Mida Quebec'i seadus 25 tegelikult nõuab

Seadus 25 muudab Quebec'i olemasolevat eraisiku privaatsusseadust (Act Respecting the Protection of Personal Information in the Private Sector) ja viib selle lähemale Euroopa GDPR-ile, säilitades samal ajal selgelt Kanada jooned. Peamised nõuded, mis mõjutavad kirjastajaid ja digitaalseid operaatoreid, on:

• Selge, üksikasjalik nõusolek enne isikuandmete kogumist või kasutamist mis tahes eesmärgil, mis läheb kaugemale algselt teatavaks tehtust.
• Ametlikult määratud privaatsusametniku (vaikimisi kõrgeima astme juht, välja arvatud juhul, kui see on ametlikult delegeeritud) nimi ja kontaktandmed tuleb veebisaidil avaldada.
• Kohustuslikud andmekaitsemõju hindamised (PIA-d) enne isikuandmeid hõlmava projekti käivitamist, eriti piiriüleste edastuste või uue tehnoloogia puhul.
• Rikkumisest teavitamine Commission d'accès à l'information'ile (CAI) ja mõjutatud isikutele, kui rikkumine kujutab tõsise kahju ohtu.
• Üksikisiku õigused, sealhulgas juurdepääs, parandamine, kustutamine, ülekandmine ja — ainulaadselt — õigus olla teavitatud automatiseeritud otsustest ja taotleda inimese ülevaatust.

Jõustamisorgan on Commission d'accès à l'information du Québec (CAI), mis on väljastanud ametlikud uurimisteated mitmele rahvusvahelisele kirjastajale ja platvormile kogu 2025. aasta jooksul. Erinevalt mõnedest regulaatoritest on CAI näidanud valmisolekut jälitada mittekanaada üksusi, kes teenindavad Quebec'i elanikke.

Küpsiste nõusoleku eripärad: rangemad kui GDPR põhivaldkondades

Seadus 25 ei kasuta otse sõna "küpsis", kuid selle definitsioon tehnoloogiast, mis tuvastab, asukoha määrab või profiili koostab isiku kohta, hõlmab küpsiseid, piksleid, sõrmejälgi ja SDK-põhiseid mobiilseid identifikaatoreid. Paragrahv 8.1 on kriitiline säte: iga selline tehnoloogia, mis on vaikimisi aktiveeritud, peab olema vaikimisi keelatud ja nõudma aktiivset nõusolekut sisselülitamiseks.

Eelmärgitud kastid puuduvad, kaudne nõusolek puudub

See sõnastus on GDPR-i ePrivacy raamistikust rangem ühes konkreetses aspektis: mitte ainult ei pea nõusolek olema opt-in, vaid aluseks olev tehnoloogia peab olema tehniliselt keelatud, kuni nõusolek on antud. Küpsiste bänner, mis laadib analüütika enne kasutaja klõpsamist nõustumisel, rikub seadust 25 isegi siis, kui bänner ise on tehniliselt korrektne. Kirjastajad peavad rakendama tõelist nõusolekuga piiratud skripti laadimist, sarnaselt Google Consent Mode v2-le täiustatud režiimis — põhirežiim on üldiselt ebapiisav.

Profiilipõhine personaliseerimine nõuab eraldi nõusolekut

Kui kasutate küpsiseid kasutajaprofiili koostamiseks personaliseeritud reklaami jaoks, käsitleb seadus 25 seda eraldi eesmärgina, mis nõuab oma nõusoleku kihti, lisaks algse küpsiste paigutamise nõusolekule. Üksik nupp "kõik nõustun", mis ühendab salvestuse, analüütika ja personaliseerimise, on ohus — Quebec'i regulaator on andnud märku eelistusest üksikasjalike eesmärgikaupa lülitite suhtes.

Piiriülesed edastused: PIA nõue

Quebec on ainus Kanada provints, mis nõuab ametlikku andmekaitsemõju hindamist enne isikuandmete edastamist väljaspool Quebec'i — sealhulgas ülejäänud Kanadasse, USA-sse ja Euroopa andmekeskustesse. PIA peab hindama:

• Kaasatud andmete tundlikkust.
• Edastuse eesmärki ja vajalikkust.
• Sihtkoha jurisdiktsiooni õigusraamistikku.
• Kehtivaid lepingulisi ja tehnilisi kaitsemeetmeid.

Kirjastajate jaoks mõjutab see kõige sagedamini analüütikat, siltide haldamist, CDN-i logisid ja reklaamiserveri andmeid, mis voolavad USA infrastruktuuri. Quebec'i adekvaatsuse PIA ei blokeeri neid edastusi, kuid nõuab dokumenteeritud hindamist ja — kriitiliselt — kirjalikku kinnitust vastuvõtvalt poolelt, et andmeid kaitstakse samaväärsete põhimõtete alusel. Standardsed USA-põhised SaaS-lepingud sisaldavad harva seda keelt vaikimisi ja neid tuleb muuta.

Automatiseeritud otsuste tegemise teated

Seaduse 25 paragrahv 12.1 on ainulaadne Põhja-Ameerika õiguses: kui ettevõte kasutab isikuandmeid otsuse tegemiseks, mis põhineb eranditult automatiseeritud töötlemisel, peab ta:

• Teavitama isikut otsuse tegemise ajal või enne seda.
• Taotluse korral selgitama kasutatud isikuandmeid, põhjuseid ja peamisi tegureid, mis viisid otsuseni.
• Andma võimaluse esitada tähelepanekuid inimesest ülevaatajale.

Reklaamitehnoloogia puhul hõlmab see programmilisi otsuseid pakkumispäringute, dünaamilise hinnakujunduse, pettuste hindamise ja AI-abistatud sisuanalüüsi kohta. Kirjastajad kontrollivad harva neid algoritme otse — nad tuginevad SSP-dele ja DSP-dele — kuid seadus 25 käsitleb kirjastajat ühise vastutava poolena, kui otsus kasutab kirjastaja kogutud andmeid. Lühike automatiseeritud otsuste avalikustamine privaatsusteatele lisamine on minimaalne elujõuline vastavussamm.

Praktiline vastavuse kontrollnimekiri 2026. aastaks

1. samm: kaardistage Quebec'i liiklus ja andmevood

Kasutage oma analüütikas IP geolokatsiooni, et hinnata Quebec'i külastajate mahtu. Isegi kui Quebec moodustab vähem kui 5% teie publikust, muudab 4%-käibest tulenev karistus selle eiramise ebaproportsionaalselt riskantseks. Kaardistage iga küpsis, piksel ja SDK, mis käivitub Quebec'i kasutajate jaoks, ja kuhu selle andmed lähevad.

2. samm: võtke kasutusele nõusolekuga piiratud CMP

Teie CMP peab toetama tõelist skriptitaseme blokeerimist, mitte kosmeetilist bänneri sulgemist. FlexyConsent ja teised Google'i sertifitseeritud CMP-d pakuvad Quebec'i-spetsiifilisi georeegleid, mis ühendavad seaduse 25 loogika laiema Consent Mode v2 ja GPP USA-riikliku signaaliga. Eelkonfigureeritud Quebec'i režiim peaks vaikimisi seadma kõik mitteolulised kategooriad välja lülitatuks.

3. samm: määrake ja avaldage privaatsusametnik

Kui teie organisatsioonil puudub Kanada kohalolek, on teie tegevjuht või samaväärne isik vaikimisi privaatsusametnik, välja arvatud juhul, kui delegeerite selle ametlikult kirjalikult. Avaldage nimi ja e-post oma privaatsusteates — CAI kontrollib seda esimesel ülevaatusel.

4. samm: viige enne uusi projekte läbi PIA

Iga uus müüja, iga uus piiriülene edastus, iga uus jälgimistehnoloogia nõuab dokumenteeritud PIA-d. CAI malli PIA-sid aktsepteeritakse; tavalise analüütika või CDN-lepingute jaoks ei ole vaja kohandatud õigusarvamust.

5. samm: uuendage oma privaatsusteadet

Quebec nõuab konkreetseid avalikustamisi: privaatsusametniku kontaktandmed, kogutavate isikuandmete kategooriad, säilitamisperioodid, kolmandatest osapooltest saajad, piiriülese edastuse sihtkohad ja automatiseeritud otsuste tavad. Üldine GDPR-teade ei rahulda peaaegu kunagi seadust 25 ilma oluliste täiendusteta.

Kuidas Quebec'i seadus 25 suhtleb PIPEDA ja seaduse 25 tulevikuga

PIPEDA, Kanada föderaalne privaatsusseadus, kehtib kogu Kanadas toimuva kaubandustegevuse suhtes — kuid Quebec'i seadus 25 on Quebec'is ülimuslik, kuna provintsile on antud oluliselt sarnane staatus eraisikute privaatsuse eesmärkidel. Praktikas tähendab see, et Quebec'i toimingud lähtuvad vaikimisi seadusest 25 ja PIPEDA kehtib ainult tegevustele, mis ületavad provintsi piire.

Kanada moderniseerib ka PIPEDA-d kavandatava Consumer Privacy Protection Act (CPPA) kaudu. Kui CPPA praegusel kujul vastu võetakse, viib see ülejäänud Kanada lähemale Quebec'i mudelile — selge nõusolek, sisulised karistused, föderaalne privaatsuskomissar korralduste tegemise õigusega ja automatiseeritud otsuste läbipaistvus. Kirjastajad, kes täna ehitavad oma platvormi Quebec'i seaduse 25 ümber, on hästi positsioneeritud föderaalseteks muutusteks homme.

Lühidalt: Quebec'i seadus 25 ei ole provintsilik uudishimu. See on mall, kuhu Kanada privaatsus on suunatud, ja agressiivseim privaatsusrežiim Ameerikates. Kirjastajad, reklaamijad ja SaaS-müüjad, kes teenindavad Kanada liiklust, peaksid käsitlema seaduse 25 vastavust 2026. aasta prioriteedina, mitte tulevase projektina.