A kanadai adatvédelmi környezet 2023-ban fejlődik. Ebben a cikkben áttekintést nyújtunk a kanadai adatvédelmi környezet legújabb fejleményeiről. Ennek során figyelembe vesszük a közelgő quebeci adatvédelmi követelményeket, az új mesterséges intelligencia-szabályozást, különösen a fogyasztói adatvédelmi törvény (C-27. számú törvényjavaslat) értelmében, valamint a más kanadai tartományok további adatvédelmi frissítéseit a mesterséges intelligencia szabályozásával kapcsolatban.
Ha Ön kanadai lakos vagy Kanadában folytat üzleti tevékenységet, akkor előfordulhat, hogy meg kell bizonyosodnia arról, hogy vállalkozása megfelel a kanadai jogszabályok közelgő változásainak.
Az alábbiakban áttekintést adunk a részletekről és a vállalkozására gyakorolt lehetséges hatásokról.
A Quebec-i adatvédelmi követelmények új szakasza, 2023. szeptember 22-től
Quebec magánszektorbeli személyes adatok védelméről szóló törvényét („PPIPS” ) második körben frissíti a 64. törvényjavaslat , jelenleg a 25. törvény , és a tervek szerint 2023. szeptember 22-én lép hatályba. Addigra a Québecben üzleti tevékenységet folytató cégeknek meg kell felelniük többek között a következő kulcsfontosságú követelményeknek:
- Az adatvédelmi hatásvizsgálat (PIA) lebonyolítása mostantól kötelező: a szervezeteknek ezentúl PIA-t kell végezniük minden adatvédelmi szempontból érzékeny tevékenység esetében. Azaz, ha az Ön cége adatvédelmi szempontból érzékeny tevékenységet folytat, amely többek között személyes adatok gyűjtését, feldolgozását vagy tárolását, biometrikus adatok feldolgozását vagy információk megosztását és közzétételét foglalja magában.
- Az irányelveket frissíteni kell: a cégeknek mostantól lehetőséget kell adniuk a felhasználóknak arra, hogy megtartsák vagy töröljék személyes adataikat. A frissített szabályzatnak most meg kell magyaráznia azon alkalmazottak szerepét és felelősségét, akik személyes adatokat kezelnek azok életciklusa során, és azt is, hogy a vállalat hogyan kezeli a panaszokat.
- Az egyének egyéb jogai : A 25. törvény az egyének jogait állapítja meg, beleértve az adatok hordozhatóságához, az automatizált döntéshozatalhoz, az adatprofilalkotáshoz és az elfelejtéshez való jogot. Az egyéneknek további jogai vannak személyes adataik további kezelésének és közzétételének visszavonására.
- Konkrét rendelkezéseket tartalmazó adatkezelési megállapodások a szolgáltatókkal: A 64. törvény előírja, hogy azok a szervezetek, amelyek még nem tették meg, írásos adatkezelési megállapodást kössenek azokkal a szolgáltatókkal, akikkel személyes adatokat osztanak meg.
- Szankciók: Az európai adatvédelmi törvényekhez, például a GDPR-hoz hasonlóan, Kanada új adatvédelmi törvényei személyenként legfeljebb 50 000 dollárig, illetve 10 000 000 dollárig vagy a vállalat előző évi világméretű bevételének 2%-áig terjedő szankciókat írnak elő, attól függően, hogy melyik a nagyobb.
A fogyasztóvédelmi törvény (C-27. számú törvényjavaslat) szerinti új mesterséges intelligencia szabályozások:
Kanada C-27 számú törvényjavaslata, a fogyasztói adatvédelemről szóló törvény második olvasatba kerül a 2022 júniusi hatályba lépése óta. Ez a jogszabály, amely még nem lépett hatályba, felváltaná a meglévő személyes adatok védelméről és elektronikus dokumentumokról szóló törvényt („PIPEDA”), valamint a fogyasztói adatvédelmi törvényt (CPPA), valamint a személyes adatok védelméről és az elektronikus dokumentumok védelméről szóló törvényt. („PIDPTA”) és a mesterséges intelligenciáról és adatokról szóló törvény („AIDA”).
