Im Jahr 2020 brachte der Gesetzgeber in Quebec das Gesetz 64 ein. Am 22. September 2021 wurde es als Gesetz 25 verabschiedet und markiert den Beginn einer deutlichen Modernisierung der kanadischen Datenschutzlandschaft.
In diesem Leitfaden führe ich Sie durch das Gesetz 25 von Quebec, damit Sie feststellen können, ob es auf Ihr Unternehmen zutrifft und welche Schritte Sie unternehmen müssen, um die Einhaltung der Vorschriften zu gewährleisten.
- Was sind der Gesetzentwurf 64 und das Gesetz 25 in Quebec?
- Das Gesetz von Quebec 25 Wichtige Begriffe und Definitionen
- Für wen gilt das Gesetz 25 von Quebec?
- Wen schützt das Gesetz 25 von Quebec?
- Gesetz 25 Bestimmungen, die im September 2022 in Kraft getreten sind
- Gesetz 25 Bestimmungen, die im September 2023 in Kraft getreten sind
- Gesetz 25 Bestimmungen, die im September 2024 in Kraft getreten sind
- Wie kann Termly bei der Einhaltung des Datenschutzes helfen?
- Zusammenfassung
Was sind der Gesetzentwurf 64 und das Gesetz 25 in Quebec?
Die Gesetzesvorlage 64 wurde in der Provinz Quebec eingeführt, um den Schutz der Privatsphäre in Bezug auf persönliche Daten zu modernisieren. Nach seiner Verabschiedung wurde es als Gesetz 25 bekannt.
Es schafft neue Anforderungen für Unternehmen, einschließlich neuer Überlegungen zum Schutz der personenbezogenen Daten von Einwohnern Quebecs, zur Ernennung von Datenschutzbeauftragten und zur Durchführung von Datenschutz-Folgenabschätzungen (PIAs).
Wann tritt das Gesetz 25 von Quebec in Kraft?
Quebecs Gesetzentwurf 64 wurde im September 2021 unter dem Namen "Gesetz 25" verabschiedet.
Die Bestimmungen treten in einem gestaffelten Dreijahreszeitraum in Kraft. Einige sind bereits in Kraft und gelten seit September 2022.
Weitere Teile des Gesetzes traten am 22. September 2023 und erneut im September 2024 in Kraft.
Das Gesetz von Quebec 25 Wichtige Begriffe und Definitionen
Es gibt einige Schlüsselbegriffe und Definitionen, die im Gesetz 25 von Quebec beschrieben sind und die Unternehmen verstehen müssen, um die neuen Datenschutzrichtlinien einzuhalten. Ich werde diese jetzt kurz erläutern.
Gesetz 25 verwendet die Definition des Begriffs "personenbezogene Daten", wie sie im Gesetz über den privaten Sektor von Quebec enthalten ist, das besagt:
Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen und die Identifizierung dieser Person ermöglichen.
Gemäß Teil 15 des Gesetzes 25 bedeutet "Vertraulichkeitsvorfall":
- (1) Gesetzlich nicht zugelassener Zugriff auf personenbezogene Daten;
- (2) gesetzlich nicht erlaubte Verwendung personenbezogener Daten;
- (3) gesetzlich nicht genehmigte Freigabe personenbezogener Daten; oder
- (4) Verlust personenbezogener Daten oder eine andere Verletzung des Schutzes dieser Daten.
Gesetz 25 definiert "Profiling" in Teil 19 wie folgt:
"...die Erhebung und Verwendung personenbezogener Daten zur Beurteilung bestimmter Eigenschaften einer natürlichen Person, insbesondere zur Analyse ihrer beruflichen Leistungsfähigkeit, ihrer wirtschaftlichen Lage, ihres Gesundheitszustands, ihrer persönlichen Vorlieben, Interessen oder ihres Verhaltens."
Für wen gilt das Gesetz 25 von Quebec?
Das Gesetz 25 gilt für Unternehmen und kleine bis mittlere Betriebe, die in Québec Waren verkaufen oder Dienstleistungen anbieten, sowie für Unternehmen, die sich an in Québec ansässige Personen richten, unabhängig von ihrem Standort.
