შესაბამისობა21 აპრ. 2026 | FlexyConsent

კვებეკის კანონი 25 (კანონპროექტი 64): Cookie-ის თანხმობის და კონფიდენციალობის სრული სახელმძღვანელო გამომცემლებისთვის 2026 წელს

ჩრდილოეთ ამერიკის კონფიდენციალობის განხილვების უმეტესობა იწყება და მთავრდება კალიფორნიაში. ეს ჩარჩო მოძველებულია. კვებეკის კანონი 25, ადრე ცნობილი როგორც კანონპროექტი 64, ახლა ითვალისწინებს სანქციებს, რომლებიც გადასწარს CCPA-ს, CPRA-ს და ყველა შტატის კანონს — CAD $25 მილიონამდე ან მსოფლიო ბრუნვის 4%-მდე, რომელიც უფრო მეტია. კანონი 25-ის საბოლოო ფაზა ძალაში შევიდა 2024 წლის 22 სექტემბერს, შემოიტანა მონაცემთა პორტაბელურობის სრული უფლება და აღსრულება გამძაფრდა 2025 წელს და 2026 წელს. ნებისმიერი გამომცემელი, SaaS პლატფორმა ან adtech მომწოდებელი, რომელსაც კვებეკიდან ტრაფიკი აქვს, ახლა GDPR-ის დონის ვალდებულებებს აწყდება — ხშირად GDPR-ზე მომთხოვნელი კონკრეტულ სფეროებში, როგორიცაა საზღვარგარეთ გადაცემა და ავტომატიზებული გადაწყვეტილების შესახებ შეტყობინებები.

რას მოითხოვს კვებეკის კანონი 25 სინამდვილეში

კანონი 25 ცვლის კვებეკის კერძო სექტორის კონფიდენციალობის კანონმდებლობას (Act Respecting the Protection of Personal Information in the Private Sector) და ახლოვებს მას ევროპულ GDPR-თან, ამასთანავე ინარჩუნებს კანადურ სპეციფიკას. ძირითადი მოთხოვნები, რომლებიც გამომცემლებსა და ციფრულ ოპერატორებს ეხება:

მკაფიო, დეტალური თანხმობა პირადი ინფორმაციის შეგროვებამდე ან გამოყენებამდე, რომელიც სცილდება თავდაპირველად გამჟღავნებულ მიზანს.
დანიშნული კონფიდენციალობის ოფიცერი (სტანდარტულად უმაღლეს თანამდებობაზე მყოფი ხელმძღვანელი, თუ ოფიციალურად არ არის დელეგირებული), რომლის სახელი და საკონტაქტო ინფორმაცია ვებსაიტზე გამოქვეყნებული უნდა იყოს.
სავალდებულო კონფიდენციალობის ზემოქმედების შეფასებები (PIA) ნებისმიერი პროექტის დაწყებამდე, რომელიც პირადი ინფორმაციის გამოყენებას გულისხმობს, განსაკუთრებით საზღვარგარეთ გადაცემის ან ახალი ტექნოლოგიების შემთხვევაში.
დარღვევის შეტყობინება Commission d'accès à l'information (CAI)-სთვის და დაზარალებული პირებისთვის, როცა დარღვევა სერიოზული ზიანის რისკს შეიცავს.
ინდივიდუალური უფლებები, მათ შორის წვდომა, რექტიფიკაცია, წაშლა, პორტაბელურობა და — უნიკალურად — უფლება იყოს ინფორმირებული ავტომატიზებული გადაწყვეტილებების შესახებ და მოთხოვოს ადამიანური შეფასება.

სარეგულაციო ორგანო არის Commission d'accès à l'information du Québec (CAI), რომელმაც 2025 წლის განმავლობაში რამდენიმე საერთაშორისო გამომცემელს და პლატფორმას ოფიციალური გამოძიების შეტყობინება გაუგზავნა. ზოგიერთი მარეგულირებლისგან განსხვავებით, CAI-მ გამოხატა მზადყოფნა კვებეკის მოსახლეობისათვის მომსახურე არა-კანადური სუბიექტების დევნის მიმართ.