Hasonlóképpen, a Kanadai Adatvédelmi Biztos Hivatala (OPC) 15 fontos ajánlást fogalmazott meg a C-27 törvényjavaslattal kapcsolatban. Ezek közé tartozik a magánélet alapvető jogként való elismerése, a személyes adatokhoz való hozzáférés joga, az adatvédelmi kultúra kialakítása a szervezetekben, hogy a „beépített adatvédelem” elvén alapuló termékeket és szolgáltatásokat fejlesszenek ki, valamint kötelezzék a szervezeteket, hogy nyomon kövessék döntéseiket és profilalkotásukat automatizált döntéshozatali rendszerek, amelyek kérésre elmagyarázzák.
Az AIDA , a mesterséges intelligencia (AI) változó és gyorsan fejlődő környezetére reagáló új szabályozás új törvényeket ír elő az AI-rendszerek használatára vonatkozóan. Ezért, ha Kanadában folytat üzleti tevékenységet, fontos, hogy már most elkezdjen gondolkodni azon, hogy vállalata hogyan használja az AI-t, és milyen intézkedéseket tesz a felhasználók magánéletének és személyes adatainak védelme érdekében. A korábbi adatvédelmi törvényekhez hasonlóan az AIDA megköveteli, hogy magyarázza el, milyen adatokat gyűjt, hogyan gyűjti azokat, és hogy az egyének hozzáférést kérhetnek ezekhez az adatokhoz. El kell magyarázniuk az algoritmus működését, és hajlandónak kell lenniük az információk átlátható módon történő közzétételére. Ez vonatkozik az AI-rendszereket használó külső szolgáltatókra is.
A C-27 törvényjavaslat jelenleg a második olvasatban van, és valószínűleg több változtatáson is átmennek majd, mielőtt hivatalosan törvénybe kerülne.
Más kanadai államok követik a példát az AI-rendszerek szabályozásában:
Május óta a kanadai adatvédelmi biztosok és szövetségi szinten Quebec, British Columbia és Alberta adatvédelmi biztosai közösen indítottak vizsgálatot a mesterséges intelligenciával működő ChatGPT chatbot mögött álló OpenA I vállalattal szemben.
Többek között azt vizsgálja, hogy az OpenAI megszerezte-e érvényes és megfelelő hozzájárulását ahhoz, hogy a ChatGPT a kanadai lakosok személyes adatait gyűjtse és felhasználja, eleget tett-e átláthatósági és elszámoltathatósági kötelezettségeinek, valamint hogy a gyűjtött személyes adatok a meghatározott, ill. a tervezett célok a szükséges mértékben korlátozódnak.
Philippe Dufresne, Kanada adatvédelmi biztosának nyilatkozata azt jelzi, hogy Kanada hajlandó az olyan fejlődő technológiák, mint a mesterséges intelligencia terén a görbe előtt maradni, miközben előtérbe helyezi a magánélet védelmét.
„A mesterséges intelligencia és annak a magánéletre gyakorolt hatása olyan globális problémák, amelyek kulcsfontosságúak a kanadai és az egész világ adatvédelmi szabályozói számára. Szabályozóként lépést kell tartanunk a gyors technológiai fejlődéssel, és előttünk kell maradnunk a kanadaiak alapvető személyiségi jogainak védelme érdekében.”
Forrás:
https://www.priv.gc.ca/en/opc-news/news-and-announcements/2023/an_230525-2/
A kanadai székhelyű vállalatok már elindulhatnak azon az úton, hogy teljes körűen megfeleljenek a Conventionmanager követelményeinek. Csak kattintson ide, hogy megtekinthesse dedikált kanadai megfelelőségi oldalunkat.