Kanada PIPEDA Uyumluluğu: Dijital İşletmeler için Gizlilik Kılavuzu

Kanada'nın, Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası (PIPEDA) temel alınarak oluşturulan özel sektör kuruluşlarına yönelik gizlilik çerçevesi, yasanın yürürlüğe girdiği 2004 yılından bu yana en önemli dönüşümünü yaşıyor. PIPEDA federal standart olmaya devam ederken, Quebec Yasası 25 (2021-2023'te yeniden düzenlenen Özel Sektörde Kişisel Bilgilerin Korunmasına Saygı Yasası) Kanada eyalet gizliliği için yeni bir standart belirledi ve teklif edilen federal Tüketici Gizliliğini Koruma Yasası (CPPA) sonunda PIPEDA'nın yerini daha güçlü, GDPR'den etkilenen bir çerçeve alacak.

Kanada'nın mevcut katmanlı gizlilik çerçevesini (federal PIPEDA, Quebec, Alberta ve British Columbia'daki eyalet yasaları ve Quebec Yasası 25) anlamak, Kanadalı tüketicilere hizmet veren veya faaliyet gösteren tüm dijital işletmeler için çok önemlidir.

Önemli Çıkarımlar

• PIPEDA, ticari faaliyetler sırasında kişisel bilgileri toplayan, kullanan veya ifşa eden özel sektör kuruluşları için geçerlidir - ülke dışı uygulamayla
• Quebec Yasası 25 (Eylül 2023'te tamamen yürürlüğe girmiştir) PIPEDA'dan daha katıdır ve GDPR'ye benzer onay, haklar ve değerlendirme gereklilikleri içerir
• PIPEDA uyumluluğunu düzenleyen On Adil Bilgi İlkesi (CAN/CSA Standardı Q830'dan)
• PIPEDA'nın zorunlu ihlal bildirimi, "gerçek bir ciddi zarar riski" belirlendikten sonra 72 saat içinde OPC'ye rapor verilmesini ve bireylere bildirim yapılmasını gerektirir.
• Tüketici Gizliliğini Koruma Yasası (CPPA) sonunda PIPEDA'nın yerini alacak — yasalaşmayı izle
• Gizlilik Komiserliği Ofisi (OPC) uygunluğu araştırabilir ve önerebilir ancak doğrudan para cezası uygulayamaz — C-27 Tasarısı bunun değiştirilmesini önermektedir
• Quebec'in Bilgi Komisyonu (CAI), Kanun 25 kapsamında dünya çapındaki cironun %4'üne veya 25 milyon CAD'ye kadar para cezası uygulayabilir
• PIPEDA kapsamındaki rıza anlamlı olmalıdır, ancak PIPEDA uygun bağlamlarda hem açık hem de zımni rızayı tanır

---

Kanada Gizlilik Çerçevesine Genel Bakış

Federal: PIPEDA

PIPEDA (Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası, 2004), Kanada'nın federal özel sektör gizlilik yasasıdır. Aşağıdakiler için geçerlidir:

• federal olarak düzenlenen sektörlerdeki özel sektör kuruluşları (bankacılık, telekomünikasyon, iller arası ulaşım, yayıncılık) — ilden bağımsız olarak
• büyük ölçüde benzer il mevzuatı bulunmayan tüm illerdeki özel sektör kuruluşları — ticari faaliyetler sırasında toplanan, kullanılan veya açıklanan bilgiler için

Muaf tutulan yargı bölgeleri: Quebec, Alberta ve British Columbia'da PIPEDA'ya büyük ölçüde benzer olduğu düşünülen eyalet yasaları vardır. Bu illerde PIPEDA hâlâ federal olarak düzenlenen faaliyetler ve iller arası/sınır ötesi akışlar için geçerlidir. Quebec Kanunu 25 buna ek olarak başka gereklilikler de ekliyor.

Eyalet Kanunları

Quebec (Özel Sektörde Kişisel Bilgilerin Korunmasına İlişkin Kanun, Kanun 25): Quebec'te bir işletmeyi yürütürken kişisel bilgi toplayan işletmeler için geçerlidir. Kanun 25 reformları (2022-2023 aşamalarında uygulandı), Quebec'in gereksinimlerini PIPEDA'nın ötesinde önemli ölçüde güçlendirdi.

