Vaatimustenmukaisuus21. huhtik. 2026 | FlexyConsent

Quebecin laki 25 (lakiesitys 64): täydellinen evästeiden suostumus- ja tietosuojaopas julkaisijoille vuonna 2026

Suurin osa Pohjois-Amerikan tietosuojakeskusteluista alkaa ja päättyy Kaliforniaan. Tämä näkökulma on vanhentunut. Quebecin laki 25, aiemmin lakiesitys 64, asettaa nyt sanktioita, jotka ylittävät CCPA:n, CPRA:n ja jokaisen Yhdysvaltain osavaltion lain — jopa 25 miljoonaa CAD tai 4 % maailmanlaajuisesta liikevaihdosta, sen mukaan kumpi on suurempi. Lain 25 viimeinen vaihe astui voimaan 22. syyskuuta 2024, ja se toi mukanaan täydellisen tietojen siirrettävyysoikeuden, ja täytäntöönpano on tiukentunut vuoden 2025 aikana ja vuoteen 2026 mennessä. Jokainen julkaisija, SaaS-alusta tai adtech-toimittaja, jolla on Quebecin liikennettä, kohtaa nyt GDPR-tason velvoitteita — usein vaativampia kuin GDPR itse tietyillä alueilla, kuten rajatylittävissä siirroissa ja automaattisia päätöksiä koskevissa ilmoituksissa.

Mitä Quebecin laki 25 oikeastaan vaatii

Laki 25 muuttaa Quebecin olemassa olevaa yksityisen sektorin tietosuojalakia (Act Respecting the Protection of Personal Information in the Private Sector) ja lähentää sitä eurooppalaiseen GDPR:ään säilyttäen samalla selvästi kanadalaiset ominaisuudet. Keskeisiä vaatimuksia, jotka vaikuttavat julkaisijoihin ja digitaalisiin toimijoihin, ovat:

Nimenomainen, yksityiskohtainen suostumus ennen henkilötietojen keräämistä tai käyttämistä mihin tahansa tarkoitukseen, joka ylittää alun perin ilmoitetun.
Nimetty tietosuojavastaava (oletusarvoisesti korkein johtaja, ellei virallisesti delegoitu), jonka nimi ja yhteystiedot on julkaistava verkkosivustolla.
Pakolliset tietosuojavaikutusten arvioinnit (PIA:t) ennen henkilötietoja käsittelevien projektien käynnistämistä, erityisesti rajatylittävien siirtojen tai uusien teknologioiden osalta.
Tietoturvaloukkausilmoitus Commission d'accès à l'information -viranomaiselle (CAI) ja asianomaisille henkilöille, kun loukkaus aiheuttaa vakavan vahingon riskin.
Yksilöiden oikeudet, mukaan lukien pääsy, oikaisu, poistaminen, siirrettävyys ja — ainutlaatuisesti — oikeus saada tietoa automatisoituun päätöksentekoon ja pyytää ihmisen tekemää tarkastusta.

Täytäntöönpanoelin on Commission d'accès à l'information du Québec (CAI), joka on antanut virallisia tutkintailmoituksia useille kansainvälisille julkaisijoille ja alustoille koko vuoden 2025 ajan. Toisin kuin jotkut viranomaiset, CAI on osoittanut halukkuutta jatkaa toimenpiteitä muita kuin kanadalaisia tahoja vastaan, jotka palvelevat Quebecin asukkaita.

Evästeiden suostumuksen erityispiirteet: tiukempia kuin GDPR keskeisillä alueilla

Laki 25 ei käytä sanaa "eväste" suoraan, mutta sen määritelmä teknologiasta, joka tunnistaa, paikantaa tai profiloi yksilön, kattaa evästeet, pikselit, sormenjäljet ja SDK-pohjaiset mobiilitunnisteet. Kohta 8.1 on kriittinen säännös: mikä tahansa tällainen teknologia, joka on oletusarvoisesti aktivoitu, on oletusarvoisesti poistettava käytöstä ja vaadittava aktiivinen suostumus käyttöönotolle.

Ei esiraskaita ruutuja, ei epäsuoraa suostumusta

Tämä kieli on tiukempi kuin GDPR:n ePrivacy-kehys yhdessä erityisessä kohdassa: ei ainoastaan suostumuksen on oltava opt-in-tyyppinen, vaan taustalla oleva teknologia on oltava teknisesti poissa käytöstä, kunnes suostumus on annettu. Evästebanneri, joka lataa analytiikan ennen kuin käyttäjä napsauttaa hyväksy, rikkoo lakia 25, vaikka banneri itse olisi teknisesti oikein. Julkaisijoiden on toteutettava aito suostumusporttiin perustuva komentosarjojen lataus, samanlainen kuin Google Consent Mode v2 kehittyneessä tilassa — perustila on yleensä riittämätön.

Profiilipohjaiseen personointiin tarvitaan erillinen suostumus

Jos käytät evästeitä käyttäjäprofiilin luomiseen personoitua mainontaa varten, laki 25 käsittelee sitä erillisenä tarkoituksena, joka vaatii oman suostumuskerroksen, edellä mainitun evästeiden sijoittamisen perussuostumuksen lisäksi. Yksittäinen "hyväksy kaikki" -nappi, joka yhdistää tallennuksen, analytiikan ja personoinnin, on vaarassa — Quebecin viranomainen on ilmoittanut suosivansa yksityiskohtaisia tarkoituskohtaisia vipukytkimiä.

Rajatylittävät siirrot: PIA-vaatimus

Quebec on ainoa kanadalainen provinssi, joka vaatii virallista tietosuojavaikutusten arviointia ennen henkilötietojen siirtämistä Quebecin ulkopuolelle — myös muuhun Kanadaan, Yhdysvaltoihin ja eurooppalaisiin datakeskuksiin. PIA:n on arvioitava:

Käsiteltävien tietojen arkaluonteisuus.
Siirron tarkoitus ja tarpeellisuus.
Kohdejurisdiktioon sovellettava oikeudellinen kehys.
Voimassa olevat sopimusperusteiset ja tekniset suojatoimenpiteet.

Julkaisijoille tämä vaikuttaa useimmiten analytiikkaan, tunnisteenhallintaan, CDN-lokeihin ja mainospalvelimen tietoihin, jotka virtaavat Yhdysvaltain infrastruktuuriin. Quebecin vastaavuus-PIA ei estä näitä siirtoja, mutta se vaatii dokumentoidun arvioinnin ja — kriittisesti — kirjallisen vahvistuksen vastaanottavalta osapuolelta, että tietoja suojataan vastaavien periaatteiden mukaisesti. Vakiomuotoiset Yhdysvalloissa isännöidyt SaaS-sopimukset sisältävät harvoin tätä kieltä oletusarvoisesti, ja niitä on muutettava.

Automaattisia päätöksiä koskevat ilmoitukset

Lain 25 kohta 12.1 on ainutlaatuinen Pohjois-Amerikan oikeudessa: jos yritys käyttää henkilötietoja päätöksen tekemiseen, joka perustuu yksinomaan automaattiseen käsittelyyn, sen on:

Ilmoitettava henkilölle päätöksen tekohetkellä tai ennen sitä.
Pyynnöstä selitettävä käytetyt henkilötiedot, syyt ja tärkeimmät päätökseen johtaneet tekijät.
Annettava mahdollisuus esittää huomioita ihmistarkastajalle.

Adtech-alalla tämä kattaa ohjelmallisen päätöksenteon tarjouspyynnöistä, dynaamisen hinnoittelun, petosten pisteytyksen ja AI-avusteisen sisältöjen luokittelun. Julkaisijat harvoin hallitsevat näitä algoritmeja suoraan — he nojaavat SSP:ihin ja DSP:ihin — mutta laki 25 kohtelee julkaisijaa yhteisvastuullisena osapuolena, kun päätös käyttää julkaisijan keräämää dataa. Lyhyen automatisoidun päätöksenteon julkistamisen lisääminen tietosuojailmoitukseesi on minimikelpoinen vaatimustenmukaisuusaskel.

