Das Gesetz 25 von Quebec, früher bekannt als Bill 64, markiert eine bedeutende Änderung in der Herangehensweise der Provinz an den Datenschutz. Das im September 2021 von der Nationalversammlung von Quebec verabschiedete Gesetz zielt darauf ab, die Datenschutzbestimmungen zu modernisieren und den Schutz personenbezogener Daten zu stärken, die sich im Besitz von Organisationen des privaten Sektors und öffentlichen Stellen befinden.
Da Gesetz 25 neue Verpflichtungen und Compliance-Anforderungen für Unternehmen einführt, die in Quebec tätig sind oder seinen Einwohnern dienen, werden wir einen Blick auf seine wichtigsten Merkmale und seine Auswirkungen auf diese Organisationen werfen.
Das Gesetz von Quebec verstehen 25
Das Quebec Law 25 ist eine umfassende Überarbeitung der Datenschutzgesetzgebung der Provinz, die darauf ausgelegt ist, sich an aufkommende digitale Trends und globale Datenschutzstandards anzupassen. Das Gesetz 25 wurde als Reaktion auf die wachsende Besorgnis über Datenschutz und -sicherheit eingeführt und zielt darauf ab, die Kontrolle des Einzelnen über seine persönlichen Daten zu verbessern und gleichzeitig den Unternehmen, die mit sensiblen Daten umgehen, eine größere Rechenschaftspflicht aufzuerlegen.
Mit seinem facettenreichen Ansatz zum Datenschutz schafft Law 25 einen starren Rahmen für die Datenschutz-Governance, der das Einwilligungsmanagement, die Rechte betroffener Personen, die Meldung von Verstößen und vieles mehr umfasst.
Geltungsbereich und Anwendbarkeit
Das Gesetz wirft ein weites Netz aus, das sowohl öffentliche als auch private Einrichtungen abdeckt, die innerhalb und außerhalb der Grenzen von Quebec tätig sind. Die Bestimmungen gelten für Unternehmen aller Größen und Sektoren, einschließlich Unternehmen, gemeinnütziger Organisationen und Regierungsbehörden – kurz gesagt, für alle, die personenbezogene Daten von Einwohnern von Quebec sammeln, verwenden oder speichern.
Der weitreichende Geltungsbereich des Gesetzes 25 unterstreicht den Fokus der Provinz auf den Schutz der Privatsphäre des Einzelnen und die Förderung des Vertrauens in die digitale Arena. Unabhängig davon, ob ein Unternehmen eine physische Präsenz in Quebec hat oder nur seinen Einwohnern dient, ist die Einhaltung von Gesetz 25 obligatorisch, wobei jede Organisation, die ihre Vorschriften nicht einhält, mit Strafen und Reputationsschäden zu rechnen hat.
Die wichtigsten Bestimmungen des Gesetzes 25
Verwaltung von Einwilligungen
Einer der Hauptgrundsätze des Gesetzes 25 ist die ausdrückliche Zustimmung zur Erhebung und Verarbeitung personenbezogener Daten. Ähnlich wie globale Datenschutzbestimmungen wie die DSGVO verlangt Gesetz 25, dass Unternehmen eine klare und informierte Einwilligung von Einzelpersonen einholen, bevor sie ihre personenbezogenen Daten sammeln. Dazu gehört auch die Einholung von Einwilligungen für Tracking-Technologien wie Cookies sowie IP- und E-Mail-Adressen, die den Nutzern eine weitaus größere Kontrolle über ihre Daten geben.
Ernennung von Datenschutzbeauftragten
Um die Einhaltung von Gesetz 25 zu gewährleisten, sind Unternehmen verpflichtet, einen designierten Datenschutzbeauftragten zu ernennen, der für die Überwachung aller datenschutzbezogenen Angelegenheiten verantwortlich ist. Diese Person spielt eine zentrale Rolle bei der Umsetzung von Datenschutzrichtlinien, der Durchführung von Datenschutz-Folgenabschätzungen, der Verwaltung von Datenschutzverletzungen und der Zusammenarbeit mit Aufsichtsbehörden.
Privacy by Design
Gesetz 25 setzt sich für die Prinzipien des eingebauten Datenschutzes ein und fordert Unternehmen auf, Datenschutzaspekte von Anfang an in ihre Produkte, Dienstleistungen und Geschäftsprozesse einzubetten. Durch die Priorisierung von Privatsphäre und Datenschutz in jeder Phase der Entwicklung können Unternehmen das Risiko von Datenschutzverletzungen minimieren und das Vertrauen der Benutzer stärken.
Strategien und Protokolle für Datenschutzverletzungen
Neben der Regulierung von Datenerfassungs- und -speicherpraktiken beschreibt die PDPL spezifische Protokolle für den Umgang mit Datenschutzverletzungen. Unternehmen sind verpflichtet, sowohl die Aufsichtsbehörden als auch die betroffenen Personen unverzüglich zu benachrichtigen, insbesondere in Fällen, in denen ein potenzieller Schaden besteht, was die Bedeutung von Transparenz und Rechenschaftspflicht unterstreicht.
