加拿大的隐私大修:深入潜入广西福利彩票发行中心主体权利,同意,去识别,法庭/诉讼和广西福利彩票发行中心治理的关键话题

2021年2月24日,McCarthyTétraultLLP将第一届会议举办了加拿大两件系列的隐私大修:深入潜入关键主题。这篇文章是关于我们的第一届会议。两个会话都可以在线查看:

由于技术的持续发展,如何以及为何组织收集,使用和披露个人信息的发展越来越复杂。作为回应,加拿大政府介绍 比尔C-11, 或者 数字宪章实施法, 2020 (the “ 行为 “),11月17日,2020年11月17日。如果该法效力,它将取代隐私组成部分 个人信息保护和电子文件法 (“ 皮皮达 “)与 消费者隐私保护法案 (“ CPPA “)和 个人信息和广西福利彩票发行中心保护法庭法案 (“ PIPDT. “)。

在我们的会议期间,我们涵盖了与该法案有关的五个主题:

  1. 新的广西福利彩票发行中心学科权利 玉布坎南;
  2. 由此提出的同意和同意异常 丹麦克莱弗;
  3. 新的去识别条款提出 巴里斯霍曼;
  4. 个人信息和广西福利彩票发行中心保护法庭(“法庭“),诉讼和私人行动权 卡琳Joizil.吉莉安克尔 ; 和
  5. 新的广西福利彩票发行中心治理和策略,呈现 苏珊沃特扎曼.

新广西福利彩票发行中心学科

广西福利彩票发行中心主体权利通常根据隐私和广西福利彩票发行中心保护立法的自身类别列出。例如,欧盟的 一般广西福利彩票发行中心保护规范 (“ GDP. “)将整个章节致力于广西福利彩票发行中心主体权利。 Pipeda,它使用术语“个人”而不是“广西福利彩票发行中心主题”,需要组织来尊重两个主要广西福利彩票发行中心主体权利(在Pipeda中的某些限制):(1)访问其个人信息的权利; (2)纠正或完成个人信息的权利。目前起草的CPPA介绍了新的广西福利彩票发行中心主体权利。特别意义的两个新权利是:(1)处置权(类似于擦除的GDPR权); (2)广西福利彩票发行中心移动性的权利(类似于GDPR的广西福利彩票发行中心流入权)。

处置权

通常,CPPA下的个体将有权通过控制组织删除其广西福利彩票发行中心。这一权利受到若干例外情况,即在哪里:

  • 法律要求保留;
  • 处置将删除另一个人的个人信息;或者
  • 通过“合同条款”防止处置。

 委员会的例外情况 - 特别是关于“合同的合理条款” - 缺乏特殊性,并需要进一步阐述。为了形成对比,广西福利彩票发行中心主体在GDP下处置权的例外明确说明权利不适用于“行使言论自由和信息自由权”所需的处理,这一值得令人难以置信在CPPA下。自由表达缺乏例外使得处置权容易受到处置权违反某些自由的挑战 宪章。 GDPR还包括所需的处理例外“为建立,锻炼或法律索赔”,这不包括在CPPA中。

广西福利彩票发行中心可移植性/移动性的权利

可移植性的权利也是来自GDPR的概念,该概念已经包含在CPPA中,具有新名称:“广西福利彩票发行中心移动性”的权利。广西福利彩票发行中心移动性的权利将允许用户以可用格式从控制组织获取其广西福利彩票发行中心,并将其移动到另一个组织。立法者尚未向CPPA本身的广西福利彩票发行中心流动性载有义务,但已经推迟到“条例下提供的广西福利彩票发行中心移动框架”,尚未介绍。

同意和同意异常

我们现在在哪里

同意已被描述为Pipeda的基石。然而,在一个越来越复杂的广西福利彩票发行中心流动的世界中,自皮皮达生效以来,同意的同意的作用发生了很大变化。在许多情况下,重复同意请求导致了“同意疲劳”。与此同时,同意要求有助于增加对透明度和广西福利彩票发行中心最小化的强调,这是个人的有意义隐私“胜利”。

由于允许暗示同意的解释矛盾的疑惑,由于诸如暗示同意的矛盾引起的疑虑,获得同意也变得越来越复杂。而加拿大最高法院 tr 发现,在某些情况下,尽管其推定敏感性,但甚至可以暗示甚至财务信息的同意 有意义的同意指导方针 似乎削弱了暗示同意的作用。加拿大隐私专员办公室(“ opc. “)和省隐私专员一直在申请提高力度的指导方针。

联合调查 进入Clearview Ai加强了OPC和省级专员利益在隐私是一个“准宪法”的基础上的同意,而不是竞争利益的平衡。您可以阅读我们更详细的分析 clearview ai在这里找到.

