Co Zákon 25 Québecu skutečně vyžaduje

Zákon 25 mění stávající québecký zákon o ochraně soukromí v soukromém sektoru (Act Respecting the Protection of Personal Information in the Private Sector) a přibližuje ho k evropskému GDPR, přičemž si zachovává výrazně kanadské rysy. Klíčové požadavky, které se dotýkají vydavatelů a digitálních provozovatelů, jsou:

• Výslovný, granulární souhlas před shromažďováním nebo používáním osobních údajů pro jakýkoliv účel přesahující původně sdělený.
• Jmenovaný pověřenec pro ochranu soukromí (standardně nejvýše postavený vedoucí pracovník, pokud není formálně pověřen jiný), jehož jméno a kontakt musí být zveřejněny na webu.
• Povinné posouzení vlivu na ochranu soukromí (PIA) před zahájením jakéhokoli projektu zahrnujícího osobní údaje, zejména přeshraniční přenosy nebo nové technologie.
• Oznámení o narušení Komisi pro přístup k informacím (CAI) a dotčeným osobám, pokud narušení představuje riziko závažné újmy.
• Individuální práva zahrnující přístup, opravu, výmaz, přenositelnost a — jedinečně — právo být informován o automatizovaném rozhodování a požádat o lidský přezkum.

Kontrolním orgánem je Commission d'accès à l'information du Québec (CAI), který v průběhu roku 2025 vydal formální oznámení o šetření vůči několika mezinárodním vydavatelům a platformám. Na rozdíl od některých regulátorů CAI prokázal ochotu stíhat nekanaďské subjekty obsluhující quebecké rezidenty.

Specifika souhlasu s cookies: přísnější než GDPR v klíčových oblastech

Zákon 25 přímo nepoužívá slovo „cookie", ale jeho definice technologie, která identifikuje, lokalizuje nebo profiluje jednotlivce, zahrnuje cookies, pixely, fingerprinting a mobilní identifikátory na bázi SDK. Oddíl 8.1 je klíčovým ustanovením: jakákoliv taková technologie, která je standardně aktivována, musí být standardně zakázána a vyžadovat aktivní souhlas k zapnutí.

Žádná předem zaškrtnutá políčka, žádný předpokládaný souhlas

Toto znění je přísnější než rámec ePrivacy GDPR v jednom konkrétním ohledu: nejen že souhlas musí být opt-in, ale základní technologie musí být technicky zakázána, dokud není souhlas udělen. Banner se soubory cookies, který načítá analytiku ještě před tím, než uživatel klikne na přijmout, porušuje Zákon 25, i když je banner sám o sobě technicky správný. Vydavatelé musí implementovat skutečné načítání skriptů podmíněné souhlasem, podobně jako Google Consent Mode v2 v režimu advanced — základní režim je obecně nedostatečný.

Personalizace na základě profilu vyžaduje samostatný souhlas

Pokud používáte cookies k vytváření uživatelského profilu pro personalizovanou reklamu, Zákon 25 s tím zachází jako se samostatným účelem vyžadujícím vlastní vrstvu souhlasu nad rámec základního souhlasu s umístěním cookies. Jediné tlačítko „přijmout vše", které sdružuje ukládání, analytiku a personalizaci, je v ohrožení — québecký regulátor signalizoval preferenci pro granulární přepínače pro každý účel.

Přeshraniční přenosy: požadavek PIA

Québec je jedinou kanadskou provincií, která vyžaduje formální posouzení vlivu na ochranu soukromí před přenosem osobních údajů mimo Québec — včetně zbytku Kanady, Spojených států a evropských datových center. PIA musí vyhodnotit:

• Citlivost dotčených údajů.
• Účel a nezbytnost přenosu.
• Právní rámec cílové jurisdikce.
• Zavedené smluvní a technické záruky.

Pro vydavatele se to nejčastěji týká analytiky, správy tagů, protokolů CDN a dat reklamního serveru proudících do americké infrastruktury. Québecká PIA o přiměřenosti tyto přenosy neblokuje, ale vyžaduje zdokumentované posouzení a — kriticky — písemné potvrzení od přijímající strany, že data budou chráněna podle rovnocenných principů. Standardní smlouvy SaaS hostované v USA toto znění zpravidla standardně neobsahují a musí být pozměněny.

