Ustawa 25 z Quebecu, oficjalnie Ustawa o modernizacji przepisow legislacyjnych w zakresie ochrony danych osobowych, przeksztalcila krajobraz prywatnosci w prowincji. Przyjeta we wrzesniu 2021 roku i wdrazana w trzech fazach (wrzesien 2022, wrzesien 2023 i wrzesien 2024), znaczaco wzmocnila obowiązki przedsiebiorstw gromadzacych dane osobowe mieszkancow Quebecu. Bardziej rygorystyczna niz federalna PIPEDA w wielu aspektach, Ustawa 25 dostosowuje Quebec do najwyzszych miedzynarodowych standardow ochrony danych. Dla polskich firm przyzwyczajonych do RODO, Ustawa 25 prezentuje interesujace paralele i kluczowe roznice w porownaniu z ramami europejskimi. Niniejszy przewodnik omawia istotne obowiązki, ktore kazda firma operujaca w Quebecu musi zrozumiec.
Zakres stosowania
Ustawa 25 zmienia dwa istniejace akty prawne: Ustawe o ochronie danych osobowych w sektorze prywatnym oraz Ustawe o dostepie do dokumentow organow publicznych. Ma zastosowanie do kazdej firmy, ktora gromadzi, posiada, wykorzystuje lub ujawnia dane osobowe mieszkancow Quebecu, niezaleznie od tego, czy firma jest zarejestrowana w Quebecu.
Zasieg eksterytorialny. Firma z siedziba w Toronto, Nowym Jorku, Warszawie czy Paryzu, ktora oferuje produkty lub uslugi konsumentom z Quebecu lub gromadzi ich dane, podlega Ustawie 25. Ten zasieg eksterytorialny scisle dostosowuje prawo Quebecu do europejskiego RODO. Dla polskich firm oznacza to, ze jesli maja klientow w Quebecu, muszą przestrzegac Ustawy 25 oprocz RODO.
Wspoldzialanie z PIPEDA. W zakresie wewnatrzprowincyjnych dzialalnosci handlowych w Quebecu, Ustawa 25 zastepuje PIPEDA (federalna ustawe o prywatnosci Kanady). Jednakze PIPEDA nadal ma zastosowanie do dzialalnosci miedzyprowincyjnych i miedzynarodowych. Firmy operujace zarowno w Quebecu, jak i w innych prowincjach muszą przestrzegac obu ram regulacyjnych.
Obowiązkowy inspektor prywatnosci
Od wrzesnia 2022 roku kazda firma podlegajaca Ustawie 25 musi wyznaczyc osobe odpowiedzialna za ochrone danych osobowych (PRPI). Domyslnie odpowiedzialnosc ta spoczywa na osobie z najwyzsza wladza w organizacji (dyrektor generalny, prezes).
Delegacja. Funkcja może być delegowana na pismie na pracownika lub podmiot trzeci. Tozsamosc i dane kontaktowe PRPI muszą być opublikowane na stronie internetowej firmy.
Rola. PRPI nadzoruje zgodność organizacji, zatwierdza praktyki ochrony danych osobowych, pelni funkcje punktu kontaktowego dla skarg i wnioskow o dostep oraz zapewnia spenlienie obowiazkow prawnych. Ta rola jest porownywalna z rola IOD (Inspektora Ochrony Danych) w europejskim RODO. W Polsce UODO (Urzad Ochrony Danych Osobowych) nadzoruje przestrzeganie obowiązku wyznaczenia IOD.
Wzmocnione wymogi dotyczące zgody
Ustawa 25 znaczaco wzmocnila wymogi dotyczące zgody w porownaniu z poprzednim rezimem.
Zgoda jawna, dobrowolna i swiadoma. Zgoda musi być udzielona na konkretne cele i wymagana oddzielnie dla kazdego celu. Formularze laczace wiele celow w jedne pole wyboru nie sa juz zgodne.
Oddzielna zgoda dla kazdego celu. Jesli gromadzisz informacje w celu realizacji zamowienia ORAZ wysylania newsletterow marketingowych, musisz uzyskac dwie oddzielne zgody. Zgoda na transakcje nie stanowi zgody na marketing.