Cookie-ის თანხმობის სპეციფიკა: ძირითად სფეროებში GDPR-ზე უფრო მკაცრი

კანონი 25 პირდაპირ არ იყენებს სიტყვას "cookie", მაგრამ მისი ტექნოლოგიის განმარტება, რომელიც ინდივიდს ამოიცნობს, ათვალიერებს ან ქმნის მის პროფილს, მოიცავს cookie-ებს, პიქსელებს, ციფრული ანაბეჭდის ბუქნებს და SDK-ზე დაფუძნებულ მობილურ იდენტიფიკატორებს. მუხლი 8.1 არის კრიტიკული დებულება: ასეთი ტექნოლოგია, რომელიც სტანდარტულად გააქტიურებულია, სტანდარტულად გამორთული უნდა იყოს და ჩასართავად აქტიური თანხმობა სჭირდება.

არც წინასწარ მონიშნული ყუთები, არც ნაგულვარი თანხმობა

ეს ფორმულირება GDPR-ის ePrivacy ჩარჩოზე უფრო მკაცრია ერთი კონკრეტული მხრივ: არა მხოლოდ თანხმობა უნდა იყოს opt-in ტიპის, არამედ საფუძვლადმდებარე ტექნოლოგია ტექნიკურად გამორთული უნდა იყოს თანხმობის მიღებამდე. cookie-ის ბანერი, რომელიც ანალიტიკას ჩატვირთავს მომხმარებლის მიერ დადასტურებამდე, კანონი 25-ს არღვევს, მაშინაც კი თუ ბანერი თავისთავად ტექნიკურად სწორია. გამომცემლებმა უნდა განახორციელონ ნამდვილი თანხმობაზე გათვლილი სკრიპტების ჩატვირთვა, Google Consent Mode v2-ის გაფართოებული რეჟიმის მსგავსი — ბაზისური რეჟიმი ჩვეულებრივ არ არის საკმარისი.

პროფილზე დაფუძნებული პერსონალიზაცია ცალკე თანხმობას მოითხოვს

თუ cookie-ებს იყენებთ მომხმარებლის პროფილის შექმნისთვის პერსონალიზებული რეკლამის მიზნით, კანონი 25 ამას განიხილავს, როგორც ცალკე მიზანს, რომელიც საჭიროებს საკუთარ თანხმობის ფენას, cookie-ების განთავსებისთვის ბაზისური თანხმობის გარდა. ერთი "ყველაფრის მიღება" ღილაკი, რომელიც ათავსებს შენახვას, ანალიტიკას და პერსონალიზაციას, რისკის ქვეშ არის — კვებეკის მარეგულირებელმა სიგნალი გააგზავნა დეტალური, მიზნობრივი გადართვების სასარგებლოდ.

საზღვარგარეთ გადაცემა: PIA მოთხოვნა

კვებეკი კანადის ერთადერთი პროვინციაა, რომელიც ოფიციალური კონფიდენციალობის ზემოქმედების შეფასებას მოითხოვს კვებეკის გარეთ პირადი ინფორმაციის გადაცემამდე — კანადის სხვა ნაწილებისთვის, შეერთებულ შტატებსა და ევროპის მონაცემთა ცენტრებში გადაცემის ჩათვლით. PIA-მ უნდა შეაფასოს:

შესაბამისი მონაცემების სენსიტიურობა.
გადაცემის მიზანი და აუცილებლობა.
დანიშნულების იურისდიქციის სამართლებრივი ჩარჩო.
არსებული სახელშეკრულებო და ტექნიკური გარანტიები.

