Kvebekin Qanun 25-i əslində nə tələb edir

Qanun 25 Kvebekin mövcud özəl sektor məxfilik qanununu (Act Respecting the Protection of Personal Information in the Private Sector) dəyişdirir və onu Avropa GDPR-nə yaxınlaşdırır, eyni zamanda fərqli Kanada xüsusiyyətlərini qoruyur. Naşirlərə və rəqəmsal operatorlara təsir edən əsas tələblər bunlardır:

• Əvvəlcədən açıqlanan məqsəddən kənara çıxan hər hansı məqsəd üçün şəxsi məlumatların toplanması və ya istifadəsindən əvvəl açıq, dəqiq razılıq.
• Adı və əlaqəsi vebsaytda dərc edilməli olan təyin edilmiş Məxfilik Müvəkkili (formal olaraq nümayəndə verilmədikdə defolt olaraq ən yüksək vəzifəli icraçı).
• Şəxsi məlumatları əhatə edən, xüsusilə sərhədlərarası ötürmələri və ya yeni texnologiyaları əhatə edən hər hansı layihəni başlatmazdan əvvəl məcburi Məxfilik Təsir Qiymətləndirmələri (PIA-lar).
• Pozuntu ciddi zərər riski yaratdıqda Commission d'accès à l'information (CAI)-ə və təsirlənmiş şəxslərə pozuntu bildirişi.
• Giriş, düzəliş, silinmə, portativlik və — unikal olaraq — avtomatlaşdırılmış qərar qəbulu haqqında məlumatlandırılma və insan nəzarəti tələb etmə hüququ daxil olmaqla fərdi hüquqlar.

İcra orqanı Commission d'accès à l'information du Québec (CAI)-dir, o 2025-ci il boyunca çoxsaylı beynəlxalq naşirlərə və platformlara rəsmi araşdırma bildirişləri göndərib. Bəzi tənzimləyicilərdən fərqli olaraq, CAI Kvebek sakinlərinə xidmət edən qeyri-Kanada qurumlarını izləmək istəyi nümayiş etdirib.

Cookie razılığının xüsusiyyətləri: əsas sahələrdə GDPR-dən daha sərt

Qanun 25 birbaşa "cookie" sözündən istifadə etmir, lakin bir fərdi müəyyən edən, yerini müəyyən edən və ya profil yaradan texnologiya tərifi cookie-ləri, pikselləri, barmaq izi götürməni və SDK əsaslı mobil identifikatorları əhatə edir. Maddə 8.1 kritik müddəadır: defolt olaraq aktiv edilən belə hər hansı texnologiya defolt olaraq deaktiv edilməli və aktivləşdirmək üçün aktiv razılıq tələb etməlidir.

Əvvəlcədən işarələnmiş qutu yoxdur, nəzərdə tutulan razılıq yoxdur

Bu dil bir konkret məsələdə GDPR-in ePrivacy çərçivəsindən daha sərtdir: təkcə razılıq opt-in olmamalı, həm də əsas texnologiya razılıq verilənə qədər texniki olaraq deaktiv edilməlidir. Bir cookie bannerı istifadəçi qəbul düyməsini klikləmədən əvvəl analitikanı yükləyirsə, banner özü texniki olaraq düzgün olsa belə Qanun 25-i pozur. Naşirlər advanced rejimdə Google Consent Mode v2-yə bənzər həqiqi razılıqla məhdudlaşdırılmış skript yükləməsini həyata keçirməlidir — əsas rejim ümumiyyətlə kifayət deyil.

Profil əsaslı fərdiləşdirmə ayrıca razılıq tələb edir

Fərdiləşdirilmiş reklam üçün istifadəçi profili yaratmaq üçün cookie-lərdən istifadə edirsinizsə, Qanun 25 bunu cookie yerləşdirməsi üçün əsas razılığın üstünə öz razılıq qatını tələb edən ayrı bir məqsəd kimi qiymətləndirir. Saxlama, analitika və fərdiləşdirməni bir araya gətirən tək "hamısını qəbul et" düyməsi risk altındadır — Kvebek tənzimləyicisi hər məqsəd üçün ayrı açarlar üstünlüyünü bildirdi.

Sərhədlərarası ötürmələr: PIA tələbi

Kvebek, Kanadanın digər əyalətlərini, Birləşmiş Ştatları və Avropa məlumat mərkəzlərini də daxil olmaqla şəxsi məlumatları Kvebek xaricinə ötürmədən əvvəl rəsmi Məxfilik Təsir Qiymətləndirməsi tələb edən yeganə Kanada əyalətidir. PIA qiymətləndirməlidir:

• Müvafiq məlumatların həssaslığını.
• Ötürmənin məqsədi və zəruriliyi.
• Təyinat yurisdiksiyasının hüquqi çərçivəsi.
• Mövcud müqaviləli və texniki təminatlar.

Naşirlər üçün bu ən çox ABŞ infrastrukturuna axan analitikaya, teq idarəsinə, CDN jurnallarına və reklam server məlumatlarına təsir edir. Kvebek-adekvatlıq PIA-sı bu ötürmələri bloklamır, lakin sənədləşdirilmiş qiymətləndirməni və — kritik olaraq — məlumatın ekvivalent prinsiplər altında qorunacağına dair qəbul edən tərəfdən yazılı təsdiq tələb edir. Standart ABŞ-da yerləşdirilən SaaS müqavilələri nadir hallarda bu dili defolt olaraq özündə əks etdirir və dəyişdirilməlidir.

