Canadas Office of the Privacy Commissioner (OPC) overvåger en betydelig overgang i canadisk privatlivslovgivning. Lov om beskyttelse af personoplysninger og elektroniske dokumenter (PIPEDA) — Canadas føderale privatlivslov for den private sektor siden 2001 — bliver erstattet af loven om beskyttelse af forbrugerprivatliv (CPPA) under Bill C-27, som også vil skabe en ny lov om kunstig intelligens og data (AIDA). Denne lovgivningsmæssige overgang finder sted, mens Canadas EU GDPR-tilstrækkelighed beslutning er under gennemgang i 2026.
Canadas nuværende privatlivslandskab
PIPEDA regulerer behandling af personoplysninger i den private sektor i føderalt regulerede industrier og i provinser uden væsentligt lignende lovgivning. Alberta, British Columbia og Quebec har deres egne provinsielle love for den private sektor. Québec's Lov 25 (2022-2023 faseimplementering) er den mest GDPR-lignende provinslov, der kræver vurderinger af privatlivspåvirkninger og udnævnelser af privatlivsofficerer.
OPC håndhævelse: OPC har undersøgt over 400 PIPEDA-klager i 2024, med bindende ordrer mod Tim Hortons (indsamling af placeringsdata uden samtykke) og flere sundhedsapp-operatører som de mest betydningsfulde håndhævelsesforanstaltninger i 2024.
EU tilstrækkelighed: Canada bevarer sin EU GDPR-tilstrækkelighed beslutning — givet i 2001 under den oprindelige tilstrækkelighedsramme. Dette betyder, at EU-personoplysninger kan overføres til Canada uden yderligere sikkerhedsforanstaltninger (SCC'er, BCR'er). Dog gennemfører den Europæiske Kommission en gennemgang i 2026, og tilstrækkelighed er ikke garanteret at overleve gennemgangen givet Canadas udviklende overvågningslovgivning.
Bill C-27: Den foreslåede nye ramme
Bill C-27 er i gang med at blive behandlet i Parlamentet med tre komponenter:
Loven om beskyttelse af forbrugerprivatliv (CPPA): Erstatning af PIPEDA med:
- Formålsbegrænsning og dataminimeringskrav (nærmere GDPR end PIPEDA)
- Meningsfulde samtykkekrav
- Betydeligt forbedret håndhævelse — OPC kan nu pålægge administrative bøder på op til 3% af den globale omsætning eller CAD $10M, alt efter hvad der er størst
- Ret til dataportabilitet
- Krav om gennemsigtighed i automatiserede beslutninger
Loven om kunstig intelligens og data (AIDA):
- Risikobaseret tilsyn med AI-systemer (højpåvirkende AI kræver obligatorisk vurdering)
- Gennemsigtighedskrav for automatiserede beslutninger, der påvirker enkeltpersoner
- Forbud mod AI-systemer designet til at forårsage skade
Loven om tribunal for beskyttelse af personoplysninger og data: Opretter et nyt tribunal til at behandle appeller af OPC-ordrer — hvilket reducerer den nuværende klage-efterforskning-føderal domstol gennemgangscyklus.
Canadiske nationale identifikatorer
SIN (Social Insurance Number): 9-cifret nummer tildelt alle canadiske borgere for adgang til beskæftigelse og sociale ydelser. Format XXX-XXX-XXX, med et kontrolciffer ved hjælp af Luhn-algoritmen. SIN er den mest følsomme canadiske identifikator — fremgår i ansættelsesoptegnelser, skattedokumenter og tilmelding til ydelser.
Provinsielle sundhedskortnumre: Canada har 13 provinser og territorier, hver med sit eget sundhedskortnummereringssystem. Provinsielle sundhedsnummere er ikke standardiseret på føderalt niveau:
- OHIP (Ontario): 10-cifret nummer + 2-bogstav version kode
- AHCIP (Alberta): 9-cifret personligt sundhedsnummer
- BC Services Card (BC): 10-cifret PHN
- RAMQ (Québec): 12-tegn alfanumerisk (HHH-AAAA-MMDD format kodning af efternavn initialer, fødselsdato)
- Andre provinser: forskellige formater
Et canadisk PII-værktøj skal håndtere mindst 13 forskellige provinsielle sundhedskortformater for omfattende PIPEDA/CPPA-overholdelse.
CRA virksomhedsnummer: 9-cifret virksomhedsnummer (BN) udstedt af Canada Revenue Agency for alle canadiske virksomheder. Format NNNNNNNNN.
To-sproget behandling: Engelsk og Fransk
Canada er officielt to-sproget — engelsk og fransk. Organisationer, der opererer føderalt eller i to-sprogede kontekster, behandler dokumenter på begge sprog, ofte i det samme dokument (f.eks. to-sprogede føderale regeringsformularer).
To-sprogede PII-krav:
- Navne: Fransk-sprogede navne inkluderer tegn som é, è, ê, ë, à, â, î, ô, û, ç, œ. NLP-modeller, der ikke håndterer franske accenter korrekt, genererer fejl i fransk-sproget entitetsgenkendelse.
- Adresser: Québec-adresser bruger franske konventioner ("Rue," "Avenue," "Boulevard," "Chemin"). Adresseparsingmodeller skal håndtere franske adresseformater.
- RAMQ-numre: Québec's sundhedsnummerformat koder efternavn initialer — en fransk-sproget identifikator, der kræver fransk-bevidst detektion.
Canadas EU-tilstrækkelighed: Risikoen i 2026
Canadas 2001 tilstrækkelighedsbeslutning var den første EU-tilstrækkelighedsbeslutning, der nogensinde er givet. Den har overlevet flere gennemgange. Men gennemgangen i 2026 finder sted i en anden kontekst:
- Canadas C-26 cybersikkerhedslovgivning (2024) kræver, at kritisk infrastruktur rapporterer cyberhændelser til Communications Security Establishment (CSE) — Canadas signalefterretningsagentur. Gennemgangen af tilstrækkelighed vil vurdere, om CSE's adgang til hændelsesdata udgør en konflikt med overvågningslovgivningen i GDPR.
- Canada har endnu ikke implementeret Bill C-27's CPPA eller AIDA, hvilket betyder, at gennemgangen finder sted under PIPEDA — en lov, som Kommissionen tidligere har bemærket har håndhævelsesmæssige svagheder.
Organisationer, der bruger Canadas GDPR-tilstrækkelighedsbeslutning som grundlag for EU-Canada overførsler, bør overvåge gennemgangen i 2026. Hvis tilstrækkelighed suspenderes eller tilbagekaldes, vil øjeblikkelig implementering af SCC'er eller BCR'er være nødvendig.
For organisationer med canadiske operationer: SIN-detektion med Luhn-validering, to-sproget engelsk/fransk PII-behandling og mindst Ontario OHIP og Québec RAMQ provinsielle sundhedsnummer støtte er de basale canadiske PII-overholdelseskrav.
Kilder: