Kanadské prostredie ochrany súkromia v roku 2023 sa vyvíja. V tomto článku vám poskytujeme prehľad o najnovšom vývoji v oblasti ochrany údajov v Kanade. Pritom pokrývame nadchádzajúce požiadavky na ochranu osobných údajov v Quebecu, nové nariadenia o AI, najmä podľa zákona o ochrane osobných údajov spotrebiteľov (Bill C-27), a ďalšie aktualizácie ochrany osobných údajov z iných kanadských provincií týkajúce sa regulácie AI.
Ak máte kanadský rezident alebo podnikáte v Kanade, možno budete musieť zabezpečiť, aby vaša firma bola v súlade s pripravovanými zmenami v kanadskej legislatíve.
Nižšie je uvedený prehľad podrobností a potenciálny vplyv na vaše podnikanie.
Nová fáza požiadaviek na ochranu súkromia v Quebecu platná od 22. septembra 2023
Quebecký zákon o ochrane osobných údajov v súkromnom sektore („PPIPS“ ) sa v druhom kole aktualizuje prostredníctvom zákona 64 , teraz zákona 25 , a jeho účinnosť je naplánovaná na 22. septembra 2023. Dovtedy musia spoločnosti podnikajúce v Québecu spĺňať okrem iného tieto kľúčové požiadavky:
- Vykonávanie hodnotenia vplyvu na súkromie (PIA) je teraz povinné: Organizácie musia teraz vykonávať hodnotenie vplyvu na súkromie pri každej činnosti citlivej na súkromie. Teda ak sa vaša spoločnosť zapája do činností citlivých na súkromie, ktoré zahŕňajú okrem iného zhromažďovanie, spracovanie alebo uchovávanie osobných údajov, spracovanie biometrických údajov alebo zdieľanie a zverejňovanie informácií.
- Zásady je potrebné aktualizovať: spoločnosti teraz musia dať používateľom možnosť ponechať si alebo odstrániť svoje osobné údaje. Aktualizované pravidlá musia teraz vysvetľovať úlohy a povinnosti zamestnancov, ktorí nakladajú s osobnými údajmi počas ich životného cyklu, a tiež to, ako spoločnosť rieši sťažnosti.
- Iné práva jednotlivcov : Zákon 25 ustanovuje práva pre jednotlivcov vrátane práva na prenosnosť údajov, automatizované rozhodovanie, profilovanie údajov a právo byť zabudnutý. Jednotlivci majú ďalšie práva na odvolanie ďalšieho spracovania a zverejnenia svojich osobných údajov.
- Dohody o spracovaní údajov s poskytovateľmi služieb, ktoré obsahujú špecifické ustanovenia: Legislatíva 64 vyžaduje, aby organizácie, ktoré tak ešte neurobili, uzavreli písomné zmluvy o spracovaní údajov s poskytovateľmi služieb, s ktorými zdieľajú osobné údaje.
- Sankcie: Podobne ako európske zákony o ochrane údajov, ako je GDPR, nové kanadské zákony o ochrane údajov stanovujú sankcie až do výšky 50 000 USD na osobu a až do 10 000 000 USD alebo 2 % celosvetových príjmov spoločnosti za predchádzajúci rok, podľa toho, ktorá hodnota je vyššia.
Nové nariadenia o umelej inteligencii podľa zákona o ochrane súkromia spotrebiteľov (Bill C-27):
Kanadský zákon C-27, zákon o ochrane súkromia spotrebiteľov, vstupuje do druhého čítania od svojho vzniku v júni 2022. Tento právny predpis, ktorý ešte nenadobudol účinnosť, by nahradil existujúci zákon o ochrane osobných údajov a elektronických dokumentov („PIPEDA“) a spoločne zákon o ochrane súkromia spotrebiteľov („CPPA“), zákon o tribunáli pre ochranu osobných údajov a údajov („PIDPTA“) a zákona o umelej inteligencii a údajoch („AIDA“).
Podobne aj Úrad kanadského komisára pre ochranu súkromia (OPC) vydal 15 dôležitých odporúčaní k návrhu zákona C-27. Patrí medzi ne uznanie súkromia ako základného práva, právo na prístup k osobným údajom, vytváranie kultúry ochrany súkromia v organizáciách na vývoj produktov a služieb založených na princípe „privacy by design“ a povinnosť organizácií monitorovať svoje rozhodnutia a vytváranie profilov automatizované systémy rozhodovania vysvetliť na požiadanie.
AIDA , nové nariadenie, ktoré reaguje na meniace sa a rýchlo sa vyvíjajúce prostredie umelej inteligencie (AI), zavedie nové zákony na používanie systémov AI. Ak teda podnikáte v Kanade, je dôležité, aby ste už teraz začali premýšľať o tom, ako vaša spoločnosť využíva AI a aké opatrenia prijímate na ochranu súkromia a osobných údajov vašich používateľov. Podobne ako v predchádzajúcich zákonoch o ochrane osobných údajov, AIDA vyžaduje, aby ste vysvetlili, aké údaje zhromažďujete, ako ich zhromažďujete a že jednotlivci môžu požiadať o prístup k týmto údajom. Musia vysvetliť, ako algoritmus funguje, a musia byť ochotní zverejniť informácie transparentným spôsobom. To platí aj pre poskytovateľov tretích strán, ktorí používajú systémy AI.
Návrh zákona C-27 je momentálne v druhom čítaní a pravdepodobne prejde niekoľkými zmenami, kým sa oficiálne stane zákonom.
Ostatné kanadské štáty postupujú pri regulácii systémov AI:
Od mája kanadskí komisári pre ochranu osobných údajov a na federálnej úrovni komisári pre ochranu osobných údajov z Quebecu, Britskej Kolumbie a Alberty spoločne začali vyšetrovanie spoločnosti OpenA I, ktorá stojí za chatbotom ChatGPT poháňaným umelou inteligenciou.
Okrem iného skúma, či OpenAI získala platný a primeraný súhlas na zhromažďovanie a používanie osobných údajov spoločnosťou ChatGPT od kanadských obyvateľov, či si splnila svoje povinnosti týkajúce sa transparentnosti a zodpovednosti a či sú zhromaždené osobné údaje založené na špecifikovaných a plánované účely sú obmedzené na nevyhnutný rozsah.
Vyhlásenie Philippa Dufresna, kanadského komisára pre ochranu osobných údajov, signalizuje ochotu Kanady držať krok s vývojom technológií, ako je umelá inteligencia, a zároveň klásť ochranu súkromia do popredia.
„Umelá inteligencia a jej vplyv na súkromie sú globálne problémy, ktoré sú kľúčovým záujmom regulátorov ochrany súkromia v Kanade a na celom svete. Ako regulátori musíme držať krok s rýchlym technologickým pokrokom a byť pred ním, aby sme ochránili základné práva na súkromie Kanaďanov.“
Zdroj:
https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230525-2/
Spoločnosti so sídlom v Kanade sa už môžu vydať na cestu komplexnej zhody so správcom súhlasu . Stačí kliknúť sem a pozrieť si našu vyhradenú kanadskú stránku dodržiavania predpisov.