Što Zakon 25 Québeca zapravo zahtijeva

Zakon 25 mijenja postojeći québečki zakon o privatnosti privatnog sektora (Act Respecting the Protection of Personal Information in the Private Sector) i približava ga europskom GDPR-u zadržavajući pritom izrazito kanadske značajke. Ključni zahtjevi koji utječu na izdavače i digitalne operatere su:

• Izričita, granularna privola prije prikupljanja ili korištenja osobnih podataka u bilo koje svrhe izvan izvorno objavljene.
• Imenovan Službenik za zaštitu privatnosti (po defaultu najviše rangirani izvršni direktor, osim ako nije formalno delegirano) čije se ime i kontakt moraju objaviti na web stranici.
• Obvezne Procjene učinka na privatnost (PIA) prije pokretanja bilo kojeg projekta koji uključuje osobne podatke, posebno prekogranične prijenose ili novu tehnologiju.
• Obavijest o povredi Commission d'accès à l'information (CAI) i pogođenim osobama kad povreda predstavlja rizik od ozbiljne štete.
• Individualna prava uključujući pristup, ispravak, brisanje, prenosivost i — jedinstveno — pravo na obaviještenost o automatiziranom donošenju odluka i zahtjev za ljudsku reviziju.

Tijelo za provedbu je Commission d'accès à l'information du Québec (CAI), koje je durante 2025. izdalo formalne obavijesti o istrazi za nekoliko međunarodnih izdavača i platformi. Za razliku od nekih regulatora, CAI je pokazao spremnost na gonjenje nekananadskih subjekata koji pružaju usluge québečkim stanovnicima.

Specifičnosti pristanka na kolačiće: stroži od GDPR-a u ključnim područjima

Zakon 25 ne koristi izravno riječ "kolačić", ali njegova definicija tehnologije koja identificira, locira ili profilira pojedinca obuhvaća kolačiće, piksele, fingerprinting i mobilne identifikatore temeljene na SDK-u. Odjeljak 8.1 ključna je odredba: svaka takva tehnologija koja je aktivirana po defaultu mora biti onemogućena po defaultu i zahtijevati aktivnu privolu za uključivanje.

Nema unaprijed označenih okvira, nema podrazumijevane privole

Ovaj je jezik stroži od GDPR-ovog okvira ePrivacy u jednom specifičnom pogledu: ne samo da privola mora biti opt-in, nego osnovna tehnologija mora biti tehnički onemogućena dok se privola ne da. Banner kolačića koji učitava analitiku prije nego što korisnik klikne prihvati krši Zakon 25 čak i ako je banner sam tehnički ispravan. Izdavači moraju implementirati pravo učitavanje skripti uvjetovano privolom, slično Google Consent Mode v2 u naprednom načinu rada — osnovni način općenito je nedovoljan.

Personalizacija temeljena na profilu zahtijeva zasebnu privolu

Ako koristite kolačiće za izgradnju korisničkog profila za personalizirano oglašavanje, Zakon 25 tretira to kao posebnu svrhu koja zahtijeva vlastiti sloj privole, povrh osnovne privole za postavljanje kolačića. Jedan gumb "prihvati sve" koji spaja pohranu, analitiku i personalizaciju je u opasnosti — québečki regulator dao je do znanja da preferira granularne prekidače po svrsi.

Prekogranični prijenosi: zahtjev za PIA

Québec je jedina kanadska provincija koja zahtijeva formalnu Procjenu učinka na privatnost prije prijenosa osobnih podataka izvan Québeca — uključujući ostatak Kanade, Sjedinjene Države i europske podatkovne centre. PIA mora procijeniti:

• Osjetljivost podataka koji su uključeni.
• Svrhu i nužnost prijenosa.
• Pravni okvir odredišne jurisdikcije.
• Ugovorne i tehničke zaštitne mjere koje su na snazi.

Za izdavače, to najčešće utječe na analitiku, upravljanje oznakama, CDN zapisnike i podatke poslužitelja oglasa koji teku prema američkoj infrastrukturi. PIA québečke adekvatnosti ne blokira te prijenose, ali zahtijeva dokumentiranu procjenu i — ključno — pisanu potvrdu od strane primatelja da će podaci biti zaštićeni prema ekvivalentnim načelima. Standardni SaaS ugovori hostirani u SAD-u rijetko uključuju ovaj jezik po defaultu i moraju biti izmijenjeni.