Der sachliche Geltungsbereich des Gesetzes umfasst auch personenbezogene Daten, die im Besitz eines Berufsverbandes im Sinne des Berufsgesetzes (Kapitel C-26) sind.
Gesetz 25 gilt nicht für journalistisches, historisches oder genealogisches Material, das zur rechtmäßigen Information der Öffentlichkeit gesammelt, aufbewahrt, verwendet oder weitergegeben wird.
Sie gilt auch nicht für eine öffentliche Einrichtung oder für Informationen, die im Namen einer öffentlichen Einrichtung von einer anderen Person als der öffentlichen Einrichtung aufbewahrt werden.
Wen schützt das Gesetz 25 von Quebec?
Das Gesetz 25 von Québec schützt die persönlichen Daten der Bürger von Québec, CA.
Außerdem werden ihre Rechte in Bezug auf die Erhebung und Verwendung dieser Daten dargelegt.
Gesetz 25 Bestimmungen, die im September 2022 in Kraft getreten sind
Im September 2022 traten die folgenden, im Gesetz 25 festgelegten Bestimmungen in Kraft:
- Ernennung eines Datenschutzbeauftragten: Diese obligatorische Bestimmung in Abschnitt 3.1 des Gesetzes besagt, dass standardmäßig die Person mit der höchsten Autorität für die Einhaltung des Gesetzes 25 und den Schutz personenbezogener Daten verantwortlich ist. Sie können diese Verantwortung jedoch schriftlich ganz oder teilweise an eine andere Person delegieren.
- Benachrichtigung von Aufsichtsbehörden und Einzelpersonen bei Verstößen: Abschnitt 3.5 des Gesetzes besagt, dass ein Unternehmen die Commission d'Accès à l'Information (CAI) im Falle eines Vertraulichkeitsvorfalls, der das Risiko einer ernsthaften Schädigung von Personen darstellt, unverzüglich informieren muss. Ein Unternehmen muss auch jede Person benachrichtigen, deren persönliche Daten von dem Vorfall betroffen sind, wie von der CAI angeordnet. Darüber hinaus muss ein Unternehmen im Falle eines Vertraulichkeitsvorfalls, bei dem personenbezogene Daten betroffen sind, angemessene Maßnahmen ergreifen, um das Verletzungsrisiko zu verringern und zu verhindern, dass sich neue Vorfälle derselben Art ereignen.
- Persönliche Informationen und Zustimmung: Die Weitergabe personenbezogener Daten ohne Zustimmung ist für eine Studie, zu Forschungszwecken, für die Erstellung von Statistiken und unter bestimmten Bedingungen möglich. Gemäß Abschnitt 21 des Gesetzes sollten Sie jedoch eine Datenschutz-Folgenabschätzung (Privacy Impact Assessment, PIA) durchführen.
- Benachrichtigung über biometrische Datenbanken: Die durch das Gesetz 25 vorgenommenen Änderungen wirken sich auf das IT-Gesetz von Quebec aus und verpflichten die Organisationen, der CAI jede Verwendung biometrischer Verfahren mindestens 60 Tage vor der Einrichtung einer biometrischen Datenbank mitzuteilen.
Wenn Ihr Unternehmen unter das Gesetz 25 von Québec fällt, müssen Sie alle diese Richtlinien einhalten, da Sie sonst gegen das Gesetz verstoßen.
Gesetz 25 Bestimmungen, die im September 2023 in Kraft getreten sind
Am 22. September 2023 traten diese zusätzlichen, im Gesetz 25 festgelegten Anforderungen in Kraft:
- Veröffentlichung einer Vertraulichkeitspolitik (auch Datenschutzpolitik genannt): Abschnitt 8.2 des Gesetzes legt fest, dass jeder, der personenbezogene Daten mit technischen Mitteln sammelt, eine Vertraulichkeitspolitik (auch Datenschutzpolitik genannt) veröffentlichen muss, die in einer klaren und einfachen Sprache abgefasst ist. Sie müssen sie auf Ihren Websites oder in Ihrer App veröffentlichen und sie in geeigneter Weise verbreiten. Eine Mitteilung ist auch für alle Änderungen erforderlich, die Sie an Ihrer Richtlinie vornehmen.
