Toestemming van de CPPA: wat zijn de belangrijkste vereisten?

De Canadese CPPA, Wet bescherming consumentenprivacy, is momenteel in tweede lezing in het Lagerhuis als wetsvoorstel C-27. De volledige tekst is al beschikbaar. Het kan echter nog aanzienlijke veranderingen ondergaan.

Een van de meest interessante aspecten van de nieuwe Canadese privacywet heeft zeker betrekking op de toestemming van personen, die de primaire basis zou vormen voor veel activiteiten met betrekking tot het verzamelen en verwerken van persoonsgegevens door organisaties.

In deze korte gids overlopen we de belangrijkste vereisten met betrekking tot CPPA-toestemming, zodat u klaar bent wanneer de wet van kracht wordt!

Toestemming krachtens de wet op de bescherming van de persoonlijke levenssfeer van de consument

Volgens de Canadese Consumer Privacy Protection Act moet u, als u persoonlijke informatie verzamelt, gebruikt en/of bekendmaakt, de uitdrukkelijke en geldige toestemming van uw gebruikers verkrijgen.

U moet toestemming vragen op of voor het tijdstip waarop de persoonsgegevens worden verzameld, en u moet een “duidelijke taal” gebruiken die gebruikers gemakkelijk kunnen begrijpen.

Wil de toestemming geldig zijn, dan moeten de gebruikers worden geïnformeerd over:

👉 welke persoonsgegevens u zult verzamelen, verwerken of openbaar maken;
👉 de wijze waarop de verzameling, het gebruik en de bekendmaking plaatsvinden;
👉 uw doel achter deze activiteiten;
👉 een beoordeling van de “redelijkerwijs voorzienbare” gevolgen van de verzameling, het gebruik of de openbaarmaking;
👉 de categorieën of de identiteit van derden aan wie persoonsgegevens kunnen worden bekendgemaakt.

Zodra u de toestemming van uw gebruikers hebt, mag u hun persoonlijke informatie alleen gebruiken voor de door u beschreven doeleinden en moet u hen ook een manier geven om hun toestemming te allen tijde in te trekken.

Als u bovendien toestemming verzamelt via “misleidende of bedrieglijke praktijken”, zoals dark patterns, wordt die toestemming als ongeldig beschouwd.

Toestemming onder CPPA vs. PIPEDA

De CPPA bouwt voort op de PIPEDA, die organisaties ook verplicht om uitdrukkelijke toestemming te verkrijgen alvorens persoonsgegevens te verwerken.

Met de CPPA moeten bedrijven personen echter meer specifieke details verstrekken over de verzameling en verwerking van gegevens, zoals hierboven reeds is vermeld.

Bovendien verdiept de CPPA het begrip impliciete toestemming en verstrekt zij in dit verband aanvullende informatie. Wij lichten dit punt toe in de volgende paragraaf.

Zijn er uitzonderingen op de toestemming krachtens de CPRA (wijziging van de CCPA)?

Ja, de nieuwe Canadese privacywet voorziet in enkele uitzonderingen op toestemming.

Hier zijn enkele gevallen waarin u de toestemming van uw gebruikers niet nodig zou hebben:

de verzameling of het gebruik geschiedt ten behoeve van een zakelijke activiteit en:
- de gebruikers verwachten dat hun gegevens in het kader van een dergelijke bedrijfsactiviteit worden verzameld of gebruikt; en
- Persoonlijke informatie wordt niet verzameld of gebruikt om het gedrag of de beslissingen van de betrokkene te beïnvloeden;
de verzameling of het gebruik geschiedt in het legitieme belang van uw bedrijf, dat zwaarder weegt dan de mogelijke gevolgen voor het individu.

Als zakelijke activiteiten in de zin van de CPPA worden beschouwd:

noodzakelijk om een product of dienst te leveren die de gebruikers bij uw bedrijf hebben aangevraagd;
noodzakelijk voor de beveiliging van uw bedrijfsinformatie, systeem of netwerk;
noodzakelijk voor de veiligheid van een product of dienst die uw bedrijf levert.

✉️

Bij iubenda volgen we de ontwikkelingen van CPPA op de voet.

Mis het laatste nieuws niet, meld je hier aan voor updates

About us

Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.

www.iubenda.com

Heb je nog vragen?

Volg een van onze gratis webinars Stuur ons een e-mail Live chat

Documentatie