Mit ír elő valójában a Quebec 25. törvénye

A 25. törvény módosítja Quebec meglévő magánszektorbeli adatvédelmi törvényét (Az Act Respecting the Protection of Personal Information in the Private Sector) és közelíti azt az európai GDPR-hoz, miközben megőrzi a kifejezetten kanadai jellemzőket. A kiadókat és a digitális üzemeltetőket érintő alapkövetelmények a következők:

• Kifejezett, részletes hozzájárulás a személyes adatok gyűjtése vagy felhasználása előtt, ha az a céltól eltér az eredetileg bejelentettől.
• Kijelölt adatvédelmi felelős (alapértelmezés szerint a legmagasabb rangú vezető, hacsak formálisan nem delegálták), akinek neve és elérhetősége közzé kell tenni a weboldalon.
• Kötelező adatvédelmi hatásvizsgálatok (PIA-k) elvégzése, mielőtt személyes adatokat érintő projektet indítanak, különösen határon átnyúló adattovábbítás vagy új technológia esetén.
• Adatvédelmi incidensek bejelentése a Commission d'accès à l'information (CAI) felé és az érintett személyeknek, ha az incidens komoly károsodás kockázatát hordozza.
• Egyéni jogok, beleértve a hozzáférést, helyesbítést, törlést, hordozhatóságot, és – egyedülállóan – a jogot, hogy tájékoztatást kapjanak az automatizált döntéshozatalról, és emberi felülvizsgálatot kérjenek.

A végrehajtó testület a Commission d'accès à l'information du Québec (CAI), amely 2025 folyamán számos nemzetközi kiadónak és platformnak küldött formális vizsgálati értesítést. Egyes szabályozó hatóságokkal ellentétben a CAI hajlandóságot mutatott arra, hogy a quebeci lakosokat kiszolgáló, nem kanadai szervezetek ellen is eljárjon.

Süti-hozzájárulás részletei: egyes területeken szigorúbb, mint a GDPR

A 25. törvény közvetlenül nem használja a „süti" szót, de az egyéni személyek azonosítására, nyomon követésére vagy profilozására alkalmas technológia meghatározása magában foglalja a sütiket, pixeleket, ujjlenyomat-vételt és SDK-alapú mobilazonosítókat. A 8.1. szakasz a kulcsfontosságú rendelkezés: minden olyan technológiát, amelyet alapértelmezetten aktiválnak, alapértelmezetten le kell tiltani, és aktív hozzájárulást kell megkövetelni a bekapcsoláshoz.

Nincs előre bejelölt négyzet, nincs implicit hozzájárulás

Ez a megfogalmazás egy konkrét szempontból szigorúbb a GDPR ePrivacy keretrendszerénél: nemcsak a hozzájárulásnak kell opt-in jellegűnek lennie, hanem az alapul fekvő technológiát technikailag le kell tiltani a hozzájárulás megadásáig. Egy sütibanner, amely az elfogadás kattintása előtt betölti az analitikát, megsérti a 25. törvényt, még ha maga a banner technikailag helyes is. A kiadóknak valódi hozzájáruláshoz kötött szkriptbetöltést kell megvalósítaniuk, hasonlóan a Google Consent Mode v2 haladó módjához – az alap mód általában nem elegendő.

A profilalapú személyre szabáshoz külön hozzájárulás szükséges

Ha sütiket használ a felhasználói profil felépítéséhez személyre szabott reklámozás céljából, a 25. törvény ezt különálló célnak tekinti, amelyhez saját hozzájárulási réteg szükséges, a sütielhelyezés alap-hozzájárulásán felül. Egy egyetlen „mindet elfogadom" gomb, amely összeköti a tárolást, az analitikát és a személyre szabást, kockázatos – a quebeci szabályozó hatóság a célonkénti részletes kapcsolókat részesíti előnyben.

Határon átnyúló adattovábbítás: a PIA-követelmény

Quebec az egyetlen kanadai tartomány, amely formális adatvédelmi hatásvizsgálatot ír elő, mielőtt személyes adatokat továbbítanának Quebecen kívülre – beleértve Kanada többi részét, az Egyesült Államokat és az európai adatközpontokat. A PIA-nak a következőket kell értékelnie:

• Az érintett adatok érzékenységét.
• Az adattovábbítás célját és szükségességét.
• A célállomás jogi keretrendszerét.
• A meglévő szerződéses és technikai biztosítékokat.

A kiadók számára ez leggyakrabban az analitikát, a taggaléria-kezelést, a CDN-naplókat és az USA-infrastruktúrába irányuló hirdetéskiszolgáló-adatokat érinti. A quebeci megfelelőségi PIA nem tiltja ezeket az adattovábbításokat, de dokumentált értékelést igényel, és – ami kritikus – írásos megerősítést a fogadó féltől arról, hogy az adatokat azonos elvek szerint védik meg. A szabványos, USA-ban tárolt SaaS-szerződések ritkán tartalmazzák alapértelmezetten ezt a megfogalmazást, és módosítani kell azokat.

