Ką iš tiesų reikalauja Kvebeko įstatymas Nr. 25

Įstatymas Nr. 25 iš dalies keičia Kvebeko esamą privataus sektoriaus privatumo įstatymą (Act Respecting the Protection of Personal Information in the Private Sector) ir artina jį prie Europos GDPR, išlaikant savitai kanadietiškus bruožus. Pagrindiniai reikalavimai, turintys įtakos leidėjams ir skaitmeniniams operatoriams:

• Aiškus, detalus sutikimas prieš renkant ar naudojant asmens informaciją bet kokiam tikslui, viršijančiam pirmą kartą atskleistąjį.
• Paskirtas privatumo pareigūnas (pagal nutylėjimą aukščiausio rango vadovas, jei nėra oficialiai įgaliotas), kurio vardas ir kontaktai turi būti paskelbti svetainėje.
• Privalomos privatumo poveikio vertinimai (PIA) prieš pradedant bet kurį projektą, susijusį su asmens informacija, ypač tarpvalstybiniais perdavimais ar naujomis technologijomis.
• Pažeidimo pranešimas Commission d'accès à l'information (CAI) ir nukentėjusiems asmenims, kai pažeidimas kelia rimtos žalos riziką.
• Individualios teisės, įskaitant prieigą, ištaisymą, ištrynimą, perkėlimą ir — unikaliai — teisę būti informuotam apie automatizuotus sprendimus ir prašyti žmogaus peržiūros.

Vykdymo institucija yra Commission d'accès à l'information du Québec (CAI), kuri per 2025 m. pateikė formalius tyrimo pranešimus keliems tarptautiniams leidėjams ir platformoms. Skirtingai nuo kai kurių reguliuotojų, CAI parodė norą persekioti ne Kanadoje įsisteigusius subjektus, teikiančius paslaugas Kvebeko gyventojams.

Slapukų sutikimo specifika: tam tikrose srityse griežtesnė nei GDPR

Įstatyme Nr. 25 žodis „slapukas" tiesiogiai nevartojamas, tačiau jo apibrėžimas apie technologiją, identifikuojančią, nustatančią vietą ar sudarančią asmens profilį, apima slapukus, pikselius, pirštų atspaudų paėmimą ir SDK pagrįstus mobiliuosius identifikatorius. 8.1 skirsnis yra kritinė nuostata: bet kokia tokia technologija, kuri yra įjungta pagal nutylėjimą, turi būti išjungta pagal nutylėjimą ir reikalauti aktyvaus sutikimo ją įjungti.

Jokių iš anksto pažymėtų langelių, jokio numanomo sutikimo

Ši kalba tam tikru konkrečiu aspektu yra griežtesnė nei GDPR ePrivacy sistema: ne tik sutikimas turi būti atsisakymo tipo, bet ir pagrindinė technologija turi būti techniškai išjungta tol, kol sutikimas nesuteikiamas. Slapukų reklamjuostė, įkelianti analitiką prieš vartotojui paspaudžiant priimti, pažeidžia įstatymą Nr. 25, net jei pati reklamjuostė techniškai teisinga. Leidėjai turi įdiegti tikrą sutikimu valdytą scenarijų įkėlimą, panašų į Google Consent Mode v2 išplėstinį režimą — paprastasis režimas paprastai yra nepakankamas.

Profilio pagrįstam personalizavimui reikalingas atskiras sutikimas

Jei naudojate slapukus vartotojo profiliui kurti personalizuotai reklamai, įstatymas Nr. 25 tai laiko atskiru tikslu, kuriam reikalingas savos sutikimo sluoksnis, papildomai prie pagrindinio sutikimo dėl slapukų patalpinimo. Vienas mygtukas „priimti viską", apimantis saugyklą, analitiką ir personalizavimą, yra rizikoje — Kvebeko reguliuotojas davė ženklą, pirmenybę teikdamas išsamiems, kiekvieno tikslo perjungikliams.

Tarpvalstybiniai perdavimai: PIA reikalavimas

Kvebeka yra vienintelė Kanados provincija, reikalaujanti formalaus privatumo poveikio vertinimo prieš perduodant asmens informaciją už Kvebeko ribų — įskaitant likusiąją Kanados dalį, Jungtines Valstijas ir Europos duomenų centrus. PIA turi įvertinti:

• Susijusių duomenų jautrumą.
• Perdavimo tikslą ir būtinumą.
• Paskirties jurisdikcijos teisinę sistemą.
• Galiojančias sutartines ir technines apsaugos priemones.

Leidėjams tai dažniausiai paveikia analitiką, žymių valdymą, CDN žurnalus ir reklamos serverio duomenis, tekančius į JAV infrastruktūrą. Kvebeko tinkamumo PIA neblokuoja šių perdavimų, tačiau reikalauja dokumentuoto vertinimo ir — tai svarbu — raštiško patvirtinimo iš gaunančiosios šalies, kad duomenys bus apsaugoti lygiavertėmis nuostatomis. Standartinėse JAV priglobtose SaaS sutartyse ši kalba retai įtraukiama pagal nutylėjimą ir jas reikia keisti.

