Quebecs Lag 25, officiellt Lagen om modernisering av lagbestammelser om skydd av personuppgifter, har omformat provinsens integritetslandskap. Antagen i september 2021 och inford i tre faser (september 2022, september 2023 och september 2024) har den avsevart starkt skyldigheterna for foretag som samlar in personuppgifter fran invannare i Quebec. Strangare an den federala PIPEDA pa manga punkter anpassar Lag 25 Quebec till de hogsta internationella standarderna for dataskydd. For svenska foretag som ar vana vid GDPR erbjuder Lag 25 intressanta paralleller och viktiga skillnader jamfort med det europeiska ramverket. Denna guide tar upp de vasentliga skyldigheter som varje foretag verksamt i Quebec maste forsta.
Tillampningsomrade
Lag 25 andrar tva befintliga lagar: Lagen om skydd av personuppgifter i den privata sektorn och Lagen om tillgang till handlingar fran offentliga organ. Den galler for alla foretag som samlar in, innehar, anvander eller lamnar ut personuppgifter om invannare i Quebec, oavsett om foretaget ar etablerat i Quebec eller inte.
Extraterritoriell rackvidddd. Ett foretag med sate i Toronto, New York, Stockholm eller Paris som erbjuder produkter eller tjanster till konsumenter i Quebec eller samlar in deras data omfattas av Lag 25. Denna extraterritoriella rackvidd anpassar Quebecs lag nara det europeiska GDPR. For svenska foretag innebar detta att om de har kunder i Quebec maste de folja Lag 25 utover GDPR.
Samspel med PIPEDA. For inomprovinsella kommersiella aktiviteter i Quebec ersatter Lag 25 PIPEDA (Kanadas federala integritetslag). PIPEDA fortsatter dock att galla for mellanprovinsella och internationella aktiviteter. Foretag som verkar bade i Quebec och andra provinser maste folja bada regelverken.
Obligatorisk integritetsansvarig
Sedan september 2022 maste varje foretag som omfattas av Lag 25 utse en person ansvarig for skyddet av personuppgifter (PRPI). Som standard faller detta ansvar pa personen med hogst befattning i organisationen (verkstallande direktor, ordforande).
Delegering. Funktionen kan delegeras skriftligen till en anstelld eller en tredje part. PRPI:s identitet och kontaktuppgifter maste publiceras pa foretagets webbplats.
Roll. PRPI overvakar organisationens efterlevnad, godkanner rutiner for skydd av personuppgifter, fungerar som kontaktpunkt for klagomal och atkomstbegaran och sakerstaller att lagliga skyldigheter uppfylls. Denna roll ar jamforbar med DPO (dataskyddsombud) enligt europeiska GDPR. I Sverige overvakar IMY (Integritetsskyddsmyndigheten) efterlevnaden av skyldigheten att utse ett dataskyddsombud.
Forstarkta samtyckeskrav
Lag 25 har avsevart starkt samtyckeskraven jamfort med det tidigare regelverket.
Uttryckligt, fritt och informerat samtycke. Samtycke maste ges for specifika andamal och begaras separat for varje andamal. Formular som samlar flera andamal i en enda kryssruta ar inte langre forerenliga med lagen.
Separat samtycke for varje andamal. Om ni samlar information for att behandla en bestallning OCH for att skicka marknadsforingsutskick maste ni inhemta tva separata samtycken. Samtycke for transaktionen utgor inte samtycke for marknadsforing.
Samtycke for minderariga. For barn under 14 ar maste samtycket ges av personen med foraldraansvar. For aringarna 14 till 17 ar den minderarigas eget samtycke tillrackligt, men det maste uppfylla kraven pa tydlighet och specificitet.
Forbud mot samtycke som villkor for tjanst. Ni far inte vagra en tjanst eller palaegga diskriminerande villkor for en person som avbojjer att samtycka till insamling av information som inte ar nodvandig for att tillhandahalla tjansten.
Integritetspolicy och transparens
Lag 25 staller precisa krav pa integritetspolicyer.
Obligatoriskt innehall. Er policy maste innehalla:
- Kontaktuppgifter for personen ansvarig for skyddet av personuppgifter
- Typer av personuppgifter som samlas in
- Andamal med insamlingen
- Medel for insamling
- Registrerades rattigheter och hur de utoevas
- Information om overforing av personuppgifter utanfor Quebec
- Policyer och rutiner for lagring och forstaoring
Tillganglighet. Policyn maste vara skriven pa ett tydligt, enkelt sprak och publicerad pa foretagets webbplats. Commission d’acces a l’information du Quebec (CAI) har betonat att alltfor langa policyer skrivna pa juridisk fackjargen inte uppfyller tydlighetskravet.
Meddelande vid insamling. Utover den allmanna policyn maste ni tillhandahalla ett specifikt meddelande vid insamlingstidpunkten som anger de avsedda andamalen, de anvanda medlen, personens rattigheter och, i foerekommande fall, overforingar utanfor Quebec.
Konsekvensbedoemningar for integritet (KBI)
Sedan september 2023 ar en konsekvensbedoemning for integritet (KBI) obligatorisk fore:
- Varje projekt for anskaffning, utveckling eller omdesign av ett informationssystem som innefattar personuppgifter
- Varje utlamning av personuppgifter utanfor Quebec
KBI maste analysera integritetsrisker och foreslaa mildrande atgarder. Den behover inte publiceras men maste vara dokumenterad och tillganglig for CAI pa begaran.
Individuella rattigheter
Lag 25 ger individer flera grundlaggande rattigheter:
Ratt till atkomst. Varje person kan begara atkomst till de personuppgifter ni innehar om honom eller henne. Ni maste svara inom 30 dagar.
Ratt till rattelse. Individer kan begara korrigering av felaktiga eller ofullstandiga uppgifter.
Ratt till avindexering (ratten att bli glomd). Nar spridning av personuppgifter strider mot lagen eller ett domstolsbeslut kan individen krava att spridningen upphor, avindexering av en sokmotor eller borttagning av lanken som ger atkomst till informationen.
Ratt till dataportabilitet. Sedan september 2024 kan individer begara meddelande av sina personuppgifter i ett strukturerat, allment anvant tekniskt format, eller overforing av dem till en annan organisation.
Ratt att aterkalla samtycke. Varje person kan aterkalla samtycket nar som helst. Aterkallelsen verkar framat utan att paverka lagligheten av tidigare behandling.
Obligatorisk rapportering av dataintrang
Lag 25 kraver obligatorisk rapportering av sekretessincidenter (obehoorig atkomst till, anvandning eller utlamning av personuppgifter, eller forlust av personuppgifter).
Till CAI. Ni maste rapportera varje incident som innebar risk for allvarlig skada for beorda individer till Commission d’acces a l’information du Quebec.
Till beorda individer. Meddelandet maste vara snabbt och innehalla en beskrivning av incidenten, de beorda uppgifterna, de atgarder individen kan vidta for att skydda sig och kontaktuppgifter till nagon i er organisation.
Incidentregister. Ni maste fora register over alla sekretessincidenter, aven de som inte innebar risk for allvarlig skada. Detta register maste bevaras i minst fem ar.
Sanktioner och tillsyn
Lag 25 har infort betydande administrativa sanktionsavgifter (ASA) och straffrattliga sanktioner:
Administrativa sanktionsavgifter. CAI kan utfarda ASA pa upp till 10 miljoner CAD eller 2 % av den varldsomspannande omsattningen for foregaende rakeenskapsaar, beroende pa vilket belopp som ar hogst. Dessa sanktioner utfardas direkt av CAI utan domstolsforfarande.
Straffrattliga sanktioner. Brott kan resultera i boter fran 15 000 till 25 miljoner CAD eller 4 % av den varldsomspannande omsattningen. Dessa belopp anpassar Lag 25 till sanktionsskalan i det europeiska GDPR. For svenska foretag ar dessa belopp jämförbara med de sanktioner som IMY kan utfarda.
Privat talerett. Individer kan vacka civilrattsliga mal om skadestand till foljd av overtradelser av Lag 25. Domstolen kan utdoema skadestand pa minst 1 000 CAD nar overtradelsen ar uppsatlig eller beror pa grov oaktsamhet.
Overforingar utanfor Quebec
Lag 25 reglerar overforingar av personuppgifter utanfor Quebec strikt. Fore varje overforing maste ni:
- Genomfora en konsekvensbedoemning for integritet
- Sakerstalla att destinationsjurisdiktionen erbjuder adekvat likvardigt skydd
- Ingaa ett kontraktuellt avtal som styr overforingen
- Publicera information om overforingen i er integritetspolicy
Denna ansats ar jamforbar med mekanismen for Standardavtalsklausuler (SCCs) i GDPR. Svenska foretag som redan hanterar internationella overforingar under GDPR kommer att kanna igen dessa krav.
Fyra ansatser for efterlevnad av Lag 25
Anlita en specialiserad advokat
Kostnad: 5 000 till 15 000 CAD for ett heltackande efterlevnadsprogram. Tidsram: 4 till 8 veckor.
For foretag med komplexa datafloden eller internationella overforingar forblir en Quebec-integritetsadvokat det mest grundliga alternativet.
Anvanda ett generiskt AI-verktyg
Skenbar kostnad: 0 $. Verklig kostnad: de Lag 25-specifika luckor det inte kommer att tacka.
Generiska AI-verktyg kanner inte till de specifika kraven i Lag 25 (PRPI, KBI, portabilitet, avindexering) och producerar policyer som kan uppfylla PIPEDA men inte Quebecs lag.
Kopiera en gratis mall
Kostnad: 0 $. Risk: hog.
Gratis mallar ar vanligtvis utformade for PIPEDA eller GDPR, inte for Lag 25. De utelamnar Quebec-specifika krav.
Anvanda en specialiserad generator for rattsliga dokument
Kostnad: 19,90 € till 49,90 €. Tidsram: under 10 minuter.
En specialiserad generator som integrerar kraven i Lag 25 producerar integritetspolicyer anpassade till Quebecs ramverk, inklusive de obligatoriska PRPI-uppgifterna, portabilitetsrattigheterna och avindexeringsbestammelserna.
Slutsats
Kontrollera din efterlevnad av Lag 25 med var kostnadsfria efterlevnadsskanner som tacker kanadensiska regler.
Lag 25 har placerat Quebec i framkant av skyddet av personuppgifter i Nordamerika. Med sanktioner som uppgar till 25 miljoner CAD eller 4 % av den globala omsattningen ar konsekvenserna av bristande efterlevnad potentiellt forodande. Att utse en PRPI, uppdatera er integritetspolicy, genomfora KBI:er och upprratta rutiner for incidentrapportering ar inte langre valfritt — det ar lagliga skyldigheter. Varje dag utan efterlevnad ar en dag av onodig exponering for regulatorisk risk.