Automatizált döntéshozatalra vonatkozó értesítések

A 25. törvény 12.1. szakasza egyedülálló az észak-amerikai jogban: ha egy vállalkozás személyes adatokat használ fel egy kizárólag automatizált feldolgozáson alapuló döntés meghozatalához, a következőket kell megtennie:

• Tájékoztatja az egyént legkésőbb a döntés meghozatalának pillanatában.
• Kérésre ismerteti a felhasznált személyes adatokat, az okokat és a döntéshez vezető főbb tényezőket.
• Lehetőséget biztosít észrevételek benyújtására egy emberi felülvizsgálóhoz.

Az adtech területén ez magában foglalja az ajánlatkérések programozottan automatizált döntéshozatalát, a dinamikus árazást, a csalásértékelést és bármely MI-alapú tartalomrangsorolást. A kiadók ritkán irányítják ezeket az algoritmusokat közvetlenül – SSP-kre és DSP-kre támaszkodnak –, de a 25. törvény a kiadót együttesen felelős félnek tekinti, ha a döntés a kiadó által gyűjtött adatokat használja fel. Az adatvédelmi tájékoztatóhoz fűzött rövid automatizált döntéshozatali közzétevő a minimálisan szükséges megfelelési lépés.

Gyakorlati megfelelési ellenőrzőlista 2026-ra

1. lépés: Quebeci forgalom és adatfolyamok feltérképezése

Használja az IP-geolokációt az analitikájában a quebeci látogatóforgalom becsléséhez. Még ha Quebec a közönségének kevesebb mint 5%-át teszi is ki, a forgalom 4%-ának megfelelő büntetés aránytalanul nagy kockázatot jelent a figyelmen kívül hagyáshoz. Térképezze fel minden sütit, pixelt és SDK-t, amelyek a quebeci felhasználók számára aktiválódnak, és azt, hogy az adatuk hova kerül.

2. lépés: Hozzájáruláshoz kötött CMP bevezetése

Az Ön CMP-jének valódi szkriptszintű blokkolást kell támogatnia, nem csupán kozmetikai bannerbezárást. A FlexyConsent és más Google-minősített CMP-k quebeci geo-szabályokat kínálnak, amelyek a 25. törvény logikáját ötvözik a szélesebb Consent Mode v2 és GPP US-national jelzésekkel. Az előre konfigurált quebeci módnak alapértelmezetten ki kell kapcsolnia az összes nem alapvető kategóriát.

3. lépés: Adatvédelmi felelős kinevezése és közzétéve

Ha szervezetének nincs kanadai jelenléte, az ügyvezető igazgatója vagy egyenértékű személy az alapértelmezett adatvédelmi felelős, hacsak írásban formálisan nem delegálja a feladatot. Tegye közzé a nevet és az e-mail-címet az adatvédelmi tájékoztatóban – a CAI az első ellenőrzéskor ezt ellenőrzi.

4. lépés: PIA elvégzése új projektek előtt

Minden új szállítóhoz, minden új határon átnyúló adattovábbításhoz, minden új nyomkövetési technológiához dokumentált PIA szükséges. A CAI sablon PIA-i elfogadottak; szokásos analitikai vagy CDN-szerződésekhez nem szükséges egyedi jogi vélemény.

5. lépés: Adatvédelmi tájékoztató frissítése

Quebec konkrét közzétételeket vár el: az adatvédelmi felelős elérhetőségét, a gyűjtött személyes adatok kategóriáit, a megőrzési időszakokat, a harmadik fél kedvezményezettjeit, a határon átnyúló adattovábbítás célállomásait és az automatizált döntéshozatali gyakorlatokat. Egy általános GDPR-értesítés szinte soha nem felel meg a 25. törvénynek anyagi kiegészítések nélkül.

A Quebec 25. törvény és a PIPEDA, valamint a 25. törvény jövőbeli változásai

A PIPEDA, Kanada szövetségi adatvédelmi törvénye, az egész Kanadára kiterjedő kereskedelmi tevékenységre vonatkozik – de Quebec 25. törvénye elsőbbséget élvez Quebecen belül, mivel a tartomány magánszektori adatvédelmi célokra lényegesen hasonlónak nyilvánítottak. A gyakorlatban ez azt jelenti, hogy a quebeci műveletek alapértelmezetten a 25. törvény szerint alakulnak, és a PIPEDA csak a tartományhatárokat átlépő tevékenységekre vonatkozik.

Kanada szintén modernizálja a PIPEDA-t a javasolt Consumer Privacy Protection Act (CPPA) révén. Ha a CPPA jelenlegi formájában elfogadják, Kanada többi részét közelebb hozza Quebec modelljéhez – kifejezett hozzájárulás, érdemi szankciók, szövetségi adatvédelmi biztos rendelkezési jogkörrel, és az automatizált döntéshozatal átláthatósága. Azok a kiadók, akik ma Quebec 25. törvénye köré építik rendszerüket, jó pozícióban lesznek a holnap szövetségi változásaihoz.

Röviden: a Quebec 25. törvény nem egy tartományi különlegesség. Ez a sablon arra, merre tart a kanadai adatvédelem, és a legagresszívabb adatvédelmi rendszer az Amerikákban. A kanadai forgalmat kiszolgáló kiadóknak, hirdetőknek és SaaS-szállítóknak a 25. törvénynek való megfelelést 2026-os prioritásként kell kezelniük, nem jövőbeli projektként.