同样, 发现 OPC和艾伯塔省和BC专员在调查凯迪拉克Fairview的调查中,通过要求明确同意在公共场所中的瞬间收集广西福利彩票发行中心,然后匿名化。尽管合理的保障措施纳入了合理的保障和对个人缺乏合理的伤害,但表达同意的重点可能会呈现不可能的广西福利彩票发行中心。

我们要去哪里

CPPA 试图解决关于同意现代隐私立法的一些问题。它扩大并澄清了Pipeda同意条文,并创建了同意原则的现代化例外清单。

与Pipeda的第5(3)节,CPPA第12节要求收集,使用和披露个人信息是“仅用于合理的人在这种情况下认为合理的人。”在此要求上扩展,CPPA第13条介绍了在评估收集,使用和披露个人信息时需要考虑组织的新因素,包括酌情,包括个人信息的敏感性和“是否存在以可比较的成本和可比益处实现这些目的的侵入性手段不太侵入。关于个人同意的有效性,CPPA第15条对组织施加了某些要求和义务,包括以简单的语言描述组织将收集,使用和披露个人信息的目的,并负责为组织依赖暗示同意的理由证明了理由。

同意规定的一些新的和标记例外包括业务活动的例外,转移到服务提供商,研发以及去识别。虽然每个例外可能需要进一步阐述,但加强PIPEDA在CPPA中的同意政权加强了组织在他们收集个人信息和相应的所需同意的情况下进行体贴。

有关更多信息,请参阅我们的文章 根据拟议的消费者隐私保护法案的同意标准.

去识别条款

“去识别”是一个常规术语,包括隐私和安全进程,使个人信息呈现为“匿名”或“假义”。 “假义”是一种从广西福利彩票发行中心集中删除或取代的方法,该广西福利彩票发行中心集离开地点广西福利彩票发行中心,该广西福利彩票发行中心可以用于通过使用其他广西福利彩票发行中心间接识别人的广西福利彩票发行中心。此广西福利彩票发行中心通常仍然受到隐私法的约束。 “匿名化”是一种更强烈的去识别形式(取决于制剂),重新识别不可能,合理不太可能或不合适预期。

Pipeda与去识别明确地处理。与CPPA的变化引入了新的去识别条款,这些规定似乎旨在促进创新与用户合理期望之间的平衡。虽然欢迎对去识别的澄清,但周围有明显的模糊性,是否将被证明的广西福利彩票发行中心受到CPPA。

是否符合隐私法的证明广西福利彩票发行中心?

目前,Pipeda将个人信息定义为“有关可识别个人的信息”。因此,当信息是“不是关于”可以识别的个人时,它不是个人信息。在匿名广西福利彩票发行中心的情况下,它不受联邦或省隐私法规的约束。这与GPR和GPR均一致 加利福尼亚州消费者隐私法案。 CPPA中“取消识别”的定义表明它是指匿名信息:

去识别 手段修改个人信息 - 或者通过使用技术流程来创建信息的信息 - 通过使用技术流程来确保信息不识别个人或不能在合理可预见的情况下单独或与其他信息组合使用,以识别个人。

CPPA 中有七条规定处理去识别的信息。有些人加强了解释,即去鉴定的信息仍然是加拿大隐私立法的范围之外。这些规定包括“去识别”的定义,在第20节中同意的去识别例外以及根据第75条重新识别除鉴定广西福利彩票发行中心的禁止。这种方法将符合Pipeda如何解释(即,匿名信息在其范围之外)。

但是,其他规定表明,远离Pipeda的流动,起草人打算CPPA规范均匀的信息。这些规定包括同意要求的某些例外,以及第74条中的去识别的新标准。如果匿名信息应该在CPPA之外,这些规定并不具体工作。 CPPA中的歧义存在某些挑战,特别是占组织可能面临的潜在增加的惩罚。 