გამომცემლებისთვის ეს ყველაზე ხშირად ახდენს გავლენას ანალიტიკაზე, თეგ-მენეჯმენტზე, CDN ჟურნალებზე და შეერთებული შტატების ინფრასტრუქტურისკენ მიმავალ სარეკლამო სერვერის მონაცემებზე. კვებეკის ადეკვატურობის PIA არ ბლოკავს ამ გადაცემებს, მაგრამ მოითხოვს დოკუმენტირებულ შეფასებას და — კრიტიკულად — წერილობით დადასტურებას მიმღები მხრიდან, რომ მონაცემები დაცული იქნება ექვივალენტური პრინციპების შესაბამისად. სტანდარტული, შეერთებულ შტატებში მასპინძლობის SaaS კონტრაქტები იშვიათად შეიცავს ამ ფრაზეოლოგიას სტანდარტულად და შეცვლა სჭირდებათ.

ავტომატიზებული გადაწყვეტილებების შეტყობინებები

კანონი 25-ის მუხლი 12.1 უნიკალურია ჩრდილოეთ ამერიკის სამართალში: თუ ბიზნესი პირადი ინფორმაციას იყენებს გადაწყვეტილების მისაღებად, რომელიც ექსკლუზიურად ავტომატიზებულ დამუშავებას ეყრდნობა, ვალდებულია:

გაუწიოს ინდივიდს შეტყობინება გადაწყვეტილების მიღებისას ან მანამდე.
მოთხოვნის შემთხვევაში განმარტოს გამოყენებული პირადი ინფორმაცია, მიზეზები და ძირითადი ფაქტორები, რამაც გადაწყვეტილებამდე მიგვიყვანა.
მიაწოდოს შესაძლებლობა, ადამიანი-მიმხილველისთვის შენიშვნების წარდგენის.

adtech-ის შემთხვევაში ეს მოიცავს პროგრამულ გადაწყვეტილებებს ბიდ-რექვესტებზე, დინამიურ ფასწარმოქმნას, თაღლითობის სქემებს და AI-ით გაძლიერებულ კონტენტის რანჟირებას. გამომცემლები იშვიათად აკონტროლებენ ამ ალგორითმებს პირდაპირ — ისინი SSP-ებსა და DSP-ებზე არიან დამოკიდებული — მაგრამ კანონი 25 გამომცემელს ერთობლივ პასუხისმგებელ მხარედ განიხილავს, როდესაც გადაწყვეტილება გამომცემლის მიერ შეგროვებულ მონაცემებს იყენებს. კონფიდენციალობის შეტყობინებაში მოკლე ავტომატიზებული-გადაწყვეტილების განცხადების დამატება მინიმალური სიცოცხლისუნარიანი შესაბამისობის ნაბიჯია.

2026 წლის პრაქტიკული შესაბამისობის საკონტროლო სია

ნაბიჯი 1: კვებეკის ტრაფიკის და მონაცემთა ნაკადების გარტყმა

გამოიყენეთ IP გეოლოკაცია თქვენს ანალიტიკაში კვებეკის ვიზიტორების მოცულობის სავარაუდო შეფასებისთვის. მაშინაც კი, თუ კვებეკი თქვენი აუდიტორიის 5%-ზე ნაკლებს შეადგენს, ბრუნვის 4%-ის ჯარიმა მის უგულებელყოფას არაპროპორციულად სარისკოს ხდის. გარტყამდეს ყველა cookie, პიქსელი და SDK, რომლებიც კვებეკის მომხმარებლებისთვის ააქტიურებს და სად ხვდება მათი მონაცემები.

ნაბიჯი 2: განათავსეთ თანხმობაზე გათვლილი CMP

თქვენი CMP-ი უნდა მხარს უჭერდეს ნამდვილ სკრიპტ-დონის ბლოკირებას, და არა კოსმეტიურ ბანერის გათიშვას. FlexyConsent და სხვა Google-სერტიფიცირებული CMP-ები გვთავაზობენ კვებეკ-სპეციფიკურ გეო-წესებს, რომლებიც კანონი 25-ის ლოგიკას უფრო ფართო Consent Mode v2-სა და GPP US-national სიგნალებთან შეაწყვილებს. წინასწარ კონფიგურირებული კვებეკ-რეჟიმი ყველა არაგადაუდებელ კატეგორიას სტანდარტულად გამორთვა უნდა.

