Hvad er CPPA – Canadas Consumer Privacy Protection Act?

Efter andre lovgiveres fodspor indførte det canadiske underhus i november 2020 Digital Charter Implementation Act (DCIA), også kendt som Bill C-11. Ligesom lignende databeskyttelseslove har DCIA til formål at regulere indsamling, distribution, brug og videregivelse af forbrugeroplysninger, der anvendes i kommercielle aktiviteter.

Under DCIA foreslås CPPA at blive opdateret for at modernisere Canadas forældede regler og sikre robust beskyttelse af canadiske personoplysninger.

Hvis du behandler canadiernes personoplysninger til kommercielle formål, vedrører denne lov dig. Derfor er det vigtigt at gøre sig bekendt med de grundlæggende detaljer.

Hvad er CPPA?

CPPA eller Consumer Privacy Protection Act er inkluderet i Digital Charter Implementation Act. Efter at EU’s GDPR og Californiens CPPA blev vedtaget for nylig, opdaterer CPPA ligeledes Canadas databeskyttelseslove og bringer dem i overensstemmelse med nye internationale normer.

Grundlæggende vil denne nye lov håndhæve større gennemsigtighed i virksomhedernes brug af personoplysninger og styrke den individuelle kontrol.

Interessant nok henviser lovforslag C-11 i sin nuværende form til “enkeltpersoner” og angiver hverken canadiske “borgere” eller “beboere”. Derfor kan det gælde for næsten alle, der bor inden for canadiske grænser.

Hvordan ændrer CPPA eksisterende lovgivning?

Primært vil den etablere en ny lov om databeskyttelse i den private sektor, da den tidligere lov om beskyttelse af personlige oplysninger og elektroniske dokumenter (PIPEDA) har et stort behov for udskiftning. Derudover har loven om retten til beskyttelse af personoplysninger og databeskyttelse (PIDPT) – en anden facet af DCIA – til formål at oprette et domstolsorgan med beføjelse til at opkræve betydelige bøder for enhver person eller virksomhed, der ikke overholder CPPA.

Sammenlignet med PIPEDA ændrer CPPA ikke omfanget af, hvad der er beskyttet. Det giver snarere enkeltpersoner mulighed for at sagsøge virksomheder for overtrædelser (søgsmålsret). CPPA udvider også samtykkekravene, som skal være eksplicitte og informerede – afspejle EU’s GDPR. Endelig skal en organisation demonstrere deres dataindsamlingsformål og brug. Det kan også kun overføre data uden for Canada i henhold til strenge nye kriterier.

I øjeblikket er loven ikke vedtaget – selvom den forventes at blive vedtaget i slutningen af 2021. Find det aktuelle forslag her.

Hvad er kravene i CPPA?

Dette er en stor ændring i canadiske databeskyttelseslove og nødvendiggør betydelige ændringer i den nuværende virksomhedspraksis.

Her er de vigtigste krav i henhold til CPPA:

Passende databehandling

I henhold til CPPA, § 12, stk. 2, er indsamling, brug og videregivelse af personoplysninger begrænset til “passende” omstændigheder vedrørende:

  • følsomheden af de personlige oplysninger;
  • om formålene repræsenterer organisationens legitime forretningsbehov
  • effektiviteten af indsamlingen, brugen eller videregivelsen med hensyn til at opfylde organisationens legitime forretningsbehov
  • om der findes mindre indgribende midler til at nå disse formål til en sammenlignelig pris og med sammenlignelige fordele og
  • om individets tab af privatlivets fred står i rimeligt forhold til fordelene i lyset af eventuelle foranstaltninger, tekniske eller på anden måde, der gennemføres af organisationen for at afbøde virkningerne af tabet af privatlivets fred for den enkelte.
Meningsfuldt samtykke

Ligesom GDPR skal samtykke indhentet fra en person i henhold til CPPA være gyldigt. Det betyder, at de blev indhentet før dataindsamling og afslører den måde, hvorpå organisationen indsamler, bruger eller videregiver personoplysningerne.

For at samtykke kan betragtes som gyldigt, skal følgende oplysninger gives i “almindeligt sprog”:

  • formålene med indsamling, brug eller videregivelse af de personlige oplysninger, der er fastlagt af organisationen og registreret i henhold til subsection 12(3) eller (4);
  • den måde, hvorpå de personlige oplysninger skal indsamles, bruges eller videregives;
  • eventuelle rimeligt forudsigelige konsekvenser af indsamling, brug eller videregivelse af de personlige oplysninger;
  • den specifikke type personlige oplysninger, der skal indsamles, bruges eller videregives; og
  • navnene på eventuelle tredjeparter eller typer af tredjeparter, som organisationen kan videregive de personlige oplysninger til.

Der er dog nogle bemærkelsesværdige undtagelser fra samtykke.

  1. Virksomheder skal indsamle samtykke, hvis dataene er afgørende for at levere eller levere et produkt, en tjeneste, et system eller netværkssikkerhed.
  2. Personoplysninger kan også indsamles til “rimelige formål”, men ikke for at påvirke en registrerets adfærd.
  3. Visse tilfælde af dataoverførsel til en tjenesteudbyder.

Enkeltpersoner kan nu også til enhver tid tilbagekalde deres samtykke eller fravælge informationsdeling. Alt, hvad en registreret skal gøre, er at give rimeligt varsel til den relevante organisation, hvorefter al indsamling og videregivelse af personoplysninger skal ophøre.

Søgsmålsret

CPPA omfatter en udvidelse af Privacy Commissioners beføjelser. Dette omfatter undersøgelser og revisioner af privatlivsrelaterede forretningsaktiviteter. Derudover kan de også indlede undersøgelser af påståede CPPA-overtrædelser.

Det er her, den private ret til handling finder anvendelse. Det giver registrerede mulighed for at sagsøge en organisation ved forbundsdomstolen eller en overordnet provinsdomstol, hvis Privacy Commissioner opretholder overtrædelserne.

I øjeblikket definerer loven ikke erstatning. Så enkeltpersoner kan kræve erstatning for tab eller skade, der er lidt som følge af overtrædelsen.

Sanktioner og håndhævelse

Enhver overtrædelse af CPPA kan resultere i betydelige sanktioner, op til 4% af en virksomheds samlede globale omsætning for det foregående år eller CA $ 25 millioner – alt efter hvad der er højest. De fleste overtrædelser vil sandsynligvis kun blive opkrævet med 3% af en virksomheds samlede globale omsætning for det foregående år eller CA $ 10 millioner – alt efter hvad der er højest.

Det er en betydelig stigning fra bøderne under PIPEDA (maksimalt CA $ 100.000 pr. Overtrædelse).

Derfor er det afgørende at være i overensstemmelse med CPPA, når det kommer til lov. Det er ikke for tidligt at starte forberedelsen.

Kilder:

https://parl.ca/DocumentViewer/en/43-2/bill/C-11/first-reading#ID0E0XB0BA
https://parl.ca/DocumentViewer/en/43-2/bill/C-11/first-reading#ID0ECCCA
https://www.transatlantic-lawyer.com/canadas-consumer-privacy-protection-act-what-the-changes-mean-for-you/

Sales & Support