Alberta (Kişisel Bilgilerin Korunması Yasası — PIPA): PIPEDA'ya büyük ölçüde benzer; Alberta merkezli özel kuruluşların il faaliyetleri için geçerlidir.

Britanya Kolumbiyası (Kişisel Bilgilerin Korunması Yasası — PIPA BC): Benzer çerçeve; BC merkezli özel kuruluşların il faaliyetleri için geçerlidir.

Ontario, Manitoba, Saskatchewan: Büyük ölçüde benzer bir eyalet kanunu yok — PIPEDA geçerlidir.

Önerilen Tüketici Gizliliğini Koruma Yasası (CPPA)

C-27 Tasarısı (Haziran 2022'de uygulamaya konulan yasa teklifi), PIPEDA'nın yerine aşağıdakileri koyarak Tüketici Gizliliğini Koruma Yasasını yürürlüğe koyacaktır:

• GDPR'den etkilenen izin gereksinimleri
• Algoritmik şeffaflık ve otomatik karar verme hakları
• Veri hareketliliği hakları
• Önemli ölçüde artırılmış cezalar: küresel gelirin %3'üne kadar veya 10 milyon CAD (Kademe 1)'e kadar; Küresel gelirin %5'i veya 25 milyon Kanada Doları (Kademe 2)
• OPC kararlarını karara bağlayacak bağımsız bir Gizlilik Mahkemesi
• Çocukların gizliliğinin açıkça korunması

2026 yılı başı itibarıyla CPPA yasalaşmamıştır. İşletmeler mevzuattaki ilerlemeyi izlemeli ve yasalaştığında yeni çerçeveye uyarlanabilecek uyum programları tasarlamalıdır.

---

PIPEDA'nın On Adil Bilgilendirme İlkesi

PIPEDA, Kanada Standartlar Birliği'nin Kişisel Bilgilerin Korunmasına İlişkin Model Kodundaki (CAN/CSA Q830) on ilke üzerine kurulmuştur:

PIPEDA uyarınca onay: İlke 3 anlamlı bir onay gerektirir; bireyler neye izin verdiklerini anlamalıdır. Rıza açık (açık, yazılı veya sözlü) veya zımni (amacın açık olduğu ve bireyin makul olarak bunu beklediği durumlarda) olabilir. Zımni onay, daha az hassas bilgiler ve daha düşük riskli kullanımlar için uygundur. Hassas bilgiler ve bireylerin bekleyemeyeceği kullanımlar için açık onay gereklidir.

OPC sürekli olarak "paketlenmiş rızanın" (birden fazla amaç için tek bir onay kutusu) ve "varsayılan rızanın" (veri uygulamalarını yoğun şart ve koşullara gömmek) anlamlı rıza teşkil etmediğini tespit etmiştir.

---

Quebec Yasası 25: Daha Güçlü Gereksinimler

Quebec Yasası 25 (Kişisel Bilgilerin Korunmasına İlişkin Yasal Hükümleri Modernleştirme Yasası), Kanada'daki en önemli eyalet gizlilik reformunu temsil etmektedir. Üç aşamada uygulandı:

1. Aşama (Eylül 2022): Zorunlu ihlal bildirimi, yönetim gereksinimleri, gizlilik görevlisinin atanması, saklama planı politikaları

2. Aşama (Eylül 2023): Gizlilik etki değerlendirmeleri, yeni bireysel haklar (erişim, düzeltme, taşınabilirlik, profil oluşturmaya itiraz), izin standartları, otomatik karar alma için şeffaflık gereksinimleri

Aşama 3 (Eylül 2023, devamı): Veri taşınabilirliği hakları, indeksten çıkarma hakları (unutulma hakkı), sınır ötesi aktarım koruması etki değerlendirmeleri

Temel Kanun PIPEDA'nın Ötesinde 25 Gereksinim

Gizlilik etki değerlendirmeleri (PIA'lar): Kişisel bilgilerin toplanmasını, kullanılmasını veya iletilmesini içeren herhangi bir projeden önce gereklidir. Yüksek riskli projeler için PIA'nın CAI'ye iletilmesi gerekir.

