De Canadese CPPA, Wet bescherming consumentenprivacy, is momenteel in tweede lezing in het Lagerhuis als wetsvoorstel C-27. De volledige tekst is al beschikbaar. Het kan echter nog aanzienlijke veranderingen ondergaan.
Een van de meest interessante aspecten van de nieuwe Canadese privacywet heeft zeker betrekking op de toestemming van personen, die de primaire basis zou vormen voor veel activiteiten met betrekking tot het verzamelen en verwerken van persoonsgegevens door organisaties.
In deze korte gids overlopen we de belangrijkste vereisten met betrekking tot CPPA-toestemming, zodat u klaar bent wanneer de wet van kracht wordt!
Volgens de Canadese Consumer Privacy Protection Act moet u, als u persoonlijke informatie verzamelt, gebruikt en/of bekendmaakt, de uitdrukkelijke en geldige toestemming van uw gebruikers verkrijgen.
U moet toestemming vragen op of voor het tijdstip waarop de persoonsgegevens worden verzameld, en u moet een “duidelijke taal” gebruiken die gebruikers gemakkelijk kunnen begrijpen.
👉 welke persoonsgegevens u zult verzamelen, verwerken of openbaar maken;
👉 de wijze waarop de verzameling, het gebruik en de bekendmaking plaatsvinden;
👉 uw doel achter deze activiteiten;
👉 een beoordeling van de “redelijkerwijs voorzienbare” gevolgen van de verzameling, het gebruik of de openbaarmaking;
👉 de categorieën of de identiteit van derden aan wie persoonsgegevens kunnen worden bekendgemaakt.
Zodra u de toestemming van uw gebruikers hebt, mag u hun persoonlijke informatie alleen gebruiken voor de door u beschreven doeleinden en moet u hen ook een manier geven om hun toestemming te allen tijde in te trekken.
Als u bovendien toestemming verzamelt via “misleidende of bedrieglijke praktijken”, zoals dark patterns, wordt die toestemming als ongeldig beschouwd.
De CPPA bouwt voort op de PIPEDA, die organisaties ook verplicht om uitdrukkelijke toestemming te verkrijgen alvorens persoonsgegevens te verwerken.
Met de CPPA moeten bedrijven personen echter meer specifieke details verstrekken over de verzameling en verwerking van gegevens, zoals hierboven reeds is vermeld.
Bovendien verdiept de CPPA het begrip impliciete toestemming en verstrekt zij in dit verband aanvullende informatie. Wij lichten dit punt toe in de volgende paragraaf.
Ja, de nieuwe Canadese privacywet voorziet in enkele uitzonderingen op toestemming.
Hier zijn enkele gevallen waarin u de toestemming van uw gebruikers niet nodig zou hebben:
Als zakelijke activiteiten in de zin van de CPPA worden beschouwd:
Mis het laatste nieuws niet, meld je hier aan voor updates
Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.