anonym.legal

By · Last updated 2026-06-05

Tillbaka till BloggenGDPR & Efterlevnad

OPC Kanada: Från PIPEDA till lagförslag C-27

Kanadas OPC tillämpar PIPEDA medan parlamentet behandlar lagförslag C-27:s AI- och datalag. Kanada behåller EU GDPR-adekvansen under 2026 års granskning.

June 5, 202610 min läsning
Canada OPCPIPEDA Bill C-27SIN detectionCanadian privacy lawEU adequacy

Kanadas integritetslag förändras. Office of the Privacy Commissioner (OPC) tillämpar PIPEDA idag. Lagförslag C-27 skulle ersätta PIPEDA med starkare regler. Kanadas EU-dataöverföringsavtal är också under granskning 2026. Här är vad du behöver veta.

Kanadas nuvarande integritetslag

PIPEDA är Kanadas viktigaste integritetslag för privat sektor. Den har gällt sedan 2001. Den täcker företag i federalt reglerade branscher. Den gäller också i provinser utan egna integritetslagar.

Tre provinser har egna lagar: Alberta, British Columbia och Quebec.

Quebecs Lag 25 är den strängaste. Den trädde i kraft i faser 2022 och 2023. Den kräver konsekvensbedömningar för integritet och ett namngivet integritetsombud. Den är mycket närmare EU:s GDPR än gamla PIPEDA.

OPC hanterade över 400 PIPEDA-klagomål 2024. Det utfärdade bindande beslut mot Tim Hortons för insamling av platsdata utan samtycke. Flera hälsoapp-operatörer fick också beslut det året.

Lagförslag C-27: Tre nya lagar

Lagförslag C-27 behandlas i parlamentet. Det har tre delar.

Consumer Privacy Protection Act (CPPA) ersätter PIPEDA. Viktiga förändringar:

  • Ändamålsbegränsning och dataminimering.
  • Starkare samtyckesregler.
  • Böter upp till 3 % av den globala omsättningen eller 10 miljoner kanadensiska dollar — det högre beloppet gäller.
  • Rätt till dataportabilitet.
  • Informationskrav för automatiserade beslut.

Artificial Intelligence and Data Act (AIDA) lägger till AI-regler:

  • Riskbaserade regler för AI-system.
  • Obligatoriska riskbedömningar för AI med hög påverkan.
  • Informationskrav för AI som påverkar människor.
  • Förbud mot AI byggt för att skada.

Personal Information and Data Protection Tribunal Act inrättar ett nytt överklagandeorgan. Detta ersätter den nuvarande processen i Federal Court.

Se hur Kanada jämförs med andra integritetslagar i vår guide till global integritetsefterlevnad.

Kanadensisk PII: Vad som behöver identifieras

Kanadensiska filer innehåller unika ID-typer. Ditt verktyg måste hantera dem alla.

SIN (Social Insurance Number): Nio siffror. Format: XXX-XXX-XXX. Det använder Luhn-kontrollen. SIN förekommer i skatteformulär, lönejournaler och förmånsakter. Det är det känsligaste kanadensiska ID:t.

Provinsiella hälsokortsnummer: Kanada har 13 provinser och territorier. Var och en använder ett annat format. Det finns ingen federal standard. Viktiga format:

  • Ontario OHIP: 10 siffror plus en 2-bokstavskod.
  • Alberta AHCIP: 9-siffrigt Personal Health Number.
  • BC Services Card: 10-siffrigt PHN.
  • Quebec RAMQ: 12 tecken — kodar efternamnsinitialer och födelsedatum.

Ett kompatibelt verktyg måste stödja alla 13 format.

CRA Business Number: Nio siffror. Utfärdat av Canada Revenue Agency.

Tvåspråkig PII: Engelska och franska

Kanada är officiellt tvåspråkigt. Federala formulär blandar ofta båda språken på samma sida.

Fransk PII har egna krav:

  • Namn: Franska namn använder accentuerade bokstäver. Ett verktyg som missar accenter missar entiteter.
  • Adresser: Quebecadresser använder franska termer — Rue, Avenue, Boulevard, Chemin. Tolkare måste hantera dessa.
  • RAMQ-nummer: Quebecs hälsonummer kodar efternamnsinitialer. Identifiering måste vara franskmedveten.

För en jämförelse, se hur Indiens DPDPA hanterar flerspråkig PII.

EU-adekvanrisken 2026

Kanadas EU-adekvansbeslut är från 2001. Det var det allra första som Europeiska kommissionen beviljade. Det har klarat alla granskningar hittills.

Granskningen 2026 är annorlunda. Två frågor sticker ut.

För det första: Kanadas C-26-cybersäkerhetslag (2024) kräver att kritiska företag rapporterar incidenter till CSE. CSE är Kanadas signalunderrättelsetjänst. Kommissionen kommer att kontrollera om CSE:s tillgång till dessa uppgifter strider mot GDPR.

För det andra: Kanada lever fortfarande under PIPEDA. Kommissionen har påpekat att PIPEDA:s tillsyn är svag. CPPA har ännu inte trätt i kraft.

Om adekvansstatus avbryts eller återkallas måste alla EU-Kanada-överföringar omedelbart byta till standardavtalsklausuler eller bindande företagsregler.

Börja planera nu. Att vänta på beslutet är för sent.

För sammanhang om hur adekvansproblem har drabbat företag, se vår guide till GDPR-böter.

Minimikrav för efterlevnad

För organisationer med kanadensisk verksamhet är den tekniska grunden:

  1. SIN-identifiering med Luhn-kontroll.
  2. Tvåspråkig PII-bearbetning på engelska och franska.
  3. Ontario OHIP-hälsokortidentifiering.
  4. Quebec RAMQ-hälsokortidentifiering.
  5. Alla 13 provinsiella format för fullständig CPPA-beredskap.

Källor

Relaterade Artiklar

GDPR & Efterlevnad

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Efterlevnad

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Efterlevnad

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.