Datenschutz und Risikomanagement für Drittparteien
Québec Bill 64 ist ein Gesetz, das 2021 verabschiedet wurde, um das Gesetz der kanadischen Provinz über den privaten Sektor zu modernisieren und die Standards für den Schutz personenbezogener Daten zu verbessern. Eine wichtige Bestimmung des Gesetzentwurfs ist das Gesetz 25, das Anforderungen an die Erhebung, Nutzung und Übermittlung personenbezogener Daten enthält und die Datenschutzbehörde von Québec - die Commission d'accès à l'information du Québec - ermächtigt, Anforderungen wie die Durchführung von Datenschutz-Folgenabschätzungen vor der Übermittlung personenbezogener Daten außerhalb der Provinz durchzusetzen.
Die kanadischen Behörden setzten die Datenschutzanforderungen des Gesetzes Nr. 25 schrittweise im September 2022 und 2023 um, wobei die zusätzliche Durchsetzung im September 2024 beginnen soll.
Das Gesetz gilt für alle Unternehmen, die in Québec niedergelassen sind und/oder in Québec geschäftlich tätig sind und personenbezogene Daten von in der Provinz ansässigen Personen erheben, verwenden oder weitergeben, und sieht bei Verstößen Strafen in Höhe von 10 Millionen CAD oder 2 % des weltweiten Umsatzes bis zu 25 Millionen CAD oder 4 % des weltweiten Umsatzes vor.
Unternehmen, die in Québec tätig sind, sollten ihre bestehenden Praktiken zum Schutz der Daten Dritter überprüfen, um festzustellen, ob die derzeitigen Verfahren mit dem Gesetz übereinstimmen.
Relevante Anforderungen
-
die Erhebung, Verwendung und Weitergabe personenbezogener Daten von in Quebec ansässigen Personen regeln
-
Durchführung von obligatorischen Datenschutz-Folgenabschätzungen (PIAs) für die Übermittlung personenbezogener Daten außerhalb von Quebec
-
Aufnahme verbindlicher Bestimmungen in alle Outsourcing-Verträge (z. B. mit Dritten)
Québec Gesetz 25 TPRM Anforderungen
Die folgende Tabelle fasst ausgewählte Bestimmungen des Gesetzes 25 zusammen, die sich auf den Schutz von Daten Dritter beziehen, und zeigt, wie die Prevalent Third-Party Risk Management (TPRM)-Plattform dazu beitragen kann, die Anforderungen zu erfüllen.
Hinweis: Die Informationen in dieser Tabelle stellen eine Zusammenfassung der Anforderungen des Gesetzes 25 dar und sind daher nicht als umfassende Rechtsberatung zu verstehen. Bitte konsultieren Sie den vollständigen Wortlaut des Gesetzes und den Rechtsbeistand Ihres Unternehmens, um die beste Vorgehensweise für Ihr Unternehmen zu bestimmen.
| Wählen Sie Québec Law 25 Anforderungen | Bewährte Praktiken im Risikomanagement für Dritte |
|---|---|
| Gültig ab 22. September 2022 | |
| Im Falle eines Vertraulichkeitsvorfalls, der personenbezogene Daten betrifft:
a. Ergreifung angemessener Maßnahmen, um das Risiko eines Schadens für die betroffenen Personen zu verringern und zu verhindern, dass sich ähnliche Vorfälle wieder ereignen. b. Benachrichtigung der Kommission und der betroffenen Person, wenn der Vorfall das Risiko eines ernsthaften Schadens darstellt. c. Sie führen ein Verzeichnis der Vorfälle, von dem der Kommission auf Anfrage eine Kopie vorzulegen ist. |
Reagieren Sie auf die Auswirkungen, berichten Sie darüber und mildern Sie sie. Datenschutzvorfälle bei Drittanbietern durch zentrale Verwaltung von Anbietern, Durchführung von Ereignisbewertungen, Bewertung identifizierter Risiken, Abgleich mit kontinuierlicher Cyberüberwachung und Zugriff auf Leitlinien zur Behebung von Problemen. Zu den wichtigsten Funktionen Ihres Programms zur Reaktion auf Vorfälle durch Dritte sollten gehören:
|