有关更多信息,请参阅我们的文章: CPPA :确定取消识别规定背后的拒绝含义和政策。

法庭,诉讼和私人行动权

遵守CPPA

两个机构将负责遵守CPPA:OPC和法庭。 OPC将在CPPA下增加功率。与Pipeda不同,OPC将成为检察官和裁决者,而不仅仅是一个调查员。如果在调查过程中,OPC发现组织已经承诺,即将承诺或可能致力于不遵守“共同政委”的行为或遗漏,OPC可以与本组织达成合规协议。一旦调查完成,OPC可以订购“合理才能确保合规性”的命令。 OPC还可以向法庭提出罚款的建议。

法庭将由州长在理事会任命的三到六名成员组成。只有一个成员必须有信息和隐私法的历史,并且没有其他成员需要合法或司法背景。法庭可以听取OPC所作的调查结果和订单的上诉,法庭的调查结果将是最终的。法庭还有能力将重大的行政货币处罚 - 高达10,000,000美元或高达组织的年度收入总额的罚款。故意犯下CPPA的某些违法行为的组织可以面对罚款,超过25,000,000美元和5%的组织全球收入的5%,但需要在法庭上起诉作为罪行(即,它不在法庭管辖范围内)。

如果法庭取代了OPC的调查结果,审查的标准是法律问题的正确性,并且对混合事实和法律的问题和问题的问题和题外误差。

私人行动权

政协第106条创造了私人行动权,在该私人行动权申请法院向法院申请违反违反“共计委员会的组织”的赔偿。与Pipeda造影时,新的私人行动权似乎限制了范围 索赔 这可以在法庭上提交,同时扩大范围 原告 谁能够提出此类索赔。

在Pipeda下,通过OPC的调查过程的任何人都可以为法院带来私人行动权,无论OPC发现什么。但是,在“CPPA下,索赔只能被带入审判署或法庭的义务,或者违反了CPPA,或者组织被判罪行。

但是,一旦满足上述阈值,CPPA似乎能够改变谁能够带来索赔。虽然Pipeda限制了申诉人的申诉人,但CPPA指出,“受”组织违约的“影响”的人可以在联邦法院或省级卓越法院携带私人行动权。

虽然法院尚未考虑法院,但有一个非常强大的论点,即违反课程行动的基础是违约的争议,因为只有投诉人可以启动索赔。如提议,CPPA可能会使课程行动能够实现阶级行动,因为整体上的个人可以在理论上适应“由构成构成”CPPA“的组织的行为或不作为影响”的个人的范围。

有关更多信息,请参阅我们的文章: CPPA 的隐私执法制度.

新的广西福利彩票发行中心治理和政策

CPPA 将根据第9(1)条规定隐私管理计划,包括要求解决以下内容的政策,做法和程序:

  • 保护个人信息;
  • 访问请求和投诉程序;
  • 与政策,实践和程序有关的培训和内部信息;和
  • 外部材料的开发,解释组织的政策和程序。

根据“共计委员会,每个组织必须考虑到其控制下个人信息的体积和敏感性,因此,组织的信息越多,要求的严格严格(第9(2)条)。

CPPA 还包括:

  • 新的记录保留义务要求公司记录收集,使用或披露个人信息的目的,如果出现新目的,则不断更新(第12(3)和(4));
  • 义务记录关于个人信息修正案的分歧记录(第71(3)条);和
  • 即使违约未达到报告或通知阈值,PIPEDA的要求跟踪涉及个人信息的安全泄露的要求(第60节)。

从广西福利彩票发行中心治理角度遵守CPPA的提示包括:

  • 实施包括开发隐私管理计划的信息治理策略,正如了解您的广西福利彩票发行中心至关重要 - 您需要知道如何识别并存储个人信息,并且可以访问它;
  • 制定明确的政策和程序,以管理从创建到存储或处置的信息的生命周期;
  • 创建跟踪存储信息的广西福利彩票发行中心映射;
  • 利用技术解决方案协助实施政策;和
  • 培训员工管理和控制个人信息。

有关更多信息,请参阅我们的文章: CPPA - 公司如何管理其信息.

有关上述任何主题的更多信息,请联系作者并访问我们的 技术网络/广西福利彩票发行中心 pages.

Authors

订阅

保持联系

获取此博客的最新帖子

请输入有效的电子邮件地址