Kanadas kontor för integritetskommissionären (OPC) övervakar en betydande övergång i kanadensisk integritetslagstiftning. Lagen om skydd av personlig information och elektroniska dokument (PIPEDA) — Kanadas federala lag om privat sektor sedan 2001 — ersätts av lagen om skydd av konsumenters integritet (CPPA) under Bill C-27, som också skulle skapa en ny lag om artificiell intelligens och data (AIDA). Denna lagstiftningsövergång sker medan Kanadas EU:s GDPR-adekvansbeslut är under granskning 2026.
Kanadas nuvarande integritetslandskap
PIPEDA reglerar behandling av personlig information i den privata sektorn inom federalt reglerade industrier och i provinser utan väsentligt liknande lagstiftning. Alberta, British Columbia och Québec har sina egna provinsiella lagar för den privata sektorn. Québecs lag 25 (faserad implementering 2022-2023) är den mest GDPR-liknande provinsiella lagen, som kräver konsekvensanalyser och utnämningar av integritetsansvariga.
OPC:s verkställighet: OPC undersökte över 400 PIPEDA-klagomål 2024, med bindande order mot Tim Hortons (insamling av platsdata utan samtycke) och flera operatörer av hälsoappar som de mest betydande verkställighetsåtgärderna 2024.
EU-adekvans: Kanada behåller sitt EU:s GDPR-adekvansbeslut — beviljat 2001 under det ursprungliga adekvansramverket. Detta innebär att EU:s personuppgifter kan överföras till Kanada utan ytterligare skyddsåtgärder (SCC:er, BCR:er). Emellertid genomför den europeiska kommissionen en granskning 2026, och adekvans är inte garanterad att överleva granskningen med tanke på Kanadas utvecklande övervakningslagstiftning.
Bill C-27: Den föreslagna nya ramen
Bill C-27 går framåt genom parlamentet med tre komponenter:
Lagen om skydd av konsumenters integritet (CPPA): Ersätter PIPEDA med:
- Syftesbegränsning och krav på dataminimering (närmare GDPR än PIPEDA)
- Betydelsefulla samtyckeskrav
- Betydligt förbättrad verkställighet — OPC kan nu ålägga administrativa böter på upp till 3% av den globala intäkten eller CAD $10M, beroende på vilket som är högst
- Rättigheter till dataportabilitet
- Transparenskrav för automatiserade beslut
Lagen om artificiell intelligens och data (AIDA):
- Riskbaserad tillsyn av AI-system (högpåverkande AI kräver obligatorisk bedömning)
- Transparenskrav för automatiserade beslut som påverkar individer
- Förbud mot AI-system utformade för att orsaka skada
Lagen om tribunal för skydd av personlig information och data: Skapar en ny tribunal för att pröva överklaganden av OPC:s beslut — vilket minskar den nuvarande cykeln av klagomål-undersökning-federala domstolsgranskningar.
Kanadensiska nationella identifierare
SIN (Socialförsäkringsnummer): 9-siffrigt nummer som tilldelas alla kanadensiska medborgare för anställning och tillgång till sociala förmåner. Format XXX-XXX-XXX, med en kontrollsiffra som använder Luhn-algoritmen. SIN är den mest känsliga kanadensiska identifieraren — förekommer i anställningsregister, skattedokument och registrering för förmåner.
Provinsiella sjukvårdskortsnummer: Kanada har 13 provinser och territorier, var och en med sitt eget system för nummer på sjukvårdskort. Provinsiella sjukvårdsnummer är inte standardiserade på federal nivå:
- OHIP (Ontario): 10-siffrigt nummer + 2-bokstavs versionskod
- AHCIP (Alberta): 9-siffrigt personligt hälsonummer
- BC Services Card (BC): 10-siffrigt PHN
- RAMQ (Québec): 12-teckens alfanumeriskt (HHH-AAAA-MMDD format som kodar efternamn initialer, födelsedatum)
- Andra provinser: olika format
Ett kanadensiskt PII-verktyg måste hantera minst 13 distinkta provinsiella sjukvårdskortsformat för att uppnå fullständig PIPEDA/CPPA-överensstämmelse.
CRA företagsnummer: 9-siffrigt företagsnummer (BN) utfärdat av Canada Revenue Agency för alla kanadensiska företag. Format NNNNNNNNN.
Tvåspråkig behandling: Engelska och franska
Kanada är officiellt tvåspråkigt — engelska och franska. Organisationer som verkar federalt eller i tvåspråkiga sammanhang behandlar dokument på båda språken, ofta i samma dokument (t.ex. tvåspråkiga federala regeringsformulär).
Tvåspråkiga PII-krav:
- Namn: Franska namn inkluderar tecken som é, è, ê, ë, à, â, î, ô, û, ç, œ. NLP-modeller som inte hanterar franska accenterade tecken korrekt genererar fel i fransk språkidentifiering.
- Adresser: Québec-adresser använder franska konventioner ("Rue," "Avenue," "Boulevard," "Chemin"). Adressparsingmodeller måste hantera franska adressformat.
- RAMQ-nummer: Québecs hälsotalformat kodar efternamn initialer — en fransk identifierare som kräver fransk medveten detektion.
Kanadas EU-adekvans: Risken 2026
Kanadas adekvansbeslut från 2001 var det första EU-adekvansbeslutet som någonsin beviljats. Det har överlevt flera granskningar. Men granskningen 2026 sker i ett annat sammanhang:
- Kanadas C-26 cybersäkerhetslagstiftning (2024) kräver att kritisk infrastruktur rapporterar cyberincidenter till Communications Security Establishment (CSE) — Kanadas signalspaningsmyndighet. Granskningen av adekvans kommer att bedöma om CSE:s tillgång till incidentdata utgör en konflikt med övervakningslagstiftningen i GDPR.
- Kanada har ännu inte implementerat Bill C-27:s CPPA eller AIDA, vilket innebär att granskningen sker under PIPEDA — en lag som kommissionen tidigare har noterat har verkställighetsbrister.
Organisationer som använder Kanadas GDPR-adekvansbeslut som grund för överföringar mellan EU och Kanada bör övervaka granskningen 2026. Om adekvans upphävs eller återkallas skulle omedelbar implementering av SCC:er eller BCR:er krävas.
För organisationer med kanadensiska verksamheter: SIN-detektion med Luhn-validering, tvåspråkig engelska/franska PII-behandling och stöd för åtminstone Ontario OHIP och Québec RAMQ provinsiella sjukvårdsnummer är de grundläggande kraven för kanadensisk PII-överensstämmelse.
Källor: