Квебек заңы 25 іс жүзінде нені талап етеді

25-заң Квебектің жекеменшік сектордың бар болатын құпиялылық заңдарын (Act Respecting the Protection of Personal Information in the Private Sector) өзгертеді және оны еуропалық GDPR-ға жақындата отырып, айрықша канадалық ерекшеліктерді сақтайды. Баспагерлер мен цифрлық операторларға әсер ететін негізгі талаптар:

• Бастапқыда жарияланған мақсаттан тыс мақсатқа жеке ақпаратты жинаудан немесе пайдаланудан бұрын анық, егжей-тегжейлі келісім.
• Аты мен байланыс ақпараты веб-сайтта жарияланған тағайындалған Құпиялылық офицері (ресми тәртіппен өкілдік берілмесе, әдепкі бойынша жоғарғы деңгейдегі атқарушы).
• Жеке ақпаратты, әсіресе трансшекаралық деректер беруді немесе жаңа технологияны қамтитын кез келген жобаны іске қоспас бұрын міндетті Құпиялылыққа ықпал бағасы (PIA).
• Бұзушылық байыпты зиян тәуекелін тудырған кезде Commission d'accès à l'information (CAI)-ға және зардап шеккен адамдарға бұзушылық туралы хабарлама.
• Қол жеткізуді, түзетуді, жоюды, тасымалдауды және — бірегей түрде — автоматтандырылған шешім қабылдау туралы хабардар болу және адамдық шолу сұрау құқығын қамтитын жеке адамдардың құқықтары.

Орындаушы орган — Commission d'accès à l'information du Québec (CAI), ол 2025 жыл бойы бірнеше халықаралық баспагерлер мен платформаларға ресми тергеу хабарламаларын жіберді. Кейбір реттеушілерден айырмашылығы, CAI Квебек тұрғындарына қызмет ететін Канадалық емес субъектілерді қуатқа тартуға дайындық білдірді.

Cookie келісімінің ерекшеліктері: негізгі аймақтарда GDPR-дан қатаңырақ

25-заң тікелей «cookie» сөзін қолданбайды, бірақ жеке адамды анықтайтын, орналасқан жерін білетін немесе профайл жасайтын технологияның анықтамасы cookie-лерді, пиксельдерді, саусақ ізін алуды және SDK негізіндегі мобильді идентификаторларды қамтиды. 8.1-бөлім — маңызды норма: әдепкі бойынша белсендірілген осындай кез келген технология әдепкі бойынша өшірілген болуы және іске қосу үшін белсенді келісімді қажет етуі тиіс.

Алдын ала белгіленген ұяшықтар жоқ, болжамды келісім жоқ

Бұл тіл бір нақты жағынан GDPR ePrivacy шеңберінен қатаңырақ: тек келісім opt-in болуы ғана емес, негізгі технология да келісім берілгенге дейін техникалық тұрғыдан өшірілген болуы тиіс. Пайдаланушы «қабылдауды» баспас бұрын аналитика жүктейтін cookie баннері 25-заңды бұзады, банердің өзі техникалық тұрғыдан дұрыс болса да. Баспагерлер нағыз келісіммен шектелген сценарий жүктеуді, Google Consent Mode v2 кеңейтілген режиміне ұқсас, жүзеге асыруы тиіс — базалық режим жалпы алғанда жеткіліксіз.

Профильге негізделген жекелендіру бөлек келісімді қажет етеді

Cookie-лерді жекелендірілген жарнама үшін пайдаланушы профилін жасауға пайдалансаңыз, 25-заң мұны cookie орналастырудың базалық келісімінен жоғарыда өзінің жеке келісім қабатын қажет ететін бөлек мақсат ретінде қарастырады. Сақтауды, аналитиканы және жекелендіруді бір жерге топтастыратын жалғыз «барлығын қабылдау» түймесі тәуекел астында — Квебек реттеушісі егжей-тегжейлі, мақсат бойынша ауыстырып қосқыштарға артықшылық беретін сигнал берді.

Трансшекаралық деректер беру: PIA талабы

Квебек — Квебектің сыртына жеке ақпаратты бергенге дейін ресми Құпиялылыққа ықпал бағасын талап ететін Канаданың жалғыз провинциясы — Канаданың қалған бөлігіне, АҚШ-қа және еуропалық деректер орталықтарына беруді қоса алғанда. PIA мынаны бағалауы тиіс:

• Қатысатын деректердің сезімталдығы.
• Берудің мақсаты мен қажеттілігі.
• Тағайындалған юрисдикцияның заңды шеңбері.
• Жүзеге асырылып жатқан шарттық және техникалық қорғаулар.

Баспагерлер үшін бұл көбіне АҚШ инфрақұрылымына жіберілетін аналитика, тег-менеджмент, CDN журналдары және жарнама серверінің деректеріне әсер етеді. Квебек жеткіліктілік PIA бұл беруді бұғаттамайды, бірақ құжатталған баға және — маңыздысы — деректерді баламалы принциптер бойынша қорғайтындай болады деген алушы тараптан жазбаша растауды талап етеді. Стандартты АҚШ-та орналастырылған SaaS шарттарында бұл тіл әдепкі бойынша сирек кездеседі және оны өзгерту керек.