Sınır ötesi aktarım PIA'ları: Kişisel bilgileri Quebec dışına iletmeden önce, kuruluşların CAI tarafından belirlenen kriterleri kullanarak bir gizlilik koruma etki değerlendirmesi yapması gerekir. Bunda bilginin hassasiyeti, varış yerindeki yasal korumalar ve bilgiyi korumak için uygulanacak önlemler dikkate alınmalıdır.

Dizinden çıkarma hakkı (unutulma hakkı): Kişiler, kişisel bilgileri yayan, adlarına eklenmiş hiper bağlantıların kaldırılmasını şu durumlarda talep edebilir: bilgiler artık doğru değilse, kişi reşit değilse veya indeksleme için meşru bir gerekçe yoksa.

Otomatik karar verme şeffaflığı: Kişisel bilgilerin yalnızca otomatik olarak işlenmesine dayalı bir kararın yasal veya önemli sonuçlar doğuracak şekilde verildiği durumlarda, bireyler bilgilendirilmeli ve kişilerin incelemesini talep etme hakkına sahip olmalıdır.

Rıza standartları: Rıza açık, özgürce verilmiş ve bilgilendirilmiş olmalıdır. Her özel amaç için talep edilmelidir. Quebec için örtülü onay genellikle yeterli değildir; açık, olumlu ayrımcılık gereklidir.

Cezalar: CAI, Yasa 25'in ciddi şekilde ihlal edilmesi durumunda 25 milyon Kanada Dolarına kadar veya dünya çapındaki cironun %4'üne (hangisi daha yüksekse) kadar para cezası uygulayabilir. CAI, uygulamaya başladı ve ilk ceza kararlarını verdi.

---

PIPEDA Kapsamında Zorunlu İhlal Raporlaması

PIPEDA kapsamındaki (1 Kasım 2018'den bu yana yürürlükte olan) zorunlu ihlal raporlama gereklilikleri, güvenlik önlemlerinin ihlali bireyler için "gerçek bir ciddi zarar riski" oluşturduğunda geçerlidir.

Önemli zarar şunları içerir: bedensel zarar, aşağılama, itibarın zedelenmesi, iş kaybı, iş veya mesleki fırsatlar, mali kayıp, kimlik hırsızlığı, kredi sicilinde olumsuz etkiler ve ilişkilerde hasar veya güven kaybı.

Raporlama gereksinimleri:

1. OPC'ye rapor verin: Ciddi bir zarara ilişkin gerçek bir risk belirlendikten sonra mümkün olan en kısa sürede. OPC'nin Veri İhlali Bildirim Formunu kullanın.

2. Etkilenen bireyleri bilgilendirin: OPC raporlamasıyla aynı zamanda veya mümkün olan en kısa sürede. Bildirim:

• İhlalin koşullarını açıklayın
• Hangi kişisel bilgilerin dahil olduğunu belirleyin
• İhlalin giderilmesi için atılan adımları açıklayın
• Etkilenen bireylerin kendilerini korumak için neler yapabileceklerini açıklayın
• Kuruluşun iletişim bilgilerini sağlayın

3. Diğer kuruluşlara haber verin: Başka bir kuruluşun zarar riskini azaltabileceği durumlarda (ör. kredi büroları, kolluk kuvvetleri) onları bilgilendirin.

Kayıt tutma: Tüm ihlallerin kayıtlarını (ciddi bir zarara ilişkin gerçek bir riskin belirlenip belirlenmediğine bakılmaksızın) 24 ay boyunca saklayın. OPC bu kayıtları talep edebilir.

Quebec Yasası 25'in ihlal gereksinimleri: Quebec'teki işletmeler için Quebec'in kendi bildirim gereksinimleri geçerlidir. Yasa 25, CAI'nin öngördüğü formu kullanarak, zarar verme riski taşıyan kişisel bilgileri içeren bir gizlilik olayının farkına varılmasından sonraki 72 saat içinde CAI'ye bildirimde bulunulmasını gerektirir.

---

Veri Aktarımı ve Sorumluluk

PIPEDA'nın hesap verebilirlik ilkesi (İlke 1) üçüncü taraf veri işlemeyi de kapsar: kuruluşlar, işlenmek üzere üçüncü taraflara aktarıldığı durumlar da dahil olmak üzere, kendi gözetimlerinde bulunan kişisel bilgilerden sorumludur. İşleyicilerle yapılan sözleşmeler karşılaştırılabilir bir koruma sağlamalıdır.

