票据64:魁北克私隐法制度的大修 - 对业务的影响

尊重私营部门的个人信息保护[1] (the “私营部门法案“)在超过25年前通过,在魁北克是北美第一个采取立法以确保保护个人信息的司法管辖区的时间推出。然而,近年来联邦政府和技术进步采用的后续立法意味着私营部门法案不再适应目前的背景,而且,在其他省份的加拿大联邦法律和同等立法中并不一致,也不是一致随着欧洲联盟的一般数据保护条例(“GDP.“),这似乎越来越成为事实上的国际参考标准。

2020年6月12日,比尔64岁, 尊重尊重个人信息的立法规定的法案 (the “账单“)是在魁北克国民议会中介绍的。

根据政府,曾经通过,该法案将促进透明度,加强数据隐私,加强通过增加各部门和机构,私营公司的责任,政党的责任,加强用户同意。灵感来自其他加拿大司法管辖区和欧盟在欧盟实施的内容,拟议的修正案仍然是一个独特的“以魁北克议员”的隐私保护方法。许多人希望看到加拿大的所有隐私立法的全面统一尚未实现。

本文重点介绍私营部门法案的拟议修正案,该改变将对当前制度的变化及其对必须实施它们的私营企业的后果。

主要修正案

  • 委员会D'Accèsàl'l'l'forify可能征收重大的行政制裁(““)高达1000万美元或2%的全球营业额,以较大的方式,刑罚制裁高达2500万美元或全球营业额的4%。

  • 公司适合损害的可能性。

  • 要求任命首席隐私官员并建立治理政策和做法。

  • 发生数据违规事件时的新义务。

  • 关于数据便携性的个人新权利,被遗忘的权利和对象自动处理个人信息的权利。

  • 在未经有关个人事先同意的情况下,在商业交易过程中创建允许披露个人信息的例外情况。

  • 拆除沟通的可能性,未经有关人员,注重名单和关于使用个人信息用于商业或慈善勘探目的的人的新规则。

  • 公司的义务确保其技术产品和服务的预先建立的设置确保了最高水平的机密性。 (按设计隐私)

私人组织的重大变更

更强硬的罚款

在行政层面,新立法如果通过,将为CAI提供更多权力,现在可以将行政货币处罚征收罪犯。至于私营部门,CAI将有权将行政货币处罚施加高达1000万美元,占公司全球营业额(以前的财政年度)[2].

该法案还规定违反私营部门法案的刑事刑罚,高达2500万美元或公司全球营业额的4%,以较大的方式,最低罚款15,000美元[3]。通过比较,私营部门法案目前为重复犯罪提供1,000美元至10,000美元的罚款,罚款高达20,000美元 [4].

此外,该法案介绍了一个人根据私人部门法案侵犯侵权行为或与隐私保护的权利侵犯侵权行为 魁北克的民法典[5]。在侵权是故意的情况下,条例草案规定至少1000美元的惩罚性赔偿金[6].

问责制和治理

根据条例草案的规定,在企业内行使最高权力的人将负责保护个人信息。但是,他或她将选择将此功能委派给工作人员成员,其联系信息和标题必须在企业的互联网网站上发布[7]。这种新要求与下面的要求类似 个人信息保护和电子文件法[8] (“皮皮达“)和欧盟的GDPR。此外,载有企业的任何人都必须在收集,披露,披露或摧毁任何拟议的信息系统项目或电子服务交付项目时进行隐私影响评估[9]。该法案还要求企业通过保护个人信息的治理规则,这必须包括其破坏和保留的具体框架[10]。这些政策和实践必须由负责保护个人信息的人员批准并在公司网站上发布。

强制泄露通知要求

该法案还旨在为企业介绍涉及个人信息的“保密事件”透明地处理企业的义务。从此义务流动向CAI报告的义务[11] 当有问题的事件提出了“严重伤害的风险”。为了评估严重伤害的风险,条例草案规定,携带企业的人必须考虑“有关信息的敏感性,其使用的预期后果以及此类信息将用于伤害的可能性。目的“[12]。此外,携带企业的人必须采取合理的措施,以降低利用这些事件的损害风险,并防止此类事件的复发。这个新的立法框架类似于Pipeda和Alberta的目前所载的内容 个人信息保护法案[13] (“琵琶“)。与Pipeda下的情况一样[14],企业也必须需要记录必须根据要求发送到CAI的保密事件。

技术产品或服务的参数

拟议的私营部门法案修正案规定,当企业通过提供技术产品或服务收集个人信息时,企业必须确保本产品或服务的默认设置确保了最高的机密性,而无需该人的干预担心的。这种新的义务似乎受到GDPR第25节中发现的“设计数据保护和默认数据保护”的启发。

第三方的概念

条例草案规定,隐私法不仅适用于保留个人信息的公司,而且还有当第三方确保保留此信息时[15]。因此,在受私营部门法案的企业上的义务也延伸到其第三方承包商。这必然意味着如果公司在第三方服务器上托管数据,例如,它仍然必须确保其机密性。

商业交易异常

目前,在魁北克省,私营部门法案不提供同意的任何例外情况,即个人必须在商业交易过程中提供对其个人信息的收集和披露,从而产生某些实际问题。根据条例草案,如果有必要,在没有他或她同意的情况下披露有关个人的个人信息,以便在必要时授权,以便结束商业交易并受到某些条件,即[16]:

  • 与其他缔约方的缔结达成协议,其中包括具体条款关于披露,保护和销毁个人信息;
  • 在缔结商业交易结束时,根据“隐私部门”行为的信息和披露,并使用个人信息;和
  • 通知交易结束后有关人员的个人信息。

这一拟议的新条款与联邦立法对齐,Pipeda,其在商业交易的背景下获得同意,以及琵琶和不列颠哥伦比亚省等其他省级立法 个人信息保护法案[17].

摧毁和匿名的义务

该法案规定,企业将被要求销毁或匿名(即制定技术措施,以确保在收集其目的时不再使用有关个人的信息来识别他或她的个人信息除非法律提供保存期[18].

使用技术收集信息

该法案为能够提供能够识别,定位或简化个人的技术工具提供义务,以便从个人收集个人信息。必须告知个人使用这种技术工具和可用于停用识别,跟踪或分析功能的手段[19].

同意的新例外

该法案增加了使用去确定的学习,研究或统计目的的可识别信息的可能性。该法案定义了去识别的过程,作为信息不再直接识别个人的事实[20]。还应注意,该定义与涉及信息匿名化的条例草案的定义不同,这些定义有关信息的匿名化,这使得信息被匿名“不可逆转地不再允许直接或间接识别的人”。 [21] 它还为个人信息用于学习,研究或统计目的以及隐私影响评估的个人信息提供了新的例外,并结束了这一点[22]:

  • 否则研究,研究或统计数据的目的无法完成;

  • 要求有关人员的同意是不合理的;

  • 研究的目的,统计数据的影响超过了沟通和利用有关个人隐私信息的影响;

  • 个人信息以确保其机密性的方式使用;和

  • 只传达必要的信息。

为了使用此类个人信息进行学习,研究或统计目的,其中一个人或企业必须以书面形式提出请求,向支持达到上述条件并附上研究方案。还必须与在其他事项中传输提供机密信息的人或组织进行协议,以便措施确保保障机密信息,并且必须在其生效前30天发送到CAI。在这种情况下提供信息的义务也与Pipeda中所发现的内容一致[23] .

新权利

  • 去索引和被遗忘的权利

该法案规定,当满足某些条件时,个人可能需要,即携带企业的人停止传播关于自己或自己的个人信息“或者将任何相关的超链接附加到他的名称,以便通过a提供对信息的访问权限技术手段,如果信息传播违反了法律或法院命令“[24]。这有几种实际后果,特别是对于将不得不遵守这些新要求的搜索引擎管理员。此外,如果满足以下条件,个人可能要求提供提供对个人信息的访问的超链接:传播对个人尊重他或她的声誉或隐私的权力严重伤害,伤害显然更大比公众利益和传播的停止,请求的重新索引或去索引不超过避免损伤的必要条件[25]。这种新权利似乎受到在GDPR第17条中发现的“被遗忘的权利”的概念的启发。

  • 对象自动决策权

此外,该法案提出了一种新的自动化决策框架[26]。它建议企业不得使用个人信息来专门地基于个人信息的自动处理来渲染决定,除非企业通知有关人员。有关人员还有权了解以下内容:

  • 用于提出决定的个人信息;

  • 决定的原因;和

  • 它有权使用纠正的个人信息。

有关人员也将能够在条例草案下,利用机会向企业员工的成员展示他或她的观察,他们将能够审查该决定。

  • 数据便携性

该法案鉴于GDPR,该账单还规定,保存有关人员信息的企业必须根据该人的要求确认信息的存在并向该人传达。如果信息被计算机化,则必须以可理解的方式披露,以书面成绩单的形式,并以结构化和常用的技术格式通信[27].

外包和跨境转移

该法案规定了魁北克省以外的外包和转让个人信息的新规则,包括由欧洲模型的启发的等同体系[28].