Käytännön vaatimustenmukaisuuden tarkistuslista vuodelle 2026

Vaihe 1: kartoita Quebecin liikenne ja tietovirrat

Käytä IP-geolokalisointia analytiikassasi arvioidaksesi Quebecin kävijämäärän. Vaikka Quebec olisi alle 5 % yleisöstäsi, 4 %:n liikevaihtorangaistus tekee sen jättämisestä suhteettoman riskialtista. Kartoita jokainen eväste, pikseli ja SDK, joka käynnistyy Quebecin käyttäjille, ja minne sen data päätyy.

Vaihe 2: ota käyttöön suostumusporttiin perustuva CMP

CMP:si on tuettava todellista komentosarjatason estämistä, ei kosmeettista bannerin hylkäämistä. FlexyConsent ja muut Googlen sertifioimat CMP:t tarjoavat Quebecille ominaisia geosääntöjä, jotka yhdistävät lain 25 logiikan laajempiin Consent Mode v2- ja GPP US-kansallisiin signaaleihin. Esimääritellyssä Quebec-tilassa kaikkien ei-välttämättömien luokkien pitäisi oletusarvoisesti olla poissa käytöstä.

Vaihe 3: nimitä ja julkaise tietosuojavastaava

Jos organisaatiollasi ei ole kanadalaista läsnäoloa, toimitusjohtajasi tai vastaava on oletusarvoisesti tietosuojavastaava, ellei sinä virallisesti delegoi kirjallisesti. Julkaise nimi ja sähköpostiosoite tietosuojailmoituksessasi — CAI tarkistaa tämän ensimmäisessä tarkastuksessa.

Vaihe 4: suorita PIA ennen uusia projekteja

Jokainen uusi toimittaja, jokainen uusi rajatylittävä siirto, jokainen uusi seurantateknologia vaatii dokumentoidun PIA:n. CAI:n mallipohja-PIA:t hyväksytään; tavanomaiselle analytiikalle tai CDN-sopimuksille ei tarvita räätälöityä oikeudellista lausuntoa.

Vaihe 5: päivitä tietosuojailmoituksesi

Quebec vaatii tiettyjä tiedonantoja: tietosuojavastaavan yhteystiedot, kerättyjen henkilötietojen kategoriat, säilytysajat, kolmannet osapuolet, rajatylittävien siirtojen kohdemaat ja automatisoitujen päätösten käytännöt. Yleinen GDPR-ilmoitus ei juuri koskaan täytä lakia 25 ilman olennaisia lisäyksiä.

Miten Quebecin laki 25 on vuorovaikutuksessa PIPEDA:n kanssa ja lain 25 tulevaisuus

PIPEDA, Kanadan liittovaltion tietosuojalaki, koskee kaupallista toimintaa kaikkialla Kanadassa — mutta Quebecin laki 25 on etusijalla Quebecissa, koska provinssi on julistettu yksityisen sektorin tietosuojan kannalta olennaisesti samankaltaiseksi. Käytännössä tämä tarkoittaa, että Quebecin toiminnot nojaavat oletusarvoisesti lakiin 25 ja PIPEDA koskee vain provinssien rajat ylittäviä toimintoja.

Kanada modernisoi myös PIPEDA:a ehdotetun Consumer Privacy Protection Act (CPPA):n kautta. Jos CPPA hyväksytään nykyisessä muodossaan, se lähentää muuta Kanadaa Quebecin malliin — nimenomainen suostumus, merkittävät rangaistukset, liittovaltion tietosuojavaltuutettu, jolla on määräysvalta, ja automatisoitujen päätösten läpinäkyvyys. Julkaisijat, jotka rakentavat pinon Quebecin lain 25 ympärille tänään, ovat hyvin asemoituneet huomisen liittovaltion muutoksiin.

Lyhyesti sanottuna: Quebecin laki 25 ei ole provinssikohtainen kuriositeetti. Se on malli sille, mihin kanadalainen tietosuoja on menossa, ja aggressiivisin tietosuojajärjestelmä Amerikoissa. Kanadalaista liikennettä palvelevien julkaisijoiden, mainostajien ja SaaS-myyjien tulisi pitää lain 25 noudattamista vuoden 2026 prioriteettina, ei tulevana projektina.