Sınır ötesi aktarımlar: PIPEDA, sınır ötesi veri aktarımlarını yasaklamaz ancak kuruluşların yurt dışına aktarıldığında kişisel bilgilerinin sorumluluğunu üstlenmesini gerektirir. Karşılaştırılabilir koruma sağlamak için sözleşmeye dayalı anlaşmaları kullanın. OPC'nin yönergeleri, verilerin aktarılabileceği ülkelerin belgelenmesini önermektedir.

Quebec Kanunu 25 sınır ötesi kısıtlamalar: Quebec, varış yeri korumaları, bilgilerin hassasiyeti ve uygulanan güvenlik önlemleri dikkate alınarak, şehir dışı herhangi bir aktarımdan önce belgelenmiş bir Gizlilik Etki Değerlendirmesi gerektiren daha katı bir sınır ötesi aktarım çerçevesi uygulamaktadır.

---

Gizlilik Yönetimi Programı

OPC yönergeleri, PIPEDA uyumluluğunun temeli olarak kapsamlı bir gizlilik yönetimi programının uygulanmasını önerir:

1. Gizlilik yönetimi:

• Uygun yetki ve uzmanlığa sahip bir Gizlilik Görevlisi atayın
• Gizlilik politikalarını ve prosedürlerini geliştirmek ve uygulamak
• Açık hesap verebilirliğe sahip bir gizlilik yönetim yapısı oluşturun

2. Risk yönetimi:

• Yeni veya değiştirilmiş programlar, sistemler ve faaliyetler için Gizlilik Etki Değerlendirmeleri (PIA'lar) yürütmek
• Gizlilik riskleri için bir risk kaydı tutun
• Gizlilik incelemesini ürün geliştirme ve BT değişiklik yönetimine entegre edin

3. Politika çerçevesi:

• Gizlilik Politikası (halka açık)
• Veri Saklama ve İmha Politikası
• İhlal Müdahale Prosedürü
• Üçüncü Taraf Satıcı Yönetim Politikası
• Çalışan Gizlilik Politikası

4. Eğitim ve farkındalık:

• Tüm çalışanlar için yıllık gizlilik eğitimi
• Kişisel bilgileri rutin olarak işleyenler için role özel eğitim
• Yeni çalışanlara işe alım sırasında eğitim verilmesi

5. İzleme ve doğrulama:

• Düzenli gizlilik denetimleri
• PIA'ların periyodik olarak gözden geçirilmesi ve güncellenmesi
• Gizlilik politikalarının yıllık incelemesi
• OPC, CAI ve eyalet gizlilik komisyon üyelerinin düzenleyici rehberlerinin izlenmesi

---

OPC Yaptırım ve Şikayet Süreci

OPC (Kanada Gizlilik Komiserliği Ofisi), öncelikle PIPEDA kapsamında bir ombudsman olarak faaliyet göstermektedir; şikayetleri araştırır ve tavsiyelerde bulunur, ancak doğrudan para cezası uygulayamaz. Mevcut PIPEDA uyarınca OPC tavsiyelerine uymak yasal olarak zorunlu değildir, ancak OPC bulgularını uygulayan bir mahkeme kararı için Federal Mahkemeye başvurabilir.

Şikayet süreci:

1. Kişi şikayetini kuruluşa iletir (önerilen ilk adım)
2. Kişi şikayetini OPC'ye iletir (önceden kuruluşla iletişime geçmek gerekmez)
3. OPC erken çözüme ulaşmaya çalışır; başarısız olursa resmi soruşturmaya geçilir
4. OPC bulgularını ve önerilerini yayınlar
5. OPC, uyum gerektiren emirler için Federal Mahkemeye başvurabilir

Mahkeme emirleri uygulamaları değiştirme, bilgileri yok etme, bildirim yayınlama ve tazminat ödeme gerekliliklerini içerebilir.

