CPPA –公司将如何管理其信息

11月17日 创新,科学和工业部长Navdeep Bains介绍了法案C-11, 2020年数字宪章实施法。 C-11法案旨在通过引入新的新的加拿大隐私立法 消费者隐私保护法 (“CPPA”),并通过 个人信息和数据保护法庭法 (“PIDPT”)。这表示对现有产品进行了大修 个人信息保护和电子文件法 (“皮派达”),以控制私营部门的隐私。

拟议的立法为公司引入了新的记录保存和数据管理问题。特别是,

  • s要求所有组织(无论大小)。 9实施针对旨在履行CPPA义务的政策,实践和程序的“隐私管理计划”。这些政策,惯例和程序必须可供专员(第10条)使用,并且 必须 地址 (a) protection of personal information; (b) access requests and complaint procedures; (c) training and internal information relating to 日e policies, practices and procedures; (d) development of external-facing materials. Subsection 9(2) of 日e CPPA implies 日at standards will be more rigorous for organizations 日at collect, use or disclose higher volumes of personal information or more sensitive forms of personal information.
  • ss施加了新的记录保留义务。 12(3)和(4),要求公司记录收集,使用或披露个人信息的目的,并在出现新目的时不断更新。
  • 第13和14条限制组织仅收集“对于确定的目的是必需的,并且 已记录 根据第12(3)款”,除非该收款是CPPA规定的例外原则的标的。
  • 第60条延续了PIPEDA的要求,即“保持并维护每项涉及其控制下的个人信息的安全保护措施的记录”,即使该违反未达到报告阈值。
  • 第71(3)条要求记录有关个人信息修改的分歧。
  • 第122(1)(k)条允许制定法规,以遵守运营经批准的认证计划的实体的记录保存和报告义务,包括向专员提供有关经批准的认证计划的报告的义务。

除了这些部分之外,数据管理权还将受到数据可移植性的权利(将个人信息从一个组织转移到另一个组织的权利)和数据处理权(请求永久删除个人信息的权利)以及新数据的影响。取消标识义务,特别是应用于预期业务交易中信息共享的义务。

法案获得通过后,对于公司而言,审查其隐私惯例和数据治理计划至关重要。这些变化无可厚非-违法行为的最高刑罚为2500万美元或该组织全球总收入的5%中的较高者。这明显高于欧盟《通用数据保护条例》规定的最高4%的罚款(“GDPR”),并与中国最近颁布的《个人数据保护法》草案保持一致。

能够识别和定位个人信息并自动执行此过程,将是确保遵守这些新法律的关键。联系MT>3讨论如何计划和 update your data governance strategies and learn more 关于 日e technological tools 日at exist to help 日is process:

苏珊·沃兹曼

[电子邮件 protected]

李高登

[电子邮件 protected]

For more analysis on 日e new Bill and its changes, please see 日e 麦卡锡·特劳特 技术Lex 博客 post: 你好CPPA&PIDPT:联邦政府提出PIPEDA的戏剧性演变.

s

订阅

保持联系

Get 日e latest posts from 日is 博客

Please enter a valid 电子邮件 地址