Rechte der betroffenen Person
Das Gesetz räumt Einzelpersonen eine Reihe von Rechten der betroffenen Personen ein, die es ihnen ermöglichen, eine größere Kontrolle über ihre personenbezogenen Daten auszuüben. Dies umfasst das Recht auf Auskunft, Zugang, Berichtigung und Löschung von Daten sowie das Recht auf Widerruf der Einwilligung. Darüber hinaus haben Einzelpersonen das Recht auf Datenübertragbarkeit, die es ihnen ermöglicht, ihre Daten in einem lesbaren Format an eine andere Organisation zu übertragen. Auf diese Weise fördert das Gesetz 25 die Transparenz, die Rechenschaftspflicht und die Beteiligung der Nutzer an Datenverarbeitungsaktivitäten.
Benachrichtigungen über Sicherheitsverletzungen
Im Falle einer Datenschutzverletzung sind Organisationen, die dem Gesetz 25 unterliegen, verpflichtet, die Commission d’accès à l’information du Québec (CAI) unverzüglich zu benachrichtigen. Diese Benachrichtigung muss umfassende Angaben zu dem Verstoß, seinen Auswirkungen auf die betroffenen Personen und den zur Minderung des Risikos ergriffenen Abhilfemaßnahmen enthalten. Durch die Implementierung von schnellen Benachrichtigungen über Sicherheitsverletzungen demonstrieren Unternehmen ihr Engagement für Transparenz und Rechenschaftspflicht, was hoffentlich bei den Stakeholdern Anklang finden wird.
Datenschutzrichtlinien und internationale Datenübertragungen
Gesetz 25 schreibt klare und prägnante Datenschutzrichtlinien vor, die die Zwecke der Datenerhebung, Zugriffsrechte, Offenlegungen gegenüber Dritten und internationale Datenübermittlungen offenlegen. Unternehmen müssen die Auswirkungen internationaler Datenübertragungen auf die Datenschutzrechte bewerten und ein vergleichbares Schutzniveau für übertragene Daten gewährleisten. Darüber hinaus müssen Unternehmen, die personenbezogene Daten über Cookies sammeln, klare Anweisungen zum Opt-out bereitstellen, um die Transparenz und die Wahlmöglichkeiten der Benutzer im Datenverarbeitungszyklus zu verbessern.
Compliance-Herausforderungen und -Strafen
Die Einhaltung von Law 25 stellt Unternehmen vor große Herausforderungen und erfordert umfassende Maßnahmen und Ressourcen, um die komplexen Anforderungen zu erfüllen. Die Nichteinhaltung des Gesetzes kann zu empfindlichen Strafen führen, einschließlich Geldstrafen von bis zu 10 Millionen CAD oder 2 % des weltweiten Umsatzes für Unternehmen.
Die individuellen Bußgelder reichen von 5.000 bis 100.000 CAD, wobei die Strafen bei wiederholten Verstößen und schweren Verstößen eskalieren. Um behördliche Sanktionen und Reputationsschäden zu vermeiden, müssen Unternehmen die Einhaltung von Gesetz 25 priorisieren und in zweckmäßige Strategien für das Datenschutzmanagement investieren.
Gesetz 25 vs. PIPEDA
Während Kanada über eine Bundesdatenschutzgesetzgebung in Form von PIPEDA (The Personal Information Protection and Electronic Documents Act) verfügt, unterscheidet sich das Gesetz 25 von Quebec in Bezug auf den Umfang und die Richtlinien für das Einwilligungsmanagement. PIPEDA kann landesweit gelten, aber die strengeren Zustimmungsanforderungen von Gesetz 25 und die Betonung der Vertraulichkeit heben es grundlegend ab. Nach Gesetz 25 müssen Unternehmen Tracking-Cookies standardmäßig deaktivieren und ein Höchstmaß an Vertraulichkeit implementieren, das sich an globalen Datenschutzgesetzen wie der DSGVO orientiert.
CookieHub: Halten Sie Ihr Unternehmen mit Leichtigkeit Law 25-konform
Die Einhaltung der komplizierten Bestimmungen von Gesetz 25 wird für viele Unternehmen sicherlich eine Herausforderung sein. Cookie-Compliance-Lösungen wie CookieHub erleichtern den Prozess jedoch erheblich.
Durch die Nutzung der erweiterten Funktionen von CookieHub für das Einwilligungsmanagement können Unternehmen ihre Compliance-Bemühungen rationalisieren, die Transparenz der Nutzer verbessern und ihr Engagement für den Datenschutz demonstrieren. Wenn Law 25 darauf abzielt, Vertrauen in die digitale Arena zu schaffen, hat es mit CookieHub einen mächtigen Verbündeten.
Um mehr über CookieHub zu erfahren und darüber, wie unsere benutzerfreundliche Consent Management Platform Ihre Website konform halten kann, können Sie uns hier kontaktieren.