Kanada'nın Gizlilik Komiserliği Ofisi (OPC), Kanada gizlilik yasasında önemli bir geçişi denetliyor. Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası (PIPEDA) — 2001'den beri Kanada'nın federal özel sektör gizlilik yasası — Bill C-27 kapsamında Tüketici Gizliliği Koruma Yasası (CPPA) ile değiştiriliyor ve ayrıca yeni bir Yapay Zeka ve Veri Yasası (AIDA) oluşturulacak. Bu yasama geçişi, Kanada'nın AB GDPR yeterlilik kararının 2026'da gözden geçirildiği sırada gerçekleşiyor.
Kanada'nın Mevcut Gizlilik Manzarası
PIPEDA, federal olarak düzenlenen sektörlerde ve önemli ölçüde benzer yasaların olmadığı eyaletlerde özel sektör kişisel bilgi işleme işlemlerini yönetir. Alberta, Britanya Kolumbiyası ve Quebec'in kendi eyalet özel sektör yasaları vardır. Quebec'in 25. Yasası (2022-2023 aşamalı uygulama) en GDPR benzeri eyalet yasasıdır ve gizlilik etki değerlendirmeleri ve gizlilik görevlisi atamaları gerektirir.
OPC uygulaması: OPC, 2024'te 400'den fazla PIPEDA şikayetini araştırdı; Tim Hortons'a (rıza olmadan konum verisi toplama) ve birkaç sağlık uygulaması operatörüne karşı verilen bağlayıcı emirler 2024'teki en önemli uygulama eylemleridir.
AB yeterliliği: Kanada, 2001'de orijinal yeterlilik çerçevesi altında verilen AB GDPR yeterlilik kararını koruyor. Bu, AB kişisel verilerinin Kanada'ya ek koruma olmadan (SCC'ler, BCR'ler) aktarılabileceği anlamına gelir. Ancak, Avrupa Komisyonu 2026'da bir gözden geçirme yapıyor ve yeterliliğin, Kanada'nın gelişen gözetim yasası manzarası göz önüne alındığında gözden geçirmeden sağ çıkması garanti değildir.
Bill C-27: Önerilen Yeni Çerçeve
Bill C-27, Parlamento'dan üç bileşenle geçiyor:
Tüketici Gizliliği Koruma Yasası (CPPA): PIPEDA'nın yerini alır:
- Amaç sınırlaması ve veri minimize etme gereklilikleri (PIPEDA'dan daha GDPR'ya yakın)
- Anlamlı rıza gereklilikleri
- Önemli ölçüde artırılmış uygulama — OPC artık küresel gelirinin %3'üne veya 10 milyon CAD'ye kadar idari cezalar uygulayabilir, hangisi daha büyükse
- Veri taşınabilirliği hakları
- Otomatik karar verme şeffaflık gereklilikleri
Yapay Zeka ve Veri Yasası (AIDA):
- AI sistemlerinin risk temelli denetimi (yüksek etki yaratan AI zorunlu değerlendirme gerektirir)
- Bireyleri etkileyen otomatik kararlar için şeffaflık gereklilikleri
- Zarara neden olmak üzere tasarlanmış AI sistemlerinin yasaklanması
Kişisel Bilgi ve Veri Koruma Mahkemesi Yasası: OPC emirlerinin itirazlarını dinlemek için yeni bir mahkeme oluşturur — mevcut şikayet-araştırma-Federal Mahkeme gözden geçirme döngüsünü azaltır.
Kanada Ulusal Tanımlayıcıları
SIN (Sosyal Sigorta Numarası): Tüm Kanada sakinlerine istihdam ve sosyal yardımlara erişim için atanan 9 haneli numara. Format XXX-XXX-XXX, Luhn algoritması kullanarak bir kontrol haneli içerir. SIN, en hassas Kanada tanımlayıcısıdır — istihdam kayıtlarında, vergi belgelerinde ve yardımların kaydında görünür.
Eyalet sağlık kartı numaraları: Kanada'nın 13 eyaleti ve bölgesi vardır, her birinin kendi sağlık kartı numaralandırma sistemi vardır. Eyalet sağlık numaraları federal düzeyde standartlaşmamıştır:
- OHIP (Ontario): 10 haneli numara + 2 harfli versiyon kodu
- AHCIP (Alberta): 9 haneli Kişisel Sağlık Numarası
- BC Hizmet Kartı (BC): 10 haneli PHN
- RAMQ (Québec): 12 karakter alfanümerik (HHH-AAAA-MMDD formatında soyadı baş harfleri, doğum tarihi)
- Diğer eyaletler: çeşitli formatlar
Bir Kanada PII aracı, kapsamlı PIPEDA/CPPA uyumu için en az 13 farklı eyalet sağlık kartı formatını yönetmelidir.
CRA iş numarası: Tüm Kanada işletmeleri için Kanada Gelir İdaresi tarafından verilen 9 haneli İş Numarası (BN). Format NNNNNNNNN.
İki Dilli İşleme: İngilizce ve Fransızca
Kanada resmi olarak iki dilli — İngilizce ve Fransızca. Federal olarak veya iki dilli bağlamlarda faaliyet gösteren kuruluşlar, belgeleri her iki dilde, genellikle aynı belgede işler (örneğin, iki dilli federal hükümet formları).
İki dilli PII gereklilikleri:
- İsimler: Fransızca isimler, é, è, ê, ë, à, â, î, ô, û, ç, œ gibi karakterleri içerir. Fransızca aksanlı karakterleri doğru bir şekilde işleyemeyen NLP modelleri, Fransızca varlık tanıma hataları üretir.
- Adresler: Québec adresleri Fransızca kuralları kullanır ("Rue," "Avenue," "Boulevard," "Chemin"). Adres ayrıştırma modelleri, Fransızca adres formatlarını yönetmelidir.
- RAMQ numaraları: Québec'in sağlık numarası formatı soyadı baş harflerini kodlar — Fransızca bilgilendirme gerektiren bir tanımlayıcıdır.
Kanada'nın AB Yeterliliği: 2026 Riski
Kanada'nın 2001 yeterlilik kararı, verilen ilk AB yeterlilik kararıdır. Birden fazla gözden geçirmeden sağ çıkmıştır. Ancak 2026 gözden geçirmesi farklı bir bağlamda gerçekleşiyor:
- Kanada'nın C-26 siber güvenlik yasası (2024), kritik altyapının siber olayları İletişim Güvenliği Kurumu'na (CSE) bildirmesini gerektiriyor — Kanada'nın sinyal istihbarat ajansı. Yeterlilik gözden geçirmesi, CSE'nin olay verilerine erişiminin GDPR ile gözetim yasası çatışması oluşturup oluşturmadığını değerlendirecektir.
- Kanada henüz Bill C-27'nin CPPA'sını veya AIDA'sını uygulamamıştır, bu da gözden geçirmenin PIPEDA altında gerçekleştiği anlamına gelir — Komisyonun daha önce uygulama zayıflıkları olduğunu belirttiği bir yasadır.
Kanada'nın GDPR yeterlilik kararını AB-Kanada transferleri için temel olarak kullanan kuruluşlar, 2026 gözden geçirmesini izlemelidir. Eğer yeterlilik askıya alınır veya iptal edilirse, SCC'lerin veya BCR'lerin hemen uygulanması gerekecektir.
Kanada'daki operasyonları olan kuruluşlar için: Luhn doğrulaması ile SIN tespiti, iki dilli İngilizce/Fransızca PII işleme ve en az Ontario OHIP ve Québec RAMQ eyalet sağlık numarası desteği, temel Kanada PII uyum gereklilikleridir.
Kaynaklar: