med GDPR er alle virksomheter som opererer i Canada og håndterer personlig informasjon som krysser internasjonale eller provinsielle grenser når som helst punkt underlagt PIPEDA-regulering. Som et resultat er det ofte lettere for selskaper å sikre PIPEDA-etterlevelse i stedet for territoriell eller provinsiell overholdelse.

I tillegg er alle føderalt regulerte organisasjoner i Canada underlagt PIPEDA. Dette inkluderer banker, flyselskaper, telekommunikasjonsselskaper og radio- og tv-kringkastere.

Under PIPEDA er personlig informasjon definert som all faktisk eller subjektiv informasjon som kan eller ikke kan registreres om en identifiserbar person. Dette inkluderer lignende faktorer som GDPRs definisjon, inkludert alder, ID-nummer, etnisk opprinnelse, blodtype, kredittregister og mer. Den inkluderer imidlertid også mer subjektiv informasjon som kommentarer på sosiale medier, sosial status, meninger eller disiplinære handlinger.

PIPEDA gjør det ikke dekke bedriftskontaktinformasjon som utelukkende brukes til å kommunisere med en person i forhold til sitt yrke eller sitt arbeidssted. I tillegg dekker ikke PIPEDA bruk eller avsløring av informasjon strengt tatt i bruk til personlige formål, for eksempel informasjon hentet fra gratulasjonskortliste. All innsamling eller bruk av personlig informasjon til kunstneriske, litterære eller journalistiske formål er heller ikke underlagt forskriftene beskrevet av PIPEDA.

Dette har en tendens til å ekskludere ideelle organisasjoner eller veldedighetsgrupper, politiske partier og foreninger og kunstneriske grupper.

nasjonal statistikk for cybersikkerhetsallianse

Alle kanadiske virksomheter må følge 10 rettferdige informasjonsprinsipper, som er beskrevet i plan 1 i PIPEDA:

  • ansvarlighet
  • identifiserende formål
  • samtykke
  • begrensende samling
  • begrense bruk, avsløring og oppbevaring
  • nøyaktighet
  • sikringstiltak
  • åpenhet
  • individuell tilgang
  • utfordrende etterlevelse

PIPEDA-samtykke ser også veldig lik samtykke som beskrevet av GDPR. De viktigste festepunktene er som følger:

  • selskaper må innhente samtykke til å samle inn eller bruke personlig informasjon
  • informasjon som samles inn, må bare brukes slik en person har samtykket
  • må du begrense samlingen og bruken av informasjon til “hva en rimelig person vil anse som hensiktsmessig under omstendighetene”
  • enkeltpersoner må når som helst ha muligheten til å få tilgang til og endre eller rette feil om informasjonen sin

Samtykke under PIPEDA er eksplisitt, forsettlig og spesifikt.

Forskjeller mellom GDPR og PIPEDA

Kort sagt er PIPEDA litt mindre streng enn GDPR på tvers av flere aspekter. Som eksempel er kanadiske selskaper pålagt å rapportere om sikkerhetsbrudd som utgjør reell risiko for skade på forsøkspersoner. Imidlertid må denne rapporten komme “så snart det er mulig” i stedet for innen 72 timer, som diktert av GDPR.

gdpr vs pipeda

Imidlertid har det vært betydelige oppfordringer til å oppdatere kanadiske databeskyttelseslover i kjølvannet av GDPR enda mer.

Hvordan sikre GDPR-samsvar i Canada

Alle kanadiske organisasjoner bør gjennomgå sin databehandlingsoperasjon og sammenligne dem med forskriftene beskrevet i GDPR.

For det første bør alle kanadiske organisasjoner eller enkeltpersoner som er underlagt GDPR-samsvar fysisk lese dokumentet hvis de har tid. Selv om det er skrevet på et veldig lovlig språk, er det ikke vanskelig å lese og er lengre enn det er sammensatt. Alle som allerede er kjent med retningslinjene for overholdelse av PIPEDA, bør finne mye som ligner på GDPR.