Oznámení o automatizovaném rozhodování

Oddíl 12.1 Zákona 25 je jedinečný v severoamerickém právu: pokud podnik používá osobní údaje k rozhodnutí výhradně na základě automatizovaného zpracování, musí:

• Informovat jednotlivce v okamžiku rozhodnutí nebo před ním.
• Na požádání vysvětlit použité osobní údaje, důvody a hlavní faktory, které k rozhodnutí vedly.
• Poskytnout příležitost předložit vyjádření lidskému hodnotiteli.

Pro adtech to zahrnuje programatické rozhodování v žádostech o nabídky, dynamické oceňování, hodnocení podvodů a jakékoli řazení obsahu s pomocí AI. Vydavatelé tyto algoritmy přímo zřídka kontrolují — spoléhají na SSP a DSP — ale Zákon 25 s vydavatelem zachází jako se společně odpovědnou stranou, pokud rozhodnutí využívá data, která vydavatel shromáždil. Přidání stručného sdělení o automatizovaném rozhodování do vašeho oznámení o ochraně soukromí je minimálním životaschopným krokem ke splnění požadavků.

Praktický kontrolní seznam souladu pro rok 2026

Krok 1: Zmapujte québecký provoz a datové toky

Pomocí IP geolokace v analytice odhadněte objem québeckých návštěvníků. I když Québec tvoří méně než 5 % vašeho publika, sankce ve výši 4 % obratu jej ignorování dělá neúměrně rizikovým. Zmapujte každý cookie, pixel a SDK spouštěný pro québecké uživatele a kam jejich data směřují.

Krok 2: Nasaďte CMP podmíněný souhlasem

Váš CMP musí podporovat skutečné blokování na úrovni skriptů, nikoli jen kosmetické zavření banneru. FlexyConsent a jiné CMP certifikované Googlem nabízejí québecká specifická geografická pravidla, která párují logiku Zákona 25 s širšími signály Consent Mode v2 a GPP na úrovni USA. Předkonfigurovaný québecký režim by měl standardně vypnout všechny nepodstatné kategorie.

Krok 3: Jmenujte a zveřejněte pověřence pro ochranu soukromí

Pokud vaše organizace nemá kanadskou přítomnost, je váš generální ředitel nebo ekvivalent standardně pověřencem pro ochranu soukromí, pokud formálně písemně nepověříte jiného. Zveřejněte jméno a e-mail v oznámení o ochraně soukromí — CAI to při první kontrole ověřuje.

Krok 4: Proveďte PIA před novými projekty

Každý nový dodavatel, každý nový přeshraniční přenos, každá nová sledovací technologie vyžaduje zdokumentované PIA. Šablonová PIA od CAI jsou přijímána; nepotřebujete individuální právní stanovisko pro rutinní analytiku nebo smlouvy CDN.

Krok 5: Aktualizujte oznámení o ochraně soukromí

Québec vyžaduje konkrétní zveřejnění: kontakt pověřence pro ochranu soukromí, kategorie shromažďovaných osobních údajů, doby uchovávání, třetí strany jako příjemce, cíle přeshraničních přenosů a postupy automatizovaného rozhodování. Obecné oznámení o GDPR téměř nikdy nesplňuje Zákon 25 bez podstatných doplnění.

Jak Zákon 25 Québecu interaguje s PIPEDA a budoucnost Zákona 25

PIPEDA, kanadský federální zákon o ochraně soukromí, se vztahuje na obchodní činnost v celé Kanadě — ale Zákon 25 Québecu má v rámci Québecu přednost, protože provincie byla prohlášena za podstatně podobnou pro účely ochrany soukromí v soukromém sektoru. V praxi to znamená, že québecké operace se standardně řídí Zákonem 25 a PIPEDA se vztahuje pouze na aktivity překračující provinciální hranice.

Kanada také modernizuje PIPEDA prostřednictvím navrhovaného Consumer Privacy Protection Act (CPPA). Pokud CPPA projde ve své stávající podobě, přiblíží zbytek Kanady québeckému modelu — výslovný souhlas, smysluplné sankce, federální komisař pro ochranu soukromí s oprávněním vydávat příkazy a transparentnost automatizovaného rozhodování. Vydavatelé, kteří dnes budují svůj zásobník kolem Zákona 25 Québecu, budou dobře připraveni na federální změny zítřka.

Stručně řečeno: Zákon 25 Québecu není provinciální kuriozitou. Je šablonou pro směr, kterým se ubírá kanadská ochrana soukromí, a nejagresivnějším režimem ochrany soukromí v Americe. Vydavatelé, inzerenti a dodavatelé SaaS obsluhující kanadský provoz by měli považovat soulad se Zákonem 25 za prioritu roku 2026, nikoli za budoucí projekt.