Zgoda dla nieletnich. W przypadku dzieci ponizej 14 lat zgoda musi być udzielona przez osobe sprawujaca wladze rodzicielska. Dla osob w wieku od 14 do 17 lat wlasna zgoda nieletniego jest wystarczajaca, ale musi spalniac wymogi jasnosci i konkretnosci.
Zakaz zgody jako warunku uslugi. Nie mozna odmowic uslugi ani nakladac dyskryminujacych warunkow na osobe, ktora odmawia wyrazenia zgody na gromadzenie informacji niekoniecznych do swiadczenia uslugi.
Polityka prywatnosci i przejrzystosc
Ustawa 25 naklada precyzyjne wymogi na polityki prywatnosci.
Obowiązkowa tresc. Twoja polityka musi zawierac:
- Dane kontaktowe osoby odpowiedzialnej za ochrone danych osobowych
- Rodzaje gromadzonych danych osobowych
- Cele gromadzenia
- Srodki gromadzenia
- Prawa osob, ktorych dane dotycza, i sposoby ich wykonywania
- Informacje o transferach danych osobowych poza Quebec
- Zasady i praktyki dotyczące przechowywania i niszczenia
Dostepnosc. Polityka musi być napisana jasnym, prostym jezykiem i opublikowana na stronie internetowej firmy. Commission d’acces a l’information du Quebec (CAI) podkreslila, ze nadmiernie dlugie polityki napisane zargon prawniczym nie spelniaja wymogu jasnosci.
Powiadomienie w momencie gromadzenia. Oprocz ogolnej polityki musisz dostarczyc szczegolowe powiadomienie w momencie gromadzenia wskazujace zamierzone cele, uzywane srodki, prawa osoby i, w stosownych przypadkach, transfery poza Quebec.
Oceny wpnywu na prywatnosc (OWP)
Od wrzesnia 2023 roku ocena wplywu na prywatnosc (OWP) jest obowiązkowa przed:
- Kazdym projektem nabycia, rozwoju lub przebudowy systemu informacyjnego obejmujacego dane osobowe
- Kazdym ujawnieniem danych osobowych poza Quebec
OWP musi analizowac ryzyka dla prywatnosci i proponowac srodki lagodzace. Nie musi być publikowana, ale musi być udokumentowana i dostepna dla CAI na zadanie.
Prawa indywidualne
Ustawa 25 przyznaje osobom kilka podstawowych praw:
Prawo dostępu. Kazda osoba może zarzadac dostępu do danych osobowych, ktore posiadasz na jej temat. Musisz odpowiedziec w ciagu 30 dni.
Prawo do sprostowania. Osoby mogą zarzadac poprawienia niedokladnych lub niekompletnych informacji.
Prawo do deindeksacji (prawo do bycia zapomnianym). Gdy rozpowszechnianie danych osobowych narusza prawo lub orzeczenie sadu, osoba może zarzadac zaprzestania rozpowszechniania, deindeksacji przez wyszukiwarke lub usuniecia linku zapewniajacego dostep do informacji.
Prawo do przenoszenia danych. Od wrzesnia 2024 roku osoby mogą zarzadac udostepnienia swoich danych osobowych w ustrukturyzowanym, powszechnie uzywanym formacie technologicznym lub ich przeniesienia do innej organizacji.
Prawo do wycofania zgody. Kazda osoba może wycofac zgode w dowolnym momencie. Wycofanie dziala na przyszlosc bez wplywu na zgodność z prawem wczesniejszego przetwarzania.
Obowiazkowe zglaszanie naruszen
Ustawa 25 wymaga obowiazkowego zglaszania incydentow poufnosci (nieautoryzowany dostep do, wykorzystanie lub ujawnienie danych osobowych, lub utrata danych osobowych).
Do CAI. Musisz zglosic kazdy incydent stwarzajacy ryzyko powaznej szkody dla poszkodowanych osob do Commission d’acces a l’information du Quebec.
Do poszkodowanych osob. Powiadomienie musi być szybkie i zawierac opis incydentu, dotknietych informacje, kroki, ktore osoba może podjac w celu ochrony, oraz dane kontaktowe osoby w organizacji.
Rejestr incydentow. Musisz prowadzic rejestr wszystkich incydentow poufnosci, nawet tych, ktore nie stwarzaja ryzyka powaznej szkody. Rejestr ten musi być przechowywany przez co najmniej piec lat.