该法案大大提高了私营部门法案第17条规定的要求。在宣布魁北克省以外的个人信息(包括外包目的)之前,将需要进行一家企业,以便进行隐私影响评估,以评估信息是否会获得相当于魁北克法律规定的保护程度。为此,企业不仅需要考虑信息的敏感性,将使用它的敏感性以及将适用的保护措施,而且“也”适用于信息所在的国家的法律框架“发布,包括法律框架的等价程度,与适用于魁北克的个人信息保护原则。“[29] 如果作为本评估,企业的结论是,外国立法不等同,不能披露个人信息。

如果评估令人满意,披露必须是书面协议的主题,同时考虑到评估结果,如果适用,可根据所确定的风险达成的条款和条件。

预计Québec政府将发布有关个人信息的法律框架相当于魁北克框架的国家名单。

使用个人信息进行商业或慈善目的

在通过该法案后,使用个人信息的商业或慈善勘探目的的企业将不得不识别自己并告知该人员有关撤回其同意此类个人信息的权利。一旦同意已被撤回,使用个人信息必须停止[30].

改变的时间

1995年,欧洲联盟通过了指令95/46 / E(“欧洲数据保护指令“)。本指令第25部分禁止将个人数据转移到第三州的成员国(和边界内的公司),该第三个国家不会充分保护数据。如果欧洲联盟确定此类司法管辖区的隐私保护制度是“足够的”(或者其他规定的保护措施通过转让实体提出),则可能会发生转账。出于第25章的目的,加拿大的Pipeda在2001年获得了有利的“充分性”。

虽然私营部门法案(如艾伯塔省和不列颠哥伦比亚省立法)被发现为Pipeda的“基本上相似”,但它没有在欧洲数据保护指令下获得充足的决定。事实上,2014年,建议欧洲委员会不宣布魁北克法律对欧洲数据保护指令充足,因为私营部门法案的领土范围的不确定性,需要加强要求透明度遵循个人的个人信息,需要定义“敏感信息”的概念,并需要通过合同或其他约束性立法规定进行信息转移,以确保与此类普遍存在的数据保护水平相当欧洲联盟[31].

截至2018年5月25日,GDPR替换了欧洲数据保护指令。在GDPR下,欧洲联盟必须再次评估Pipeda保护的充分性,每四年将邀请其邀请的练习。作为本评估的一部分,将根据GDPR中规定的新的,更高标准的保护标准评估PIPEDA。因此,预计会对Pipeda进行更改。

还可以重新评估私营部门法案的充分性。因此,该法案在加拿大隐私立法的基本革新的背景下提出。

虽然该法案将受到在堕落中的议会恢复时通过的下一个步骤,但其过渡和最终规定有一年的时间,以便在该法案上争取其大部分规定后生效[32],为了准备,企业应开始审查他们的隐私政策和合同与第三方,审查其同意表格,对他们所持有的个人信息进行审计,以确定其敏感程度和所需的保护水平,实施协议如果机密事件发生并确保他们使用符合最高安全标准的技术手段。

留到McCarthyTétrault的出版物。更全面的研究将遵循本文的出版,并可根据要求提供。与此同时,我们邀请您阅读我们在拟议的Pipeda修正案上阅读我们的五个博客 这里 拟议的不列颠哥伦比亚省隐私立法的变化 这里.

[1]尊重私营部门的个人信息保护,CQRL,C P-39.1。

[2] 条例草案第150条。

[3] 条例草案第151条。

[4]尊重私营部门的个人信息保护,cqrl,c p-39.1,s。 91。

[5]魁北克的民法典,c ccq-1991,s。 35等。

[6] 条例草案第152条。

[7] 条例草案第95条。

[8]个人信息保护和电子文件法,s.c. 2000,c。 5。

[9] 条例草案第95条。

[10] 条例草案第95条。

[11] 条例草案第95条。

[12] 条例草案第95条。

[13]个人信息保护法案,SA 2003,C P-6.5。

[14]个人信息保护和电子文件法,s.c. 2000,c。 5,s。 10.3(1)。

[15] 条例草案第93条。

[16] 条例草案第107条。

[17]个人信息保护法案,SBS 2003,C 63。

[18] 条例草案第111条。

[19] 条例草案第99条。

[20] 条例草案第102条。

[21] 条例草案第111条

[22] 条例草案第110条。

[23]个人信息保护和电子文件法,s.c. 2000,c。 5,s。 7(2)c)。

[24] 条例草案第113条。

[25] 条例草案第113条。

[26] 条例草案第102条。

[27] 条例草案第112条。

[28] 条例草案第103条。

[29] 条例草案第103条。

[30] 条例草案第111条。

[31] 数据保护工作组, 意见7/2014关于在魁北克省保护个人数据,s。 2014年6月4日,以下列URL提供: //www.dataprotection.ro/servlet/ViewDocument?id=1087

[32] 条例草案第165条。

Authors

订阅

保持联系

获取此博客的最新帖子

请输入有效的电子邮件地址