Det kanadensiska integritetslandskapet 2023 utvecklas. I den här artikeln ger vi dig en översikt över den senaste utvecklingen i det kanadensiska dataskyddslandskapet. Därmed täcker vi de kommande integritetskraven i Quebec, de nya AI-reglerna, särskilt under Consumer Privacy Act (Bill C-27), och ytterligare integritetsuppdateringar från andra kanadensiska provinser angående regleringen av AI.
Om du är kanadensisk bosatt eller gör affärer inom Kanada kan du behöva se till att ditt företag följer kommande ändringar i kanadensisk lagstiftning.
Nedan finns en översikt över detaljerna och den potentiella inverkan på ditt företag.
Ny fas av Quebec integritetskrav Gäller den 22 september 2023
Quebecs privata sektors personliga informationsskyddslag (”PPIPS” ) uppdateras i en andra omgång av Bill 64 , nu lag 25 , och är planerad att träda i kraft den 22 september 2023. Då måste företag som gör affärer i Québec uppfylla följande nyckelkrav, bland annat:
- Att genomföra en integritetskonsekvensbedömning (PIA) är nu obligatoriskt: Organisationer måste nu genomföra en PIA för varje integritetskänslig aktivitet. Det vill säga om ditt företag ägnar sig åt integritetskänsliga aktiviteter som bland annat involverar insamling, bearbetning eller lagring av personuppgifter, behandling av biometriska uppgifter eller delning och utlämnande av information.
- Policyer måste uppdateras: företag måste nu ge användarna möjlighet att behålla eller radera sina personuppgifter. Den uppdaterade policyn ska nu förklara roller och ansvar för anställda som hanterar personuppgifter under hela sin livscykel, och även hur företaget hanterar klagomål.
- Andra rättigheter för individer : Lag 25 fastställer rättigheter för individer, inklusive rätten till dataportabilitet, automatiserat beslutsfattande, dataprofilering och att bli glömd. Individer har ytterligare rättigheter att dra tillbaka ytterligare behandling och utlämnande av sina personuppgifter.
- Databehandlingsavtal med tjänsteleverantörer som innehåller särskilda bestämmelser: Lagstiftning 64 kräver att organisationer som ännu inte har gjort det ska ingå skriftliga databehandlande avtal med tjänsteleverantörer som de delar personuppgifter med.
- Påföljder: I likhet med europeiska dataskyddslagar, såsom GDPR, föreskriver Kanadas nya dataskyddslagar straff på upp till 50 000 USD per person och upp till 10 000 000 USD eller 2 % av ett företags globala intäkter föregående år, beroende på vilket som är störst.
Nya AI-regler under Consumer Privacy Act (Bill C-27):
Kanadas lagförslag C-27, Consumer Privacy Protection Act, går in i sin andra behandling sedan starten i juni 2022. Denna lagstiftning, som ännu inte har trätt i kraft, skulle ersätta den befintliga lagen om personlig informationsskydd och elektroniska dokument (”PIPEDA”) integritetslagstiftning och tillsammans konsumentskyddslagen (”CPPA”), lagen om personlig information och dataskyddsdomstolen (”PIDPTA”) och Artificial Intelligence and Data Act (”AIDA”).
På samma sätt har Office of the Privacy Commissioner of Canada (OPC) gjort 15 viktiga rekommendationer om lagförslag C-27. Dessa inkluderar att erkänna integritet som en grundläggande rättighet, rätten att få tillgång till personuppgifter, skapa en integritetskultur i organisationer för att utveckla produkter och tjänster baserade på principen om ”privacy by design”, och att tvinga organisationer att övervaka sina beslut och skapa profiler genom att automatiserade beslutssystem för att förklara på begäran.
AIDA , en ny förordning som svarar på det föränderliga och snabbt utvecklande landskapet med artificiell intelligens (AI), kommer att införa nya lagar för användningen av AI-system. Därför, om du gör affärer i Kanada, är det viktigt att du nu börjar tänka på hur ditt företag använder AI och vilka åtgärder du vidtar för att skydda dina användares integritet och personlig information. I likhet med tidigare integritetslagar kräver AIDA att du förklarar vilken data du samlar in, hur du samlar in den och att individer kan begära tillgång till dessa uppgifter. De måste förklara hur algoritmen fungerar och vara villiga att avslöja information på ett transparent sätt. Detta gäller även tredjepartsleverantörer som använder AI-system.
C-27 lagförslaget är för närvarande i sin andra behandling och kommer sannolikt att gå igenom flera förändringar innan det officiellt blir lag.
Andra kanadensiska stater följer efter när det gäller att reglera AI-system:
Sedan maj har kanadensiska integritetskommissionärer och, på federal nivå, integritetskommissionärer från Quebec, British Columbia och Alberta tillsammans inlett en utredning om OpenA I, företaget bakom den artificiella intelligensdrivna chatboten ChatGPT.
Den undersöker bland annat om OpenAI har erhållit ett giltigt och lämpligt samtycke för ChatGPT:s insamling och användning av personuppgifter från kanadensiska invånare, om det har uppfyllt sina skyldigheter om öppenhet och ansvarsskyldighet, och om de insamlade personuppgifterna är baserade på de för de angivna och avsedda ändamål begränsas i den utsträckning som behövs.
Ett uttalande av Philippe Dufresne, Kanadas integritetskommissionär, signalerar Kanadas beredvillighet att ligga steget före kurvan när det gäller utvecklande teknologier som artificiell intelligens, samtidigt som den sätter integritet i främsta rummet.
”Artificiell intelligens och dess inverkan på integritet är globala frågor som är av central betydelse för integritetstillsynsmyndigheter i Kanada och runt om i världen. Som tillsynsmyndigheter måste vi hålla jämna steg med och ligga före snabba tekniska framsteg för att skydda kanadensares grundläggande integritetsrättigheter.”
Källa:
https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230525-2/
Företag baserade i Kanada kan redan börja på vägen mot omfattande efterlevnad av samtyckeshanteraren . Klicka bara här för att se vår dedikerade kanadensiska efterlevnadssida.