Kary i egzekwowanie
Ustawa 25 wprowadzila znaczace administracyjne kary pieniezne (AKP) i sankcje karne:
Administracyjne kary pieniezne. CAI może nalozyc AKP do 10 milionow CAD lub 2% swiatowych obrotow za poprzedni rok obrotowy, w zaleznosci od tego, ktora kwota jest wyzsza. Sankcje te sa nakladane bezpośrednio przez CAI bez postepowania sadowego.
Sankcje karne. Przestepstwa mogą skutkowac grzywnami od 15 000 do 25 milionow CAD lub 4% swiatowych obrotow. Kwoty te dostosowuja Ustawe 25 do skali sankcji europejskiego RODO. Dla polskich firm kwoty te sa porownywalne z sankcjami, ktore może nalozyc UODO.
Powodztwo cywilne. Osoby mogą wnosic pozwy cywilne o odszkodowanie wynikajace z naruszenia Ustawy 25. Sad może przyznac odszkodowanie karne w wysokosci co najmniej 1000 CAD, gdy naruszenie jest umyslne lub wynika z razacego niedbalstwa.
Transfery poza Quebec
Ustawa 25 scisle reguluje transfery danych osobowych poza Quebec. Przed kazdym transferem musisz:
- Przeprowadzic ocene wplywu na prywatnosc
- Upewnic sie, ze jurysdykcja docelowa oferuje odpowiednio rownowazna ochrone
- Zawrzec umowe regulujaca transfer
- Opublikowac informacje o transferze w polityce prywatnosci
To podejscie jest porownywalne z mechanizmem Standardowych Klauzul Umownych (SKU) w RODO. Polskie firmy juz zarzadzajace miedzynarodowymi transferami na podstawie RODO uznaja te wymogi za znajome.
Cztery podejscia do zgodności z Ustawa 25
Zatrudnienie specjalistycznego prawnika
Koszt: 5000 do 15 000 CAD za kompleksowy program zgodności. Czas realizacji: 4 do 8 tygodni.
Dla firm ze zlhzonymi przeplywami danych lub miedzynarodowymi transferami prawnik specjalizujacy sie w prywatnosci z Quebecu pozostaje najbardziej gruntowna opcja.
Uzycie ogolnego narzedzia AI
Pozorny koszt: 0 $. Rzeczywisty koszt: luki specyficzne dla Ustawy 25, ktorych nie pokryje.
Ogolne narzedzia AI nie znaja specyficznych wymagan Ustawy 25 (PRPI, OWP, przenoszenie danych, deindeksacja) i generuja polityki, ktore mogą spanliac PIPEDA, ale nie prawo Quebecu.
Skopiowanie darmowego szablonu
Koszt: 0 $. Ryzyko: wysokie.
Darmowe szablony sa zwykle opracowane dla PIPEDA lub RODO, a nie dla Ustawy 25. Pomijaja wymogi specyficzne dla Quebecu.
Uzycie specjalistycznego generatora dokumentow prawnych
Koszt: 19,90 € do 49,90 € (≈ 29 do 73 CAD). Czas realizacji: ponizej 10 minut.
Specjalistyczny generator integrujacy wymogi Ustawy 25 tworzy polityki prywatnosci dostosowane do ram Quebecu, w tym obowiązkowe informacje o PRPI, prawa do przenoszenia danych i przepisy dotyczące deindeksacji.
Podsumowanie
Sprawdz zgodność z Ustawa 25 za pomoca naszego darmowego skanera zgodności, który obejmuje przepisy kanadyjskie.
Ustawa 25 postawila Quebec na czele ochrony danych osobowych w Ameryce Polnocnej. Przy karach sięgających 25 milionow CAD lub 4% globalnych obrotow, konsekwencje niezgodnosci sa potencjalnie niszczycielskie. Wyznaczenie PRPI, aktualizacja polityki prywatnosci, przeprowadzanie OWP i ustanowienie procedur zglaszania incydentow nie sa juz opcjonalne — to obowiązki prawne. Kazdy dzien bez zgodności to dzien niepotrzebnego narazenia na ryzyko regulacyjne.
