Falls verabschiedet, wird der Bill C-27 folgende neue Gesetze schaffen:
- Den Consumer Privacy Protection Act (CPPA), das wichtigste Datenschutzgesetz, das den Personal Information Protection and Electronic Documents Act (PIPEDA) ersetzen wird (wie es auch Bill C-11 vorsieht)
- Den Personal Information and Data Protection Tribunal Act (das Gesetz zum Schutz personenbezogener Informationen und Daten), der ein neues Gericht schaffen wird. Das Gericht übernimmt die derzeitige Rolle des Bundesgerichts im Rahmen des PIPEDA und ermöglicht ein neues Sanktionssystem, wie es auch Bill C-11 vorsieht.
- Das Gesetz über künstliche Intelligenz und Daten (Artificial Intelligence and Data Act), das einen Neuzugang zu Bill C-27 im Vergleich zu Bill C-11 darstellt und nicht genau in den CPPA/Tribunal-Rechtsrahmen passt.
Datum des Inkrafttretens: Unbekannt. Das Gesetz befindet sich derzeit im Entwurfsstadium.
Was sind personenbezogene Daten gemäß CPPA?
Das neue Gesetz behält die in PIPEDA festgelegte Definition von personenbezogenen Daten bei. Unter dem CPPA sind personenbezogene Daten alle Informationen über eine identifizierbare natürliche Person, lebend oder verstorben zusammengefasst. Sie umfassen:
- Alter, Name, ID-Nummern, Einkommen, ethnische Herkunft oder Blutgruppe
- Meinungen, Bewertungen, Kommentare, sozialer Status oder Disziplinarmaßnahmen
- Personalakten, Kreditunterlagen, Darlehensunterlagen, Krankenakten, Bestehen einer Streitigkeit zwischen einem Verbraucher und einem Händler, Absichten (z. B. zum Erwerb von Waren oder Dienstleistungen oder zum Arbeitsplatzwechsel)
[Quelle]
Wer ist vom CPPA betroffen?
CPPA-Vorgaben gelten für jede Organisation, die:
- Personenbezogene Daten für kommerzielle Zwecke sammelt, verarbeitet und weitergibt.
- Personenbezogene Daten von Mitarbeitern und Stellenbewerbern sammelt, verarbeitet und weitergibt.
CPPA gilt nicht für:
- Staatliche Organisationen, die unter den Privacy Act fallen.
- Personenbezogene Daten, die für journalistische, künstlerische und literarische Zwecke verwendet werden.
- Personenbezogene Daten, die für persönliche Zwecke verwendet werden.
- Personenbezogene Daten, die in Bezug auf Beschäftigung, Geschäftsaktivität oder Beruf verwendet werden.
Ihre Hauptaufgaben unter CPPA
✓ Übernehmen Sie die Verantwortung für die gesammelten Daten
Der CPPA macht Ihre Organisation verantwortlich für die Sicherheit der personenbezogenen Daten, unabhängig davon, ob Sie oder andere Personen in Ihrem Namen die Daten sammeln, verwalten oder weitergeben.
Sie sind verpflichtet, personenbezogene Daten durch physische, organisatorische und technologische Sicherheitsvorkehrungen zu schützen. Sie sollen dabei das Schutzniveau an die Sensibilität der Daten anpassen. Außerdem sind Sie verpflichtet, „angemessene Maßnahmen zu ergreifen, um die Identität der Person, auf die sich die personenbezogenen Daten beziehen, zu bestätigen“.
Sie sind auch verpflichtet, eine Person zu beauftragen, die die Erfüllung der Datenschutzpflichten verantwortet und deren Kontaktdaten Sie offenlegen, z. B. in Ihrer Datenschutzerklärung oder auf Anfrage eines Besuchers.
✓ Holen Sie Einwilligungen ein
Holen Sie sinnvole Einwilligungen ein, um personenbezogene Daten der Nutzer zu erheben, zu verwalten und weiterzugeben. Informieren Sie mit der Aufforderung Ihre Besucher ordnungsgemäß über deren Optionen in einfacher Sprache.
Die Einwilligungsaufforderung kommt in zwei Formen vor:
- Implizite Form – Sie informieren die Nutzer, dass Sie ihre personenbezogenen Daten erheben und ermöglichen ihnen ein Opt-out-Verfahren
- Explizite Form – Sie holen eine aktive Einwilligung der Nutzer ein, bevor Sie anfangen, Daten zu tracken
Ihre Wahl der impliziten oder expliziten Einwilligung hängt von der Art der personenbezogenen Daten ab. Während sensiblere Daten eine aktive Einwilligung erfordern, können Sie sich bei weniger sensiblen Daten auf die stillschweigende Einwilligung verlassen. Denken Sie daran, dass das Dokumentieren von Einwilligungen (eine Pflicht gemäß CPPA) bei expliziten Einwilligungen viel einfacher ist als bei solchen, die auf Untätigkeit der Nutzer beruhen.
Es gibt einige Ausnahmen, für die Sie keine Einwilligung benötigen:
- Wenn Sie Daten an Dienstleistungsanbieter übermitteln
- Wenn Sie personenbezogener Daten für interne Forschung, Analyse und Entwicklung verwenden, sofern die Daten anonymisiert werden
- Bei definierten Geschäftstätigkeiten, wenn eine vernünftige Person die Erfassung oder Verwendung für eine solche Tätigkeit erwarten würde und die personenbezogenen Daten nicht zu dem Zweck erfasst oder verwendet werden, das Verhalten oder die Entscheidungen der Person zu beeinflussen
- Wenn ein berechtigtes Interesse besteht, das die möglichen nachteiligen Auswirkungen auf die Person überwiegt
Unabhängig davon, für welche Art der Einwilligung Sie sich entscheiden, stellen Sie sicher, dass Ihre Nachricht an Besucher folgende Informationen enthält:
- Wege und Zwecke, für die Sie personenbezogene Daten erheben, verwalten und weitergeben.