Avtomatlaşdırılmış qərar qəbuluna dair bildirişlər

Qanun 25-in Maddə 12.1-i Şimali Amerika hüququnda unikaldır: bir iş şəxsi məlumatlardan müstəsna olaraq avtomatlaşdırılmış emalə əsasən qərar qəbulu üçün istifadə edərsə, o:

• Qərar qəbul ediləndə və ya əvvəl fərdi məlumatlandırmalıdır.
• Tələb üzrə istifadə edilən şəxsi məlumatı, səbəbləri və qərara aparan əsas amilləri izah etməlidir.
• İnsan yoxlayıcısına müşahidə təqdim etmək imkanı verməlidir.

Reklam texnologiyaları üçün bu, tender sorğularına proqramlı qərar qəbulunu, dinamik qiymətlərini, saxtakarlıq xallarını və AI köməkli hər hansı məzmun reytinqini əhatə edir. Naşirlər bu alqoritmləri birbaşa nadir hallarda idarə edir — onlar SSP-lərə və DSP-lərə etibar edir — lakin Qanun 25 naşiri qərar naşirin topladığı məlumatlardan istifadə etdikdə birgə məsul tərəf kimi qiymətləndirir. Məxfilik bildirişinizə qısa avtomatlaşdırılmış qərar açıqlaması əlavə etmək minimum uyğunluq addımıdır.

2026-cı il üçün praktiki uyğunluq yoxlama siyahısı

Addım 1: Kvebek trafikini və məlumat axınlarını xəritəyə salın

Kvebek ziyarətçi həcmini təxmin etmək üçün analitikanızda IP geolokasiyanı istifadə edin. Kvebek auditoriyalarınızın 5%-dən azını təşkil etsə belə, dövriyyənin 4% cəriməsi onu nəzərə almamağı qeyri-mütənasib riskli edir. Kvebek istifadəçiləri üçün işləyən hər cookie, piksel və SDK-ı və məlumatlarının harada tamamlandığını xəritəyə salın.

Addım 2: Razılıqla məhdudlaşdırılmış CMP yerləşdirin

CMP-niz kosmetik banner bağlanmasını deyil, həqiqi skript səviyyəsini bloklamasını dəstəkləməlidir. FlexyConsent və digər Google sertifikatlı CMP-lər Qanun 25 məntiqi ilə daha geniş Consent Mode v2 və GPP ABŞ-milli siqnallarını birləşdirən Kvebek spesifik coğrafi qaydalar təklif edir. Əvvəlcədən konfiqurasiya edilmiş Kvebek rejimi bütün qeyri-vacib kateqoriyaları defolt olaraq söndürməlidir.

Addım 3: Məxfilik Müvəkkilini təyin edin və dərc edin

Təşkilatınızın Kanada varlığı yoxdursa, rəsmi olaraq yazılı şəkildə nümayəndə verməsəniz CEO-nuz və ya ekvivalenti defolt olaraq Məxfilik Müvəkkilinizdir. Adı və e-poçtu məxfilik bildirişinizdə dərc edin — CAI bunu ilk yoxlamada yoxlayır.

Addım 4: Yeni layihələrdən əvvəl PIA tamamlayın

Hər yeni satıcı, hər yeni sərhədlərarası ötürmə, hər yeni izləmə texnologiyası sənədləşdirilmiş PIA tələb edir. CAI-dan hazır PIA şablonları qəbul edilir; rutin analitika və ya CDN müqavilələri üçün xüsusi hüquqi rəyə ehtiyac yoxdur.

Addım 5: Məxfilik bildirişinizi yeniləyin

Kvebek xüsusi açıqlamalar tələb edir: Məxfilik Müvəkkilinin əlaqəsi, toplanan şəxsi məlumatların kateqoriyaları, saxlama müddətləri, üçüncü tərəf alıcıları, sərhədlərarası ötürmə yerləri və avtomatlaşdırılmış qərar təcrübələri. Ümumi GDPR bildirişi maddi əlavələr olmadan demək olar ki, Qanun 25-i ödəmir.

Kvebekin Qanun 25-i PIPEDA ilə necə qarşılıqlı əlaqədədir və Qanun 25-in gələcəyi

Kanadanın federal məxfilik qanunu olan PIPEDA bütün Kanadada kommersiya fəaliyyətinə şamil edilir — lakin Kvebekin Qanun 25-i Kvebek daxilində üstündür, çünki əyalət özəl sektor məxfilik məqsədləri üçün əhəmiyyətli dərəcədə bənzər elan edilib. Praktikada bu, Kvebek əməliyyatlarının defolt olaraq Qanun 25-ə uyğun işlədiyini və PIPEDA-nın yalnız əyalət xətlərini keçən fəaliyyətlərə şamil olunduğunu bildirir.

Kanada həmçinin təklif olunan Consumer Privacy Protection Act (CPPA) vasitəsilə PIPEDA-nı modernizasiya edir. CPPA indiki formasında qəbul edilərsə, Kanadanın qalan hissəsini Kvebek modelinə — açıq razılıq, mənalı cəzalar, əmr vermə səlahiyyəti olan federal Məxfilik Komissarı və avtomatlaşdırılmış qərar şəffaflığına — yaxınlaşdıracaq. Bu gün öz texnoloji yığımını Kvebekin Qanun 25-i ətrafında quran naşirlər sabah federal dəyişikliklərlə üzləşmək üçün yaxşı mövqedə olacaqlar.

Qısa versiya: Kvebekin Qanun 25-i əyalət marağı deyil. Bu, Kanada məxfiliyinin getdiyi istiqamətin şablonu və Amerikaların ən aqressiv məxfilik rejimidir. Kanada trafikinə xidmət edən naşirlər, reklamçılar və SaaS satıcıları Qanun 25-ə uyğunluğu gələcək layihə kimi deyil, 2026 prioriteti kimi qəbul etməlidir.