En ekstra taktikk er å undersøke andre organisasjoner som er berørt av GDPR. Du kan enten kontakte organisasjonene eller selskapene direkte og be om deres råd om etterlevelse eller undersøke hva de gjør utad og kopiere innsatsen.canada og eu

Selvfølgelig, ditt eget nettsted eller selskap bør undersøkes grundig. Hvis du er en del av et internasjonalt selskap, må du allerede utnevne en databeskyttelsesansvarlig; dette er en av deres viktigste plikter. Bruk mye tid på å undersøke datainnsamlingsmetodene dine, både forsettlige og utilsiktede, for å sikre GDPR-samsvar. GDPR vil ikke skille mellom tilfeldige og forsettlige brudd på regelverket.

Gode ​​strategier innebærer å kartlegge hvordan dataene du samler inn i systemene dine, undersøke hvordan dataene lagres, undersøke hvordan dataene blir overført mellom forskjellige selskaper eller over landegrensene, og til slutt undersøke hvordan dataene blir slettet (om i det hele tatt). Dette vil tillate deg å få et godt innblikk i hvordan data beveger seg i organisasjonen din, og hvor du trenger å følge nærmere eller endre prosedyrene dine.

Du bør også undersøke eventuelle kontrakter eller samtykkeskjemaer du for øyeblikket har med EU-borgere for å sikre at kontrakten er i samsvar med GDPR-forskriften. Det kan hende at dine tidligere kontrakter eller avtalevilkår ikke er i samsvar. Du bør i tillegg gjennomgå alle kontrakter du har med databehandlere (dvs. ansatte i ditt selskap som håndterer dataene til dine kunder eller forbrukere) for å forsikre deg om at deres plikter blir lagt riktig ut.

For eksempel kan enhver databehandler hvis kontrakt ikke inkluderer GDPR-reguleringer ha grunn til å stå på hvis de hevder at du beordrer dem til å gjøre noe som ikke er i kontrakten deres..

Det kan også være en god ide å konsultere juridisk rådgiver. De kan være i stand til å tolke dine egne kontrakter og GDPRs lovverk og sørge for at det ikke er noen blinde flekker du ikke ser, og at det ikke er problemer med overholdelse. Siden GDPR allerede har passert og overholdelsesfristen for lengst er gått, er det ikke lenger tid til å vente på databrukende selskaper.

gdpr lovlighet

Endelig kan de kanadiske selskapene som allerede har vært PIPEDA-kompatible de siste årene, oppleve at størstedelen av deres datainfrastruktur allerede er GDPR-kompatibel. Du kan også stole på PIPEDA-samsvarsprosedyrene dine for å følge rådene ovenfor, selv om det fortsatt er viktig å være klar over de store forskjellene mellom lovgivningen.

Anbefalte digitale personvernverktøy

  • Beste VPN-tjenester
  • Beste VPN-er for Netflix
  • Beste passordbehandling
  • Mest sikre nettlesere

Nyere GDPR-nyheter i Canada

Årsverk-effekter av GDPR for kanadiske bedrifter

Så langt har GDPR allerede hatt betydelig innflytelse på den kanadiske personvernloven, særlig fordi den har inspirert til oppdateringer til den kanadiske PIPEDA-lovgivningen. Dette er delvis fordi mange kanadiske bedrifter også driver internasjonal virksomhet i en eller annen grad. Det har vært antatt at oppdatering av PIPEDA for å gjøre det mer som GDPR vil forbedre forretningsstrømmen fra Canada til EU-land.

Som et mindre eksempel er mange av begrepene som brukes i GDPR ofte brukt av kanadiske lovgivere og andre fagpersoner. GDPR har tvunget mange virksomheter og enkeltpersoner til å bli kjent med konseptene og ideene som er tilstede i lovgivningen mye raskere enn noen trodde.

Europas nye personvernlovgivning kan komme kanadiere til gode

Brukere av mange kanadiske nettsteder og selskaper har allerede mottatt e-postmeldinger som inneholder oppdateringer til disse selskapenes personvernregler og avtaleavtaler. Dette fordi GDPRs vedtakelse av EU-parlamentet har krevd at selskaper som driver forretning med EU-borgere må være i samsvar med nye personvernlover for data.

