Canadas kontor for personvernkommissæren (OPC) overvåker en betydelig overgang i kanadisk personvernlovgivning. Lov om beskyttelse av personopplysninger og elektroniske dokumenter (PIPEDA) — Canadas føderale personvernlov for privat sektor siden 2001 — blir erstattet av lov om beskyttelse av forbrukerens personvern (CPPA) under Bill C-27, som også vil opprette en ny lov om kunstig intelligens og data (AIDA). Denne lovgivningsmessige overgangen skjer mens Canadas EU GDPR-tilstrekkelighetsbeslutning er under vurdering i 2026.
Canadas nåværende personvernlanskap
PIPEDA regulerer behandling av personopplysninger i privat sektor i føderalt regulerte industrier og i provinser uten vesentlig liknende lovgivning. Alberta, British Columbia og Quebec har sine egne provinsielle lover for privat sektor. Québecs lov 25 (2022-2023 faseimplementering) er den mest GDPR-liknende provinsielle loven, som krever vurderinger av personvernpåvirkning og utnevnelse av personvernombud.
OPC-håndheving: OPC undersøkte over 400 PIPEDA-klager i 2024, med bindende pålegg mot Tim Hortons (innsamling av stedsdata uten samtykke) og flere helseapp-operatører som de mest betydningsfulle håndhevingstiltakene i 2024.
EU-tilstrekkelighet: Canada beholder sin EU GDPR-tilstrekkelighetsbeslutning — gitt i 2001 under den opprinnelige tilstrekkelighetsrammen. Dette betyr at EU-personopplysninger kan overføres til Canada uten ytterligere sikkerhetstiltak (SCC-er, BCR-er). Imidlertid gjennomfører Europakommisjonen en vurdering i 2026, og tilstrekkelighet er ikke garantert å overleve vurderingen gitt Canadas utviklende overvåkningslovgivning.
Bill C-27: Den foreslåtte nye rammen
Bill C-27 går fremover i parlamentet med tre komponenter:
Lov om beskyttelse av forbrukerens personvern (CPPA): Erstatter PIPEDA med:
- Krav om formålsbegrensning og dataminimering (nærmere GDPR enn PIPEDA)
- Krav om meningsfylt samtykke
- Betydelig forbedret håndheving — OPC kan nå ilegge administrative bøter på opptil 3 % av global inntekt eller CAD $10M, avhengig av hva som er høyest
- Rettigheter til dataportabilitet
- Krav om åpenhet ved automatiserte beslutninger
Lov om kunstig intelligens og data (AIDA):
- Risikobasert tilsyn med AI-systemer (høyinnvirkende AI krever obligatorisk vurdering)
- Krav om åpenhet for automatiserte beslutninger som påvirker enkeltpersoner
- Forbud mot AI-systemer designet for å forårsake skade
Lov om personopplysninger og databeskyttelsestribunal: Oppretter et nytt tribunal for å behandle anker av OPC-vedtak — reduserer den nåværende klage-undersøkelse-føderale domstolens vurderingssyklusen.
Kanadiske nasjonale identifikatorer
SIN (Social Insurance Number): 9-sifret nummer tildelt alle kanadiske innbyggere for tilgang til arbeid og sosiale ytelser. Format XXX-XXX-XXX, med en kontrollsiffer ved hjelp av Luhn-algoritmen. SIN er den mest sensitive kanadiske identifikatoren — vises i ansettelsesregistre, skattedokumenter og registrering for ytelser.
Provinsielle helse kortnumre: Canada har 13 provinser og territorier, hver med sitt eget helse kortnummer system. Provinsielle helse numre er ikke standardisert på føderalt nivå:
- OHIP (Ontario): 10-sifret nummer + 2-bokstav versjonskode
- AHCIP (Alberta): 9-sifret personlig helse nummer
- BC Services Card (BC): 10-sifret PHN
- RAMQ (Québec): 12-tegn alfanumerisk (HHH-AAAA-MMDD format som koder etternavn initialer, fødselsdato)
- Andre provinser: ulike formater
Et kanadisk PII-verktøy må håndtere minst 13 distinkte provinsielle helse kortformater for omfattende PIPEDA/CPPA-overholdelse.
CRA forretningsnummer: 9-sifret forretningsnummer (BN) utstedt av Canada Revenue Agency for alle kanadiske bedrifter. Format NNNNNNNNN.
Tospråklig behandling: Engelsk og fransk
Canada er offisielt tospråklig — engelsk og fransk. Organisasjoner som opererer føderalt eller i tospråklige sammenhenger behandler dokumenter på begge språk, ofte i samme dokument (f.eks. tospråklige føderale regjeringsskjemaer).
Tospråklige PII-krav:
- Navn: Fransk-språklige navn inkluderer tegn som é, è, ê, ë, à, â, î, ô, û, ç, œ. NLP-modeller som ikke håndterer franske aksenttegn korrekt genererer feil i fransk-språklig enhetsgjenkjenning.
- Adresser: Québec-adresser bruker franske konvensjoner ("Rue," "Avenue," "Boulevard," "Chemin"). Adresseparsing-modeller må håndtere fransk-språklige adresseformater.
- RAMQ-numre: Québecs helse nummer format koder etternavn initialer — en fransk-språklig identifikator som krever fransk-bevisst deteksjon.
Canadas EU-tilstrekkelighet: Risikoen i 2026
Canadas 2001 tilstrekkelighetsbeslutning var den første EU-tilstrekkelighetsbeslutningen som noensinne ble gitt. Den har overlevd flere vurderinger. Men vurderingen i 2026 skjer i en annen kontekst:
- Canadas C-26 cybersikkerhetslovgivning (2024) krever at kritisk infrastruktur rapporterer cyberhendelser til Communications Security Establishment (CSE) — Canadas signaletterretningsbyrå. Tilsynsvurderingen vil vurdere om CSEs tilgang til hendelsesdata utgjør en konflikt med overvåkningslovgivningen i GDPR.
- Canada har ennå ikke implementert Bill C-27s CPPA eller AIDA, noe som betyr at vurderingen skjer under PIPEDA — en lov som Kommisjonen tidligere har bemerket har håndhevelses svakheter.
Organisasjoner som bruker Canadas GDPR-tilstrekkelighetsbeslutning som grunnlag for EU-Canada-overføringer bør overvåke vurderingen i 2026. Hvis tilstrekkelighet blir suspendert eller tilbakekalt, vil umiddelbar implementering av SCC-er eller BCR-er være nødvendig.
For organisasjoner med kanadiske operasjoner: SIN-deteksjon med Luhn-validering, tospråklig engelsk/fransk PII-behandling, og støtte for minst Ontario OHIP og Québec RAMQ provinsielle helse numre er de grunnleggende kravene for kanadisk PII-overholdelse.
Kilder: