Ustawa 25 z Quebecu, oficjalnie Ustawa o modernizacji przepisow legislacyjnych w zakresie ochrony danych osobowych, przeksztalcila krajobraz prywatnosci w prowincji. Przyjeta we wrzesniu 2021 roku i wdrazana w trzech fazach (wrzesien 2022, wrzesien 2023 i wrzesien 2024), znaczaco wzmocnila obowiazki przedsiebiorstw gromadzacych dane osobowe mieszkancow Quebecu. Bardziej rygorystyczna niz federalna PIPEDA w wielu aspektach, Ustawa 25 dostosowuje Quebec do najwyzszych miedzynarodowych standardow ochrony danych. Dla polskich firm przyzwyczajonych do RODO, Ustawa 25 prezentuje interesujace paralele i kluczowe roznice w porownaniu z ramami europejskimi. Niniejszy przewodnik omawia istotne obowiazki, ktore kazda firma operujaca w Quebecu musi zrozumiec.
Zakres stosowania
Ustawa 25 zmienia dwa istniejace akty prawne: Ustawe o ochronie danych osobowych w sektorze prywatnym oraz Ustawe o dostepie do dokumentow organow publicznych. Ma zastosowanie do kazdej firmy, ktora gromadzi, posiada, wykorzystuje lub ujawnia dane osobowe mieszkancow Quebecu, niezaleznie od tego, czy firma jest zarejestrowana w Quebecu.
Zasieg eksterytorialny. Firma z siedziba w Toronto, Nowym Jorku, Warszawie czy Paryzu, ktora oferuje produkty lub uslugi konsumentom z Quebecu lub gromadzi ich dane, podlega Ustawie 25. Ten zasieg eksterytorialny scisle dostosowuje prawo Quebecu do europejskiego RODO. Dla polskich firm oznacza to, ze jesli maja klientow w Quebecu, musza przestrzegac Ustawy 25 oprocz RODO.
Wspoldzialanie z PIPEDA. W zakresie wewnatrzprowincyjnych dzialalnosci handlowych w Quebecu, Ustawa 25 zastepuje PIPEDA (federalna ustawe o prywatnosci Kanady). Jednakze PIPEDA nadal ma zastosowanie do dzialalnosci miedzyprowincyjnych i miedzynarodowych. Firmy operujace zarowno w Quebecu, jak i w innych prowincjach musza przestrzegac obu ram regulacyjnych.
Obowiazkowy inspektor prywatnosci
Od wrzesnia 2022 roku kazda firma podlegajaca Ustawie 25 musi wyznaczyc osobe odpowiedzialna za ochrone danych osobowych (PRPI). Domyslnie odpowiedzialnosc ta spoczywa na osobie z najwyzsza wladza w organizacji (dyrektor generalny, prezes).
Delegacja. Funkcja moze byc delegowana na pismie na pracownika lub podmiot trzeci. Tozsamosc i dane kontaktowe PRPI musza byc opublikowane na stronie internetowej firmy.
Rola. PRPI nadzoruje zgodnosc organizacji, zatwierdza praktyki ochrony danych osobowych, pelni funkcje punktu kontaktowego dla skarg i wnioskow o dostep oraz zapewnia spenlienie obowiazkow prawnych. Ta rola jest porownywalna z rola IOD (Inspektora Ochrony Danych) w europejskim RODO. W Polsce UODO (Urzad Ochrony Danych Osobowych) nadzoruje przestrzeganie obowiazku wyznaczenia IOD.
Wzmocnione wymogi dotyczace zgody
Ustawa 25 znaczaco wzmocnila wymogi dotyczace zgody w porownaniu z poprzednim rezimem.
Zgoda jawna, dobrowolna i swiadoma. Zgoda musi byc udzielona na konkretne cele i wymagana oddzielnie dla kazdego celu. Formularze laczace wiele celow w jedne pole wyboru nie sa juz zgodne.
Oddzielna zgoda dla kazdego celu. Jesli gromadzisz informacje w celu realizacji zamowienia ORAZ wysylania newsletterow marketingowych, musisz uzyskac dwie oddzielne zgody. Zgoda na transakcje nie stanowi zgody na marketing.
Zgoda dla nieletnich. W przypadku dzieci ponizej 14 lat zgoda musi byc udzielona przez osobe sprawujaca wladze rodzicielska. Dla osob w wieku od 14 do 17 lat wlasna zgoda nieletniego jest wystarczajaca, ale musi spalniac wymogi jasnosci i konkretnosci.
Zakaz zgody jako warunku uslugi. Nie mozna odmowic uslugi ani nakladac dyskryminujacych warunkow na osobe, ktora odmawia wyrazenia zgody na gromadzenie informacji niekoniecznych do swiadczenia uslugi.
Polityka prywatnosci i przejrzystosc
Ustawa 25 naklada precyzyjne wymogi na polityki prywatnosci.
Obowiazkowa tresc. Twoja polityka musi zawierac:
- Dane kontaktowe osoby odpowiedzialnej za ochrone danych osobowych
- Rodzaje gromadzonych danych osobowych
- Cele gromadzenia
- Srodki gromadzenia
- Prawa osob, ktorych dane dotycza, i sposoby ich wykonywania
- Informacje o transferach danych osobowych poza Quebec
- Zasady i praktyki dotyczace przechowywania i niszczenia
Dostepnosc. Polityka musi byc napisana jasnym, prostym jezykiem i opublikowana na stronie internetowej firmy. Commission d’acces a l’information du Quebec (CAI) podkreslila, ze nadmiernie dlugie polityki napisane zargon prawniczym nie spelniaja wymogu jasnosci.
Powiadomienie w momencie gromadzenia. Oprocz ogolnej polityki musisz dostarczyc szczegolowe powiadomienie w momencie gromadzenia wskazujace zamierzone cele, uzywane srodki, prawa osoby i, w stosownych przypadkach, transfery poza Quebec.
Oceny wpnywu na prywatnosc (OWP)
Od wrzesnia 2023 roku ocena wplywu na prywatnosc (OWP) jest obowiazkowa przed:
- Kazdym projektem nabycia, rozwoju lub przebudowy systemu informacyjnego obejmujacego dane osobowe
- Kazdym ujawnieniem danych osobowych poza Quebec
OWP musi analizowac ryzyka dla prywatnosci i proponowac srodki lagodzace. Nie musi byc publikowana, ale musi byc udokumentowana i dostepna dla CAI na zadanie.
Prawa indywidualne
Ustawa 25 przyznaje osobom kilka podstawowych praw:
Prawo dostepu. Kazda osoba moze zarzadac dostepu do danych osobowych, ktore posiadasz na jej temat. Musisz odpowiedziec w ciagu 30 dni.
Prawo do sprostowania. Osoby moga zarzadac poprawienia niedokladnych lub niekompletnych informacji.
Prawo do deindeksacji (prawo do bycia zapomnianym). Gdy rozpowszechnianie danych osobowych narusza prawo lub orzeczenie sadu, osoba moze zarzadac zaprzestania rozpowszechniania, deindeksacji przez wyszukiwarke lub usuniecia linku zapewniajacego dostep do informacji.
Prawo do przenoszenia danych. Od wrzesnia 2024 roku osoby moga zarzadac udostepnienia swoich danych osobowych w ustrukturyzowanym, powszechnie uzywanym formacie technologicznym lub ich przeniesienia do innej organizacji.
Prawo do wycofania zgody. Kazda osoba moze wycofac zgode w dowolnym momencie. Wycofanie dziala na przyszlosc bez wplywu na zgodnosc z prawem wczesniejszego przetwarzania.
Obowiazkowe zglaszanie naruszen
Ustawa 25 wymaga obowiazkowego zglaszania incydentow poufnosci (nieautoryzowany dostep do, wykorzystanie lub ujawnienie danych osobowych, lub utrata danych osobowych).
Do CAI. Musisz zglosic kazdy incydent stwarzajacy ryzyko powaznej szkody dla poszkodowanych osob do Commission d’acces a l’information du Quebec.
Do poszkodowanych osob. Powiadomienie musi byc szybkie i zawierac opis incydentu, dotknietych informacje, kroki, ktore osoba moze podjac w celu ochrony, oraz dane kontaktowe osoby w organizacji.
Rejestr incydentow. Musisz prowadzic rejestr wszystkich incydentow poufnosci, nawet tych, ktore nie stwarzaja ryzyka powaznej szkody. Rejestr ten musi byc przechowywany przez co najmniej piec lat.
Kary i egzekwowanie
Ustawa 25 wprowadzila znaczace administracyjne kary pieniezne (AKP) i sankcje karne:
Administracyjne kary pieniezne. CAI moze nalozyc AKP do 10 milionow CAD lub 2% swiatowych obrotow za poprzedni rok obrotowy, w zaleznosci od tego, ktora kwota jest wyzsza. Sankcje te sa nakladane bezposrednio przez CAI bez postepowania sadowego.
Sankcje karne. Przestepstwa moga skutkowac grzywnami od 15 000 do 25 milionow CAD lub 4% swiatowych obrotow. Kwoty te dostosowuja Ustawe 25 do skali sankcji europejskiego RODO. Dla polskich firm kwoty te sa porownywalne z sankcjami, ktore moze nalozyc UODO.
Powodztwo cywilne. Osoby moga wnosic pozwy cywilne o odszkodowanie wynikajace z naruszenia Ustawy 25. Sad moze przyznac odszkodowanie karne w wysokosci co najmniej 1000 CAD, gdy naruszenie jest umyslne lub wynika z razacego niedbalstwa.
Transfery poza Quebec
Ustawa 25 scisle reguluje transfery danych osobowych poza Quebec. Przed kazdym transferem musisz:
- Przeprowadzic ocene wplywu na prywatnosc
- Upewnic sie, ze jurysdykcja docelowa oferuje odpowiednio rownowazna ochrone
- Zawrzec umowe regulujaca transfer
- Opublikowac informacje o transferze w polityce prywatnosci
To podejscie jest porownywalne z mechanizmem Standardowych Klauzul Umownych (SKU) w RODO. Polskie firmy juz zarzadzajace miedzynarodowymi transferami na podstawie RODO uznaja te wymogi za znajome.
Cztery podejscia do zgodnosci z Ustawa 25
Zatrudnienie specjalistycznego prawnika
Koszt: 5000 do 15 000 CAD za kompleksowy program zgodnosci. Czas realizacji: 4 do 8 tygodni.
Dla firm ze zlhzonymi przeplywami danych lub miedzynarodowymi transferami prawnik specjalizujacy sie w prywatnosci z Quebecu pozostaje najbardziej gruntowna opcja.
Uzycie ogolnego narzedzia AI
Pozorny koszt: 0 $. Rzeczywisty koszt: luki specyficzne dla Ustawy 25, ktorych nie pokryje.
Ogolne narzedzia AI nie znaja specyficznych wymagan Ustawy 25 (PRPI, OWP, przenoszenie danych, deindeksacja) i generuja polityki, ktore moga spanliac PIPEDA, ale nie prawo Quebecu.
Skopiowanie darmowego szablonu
Koszt: 0 $. Ryzyko: wysokie.
Darmowe szablony sa zwykle opracowane dla PIPEDA lub RODO, a nie dla Ustawy 25. Pomijaja wymogi specyficzne dla Quebecu.
Uzycie specjalistycznego generatora dokumentow prawnych
Koszt: 19,90 € do 49,90 €. Czas realizacji: ponizej 10 minut.
Specjalistyczny generator integrujacy wymogi Ustawy 25 tworzy polityki prywatnosci dostosowane do ram Quebecu, w tym obowiazkowe informacje o PRPI, prawa do przenoszenia danych i przepisy dotyczace deindeksacji.
Podsumowanie
Sprawdz zgodnosc z Ustawa 25 za pomoca naszego darmowego skanera zgodnosci, który obejmuje przepisy kanadyjskie.
Ustawa 25 postawila Quebec na czele ochrony danych osobowych w Ameryce Polnocnej. Przy karach siegajacych 25 milionow CAD lub 4% globalnych obrotow, konsekwencje niezgodnosci sa potencjalnie niszczycielskie. Wyznaczenie PRPI, aktualizacja polityki prywatnosci, przeprowadzanie OWP i ustanowienie procedur zglaszania incydentow nie sa juz opcjonalne — to obowiazki prawne. Kazdy dzien bez zgodnosci to dzien niepotrzebnego narazenia na ryzyko regulacyjne.