Obavijesti o automatiziranom donošenju odluka

Odjeljak 12.1 Zakona 25 jedinstven je u sjevernoameričkom pravu: ako poduzeće koristi osobne podatke za donošenje odluke temeljene isključivo na automatiziranoj obradi, mora:

• Obavijestiti pojedinca u trenutku donošenja odluke ili prije toga.
• Na zahtjev objasniti korištene osobne podatke, razloge i glavne čimbenike koji su doveli do odluke.
• Pružiti mogućnost podnošenja opažanja ljudskom recenzentu.

Za adtech, to obuhvaća programatske odluke o zahtjevima za ponude, dinamičko određivanje cijena, bodovanje prijevara i svako rangiranje sadržaja uz pomoć AI-a. Izdavači rijetko izravno kontroliraju te algoritme — oslanjaju se na SSP-ove i DSP-ove — ali Zakon 25 tretira izdavača kao zajedničku odgovornu stranu kada odluka koristi podatke koje je izdavač prikupio. Dodavanje kratke objave o automatiziranoj odluci u vašu obavijest o privatnosti minimalni je izvedivi korak usklađenosti.

Praktični kontrolni popis usklađenosti za 2026.

Korak 1: Mapirajte québečki promet i tokove podataka

Koristite IP geolokaciju u svojoj analitici za procjenu volumena québečkih posjetitelja. Čak i ako Québec čini manje od 5% vaše publike, kazna od 4% prometa čini njegovo ignoriranje nerazmjerno rizičnim. Mapirajte svaki kolačić, piksel i SDK koji se pokreće za québečke korisnike i kamo idu njegovi podaci.

Korak 2: Implementirajte CMP uvjetovan privolom

Vaš CMP mora podržavati pravo blokiranje na razini skripte, ne kozmetičko odbacivanje bannera. FlexyConsent i drugi Google-certificirani CMP-ovi nude géo-pravila specifična za Québec koja spajaju logiku Zakona 25 s širim signalima Consent Mode v2 i GPP US-nacionalnim signalima. Unaprijed konfigurirani québečki način rada trebao bi sve nebitne kategorije postaviti na isključeno po defaultu.

Korak 3: Imenujte i objavite Službenika za zaštitu privatnosti

Ako vaša organizacija nema kanadsku prisutnost, vaš CEO ili ekvivalent Službenik je za zaštitu privatnosti po defaultu osim ako formalno ne delegirate pisanim putem. Objavite ime i e-poštu u vašoj obavijesti o privatnosti — CAI to provjerava pri prvom pregledu.

Korak 4: Dovršite PIA prije novih projekata

Svaki novi dobavljač, svaki novi prekogranični prijenos, svaka nova tehnologija praćenja zahtijeva dokumentiranu PIA. Predlošci PIA od CAI-a prihvaćaju se; ne trebate prilagođeno pravno mišljenje za rutinsku analitiku ili CDN ugovore.

Korak 5: Ažurirajte svoju obavijest o privatnosti

Québec zahtijeva specifična objavljivanja: kontakt Službenika za zaštitu privatnosti, kategorije prikupljenih osobnih podataka, razdoblja čuvanja, treće strane primatelje, odredišta prekograničnih prijenosa i prakse automatiziranih odluka. Generička GDPR obavijest gotovo nikad ne zadovoljava Zakon 25 bez materijalnih dopuna.

Kako Zakon 25 Québeca komunicira s PIPEDA-om i budućnosti Zakona 25

PIPEDA, kanadski savezni zakon o privatnosti, primjenjuje se na poslovne aktivnosti diljem Kanade — ali Zakon 25 Québeca ima prednost unutar Québeca jer je provincija proglašena suštinski sličnom za svrhe privatnosti privatnog sektora. U praksi to znači da québečke operacije po defaultu koriste Zakon 25 i PIPEDA se primjenjuje samo na aktivnosti koje prelaze provincijalne granice.

Kanada također modernizira PIPEDA putem predloženog Consumer Privacy Protection Act (CPPA). Ako CPPA bude usvojen u sadašnjem obliku, ostatak Kanade priblizit će québečkom modelu — izričita privola, smislene kazne, savezni Povjerenik za privatnost s ovlastima donošenja naloga i transparentnost automatiziranih odluka. Izdavači koji danas grade svoj sustav oko Zakona 25 Québeca bit će dobro pozicionirani za savezne promjene sutra.

Kratka verzija: Zakon 25 Québeca nije provincijska znatiželja. To je predložak za smjer kojim ide kanadska privatnost i najagresivniji privatnosni režim u Americi. Izdavači, oglašivači i SaaS dobavljači koji opslužuju kanadski promet trebali bi usklađenost sa Zakonom 25 tretirati kao prioritet za 2026., a ne kao budući projekt.