anonym.legal

By · Last updated 2026-06-05

Powrót do blogaGDPR i zgodność

OPC Kanada: Od PIPEDA do projektu C-27

Kanadyjski Urząd Komisarza ds. Prywatności (OPC) egzekwuje PIPEDA, podczas gdy Parlament proceduje projekt C-27 z ustawą o AI i danych. Kanada zachowuje adekwatność RODO UE w ramach przeglądu 2026.

June 5, 202610 min czytania
Canada OPCPIPEDA Bill C-27SIN detectionCanadian privacy lawEU adequacy

Kanadyjskie prawo prywatności przechodzi gruntowne zmiany. Biuro Komisarza ds. Prywatności (OPC) egzekwuje dziś PIPEDA. Projekt C-27 zastąpiłby PIPEDA surowszymi regulacjami. Umowa Kanady z UE dotycząca transferu danych również podlega przeglądowi w 2026 roku. Oto co musisz wiedzieć.

Obecne kanadyjskie prawo prywatności

PIPEDA to główne kanadyjskie prawo prywatności sektora prywatnego. Obowiązuje od 2001 roku. Obejmuje firmy działające w sektorach regulowanych na poziomie federalnym. Stosuje się je również w prowincjach niemających własnych ustaw o prywatności.

Trzy prowincje mają własne przepisy: Alberta, Kolumbia Brytyjska i Quebec.

Najsurowsze przepisy ma Quebec – Ustawa 25. Wchodziła w życie etapami w 2022 i 2023 roku. Wymaga przeglądów wpływu na prywatność oraz wyznaczonego inspektora ochrony danych. Jest znacznie bliższa unijnemu RODO niż dotychczasowa PIPEDA.

W 2024 roku OPC rozpatrzył ponad 400 skarg na naruszenia PIPEDA. Wydał wiążące nakazy wobec Tim Hortons za zbieranie danych lokalizacyjnych bez zgody użytkowników. Tego samego roku nakazy otrzymało również kilku operatorów aplikacji zdrowotnych.

Projekt C-27: Trzy nowe ustawy

Projekt C-27 jest procedowany w Parlamencie. Składa się z trzech części.

Consumer Privacy Protection Act (CPPA) zastępuje PIPEDA. Kluczowe zmiany:

  • Ograniczenia celu przetwarzania i zasady minimalizacji danych.
  • Wzmocnione wymogi zgody.
  • Kary do 3% globalnych przychodów lub 10 mln CAD — w zależności od tego, która kwota jest wyższa.
  • Prawo do przenoszenia danych.
  • Zasady ujawniania informacji o automatycznym podejmowaniu decyzji.

Artificial Intelligence and Data Act (AIDA) wprowadza przepisy dotyczące AI:

  • Regulacje oparte na ryzyku dla systemów AI.
  • Obowiązkowe oceny ryzyka dla AI o wysokim wpływie.
  • Zasady ujawniania informacji o AI wpływającej na ludzi.
  • Zakaz tworzenia AI w celu wyrządzenia szkody.

Personal Information and Data Protection Tribunal Act powołuje nowy organ odwoławczy. Zastępuje dotychczasową procedurę przed Sądem Federalnym.

Sprawdź jak Kanada wypada na tle innych przepisów o prywatności w naszym globalnym przewodniku po zgodności z przepisami o prywatności.

Kanadyjskie dane PII: Co wykrywać

Kanadyjskie dokumenty zawierają unikatowe typy identyfikatorów. Twoje narzędzie musi obsługiwać wszystkie z nich.

SIN (Social Insurance Number): Dziewięć cyfr. Format: XXX-XXX-XXX. Stosuje algorytm Luhna. SIN pojawia się w formularzach podatkowych, dokumentach płacowych i zasiłkowych. To najbardziej wrażliwy kanadyjski identyfikator.

Prowincjonalne numery kart zdrowotnych: Kanada ma 13 prowincji i terytoriów. Każde używa innego formatu. Nie istnieje ogólnokrajowy standard. Kluczowe formaty:

  • Ontario OHIP: 10 cyfr plus 2-literowy kod.
  • Alberta AHCIP: 9-cyfrowy Personal Health Number.
  • BC Services Card: 10-cyfrowy PHN.
  • Quebec RAMQ: 12 znaków — koduje inicjały nazwiska i datę urodzenia.

Narzędzie zgodne z przepisami musi obsługiwać wszystkie 13 formatów.

CRA Business Number: Dziewięć cyfr. Wydawany przez Kanadyjską Agencję Przychodów.

Dwujęzyczne dane PII: angielski i francuski

Kanada jest oficjalnie dwujęzyczna. Federalne formularze często łączą oba języki na jednej stronie.

Francuskie dane PII mają własną specyfikę:

  • Imiona i nazwiska: Francuskie nazwy używają liter z akcentami. Narzędzie, które pomija akcenty, będzie pomijać encje.
  • Adresy: Quebeckie adresy używają francuskich terminów — Rue, Avenue, Boulevard, Chemin. Parsery muszą to obsługiwać.
  • Numery RAMQ: Quebecki numer ubezpieczenia zdrowotnego koduje inicjały nazwiska. Wykrywanie musi być dostosowane do języka francuskiego.

Dla porównania sprawdź jak indyjska DPDPA radzi sobie z wielojęzycznymi danymi PII.

Ryzyko utraty adekwatności UE w 2026 roku

Kanadyjska decyzja o adekwatności UE pochodzi z 2001 roku. Była pierwszą decyzją wydaną przez Komisję Europejską w ogóle. Do tej pory przeszła każdy przegląd.

Przegląd 2026 jest inny. Wyróżniają się dwie kwestie.

Po pierwsze: kanadyjska ustawa o cyberbezpieczeństwie C-26 (2024) wymaga, aby kluczowe firmy zgłaszały incydenty do CSE. CSE to kanadyjska agencja wywiadu sygnałowego. Komisja sprawdzi, czy dostęp CSE do tych danych jest sprzeczny z RODO.

Po drugie: Kanada nadal funkcjonuje w oparciu o PIPEDA. Komisja wskazała na słabość egzekwowania PIPEDA. CPPA nie jest jeszcze w mocy.

Jeśli adekwatność zostanie zawieszona lub cofnięta, wszystkie transfery UE-Kanada muszą natychmiast przejść na SCC lub BCR.

Zacznij planować teraz. Czekanie na decyzję będzie za późno.

Dla kontekstu o tym, jak ryzyko utraty adekwatności uderzyło w firmy, sprawdź nasz przewodnik po karach RODO.

Minimalne wymogi zgodności

Dla organizacji prowadzących działalność w Kanadzie techniczny punkt wyjścia to:

  1. Wykrywanie SIN z algorytmem Luhna.
  2. Dwujęzyczne przetwarzanie danych PII w języku angielskim i francuskim.
  3. Wykrywanie ontario'skiej karty zdrowotnej OHIP.
  4. Wykrywanie quebeckiej karty zdrowotnej RAMQ.
  5. Wszystkie 13 formatów prowincjonalnych dla pełnej gotowości na CPPA.

Źródła

Pokrewne artykuły

GDPR i zgodność

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i zgodność

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i zgodność

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Gotowy, aby chronić swoje dane?

Rozpocznij anonimizację PII z 285+ typami podmiotów w 48 językach.

Rozpocznij bezpłatny okres próbnyZobacz funkcje

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.