Συμμόρφωση21 Απρ 2026 | FlexyConsent

Νόμος 25 του Κεμπέκ (Νομοσχέδιο 64): Ο Πλήρης Οδηγός Συναίνεσης Cookies και Απορρήτου για Εκδότες το 2026

Οι περισσότερες συζητήσεις για το απόρρητο στη Βόρεια Αμερική ξεκινούν και τελειώνουν με την Καλιφόρνια. Αυτή η προσέγγιση είναι ξεπερασμένη. Ο Νόμος 25 του Κεμπέκ, παλαιότερα γνωστός ως Bill 64, επιβάλλει πλέον κυρώσεις που υπερβαίνουν την CCPA, την CPRA και κάθε νόμο αμερικανικής πολιτείας — έως 25 εκατομμύρια CAD ή 4% του παγκόσμιου κύκλου εργασιών, όποιο είναι υψηλότερο. Η τελική φάση του Νόμου 25 τέθηκε σε ισχύ στις 22 Σεπτεμβρίου 2024, εισάγοντας πλήρες δικαίωμα φορητότητας δεδομένων, και η επιβολή έχει ενισχυθεί κατά τη διάρκεια του 2025 και εντός του 2026. Κάθε εκδότης, πλατφόρμα SaaS ή προμηθευτής adtech με κίνηση από το Κεμπέκ αντιμετωπίζει πλέον υποχρεώσεις επιπέδου GDPR — συχνά πιο απαιτητικές από το ίδιο το GDPR σε συγκεκριμένους τομείς όπως οι διασυνοριακές μεταφορές και οι γνωστοποιήσεις αυτοματοποιημένης λήψης αποφάσεων.

Τι απαιτεί πραγματικά ο Νόμος 25 του Κεμπέκ

Ο Νόμος 25 τροποποιεί τον υφιστάμενο νόμο απορρήτου ιδιωτικού τομέα του Κεμπέκ (Act Respecting the Protection of Personal Information in the Private Sector) και τον προσεγγίζει στο ευρωπαϊκό GDPR, διατηρώντας παράλληλα χαρακτηριστικά εμφανώς καναδικά. Οι βασικές απαιτήσεις που επηρεάζουν εκδότες και ψηφιακούς χειριστές είναι:

Ρητή, λεπτομερής συναίνεση πριν από τη συλλογή ή χρήση προσωπικών πληροφοριών για οποιονδήποτε σκοπό πέραν του αρχικώς δηλωθέντος.
Ένας ορισμένος Υπεύθυνος Απορρήτου (από προεπιλογή ο ανώτατος εκτελεστικός διευθυντής, εκτός αν έχει επίσημα εκχωρηθεί), του οποίου το όνομα και τα στοιχεία επικοινωνίας πρέπει να δημοσιεύονται στον ιστότοπο.
Υποχρεωτικές Εκτιμήσεις Αντικτύπου Απορρήτου (PIA) πριν από την έναρξη οποιουδήποτε έργου που αφορά προσωπικές πληροφορίες, ιδίως διασυνοριακές μεταφορές ή νέες τεχνολογίες.
Γνωστοποίηση παραβίασης στη Commission d'accès à l'information (CAI) και στα επηρεαζόμενα άτομα όταν η παραβίαση παρουσιάζει κίνδυνο σοβαρής βλάβης.
Ατομικά δικαιώματα που περιλαμβάνουν πρόσβαση, διόρθωση, διαγραφή, φορητότητα και — μοναδικά — το δικαίωμα να ενημερώνεται για την αυτοματοποιημένη λήψη αποφάσεων και να ζητά ανθρώπινη εξέταση.

Ο φορέας επιβολής είναι η Commission d'accès à l'information du Québec (CAI), η οποία έχει εκδώσει επίσημες γνωστοποιήσεις έρευνας σε πολλούς διεθνείς εκδότες και πλατφόρμες κατά τη διάρκεια του 2025. Σε αντίθεση με ορισμένους ρυθμιστές, η CAI έχει επιδείξει προθυμία να ακολουθήσει μη-καναδικές οντότητες που εξυπηρετούν κατοίκους του Κεμπέκ.