- Bereitstellung von Transparenz und Opt-in-Mechanismen für Cookies und andere Tracking-Technologien: Abschnitt 8.1 des Gesetzes besagt, dass jedes Unternehmen, das personenbezogene Daten mit Hilfe von Technologien sammelt, die Funktionen enthalten, die es ermöglichen, Personen zu identifizieren, zu lokalisieren oder ein Profil zu erstellen, diese zunächst über die Verwendung solcher Technologien und die verfügbaren Mittel zur Aktivierung der Funktionen, die es ermöglichen, die Person zu identifizieren, zu lokalisieren oder ein Profil zu erstellen, informieren muss. Dies gilt auch für die Verwendung von Internet-Cookies oder anderen ähnlichen Tracking-Technologien.
- Einführung eines Rahmens für den Umgang mit personenbezogenen Daten: Abschnitt 3.2 des Gesetzes 25 besagt, dass Unternehmen Richtlinien und Verfahren für den Umgang mit personenbezogenen Daten einführen und umsetzen müssen, um den Schutz dieser Daten zu gewährleisten. Ihre Richtlinien und Verfahren müssen insbesondere einen Rahmen für (1) die Aufbewahrung und Vernichtung der Informationen, (2) die Definition der Rollen und Verantwortlichkeiten der Mitarbeiter während des gesamten Lebenszyklus der Informationen und (3) ein Verfahren für den Umgang mit Beschwerden über den Schutz der Informationen bieten. Darüber hinaus sollten Informationen über diese Strategien und Praktiken in einfacher Sprache auf der Website des Unternehmens verfügbar sein.
- Führen Sie eine Datenschutz-Folgenabschätzung durch: Sie müssen eine Datenschutz-Folgenabschätzung für jedes Projekt durchführen, das den Erwerb, die Entwicklung oder die Überarbeitung eines Informationssystems oder eines Systems zur Erbringung elektronischer Dienstleistungen betrifft, bei dem personenbezogene Daten erhoben, verwendet, übermittelt, aufbewahrt oder vernichtet werden. Dies steht in Abschnitt 3.3 des Gesetzes.
- Festlegung vertraglicher Vereinbarungen für die Weitergabe personenbezogener Daten an Dritte: Gemäß Abschnitt 18.3 des Gesetzes 25 von Quebec kann ein Unternehmen ohne Zustimmung der betroffenen Person personenbezogene Daten an jede Person oder Einrichtung weitergeben, wenn die Informationen für die Ausführung eines Mandats, die Erfüllung eines Unternehmensvertrags oder für Dienstleistungen erforderlich sind, mit denen diese Person oder Einrichtung von der Person, die ein Unternehmen führt, betraut wurde. Der Vertrag sollte schriftlich abgeschlossen werden und die Maßnahmen festlegen, die der Dritte ergreifen muss, um die Vertraulichkeit der übermittelten personenbezogenen Daten zu schützen, um sicherzustellen, dass die Daten nur zur Erfüllung des Vertrags verwendet werden, und um sicherzustellen, dass der Dritte die Daten nach Ablauf des Vertrags nicht aufbewahrt.
Die folgenden Verbraucherrechte wurden ebenfalls anwendbar:
- Das Recht auf Löschung und De-Indexierung von Hyperlinks, die mit dem Namen einer Person verknüpft sind(Abschnitte 28 und 28.1)
- Das Recht auf Zugang und Berichtigung personenbezogener Daten(Abschnitt 18.6)
- Das Recht, nicht Gegenstand einer automatisierten Entscheidungsfindung zu sein.(Abschnitt 12.1)
In Bezug auf das Recht der Verbraucher, keiner automatisierten Entscheidungsfindung unterworfen zu werden, sieht das Gesetz vor, dass ein Unternehmen, das personenbezogene Daten verwendet, um eine Entscheidung zu treffen, die ausschließlich auf einer automatisierten Verarbeitung beruht, die betroffene Person spätestens dann informieren muss, wenn es ihr die Entscheidung mitteilt.