- Konsequenzen der Erhebung, Verwendung oder Weitergabe der personenbezogenen Daten.
- Arten von personenbezogenen Daten, die Sie sammeln, verwalten und weitergeben.
- Die Namen von Drittparteien, mit denen Sie die personenbezogenen Daten der Nutzer teilen.
Denken Sie ebenfalls an das Recht der Nutzer, die Einwilligung zu widerrufen. Sie sollten ihnen auf einfache Art und Weise ermöglichen, ihre Meinung zu ändern, z. B. über ein Kontaktformular oder eine E-Mail-Adresse auf Ihrer Datenschutzseite. Falls Sie einen Antrag auf Widerruf der Einwilligung erhalten, informieren Sie den Nutzer über die Folgen des Widerrufs und hören so schnell wie möglich auf, Daten zu erheben, zu verwenden oder weiterzugeben.
✓ Beachten Sie Rechte der Nutzer auf Datenübertragbarkeit und Löschung
Unter dem CPPA haben Nutzer das Recht:
- Ihre personenbezogenen Daten zwischen Organisationen, z. B. Banken oder Versicherungsanbietern zu übertragen
- Die Löschung ihrer personenbezogenen Daten anzufordern
✓ Denken Sie an Datenschutz-Managementprogramme und Transparenz
Unternehmen sind verpflichtet, transparente Prozesse für den Umgang mit personenbezogenen Daten zu haben. Jede Organisation bereitet Materialien vor, in denen sie beschreibt:
- Wie sie personenbezogene Daten schützt
- Wie sie mit Informationsanfragen und Beschwerden umgeht
- Wie sie andere durch das Gesetz bestimmte Pflichten erfüllt
- Welche Schulungen und Informationen sie ihren Mitarbeitern bereitstellt
Aktualisieren Sie auch Ihre interne Datenschutzrichtlinie, damit sie klar beschreibt, welche Arten von personenbezogenen Daten Sie sammeln und wie Sie diese verarbeiten. Verfassen Sie die Datenschutzerklärung in einfacher und verständlicher Sprache.
✓ Dokumentieren Sie das Einholen von Einwilligungen und Ihre Datenschutzrichtlinien
Ihre Organisation ist verpflichtet, Einwilligungen und die Zwecke, für die sie Daten sammeln, verwalten und weitergeben, zu dokumentieren. Wenn Sie sich entscheiden, Daten für einen neuen Zweck zu nutzen, holen Sie eine separate Einwilligung ein, dokumentieren Sie sie und fügen diese den Unterlagen hinzu.
Diese Daten bewahren Sie in leicht zugänglicher Form auf. Im Falle einer Kontrolle durch Datenschutzbehörden, stellen Sie Informationen, die die Datenschutzrichtlinien und -praktiken der Organisation in verständlicher Sprache erläutern, sowie die Einwilligungserklärungen bereit.
✓ Erwägen Sie, mit anonymisierten Daten zu arbeiten
Der CPPA legt keine Definition von anonymisierten Informationen fest. Stattdessen beschreibt er den Prozess der Datenanonymisierung:
Anonymisierung bedeutet, personenbezogene Daten zu modifizieren – oder Informationen aus personenbezogenen Daten zu erstellen – indem technische Verfahren eingesetzt werden, um sicherzustellen, dass die Informationen keine Person identifizieren oder unter vernünftigerweise vorhersehbaren Umständen allein oder in Kombination mit anderen Informationen nicht zur Identifizierung eines Individuums verwendet werden können.
Laut Gesetz benötigen Sie keine Einwilligung der Besucher, um anonymisierte Daten zu sammeln.
Der CPPA beinhaltet auch das Konzept der anonymisierten Daten. Anonymisierung bedeutet, dass personenbezogene Daten im Einklang mit allgemein anerkannten bewährten Praktiken unwiderruflich und dauerhaft verändert werden, um sicherzustellen, dass keine Person anhand der Daten identifiziert werden kann, weder direkt noch indirekt. Es heißt jedoch, dass anonymisierte Daten nicht in den Anwendungsbereich des CPPA fallen.
✓ Erwägen Sie, mit anonymisierten Daten zu arbeiten
Der Bill C-27 betrachtet die personenbezogenen Daten von Minderjährigen als sensibel. Eltern oder Erziehungsberechtigte können die Rechte (einschließlich der Einwilligung) im Namen ihres Kindes ausüben. Das Kind kann jedoch ihre Genehmigung ablehnen. Außerdem haben Kinder mehr Rechte auf die Löschung ihrer personenbezogenen Daten.
CPPA: Welche Strafen gibt es bei Verstößen?
Die Geldbußen für die fehlende Compliance betragen bis zu 10 Millionen US-Dollar oder bis zu 3 % des weltweiten Umsatzes. Das Gesetz sieht auch höhere Strafen für schwerwiegende und vorsätzliche Verstöße vor, bis zu 25 Millionen US-Dollar oder 5 % des weltweiten Umsatzes.
Wichtig ist, dass Verbraucher dem CPPA nach ein privates Klagerecht erhalten. Sie können Unternehmen verklagen, die ihre Daten in einer gegen das Gesetz verstoßender Weise verwenden.