OPC, önerilen CPPA kapsamında genişletme yetkisi veriyor: C-27 Tasarısı, OPC'ye, Gizlilik Mahkemesi aracılığıyla uygulanabilecek idari para cezalarını doğrudan uygulama yetkisi verecek. Cezalar 25 milyon dolara veya küresel gelirin %5'ine ulaşacak.

---

PIPEDA/Law 25 Uyumluluk Kontrol Listesi

• Federal uygulanabilirlik belirlendi (PIPEDA vs. sektör ve ile il bazında eyalet kanunu)
• Quebec Yasası 25'in uygulanabilirliği değerlendirildi (Quebec'te iş sırasında kişisel bilgileri toplayan kurumsal)
• Gizlilik Görevlisi belirlenmiş ve yetkilendirilmiştir
• Gizlilik Politikası yayınlandı, güncel, erişilebilir
• Toplamanın makul olarak gerekli olanla sınırlı olması (Prensip 4)
• Onay alındı: hassas bilgiler için ifade edildi; hassas olmayanlar için anlamlıdır
• Onay kayıtları tutuldu
• Yeni projeler için yürütülen PIA'lar (Yasa 25 zorunludur; OPC, PIPEDA için tavsiye eder)
• Sınır ötesi transfer değerlendirmesi tamamlandı (Yasa 25: İl dışı transferden önce PIA gereklidir)
• İşleyici/satıcı sözleşmeleri karşılaştırılabilir koruma gereklilikleri içerir
• Veri saklama planı belgelendi ve uygulandı
• Erişim talebi prosedürü belgelendi (30 günlük yanıt)
• Düzeltme talebi prosedürü belgelendi
• İhlal müdahale prosedürünün belgelenmesi (OPC raporu + bireysel bildirim)
• İhlal kayıtları tutulur (24 ay)
• Quebec operasyonları için CAI ihlal bildirim prosedürü (72 saatlik ön)
• Çalışan eğitimi tamamlandı ve belgelendi
• Otomatik karar verme şeffaflığının uygulanması (Yasa 25)

---

Sıkça Sorulan Sorular

PIPEDA, Kanadalı müşterilere hizmet veren ABD şirketim için geçerli mi?

PIPEDA, ticari faaliyetler sırasında kişisel bilgileri toplayan, kullanan veya ifşa eden kuruluşlar için geçerlidir. ABD şirketinizin Kanadalı tüketicilere hizmet veren bir web sitesi varsa ve onların kişisel bilgilerini topluyorsa, PIPEDA muhtemelen özellikle bu bilgilerin toplanması ve kullanılması konusunda geçerli olacaktır. Quebec Kanunu 25, "Quebec'te bir işletme yürüten" işletmeler için geçerlidir; bu, ticari amaçla Quebec sakinlerinin erişebileceği bir web sitesinin bulundurulmasını da içerebilir. OPC, Kanadalı olmayan şirketleri, Kanada'da ikamet edenlerin verilerini içeren PIPEDA ihlalleri açısından araştırdı.

PIPEDA ile Quebec Kanunu 25 arasındaki fark nedir?

Quebec Yasası 25, birkaç temel alanda genel olarak PIPEDA'dan daha katıdır: (1) Onay: Yasa 25, çoğu işleme için açık, özel onay gerektirir - PIPEDA, hassas olmayan bilgiler için zımni onaya izin verir; (2) Sınır ötesi aktarımlar: Kanun 25, il dışı aktarımlardan önce resmi bir Gizlilik Etki Değerlendirmesi yapılmasını gerektirir; PIPEDA hesap verebilirlik gerektirir ancak belirlenmiş bir değerlendirme formatı yoktur; (3) Haklar: Kanun 25, indekslemeden çıkarma, taşınabilirlik ve profil çıkarmaya itiraz hakkını içerir — PIPEDA'nın hakları daha sınırlıdır; (4) Uygulama: Kanun 25, CAI'nin 25 milyon dolara kadar veya dünya çapındaki cironun %4'üne kadar para cezası uygulamasına izin vermektedir; PIPEDA'nın OPC'si yalnızca mahkeme kararı isteyebilir; (5) Gizlilik etki değerlendirmeleri: Yeni projeler için Kanun 25 kapsamında zorunludur; PIPEDA kapsamında tavsiye edilir ancak zorunlu değildir.

E-postayla pazarlama için PIPEDA kapsamında izin nasıl çalışır?

PIPEDA'nın e-posta pazarlamasına yönelik onayı aynı zamanda PIPEDA ile birlikte faaliyet gösteren Kanada'nın Anti-Spam Mevzuatına (CASL) tabidir. CASL, bir muafiyet geçerli olmadığı sürece (mevcut iş ilişkisi, önceden açık onay) ticari elektronik iletiler gönderilmeden önce açık onay gerektirir. Açık rızanın etkinleştirilmesi gerekir (önceden işaretlenmiş kutular değil). Mevcut bir iş ilişkisi, CASL kapsamında işlemden sonraki 2 yıl boyunca zımni onay oluşturur. PIPEDA İlke 3 uyarınca, pazarlamaya yönelik anlamlı onayın amacı açıkça tanımlaması gerekir. CASL'nin ticari e-postaya yönelik özel gereklilikleri, ihtilaf durumunda PIPEDA'yı geçersiz kılar; CASL ile uyumluluk genellikle PIPEDA'nın e-postayla pazarlama amaçlarına yönelik izin gerekliliklerini karşılar.

Gizlilik Etki Değerlendirmesi (PIA) ne zaman gereklidir?

PIPEDA kapsamında, kişisel bilgileri içerecek yeni programlar veya sistemler için PIA'lar OPC tarafından şiddetle tavsiye edilmektedir ancak yasal olarak zorunlu değildir. Quebec Kanunu 25 uyarınca, kişisel bilgilerin toplanması, iletilmesi veya kullanılmasıyla ilgili herhangi bir projenin gerçekleştirilmesinden önce ve kişisel bilgilerin Quebec dışına iletilmesinden önce PIA'lar zorunludur. CAI, PIA yönergelerini yayınlar ve şablonlar sağlar. Federal hükümet dairelerinin ayrıca Kanadalıların kişisel bilgilerini kullanan programlar için PIA'lar yürütmesi gerekmektedir. Pratik olarak PIA'lar, önemli kişisel veri toplamayı içeren herhangi bir yeni ürün, özellik veya iş süreci için standart uygulama olmalıdır.

Quebec Yasası 25 uyarınca "unutulma hakkı" nedir?

Quebec Yasası 25, bazen unutulma hakkı veya unutulma hakkı olarak da adlandırılan indeksten çıkarma hakkını içerir. Kişiler, yayılımın kendilerine zarar vermesi ve yasaları ihlal etmesi halinde; aşırıdır, konuyla ilgili değildir veya yasa dışı toplamaya konu olmuştur; artık toplanma amaçlarıyla alakalı değilse; veya kişi reşit değilse. Bu, GDPR'nin silme hakkından farklıdır; yalnızca temeldeki verilerin silinmesini değil, özellikle hiper bağlantıların indeksinin kaldırılmasını hedefler.

---

Sonraki Adımlar

Kanada'nın gizlilik ortamı dışarıdan göründüğünden daha karmaşıktır; federal PIPEDA, Quebec Yasası 25, eyalet PIPA yasaları ve önerilen CPPA reformu katmanlı bir uyumluluk ortamı oluşturur. Kanada'da faaliyet gösteren veya kullanıcıları olan dijital işletmeler için, temel olarak PIPEDA'yı ve en yüksek çıta olarak Kanun 25'i karşılayan kapsamlı bir gizlilik programı oluşturmak en etkili yaklaşımdır.

ECOSIRE ekibi, işletmelerin Kanada'nın gizlilik gereksinimlerinde gezinmesine, tasarıma göre gizlilik içeren dijital platformlar tasarlamasına ve hem PIPEDA hem de Quebec Yasası 25 gerekliliklerini karşılayan izin yönetimi sistemlerini uygulamasına yardımcı olur.

Daha fazla bilgi edinin: ECOSIRE Hizmetleri

Yasal Uyarı: Bu kılavuz yalnızca bilgilendirme amaçlıdır ve yasal tavsiye niteliğinde değildir. Kanada gizlilik yasası, federal mevzuat ve Quebec Yasası 25'in uygulanması yoluyla gelişmektedir. Kuruluşunuza özel tavsiyeler için Kanada'daki nitelikli hukuk müşavirine danışın.