Автоматтандырылған шешімдер туралы хабарламалар

25-заңның 12.1-бөлімі Солтүстік Америка заңдарында бірегей болып табылады: бизнес тек автоматтандырылған өңдеуге негізделген шешім қабылдау үшін жеке ақпаратты пайдаланса, ол мынаны жасауы тиіс:

• Шешім қабылданған кезде немесе одан бұрын жеке адамды хабардар ету.
• Сұрау бойынша пайдаланылған жеке ақпаратты, себептерін және шешімге алып келген негізгі факторларды түсіндіру.
• Адамдық шолушыға бақылау жіберуге мүмкіндік беру.

Adtech үшін бұл ставка сұраулары бойынша бағдарламалық шешімдерді, динамикалық бағаларды, алаяқтықты бағалауды және кез келген AI-ға негізделген мазмұн рейтингін қамтиды. Баспагерлер бұл алгоритмдерді тікелей сирек бақылайды — олар SSP мен DSP-ге сүйенеді — бірақ 25-заң шешім баспагер жинаған деректерді пайдаланған жағдайда баспагерді бірлескен жауапты тарап ретінде қарастырады. Жеке өмір ескертуіне қысқаша автоматтандырылған шешімді ашу мәлімдемесін қосу — минималды мүмкін сәйкестік қадамы.

2026 жылға арналған практикалық сәйкестік бақылау тізімі

1-қадам: Квебек трафигі мен деректер ағынын картаға түсіру

Квебек келушілерінің көлемін бағалау үшін аналитикада IP геолокациясын пайдаланыңыз. Квебек аудиторияңыздың 5%-дан азын құраса да, айналымның 4% айыппұлы оны елемеуді орансыз қауіпті етеді. Квебек пайдаланушылары үшін іске қосылатын және деректері қайда кететін кез келген cookie-ді, пиксельді және SDK-ны картаға түсіріңіз.

2-қадам: Келісіммен шектелген CMP орналастырыңыз

CMP сценарий деңгейіндегі нағыз бұғаттауды қолдауы тиіс, косметикалық баннерді жабу емес. FlexyConsent және басқа Google сертификаттаған CMP-лер 25-заң логикасын кеңірек Consent Mode v2 және GPP US-national сигналдарымен жұптастыратын Квебекке арналған гео-ережелерді ұсынады. Алдын ала конфигурацияланған Квебек режимі барлық маңызды емес санаттарды әдепкі бойынша өшіруі тиіс.

3-қадам: Құпиялылық офицерін тағайындап, жариялаңыз

Ұйымыңызда Канадада болу жоқ болса, жазбаша ресми тәртіппен өкілдік бермесеңіз, бас директоріңіз немесе оған балама — әдепкі Құпиялылық офицері. Аты мен электрондық поштасын жеке өмір ескертуінде жариялаңыз — CAI алғашқы тексеруде мұны тексереді.

4-қадам: Жаңа жобалардан бұрын PIA аяқтаңыз

Кез келген жаңа жеткізуші, кез келген жаңа трансшекаралық беру, кез келген жаңа бақылау технологиясы құжатталған PIA-ны қажет етеді. CAI-дан шаблондық PIA-лар қабылданады; кәдімгі аналитика немесе CDN шарттары үшін арнайы заңды пікір қажет емес.

5-қадам: Жеке өмір ескертуіңізді жаңартыңыз

Квебек нақты ашуларды талап етеді: Құпиялылық офицерінің байланысы, жиналатын жеке ақпараттың санаттары, сақтау мерзімдері, үшінші тарап алушылары, трансшекаралық беру тағайындалған жерлері және автоматтандырылған шешім қабылдау тәжірибелері. Жалпы GDPR ескертуі материалдық қосымшалар болмаса 25-заңға сирек сәйкес келеді.

Квебек заңы 25 PIPEDA және 25-заңның болашағымен қалай өзара байланысады

Канаданың федералды жеке өмір заңы PIPEDA Канада бойынша коммерциялық қызметке қолданылады — бірақ Квебектің 25-заңы Квебекте басымдыққа ие, себебі провинция жеке сектор жеке өмірі мақсаттары үшін елеулі деңгейде ұқсас деп жарияланды. Іс жүзінде бұл Квебек операцияларының әдепкі бойынша 25-заңға негізделетінін, PIPEDA-ның тек провинция сызықтарынан өтетін қызметке ғана қолданылатынын білдіреді.

Канада сонымен қатар ұсынылған Consumer Privacy Protection Act (CPPA) арқылы PIPEDA-ны жаңартып жатыр. CPPA қазіргі нысанында қабылданса, Канаданың қалған бөлігін Квебек моделіне жақындатады — анық келісім, мәнді айыппұлдар, бұйрық шығару өкілеттігі бар федералды Жеке өмір комиссары және автоматтандырылған шешімдердің мөлдірлігі. Бүгін стегін Квебек заңы 25-ті орталыққа қойып жасайтын баспагерлер ертең федералдық өзгерістерге дайын болады.

Қысқа нұсқасы: Квебек заңы 25 — провинциалдық ерекшелік емес. Бұл канадалық жеке өмірдің бара жатқан бағытының үлгісі және Американың ең агрессивті жеке өмір режимі. Канада трафигіне қызмет ететін баспагерлер, жарнама берушілер және SaaS жеткізушілері 25-заңға сәйкестікті болашақ жоба ретінде емес, 2026 жылғы басымдық ретінде қарауы тиіс.