Λεπτομέρειες συναίνεσης cookies: αυστηρότερο από το GDPR σε βασικούς τομείς

Ο Νόμος 25 δεν χρησιμοποιεί απευθείας τη λέξη "cookie", αλλά ο ορισμός του για τεχνολογία που αναγνωρίζει, εντοπίζει ή δημιουργεί προφίλ ατόμου καλύπτει cookies, pixels, fingerprinting και αναγνωριστικά κινητής βασισμένα σε SDK. Το άρθρο 8.1 είναι η κρίσιμη διάταξη: κάθε τέτοια τεχνολογία που είναι ενεργοποιημένη από προεπιλογή πρέπει να είναι απενεργοποιημένη από προεπιλογή και να απαιτεί ενεργή συναίνεση για να ενεργοποιηθεί.

Χωρίς προ-επιλεγμένα πλαίσια, χωρίς σιωπηρή συναίνεση

Αυτή η διατύπωση είναι αυστηρότερη από το πλαίσιο ePrivacy του GDPR σε ένα συγκεκριμένο σημείο: όχι μόνο η συναίνεση πρέπει να είναι opt-in, αλλά η υποκείμενη τεχνολογία πρέπει να είναι τεχνικά απενεργοποιημένη έως ότου δοθεί η συναίνεση. Ένα banner cookies που φορτώνει analytics πριν ο χρήστης κάνει κλικ στο αποδοχή παραβιάζει τον Νόμο 25 ακόμα και αν το banner είναι τεχνικά σωστό. Οι εκδότες πρέπει να υλοποιήσουν αυθεντική φόρτωση scripts με δέσμευση συναίνεσης, παρόμοια με το Google Consent Mode v2 σε λειτουργία advanced — η βασική λειτουργία είναι γενικά ανεπαρκής.

Η εξατομίκευση βάσει προφίλ απαιτεί χωριστή συναίνεση

Αν χρησιμοποιείτε cookies για να δημιουργήσετε προφίλ χρήστη για εξατομικευμένη διαφήμιση, ο Νόμος 25 το αντιμετωπίζει ως ξεχωριστό σκοπό που απαιτεί το δικό του επίπεδο συναίνεσης, πέραν της βασικής συναίνεσης για τοποθέτηση cookies. Ένα μονό κουμπί «αποδοχή όλων» που ομαδοποιεί αποθήκευση, analytics και εξατομίκευση διατρέχει κίνδυνο — ο ρυθμιστής του Κεμπέκ έχει σηματοδοτήσει προτίμηση για λεπτομερείς διακόπτες ανά σκοπό.

Διασυνοριακές μεταφορές: η απαίτηση PIA

Το Κεμπέκ είναι η μόνη καναδική επαρχία που απαιτεί επίσημη Εκτίμηση Αντικτύπου Απορρήτου πριν από τη μεταφορά προσωπικών πληροφοριών εκτός Κεμπέκ — συμπεριλαμβανομένης της υπόλοιπης Καναδάς, των ΗΠΑ και των ευρωπαϊκών κέντρων δεδομένων. Η PIA πρέπει να αξιολογεί:

Την ευαισθησία των εμπλεκόμενων δεδομένων.
Τον σκοπό και την αναγκαιότητα της μεταφοράς.
Το νομικό πλαίσιο της δικαιοδοσίας προορισμού.
Τις συμβατικές και τεχνικές διασφαλίσεις που ισχύουν.