ნაბიჯი 3: კონფიდენციალობის ოფიცერი დანიშნეთ და გამოაქვეყნეთ

თუ თქვენს ორგანიზაციას კანადაში ყოფნა არ აქვს, თქვენი CEO ან ექვივალენტი სტანდარტულად კონფიდენციალობის ოფიცერია, თუ წერილობით ოფიციალურად არ დელეგირებთ. გამოაქვეყნეთ სახელი და ელ.ფოსტა კონფიდენციალობის შეტყობინებაში — CAI პირველი შემოწმებისას ამას ამოწმებს.

ნაბიჯი 4: ახალი პროექტების წინ PIA-ს შეასრულეთ

ყოველ ახალ მომწოდებელს, ყოველ ახალ საზღვარგარეთ გადაცემას, ყოველ ახალ თვალთვალის ტექნოლოგიას სჭირდება დოკუმენტირებული PIA. CAI-ს შაბლონური PIA-ები მიღებულია; ჩვეულებრივი ანალიტიკის ან CDN კონტრაქტებისთვის სპეციალური სამართლებრივი მოსაზრება არ გჭირდებათ.

ნაბიჯი 5: განაახლეთ კონფიდენციალობის შეტყობინება

კვებეკი სპეციფიკურ გამჟღავნებებს მოითხოვს: კონფიდენციალობის ოფიცერის საკონტაქტო ინფორმაცია, შეგროვებული პირადი ინფორმაციის კატეგორიები, შენახვის პერიოდები, მესამე მხარის მიმღებები, საზღვარგარეთ გადაცემის დანიშნულებები და ავტომატიზებული გადაწყვეტილების პრაქტიკები. ზოგადი GDPR-ის შეტყობინება თითქმის არასდროს შეესაბამება კანონი 25-ს მნიშვნელოვანი დამატებების გარეშე.

კვებეკის კანონი 25 და PIPEDA-სთან ურთიერთქმედება და კანონი 25-ის მომავალი

PIPEDA, კანადის ფედერალური კონფიდენციალობის კანონი, ვრცელდება სავაჭრო საქმიანობაზე მთელ კანადაში — მაგრამ კვებეკის კანონი 25 კვებეკში პრიორიტეტულია, რადგანაც პროვინცია კერძო სექტორის კონფიდენციალობის მიზნებისთვის არსებითად მსგავსად გამოცხადებულია. სინამდვილეში ეს ნიშნავს, რომ კვებეკის ოპერაციები სტანდარტულად კანონი 25-ს ეყრდნობა და PIPEDA მხოლოდ პროვინციულ ხაზებს გადამჭრელ საქმიანობებს ეხება.

კანადა ასევე PIPEDA-ს მოდერნიზებას ახდენს შემოთავაზებული Consumer Privacy Protection Act (CPPA)-ის მეშვეობით. თუ CPPA მიმდინარე სახეში მიიღება, კანადის დანარჩენ ნაწილს კვებეკის მოდელთან დააახლოვებს — მკაფიო თანხმობა, მნიშვნელოვანი ჯარიმები, ბრძანების გამოტანის უფლებამოსილების მქონე ფედერალური კონფიდენციალობის კომისარი, და ავტომატიზებული გადაწყვეტილებების გამჭვირვალობა. გამომცემლები, რომლებიც დღეს კვებეკის კანონი 25-ის გარშემო სტეკს ქმნიან, ხვალ ფედერალური ცვლილებებისთვის კარგ პოზიციაში იქნებიან.

მოკლე ვერსია: კვებეკის კანონი 25 პროვინციული სიუნიკა არ არის. ეს არის შაბლონი, სადამდე კანადის კონფიდენციალობა მიდის, და ამერიკაში ყველაზე აგრესიული კონფიდენციალობის რეჟიმი. კანადის ტრაფიქს მომსახურე გამომცემლებმა, რეკლამის განმთავსებლებმა და SaaS მომწოდებლებმა კანონი 25-სთან შესაბამისობა 2026 წლის პრიორიტეტად უნდა ჩათვალონ, და არა მომავლის პროექტად.