| Legen Sie Praktiken fest, die es Ihnen ermöglichen, im Falle eines Vertraulichkeitsvorfalls, bei dem personenbezogene Daten betroffen sind, angemessen und schnell zu reagieren (z. B. Plan für die Reaktion auf einen Vorfall und Personalanweisung). | Ziehen Sie in Erwägung, die Verfahren zur Reaktion auf Vorfälle auf der Grundlage eines branchenüblichen Rahmens für bewährte Verfahren für das Management von Vorfällen zu strukturieren, z. B. des National Institute of Standards and Technology (NIST) Computer Security Incident Handling Guide, SP 800-61. |
| Machen Sie eine Bestandsaufnahme der personenbezogenen Daten, die sich in Ihrem Unternehmen (oder in dessen Namen bei einem Dritten) befinden, und bewerten Sie deren Sensibilität. | Beginnen Sie mit der Erstellung einer Karte, um die Beziehungen zwischen Ihrem Unternehmen und Dritten, Vierten oder N-ten Parteien zu identifizieren, um Informationspfade zu visualisieren und gefährdete Daten zu ermitteln. |
| Gültig ab 22. September 2023 | |
| Durchführung einer Datenschutz-Folgenabschätzung (Privacy Impact Assessment, PIA), wenn dies gesetzlich vorgeschrieben ist, z. B. bevor personenbezogene Daten außerhalb von Québec weitergegeben werden. | Eine interne Untersuchung durchführen Datenschutz-Folgenabschätzung (PIA) Fokussierung auf die sensibelsten datenschutzrelevanten Daten und Geschäftsprozesse mit dem höchsten Risiko. Nutzen Sie die PIA, um die Ursache, Art und Schwere des potenziellen Risikos zu bewerten und Empfehlungen zur Minderung der identifizierten Risiken und zur Gewährleistung der Einhaltung der Datenschutzbestimmungen zu geben.
Bewerten Sie dann die Datenschutzkontrollen des Anbieters mithilfe einer speziellen Umfrage nach Gesetz 25. Die Umfrage sollte darauf ausgerichtet sein, Risiken zu ermitteln und sie den Kontrollen zuzuordnen, um einen klaren Überblick über potenzielle Schwachstellen zu erhalten. |
| Vernichtung der personenbezogenen Daten, wenn der Zweck ihrer Erhebung erreicht ist, oder Anonymisierung für die Verwendung zu ernsthaften und rechtmäßigen Zwecken, vorbehaltlich der Bedingungen und einer gesetzlich festgelegten Aufbewahrungsfrist. | Automatisieren Sie Austrittsverfahren um das Risiko Ihrer Organisation nach Vertragsabschluss zu verringern. Suchen Sie nach Lösungen, die Ihnen Folgendes ermöglichen:
|
| Da sich das Inventar personenbezogener Daten ständig weiterentwickelt, ist es wichtig, es auf dem neuesten Stand zu halten, um Änderungen in Ihrem Unternehmen zu berücksichtigen (z. B. neue Sammlung personenbezogener Daten für ein Projekt) und sicherzustellen, dass Sie Ihre Maßnahmen angemessen planen und allen Ihren Verpflichtungen nachkommen. | Kontinuierliche Überwachung auf Datenschutzverletzungen durch Dritte. Identifizieren Sie Art und Menge der gestohlenen Daten, Probleme mit der Einhaltung von Vorschriften und Bestimmungen sowie Echtzeit-Benachrichtigungen über Datenschutzverletzungen durch Anbieter. |
| Bewertung der Einhaltung der Datenschutzgesetze im Rahmen des Projekts. | Erfüllen Sie Datenschutzbestimmungen, indem Sie Risiken und Reaktionen auf Kontrollen abbilden, prozentuale Konformitätsbewertungen erhalten und stakeholderspezifische Berichte erstellen. |
| Umsetzung von Strategien und Maßnahmen, um diese Risiken zu vermeiden oder wirksam zu verringern. | Automatisieren Sie die Risikoermittlung auf der Grundlage festgelegter Schwellenwerte und ergänzen Sie die Verfahren durch Workflows, die erkannte Risiken zur sofortigen Überprüfung und Beseitigung an die zuständigen Beteiligten weiterleiten.
Empfehlung spezifischer Abhilfemaßnahmen oder Bereitschaft, kompensierende Kontrollen zu akzeptieren, wenn Kontrollmängel bei den Datenschutzpraktiken festgestellt werden. |