Για τους εκδότες, αυτό επηρεάζει συνηθέστερα τα analytics, τη διαχείριση tags, τα αρχεία καταγραφής CDN και τα δεδομένα διακομιστή διαφημίσεων που ρέουν προς αμερικανική υποδομή. Μια PIA επάρκειας για το Κεμπέκ δεν αποκλείει αυτές τις μεταφορές, αλλά απαιτεί τεκμηριωμένη αξιολόγηση και — κρίσιμα — γραπτή επιβεβαίωση από το λαμβάνον μέρος ότι τα δεδομένα θα προστατευθούν βάσει ισοδύναμων αρχών. Τα τυπικά SaaS συμβόλαια φιλοξενίας στις ΗΠΑ σπάνια περιλαμβάνουν αυτή τη διατύπωση από προεπιλογή και πρέπει να τροποποιηθούν.

Γνωστοποιήσεις αυτοματοποιημένης λήψης αποφάσεων

Το άρθρο 12.1 του Νόμου 25 είναι μοναδικό στο νόμο της Βόρειας Αμερικής: αν μια επιχείρηση χρησιμοποιεί προσωπικές πληροφορίες για να λάβει απόφαση βασισμένη αποκλειστικά σε αυτοματοποιημένη επεξεργασία, πρέπει:

Να ενημερώνει το άτομο κατά ή πριν από τη λήψη της απόφασης.
Κατ' αίτηση, να εξηγεί τις προσωπικές πληροφορίες που χρησιμοποιήθηκαν, τους λόγους και τους κύριους παράγοντες που οδήγησαν στην απόφαση.
Να παρέχει τη δυνατότητα υποβολής παρατηρήσεων σε ανθρώπινο αναθεωρητή.

Για το adtech, αυτό καλύπτει προγραμματικές αποφάσεις σε αιτήσεις προσφοράς, δυναμική τιμολόγηση, βαθμολόγηση απάτης και οποιαδήποτε κατάταξη περιεχομένου υποβοηθούμενη από AI. Οι εκδότες σπάνια ελέγχουν άμεσα αυτούς τους αλγορίθμους — βασίζονται σε SSP και DSP — αλλά ο Νόμος 25 αντιμετωπίζει τον εκδότη ως από κοινού υπεύθυνο μέρος όταν η απόφαση χρησιμοποιεί δεδομένα που συνέλεξε ο εκδότης. Η προσθήκη σύντομης γνωστοποίησης αυτοματοποιημένης απόφασης στη γνωστοποίηση απορρήτου σας είναι το ελάχιστο βιώσιμο βήμα συμμόρφωσης.

Πρακτική λίστα ελέγχου συμμόρφωσης για το 2026

Βήμα 1: Χαρτογραφήστε την κίνηση του Κεμπέκ και τις ροές δεδομένων

Χρησιμοποιήστε γεωγραφικό εντοπισμό IP στα analytics σας για να εκτιμήσετε τον όγκο επισκεπτών από το Κεμπέκ. Ακόμα και αν το Κεμπέκ αποτελεί λιγότερο από 5% του κοινού σας, η κύρωση του 4% του κύκλου εργασιών το καθιστά δυσανάλογα επικίνδυνο να αγνοηθεί. Χαρτογραφήστε κάθε cookie, pixel και SDK που ενεργοποιείται για χρήστες του Κεμπέκ και πού καταλήγουν τα δεδομένα τους.

Βήμα 2: Αναπτύξτε ένα CMP με δέσμευση συναίνεσης

Το CMP σας πρέπει να υποστηρίζει αληθινό αποκλεισμό σε επίπεδο script, όχι απλώς αισθητικό κλείσιμο banner. Το FlexyConsent και άλλα CMPs πιστοποιημένα από Google προσφέρουν κανόνες γεω-τοποθεσίας ειδικούς για το Κεμπέκ που συνδυάζουν τη λογική του Νόμου 25 με τα ευρύτερα σήματα Consent Mode v2 και GPP εθνικού επιπέδου ΗΠΑ. Η προκαθορισμένη λειτουργία Κεμπέκ πρέπει να έχει από προεπιλογή όλες τις μη-απαραίτητες κατηγορίες σε απενεργοποιημένο.