Darüber hinaus muss das Unternehmen die betroffene Person über die Maßnahme informieren:
- Persönliche Informationen, die zur Entscheidungsfindung verwendet werden
- Gründe, Faktoren und Parameter, die bei der Entscheidung zugrunde gelegt wurden; und
- Recht der betroffenen Person auf Berichtigung der für die Entscheidung verwendeten personenbezogenen Daten
Gesetz 25 Bestimmungen, die im September 2024 in Kraft getreten sind
Ein weiterer Aspekt des Gesetzes 25 von Québec, das am 22. September 2024 in Kraft trat, betrifft das Recht der Verbraucher auf Datenübertragbarkeit.
Im Einzelnen müssen die Unternehmen die in Abschnitt 27 dargelegten Leitlinien befolgen:
"Sofern dies nicht auf ernste praktische Schwierigkeiten stößt, müssen die beim Antragsteller erhobenen und nicht unter Verwendung der ihn betreffenden personenbezogenen Daten erstellten oder abgeleiteten computergestützten personenbezogenen Daten ihm auf Antrag in einem strukturierten, allgemein gebräuchlichen technischen Format übermittelt werden. Die Informationen müssen auf Antrag des Antragstellers auch jeder Person oder Einrichtung mitgeteilt werden, die nach dem Gesetz befugt ist, solche Informationen zu sammeln."
Wenn Ihr Unternehmen von Quebecs Gesetz 25 betroffen ist, entwickeln Sie ein geeignetes Protokoll, um Verbrauchern eine tragbare Kopie ihrer persönlichen Daten zur Verfügung zu stellen.
Wie kann Termly bei der Einhaltung des Datenschutzes helfen?
Termly kann dazu beitragen, Ihren Prozess der Einhaltung von Datenschutzbestimmungen zu vereinfachen, indem wir rechtlich abgesicherte Richtliniengeneratoren und ein anpassungsfähiges Consent Management Platform (CMP).
Unser Datenschutzerklärung Generator stellt Ihnen einfache Fragen zu Ihrem Unternehmen. Anhand Ihrer Antworten wird eine leicht lesbare, konforme Richtlinie erstellt, die direkt mit Ihrer Website oder App verknüpft werden kann. Wenn Sie sie aktualisieren oder Änderungen vornehmen müssen, gehen Sie einfach zurück in Ihr Termly Dashboard, bearbeiten Sie Ihre Richtlinie und klicken Sie auf Veröffentlichen.
Unten sehen Sie ein Beispiel für eine der Fragen, die unser Generator stellt.
Datenschutzgesetze wie das Gesetz 25 von Quebec enthalten spezifische Regeln für die Einholung der Zustimmung der Verbraucher zur rechtmäßigen Nutzung oder Verarbeitung personenbezogener Daten. Daher bieten wir auch eine Consent Management Platform oder CMP an, die Sie so konfigurieren können, dass sie den Opt-out- oder Opt-in-Richtlinien entspricht.
Sehen Sie unten, wie es aussieht.
Ganz gleich, ob Sie das Gesetz 25 von Quebec oder andere Datenschutzvorschriften wie das Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente(PIPEDA) oder die allgemeine Datenschutzverordnung (DSGVO), Termly hält Ihnen den Rücken frei.
Zusammenfassung
Unternehmen, die das Gesetz 25 von Québec einhalten müssen, müssen sicherstellen, dass sie alle im Gesetz genannten Anforderungen erfüllen:
- Veröffentlichung einer konformen Datenschutzpolitik
- Einholung der Zustimmung der Verbraucher, wo dies angebracht ist
- Durchführung von Datenschutz-Folgenabschätzungen nach Bedarf.
- Ernennung eines Datenschutzbeauftragten (DSB).
Denken Sie auch daran, alle vertraglichen Verpflichtungen mit Drittanbietern einzuhalten, die Zugang zu den Daten Ihrer Nutzer haben, und stellen Sie sicher, dass die Nutzer alle ihre Datenschutzrechte wahrnehmen können.
Machen Sie die Einhaltung von Gesetzen wie dem Gesetz 25 von Quebec besonders einfach, indem Sie Termly's kostenlose Datenschutzerklärung vorlage oder den Generator nutzen und Ihr Unternehmen für den Erfolg vorbereiten.