Die aktuelle Version des Consumer Privacy Protection Act (CPPA) schaffte es im September nicht durch das kanadische Parlament, führte aber zu Quebecs Gesetzentwurf 64: einem Gesetz zur Modernisierung des Schutzes personenbezogener Daten.
Nachdem der Gesetzentwurf 64 eineinhalb Jahre lang den Gesetzgebungsprozess durchlaufen hatte, wurde er am 22. September 2021 angenommen und von der Nationalversammlung von Quebec genehmigt.
Gesetzentwurf 64: Wie geht es weiter mit dem Datenschutz in Kanada?
Der nun verabschiedete Gesetzentwurf 64 wird mehrere Gesetze beeinflussen, die den Schutz personenbezogener Daten und den bestehenden Datenschutzrahmen in Quebec insgesamt modernisieren werden. Politische Parteien und Praktiken, der öffentliche und private Sektor sowie private Organisationen werden betroffen sein und zur Einhaltung der Vorschriften verpflichtet sein – andernfalls drohen ihnen schwere Strafen.
Die betroffene Anforderung – Berücksichtigung von Anträge auf Zugang zu personenbezogenen Daten (DSARs), Zustimmung, Datenschutz-Folgenabschätzungen (PIAs) und Vertraulichkeitsverpflichtungen – werden in den nächsten drei Jahren schrittweise als umfassende Datenschutzreform für Kanada in Kraft treten. Dieser Fortschritt könnte durchaus den Weg für die Verabschiedung des CPPA.
Durchsetzung und Bußgelder
Ein wesentliches Merkmal des Gesetzentwurfs 64, das einige Aufmerksamkeit erregt hat, betrifft die dahinter stehende Stärke, die Einhaltung der Vorschriften durchzusetzen.
Neue Geldbußen
Die Kommission für den Zugang zu Informationen (CAI) von Quebec wird befugt sein, aus folgenden Gründen neue Verwaltungsstrafen zu verhängen:
- Versäumnis, Einzelpersonen zu informieren
- unrechtmäßige Erhebung, Verwendung oder Offenlegung von Informationen
- mangelnde Gewährleistung des Schutzes personenbezogener Daten
- Unterlassene Meldung eines Verstoßes oder Vorfalls
Die Höchstsumme der Geldbußen beträgt 50.000 CAD für Einzelpersonen und 10.000.000 CAD für Unternehmen oder, falls höher, 2% des Gesamtumsatzes des Vorjahres.
Im Vergleich dazu sind Straftaten wie die Verweigerung der Mitwirkung bei Ermittlungen oder die Bereitstellung erforderlicher Unterlagen mit zunehmendem Umfang und vom Generalstaatsanwalt festgelegten Bußgeldern verbunden. In diesem Fall beträgt die maximale Strafsumme im Einzelfall 5.000 bis 100.000 CAD. In allen anderen geschäftsbezogenen Fällen beträgt die Strafsumme 15.000 bis 25.000.000 CAD oder 4% des Gesamtumsatzes des Vorjahres.
Bei wiederholten Verstößen verdoppelt sich die Geldstrafe.
Governance und Schutz
Datenschutzbeauftragter
Ähnlich wie die DSGVO führt Gesetzentwurf 64 das Prinzip der Verantwortlichkeit der Organisation ein und überträgt die Verantwortung für den Schutz personenbezogener Daten einem „Datenschutzbeauftragten“.
Richtlinien und Praktiken
Gesetzentwurf 64 verpflichtet alle Organisationen zur Umsetzung von Richtlinien und Praktiken zur Datenschutzverwaltung. Die Datenverwaltung umfasst Rahmenbedingungen für die Aufbewahrung und Löschung von Informationen, definierte Rollen und Verantwortlichkeiten, das Datenlebenszyklusmanagement und den Prozess zur Bearbeitung von Datenrechtsanfragen.
Darüber hinaus müssen die datenschutzrelevanten Informationen aus diesen Richtlinien in klarer und einfacher Sprache auf der Website des Unternehmens veröffentlicht werden.
PIAs
Bill 64 verpflichtet Organisationen außerdem zur Verwendung PIAs um alle datenschutzrelevanten Daten zu bewerten, die das Sammeln, Verwenden, Offenlegen oder Löschen personenbezogener Daten betreffen.
Rechte des Einzelnen
Recht auf Löschung
Zusätzlich zur Löschung können Einzelpersonen laut Gesetzentwurf 64 von Organisationen Folgendes verlangen:
- die Weitergabe personenbezogener Daten zu unterbinden
- De-Indexierung von Hyperlinks mit Zugriff auf diese Informationen
- Hyperlinks neu indexieren, die den Zugriff auf die Informationen ermöglichen
Recht auf Datenübertragbarkeit
Gesetzentwurf 64 ermöglicht es Einzelpersonen, eine Kopie ihrer personenbezogenen Daten in digitaler Form anzufordern. Die Informationen müssen auf Anfrage einer Person oder einer autorisierten Stelle in strukturierter digitaler Form zur Verfügung gestellt werden.
Recht auf Widerspruch gegen automatisierte Entscheidungsfindung
Schließlich verlangt Gesetzentwurf 64, dass Organisationen Einzelpersonen benachrichtigen müssen, wenn persönliche Daten Entscheidungen werden auf der Grundlage automatisierter Datenverarbeitung getroffen. Sobald die Informationen angefordert werden, muss der Antragsteller über Folgendes informiert werden:
- die Gründe, die zu der Entscheidung geführt haben
- die für die Entscheidung verwendeten personenbezogenen Daten
- das Recht der Person, die zur Entscheidungsfindung verwendeten personenbezogenen Daten zu korrigieren
So bereiten Sie sich auf Quebec Bill 64 vor
Um sich auf das CPPA vorzubereiten, planen 21% der kanadischen Unternehmen, $10 Millionen oder mehr auszugeben, und 37% planen, zehn Vollzeitkräfte einzustellen. laut PwC Kanada. Darüber hinaus wird sich Bill 64 auf kanadische Unternehmen auswirken, die sich an neue bewährte Verfahren anpassen und Datenschutzrahmen um die Einhaltung der Vorschriften aufrechtzuerhalten.
Organisationen, die einen proaktiven Ansatz hinsichtlich der Datenschutz-Grundverordnung (DSGVO) der EU gewählt haben, sind für Quebec Bill 64 besser aufgestellt – müssen jedoch dennoch die notwendigen Maßnahmen ergreifen, um die einzigartigen Bestimmungen des neuen kanadischen Gesetzes zu erfüllen.
Die Data-Intelligence-Plattform von BigID ermöglicht es Unternehmen, alle personenbezogenen, sensiblen und regulierten Daten richtlinienübergreifend und in der gesamten Datenlandschaft zu erkennen, zu klassifizieren und abzubilden. Dadurch können Unternehmen die Compliance-Verpflichtungen gemäß Bill 64 erfüllen, den Datenschutz operationalisieren, Anfragen zu Datenrechten automatisieren, Datenschutzrisiken durch PIAs managen und letztendlich die Daten ihrer Kunden schützen.
Kasse BigID in Aktion um zu sehen, wie wir Unternehmen dabei helfen, die Compliance-Anforderungen des Quebec Bill 64 zu erfüllen und ein proaktives Datenschutzprogramm zu entwickeln, um sich an die aktuelle Verordnung anzupassen.
Autor