Microsoft-logo

Dette er imidlertid gode nyheter for mange kanadiske statsborgere. GDPR er inspirerende oppdaterte blikk på eksisterende personvernlover for data og oppfordrer mange store selskaper til å ta i bruk forbrukervennlig praksis i forhold til deres data og bruken av dem. Microsoft, som et eksempel, tar i bruk GDPR-rettighetene til sine brukere over hele verden, ikke bare de i EU. Apple har fulgt en lignende trend.

Andre, som Facebook, har uttalt at de har til hensikt å være mer gjennomsiktige, selv om noen har kritisert dem for å gjøre varslingsretningslinjene deres notorisk vanskelig å velge bort.

Canada for å oppdatere datalovene til GDPR-standarden

Siden GDPR trådte i kraft 25. mai 2018, har den fungert som en katalysator for andre land til å oppdatere sine egne personvernlover for data og oppmuntret til nye blikk på hva ansvarlig databruk betyr. Argentina og Japan var blant de første selskapene som justerte sine nasjonale lover om databeskyttelse med GDPR. Dette er i stor grad fordi mange av selskapene deres driver internasjonal virksomhet og ved å vedta lignende lover gjør det enklere å drive virksomheten overalt.

Canada ser nå ut til å gjøre nøyaktig det samme ved å oppdatere PIPEDA-lovgivningen. Imidlertid vil disse oppdateringene ikke nødvendigvis være så strenge som GDPR.

I tillegg vil nye nasjonale konsentrasjoner om digital og datatransformasjon finne sted i løpet av en nær fremtid. Disse vil undersøke rollen som nettnøytralitet i databeskyttelse for kanadiere og vurdere hvordan man best kan vedta nye lover eller justere eksisterende PIPEDA-lovgivning.

Oppdateringer til PIPEDA

Office of Privacy Commissioner of Canada har gitt ut et nytt krav om rapportering av brudd på virksomheter. Dette er en offisiell oppdatering til PIPEDA, som først ble en lov i 2000. Det vil berøre alle private sektororganisasjoner som driver forretninger med eller opererer med kanadiere.

personvern er ikke en forbrytelse

Spesifikt gjelder oppdateringene rapportering av datainnbrudd. Selv om disse oppdateringene ikke er så strenge som de som for øyeblikket er vedtatt av GDPR, er de mye mer eksplisitte og vil resultere i mer konsekvent rapportering av dataovertredelse enn tidligere lovgivning.

Kort sagt, en organisasjon underlagt PIPEDA må rapportere til personvernkommisjonens kontor dersom datainnbrudd kan føre til reell risiko for betydelig skade og varsle enkeltpersoner om sikkerhetsbrudd. Registreringer av sikkerhetsbrudd må føres i to år. Noen har bemerket at disse trinnene ikke er fullførte, men i det minste er i riktig ånd for bedre databeskyttelse.

Effekten av GDPR-bøter på Canada

Siden GDPRs nye lovverk har resultert i at flere selskaper har hatt bøter, er disse bøtene undersøkt av kanadiske selskaper. Konkret har British Airways og Marriott international blitt bøtelagt med henholdsvis 183,4 millioner britiske pund og 99,2 millioner britiske pund.

Disse eksemplene har gitt verdifull innsikt for kanadiske selskaper for å se de faktiske resultatene av GDPR-avvik fra første hånd. Under GDPR kan organisasjoner som har brutt nevnte regelverk bli bøtelagt med opptil 4% av deres årlige omsetning eller € 20 millioner, avhengig av hva som er større. Dermed kan selskaper veie den potensielle risikoen ved brudd på GDPR-regelverket. Det skal bemerkes at faktiske bøter for GDPR er diktert av myndigheter i stedet for å distribuere som forhåndsinnstilte beløp.

GDPR Ressurser

  • Guide til kanadiske PIPEDA-lovgivning
  • Office of Privacy Commissioner of Canada – PIPEDA i korte trekk
  • Office of Privacy Commissioner of Canada – PIPEDA Help for etterlevelse for selskaper
  • Office of Privacy Commissioner of Canada – PIPEDA Main Resource
  • Offisiell GDPR viktigste juridiske tekst
  • GDPR-samsvarslister
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map