Automatizuotų sprendimų pranešimai

Įstatymo Nr. 25 12.1 skirsnis yra unikalus Šiaurės Amerikos teisėje: jei verslas naudoja asmens informaciją sprendimui priimti remiantis tik automatizuotu apdorojimu, jis privalo:

• Informuoti asmenį sprendimo priėmimo metu arba prieš jį.
• Paprašius paaiškinti naudotą asmens informaciją, priežastis ir pagrindinius veiksnius, lėmusius sprendimą.
• Suteikti galimybę pateikti pastabas žmogui peržiūrėtojui.

Adtech atveju tai apima programinį sprendimų priėmimą dėl pasiūlymų užklausų, dinaminę kainodarą, sukčiavimo vertinimą ir bet kokią AI padedamą turinio reitingavimą. Leidėjai retai tiesiogiai valdo šiuos algoritmus — jie pasikliauja SSP ir DSP — tačiau įstatymas Nr. 25 laiko leidėją bendrai atsakinga šalimi, kai sprendimas naudoja leidėjo surinktus duomenis. Trumpo automatizuoto sprendimo atskleidimo pridėjimas prie jūsų privatumo pranešimo yra minimalus įgyvendinamas atitikties žingsnis.

Praktinis atitikties kontrolinis sąrašas 2026 m.

1 žingsnis: Nubrėžkite Kvebeko srautą ir duomenų srautus

Naudokite IP geolokaciją savo analizėje, kad įvertintumėte Kvebeko lankytojų apimtį. Net jei Kvebeka yra mažiau nei 5 % jūsų auditorijos, 4 % apyvartos bauda tai daro neproporcingai rizikinga ignoruoti. Nubraižykite kiekvieną slapuką, pikselį ir SDK, aktyvuojamą Kvebeko vartotojams, ir kur jo duomenys patenka.

2 žingsnis: Diekite sutikimu pagrįstą CMP

Jūsų CMP turi palaikyti tikrą scenarijaus lygio blokavimą, o ne kosmetinį reklamjuostės atmetimą. FlexyConsent ir kitos Google sertifikuotos CMP siūlo Kvebeko specifines geografines taisykles, derinančias įstatymo Nr. 25 logiką su platesniu Consent Mode v2 ir GPP US-national signalais. Iš anksto sukonfigūruotas Kvebeko režimas turėtų pagal nutylėjimą išjungti visas nebūtinas kategorijas.

3 žingsnis: Paskirkite ir paskelbkite privatumo pareigūną

Jei jūsų organizacija neturi Kanados buvimo vietos, jūsų generalinis direktorius arba atitikmuo yra privatumo pareigūnas pagal nutylėjimą, nebent raštu oficialiai įgaliojate. Paskelbkite vardą ir el. pašto adresą savo privatumo pranešime — CAI tai tikrina per pirmą patikrinimą.

4 žingsnis: Atlikite PIA prieš naujus projektus

Kiekvienas naujas tiekėjas, kiekvienas naujas tarpvalstybinis perdavimas, kiekviena nauja stebėjimo technologija reikalauja dokumentuoto PIA. CAI šablonų PIA yra priimami; įprastai analitikai ar CDN sutartims nereikia pasirinktinės teisinės nuomonės.

5 žingsnis: Atnaujinkite savo privatumo pranešimą

Kvebeka reikalauja konkrečių atskleidimų: privatumo pareigūno kontaktai, renkamos asmens informacijos kategorijos, saugojimo laikotarpiai, trečiųjų šalių gavėjai, tarpvalstybinių perdavimų paskirties vietos ir automatizuoto sprendimų priėmimo praktikos. Bendrinis GDPR pranešimas beveik niekada netenkina įstatymo Nr. 25 be esminių papildymų.

Kaip Kvebeko įstatymas Nr. 25 sąveikauja su PIPEDA ir įstatymo Nr. 25 ateitimi

PIPEDA, Kanados federalinis privatumo įstatymas, taikomas komercinei veiklai visoje Kanadoje — tačiau Kvebeko įstatymas Nr. 25 turi pirmenybę Kvebeke, nes provincija buvo paskelbta iš esmės panaši privačiojo sektoriaus privatumo tikslais. Praktiškai tai reiškia, kad Kvebeko operacijos pagal nutylėjimą laikosi įstatymo Nr. 25, o PIPEDA taikoma tik veikloms, kertančioms provincijos linijas.

Kanada taip pat modernizuoja PIPEDA per siūlomą Consumer Privacy Protection Act (CPPA). Jei CPPA bus priimtas dabartine forma, jis priartins likusią Kanados dalį prie Kvebeko modelio — aiškus sutikimas, prasmingos baudos, federalinis privatumo komisaras su įsakymų priėmimo galia ir automatizuotų sprendimų skaidrumas. Leidėjai, šiandien statantys savo krūvą aplink Kvebeko įstatymą Nr. 25, bus gerai pasirengę rytojaus federaliniams pokyčiams.

Trumpai tariant: Kvebeko įstatymas Nr. 25 nėra provincijos keistenybė. Tai šablonas, rodantis, kur eina Kanados privatumas, ir agresyviausias privatumo režimas Amerikoje. Leidėjai, reklamuotojai ir SaaS tiekėjai, aptarnaujantys Kanados srautą, turėtų laikyti atitiktį įstatymui Nr. 25 2026 m. prioritetu, o ne būsimu projektu.