Βήμα 3: Ορίστε και δημοσιεύστε Υπεύθυνο Απορρήτου

Αν ο οργανισμός σας δεν έχει καναδική παρουσία, ο CEO σας ή ισοδύναμος είναι από προεπιλογή ο Υπεύθυνος Απορρήτου, εκτός αν επίσημα εκχωρήσετε γραπτώς. Δημοσιεύστε το όνομα και το email στη γνωστοποίηση απορρήτου σας — η CAI το ελέγχει κατά την πρώτη επιθεώρηση.

Βήμα 4: Ολοκληρώστε μια PIA πριν από νέα έργα

Κάθε νέος προμηθευτής, κάθε νέα διασυνοριακή μεταφορά, κάθε νέα τεχνολογία παρακολούθησης απαιτεί τεκμηριωμένη PIA. Τα πρότυπα PIA από την CAI γίνονται αποδεκτά· δεν χρειάζεστε εξατομικευμένη νομική γνωμοδότηση για συνήθη analytics ή συμβόλαια CDN.

Βήμα 5: Ενημερώστε τη γνωστοποίηση απορρήτου σας

Το Κεμπέκ απαιτεί συγκεκριμένες γνωστοποιήσεις: στοιχεία επικοινωνίας Υπεύθυνου Απορρήτου, κατηγορίες συλλεγόμενων προσωπικών πληροφοριών, περίοδοι διατήρησης, αποδέκτες τρίτων, προορισμοί διασυνοριακών μεταφορών και πρακτικές αυτοματοποιημένης λήψης αποφάσεων. Μια γενική γνωστοποίηση GDPR σχεδόν ποτέ δεν ικανοποιεί τον Νόμο 25 χωρίς ουσιώδεις προσθήκες.

Πώς ο Νόμος 25 του Κεμπέκ αλληλεπιδρά με το PIPEDA και το μέλλον του Νόμου 25

Το PIPEDA, ο ομοσπονδιακός νόμος απορρήτου του Καναδά, ισχύει για εμπορικές δραστηριότητες σε ολόκληρο τον Καναδά — αλλά ο Νόμος 25 του Κεμπέκ υπερισχύει εντός του Κεμπέκ επειδή η επαρχία έχει κηρυχθεί ουσιαστικά παρόμοια για σκοπούς απορρήτου ιδιωτικού τομέα. Στην πράξη αυτό σημαίνει ότι οι λειτουργίες του Κεμπέκ εξ ορισμού ακολουθούν τον Νόμο 25 και το PIPEDA ισχύει μόνο για δραστηριότητες που διασχίζουν επαρχιακά όρια.

Ο Καναδάς εκσυγχρονίζει επίσης το PIPEDA μέσω του προτεινόμενου Consumer Privacy Protection Act (CPPA). Αν το CPPA εγκριθεί στην τρέχουσα μορφή του, θα φέρει τον υπόλοιπο Καναδά πιο κοντά στο μοντέλο του Κεμπέκ — ρητή συναίνεση, ουσιαστικές κυρώσεις, ομοσπονδιακός Επίτροπος Απορρήτου με εξουσία έκδοσης εντολών και διαφάνεια αυτοματοποιημένης λήψης αποφάσεων. Οι εκδότες που σήμερα χτίζουν την υποδομή τους γύρω από τον Νόμο 25 του Κεμπέκ θα είναι καλά τοποθετημένοι για τις ομοσπονδιακές αλλαγές του αύριο.

Συνοπτικά: ο Νόμος 25 του Κεμπέκ δεν είναι επαρχιακή περιέργεια. Είναι το πρότυπο για την κατεύθυνση που ακολουθεί το καναδικό απόρρητο και το πιο επιθετικό καθεστώς απορρήτου στην Αμερική. Εκδότες, διαφημιστές και προμηθευτές SaaS που εξυπηρετούν καναδική κίνηση πρέπει να αντιμετωπίζουν τη συμμόρφωση με τον Νόμο 25 ως προτεραιότητα του 2026, όχι ως μελλοντικό έργο.