Ko Kvebekas Likums 25 faktiski prasa

Likums 25 groza Kvebekas esošo privātā sektora privātuma likumu (Act Respecting the Protection of Personal Information in the Private Sector) un tuvina to Eiropas GDPR, saglabājot īpatnējas Kanādas iezīmes. Galvenās prasības, kas ietekmē izdevējus un digitālos operatorus, ir:

• Skaidra, detalizēta piekrišana pirms personas informācijas vākšanas vai izmantošanas jebkuram mērķim, kas pārsniedz sākotnēji atklāto.
• Iecelts privātuma virsnieks (pēc noklusējuma augstākās pakāpes vadītājs, ja nav formāli deleģēts), kura vārds un kontaktinformācija jāpublicē tīmekļa vietnē.
• Obligātas privātuma ietekmes novērtējumi (PIA) pirms jebkura projekta uzsākšanas, kas saistīts ar personas informāciju, jo īpaši pārrobežu pārsūtīšanu vai jaunu tehnoloģiju.
• Pārkāpumu paziņošana Commission d'accès à l'information (CAI) un skartajām personām, kad pārkāpums rada nopietna kaitējuma risku.
• Individuālās tiesības, tostarp piekļuve, labošana, dzēšana, pārnesamība un — unikāli — tiesības saņemt informāciju par automatizētu lēmumu pieņemšanu un pieprasīt cilvēka pārskatīšanu.

Izpildes iestāde ir Commission d'accès à l'information du Québec (CAI), kas 2025. gadā ir izdevusi formālus izmeklēšanas paziņojumus vairākiem starptautiskiem izdevējiem un platformām. Atšķirībā no dažiem regulatoriem, CAI ir parādījusi gatavību vērsties pret ne-Kanādas vienībām, kas apkalpo Kvebekas iedzīvotājus.

Sīkfailu piekrišanas specifika: stingrāka par GDPR atsevišķos aspektos

Likums 25 tieši neizmanto vārdu "sīkfails", bet tā definīcija par tehnoloģiju, kas identificē, lokalizē vai profilē personu, aptver sīkfailus, pikseļus, pirkstu nospiedumu noņemšanu un SDK balstītus mobilos identifikatorus. 8.1. sadaļa ir kritiskais noteikums: jebkura šāda tehnoloģija, kas ir aktivizēta pēc noklusējuma, jāatspējo pēc noklusējuma un tai nepieciešama aktīva piekrišana, lai to ieslēgtu.

Nav iepriekš atzīmētu rūtiņu, nav netiešas piekrišanas

Šī valoda ir stingrāka par GDPR ePrivacy ietvaru vienā konkrētā aspektā: ne tikai piekrišanai jābūt opt-in, bet pamatā esošajai tehnoloģijai jābūt tehniski atspējotai līdz piekrišanas piešķiršanai. Sīkfailu baneris, kas ielādē analīzi pirms lietotājs noklikšķina uz pieņemšanas, pārkāpj Likumu 25, pat ja pats baneris ir tehniski pareizs. Izdevējiem jāievieš patiesa piekrišanas bloķēta skripta ielāde, līdzīga Google Consent Mode v2 uzlabotajā režīmā — pamata režīms parasti ir nepietiekams.

Profilam balstīta personalizācija prasa atsevišķu piekrišanu

Ja jūs izmantojat sīkfailus, lai veidotu lietotāja profilu personalizētai reklamēšanai, Likums 25 to uzskata par atšķirīgu mērķi, kam nepieciešams savs piekrišanas slānis, papildus bāzes piekrišanai sīkfailu izvietošanai. Vienā poga "pieņemt visu", kas apvieno glabāšanu, analīzi un personalizāciju, ir riskanta — Kvebekas regulators ir norādījis uz priekšroku granulētām mērķa pārsūtīšanas slēdžiem.

Pārrobežu pārsūtīšana: PIA prasība

Kvebeka ir vienīgā Kanādas province, kas pieprasa formālu privātuma ietekmes novērtējumu pirms personas informācijas pārsūtīšanas ārpus Kvebekas — tostarp uz pārējo Kanādu, uz Amerikas Savienotajām Valstīm un uz Eiropas datu centriem. PIA jānovērtē:

• Iesaistīto datu jutīgums.
• Pārsūtīšanas mērķis un nepieciešamība.
• Galamērķa jurisdikcijas tiesiskais regulējums.
• Spēkā esošie līgumtiesiskie un tehniskie aizsargpasākumi.

Izdevējiem tas visbiežāk ietekmē analīzi, tagu pārvaldību, CDN žurnālus un reklāmu servera datus, kas plūst uz ASV infrastruktūru. Kvebekas-atbilstības PIA nebloķē šīs pārsūtīšanas, bet prasa dokumentētu novērtējumu un — kritiski — rakstisku apstiprinājumu no saņēmēja, ka dati tiks aizsargāti saskaņā ar līdzvērtīgiem principiem. Standarta ASV mitinātie SaaS līgumi reti ietver šo valodu pēc noklusējuma un ir jāgroza.

Automatizētu lēmumu pieņemšanas paziņojumi

Likuma 25 12.1. sadaļa ir unikāla Ziemeļamerikas tiesībās: ja uzņēmums izmanto personas informāciju, lai pieņemtu lēmumu, kas pamatots tikai uz automatizētu apstrādi, tam jādara:

• Informēt personu lēmuma pieņemšanas brīdī vai pirms tam.
• Pēc pieprasījuma paskaidrot izmantoto personas informāciju, iemeslus un galvenos faktorus, kas noveda pie lēmuma.
• Nodrošināt iespēju iesniegt novērojumus cilvēku pārskatītājam.

Reklāmtehnoloģijā tas aptver programmatiskus lēmumus par solīšanas pieprasījumiem, dinamisko cenu noteikšanu, krāpšanas vērtēšanu un jebkādu AI palīdzētu satura ranžēšanu. Izdevēji reti kontrolē šos algoritmus tieši — viņi paļaujas uz SSP un DSP — bet Likums 25 uzskata izdevēju par kopīgi atbildīgu pusi, kad lēmums izmanto izdevēja savāktos datus. Īsas automatizēta lēmuma atklāšanas pievienošana jūsu privātuma paziņojumam ir minimāls atbilstības solis.

Praktiska atbilstības kontrolsaraksts 2026. gadam

1. solis: kartējiet Kvebekas trafiku un datu plūsmas

Izmantojiet IP ģeolokāciju savā analītikā, lai novērtētu Kvebekas apmeklētāju apjomu. Pat ja Kvebeka ir mazāk par 5% no jūsu auditorijas, sods 4% no apgrozījuma padara to nesamērīgi riskanti ignorēt. Kartējiet katru sīkfailu, pikseli un SDK, kas darbojas Kvebekas lietotājiem un kur to dati nonāk.

2. solis: izvietojiet piekrišanas bloķētu CMP

Jūsu CMP jāatbalsta patiesa skripta līmeņa bloķēšana, nevis kosmētiska bannera noraidīšana. FlexyConsent un citi Google sertificēti CMP piedāvā Kvebekai specifiskas ģeo noteikumus, kas savieno Likuma 25 loģiku ar plašākiem Consent Mode v2 un GPP US-national signāliem. Iepriekš konfigurētajam Kvebekas režīmam visās nebūtiskajās kategorijās pēc noklusējuma jābūt izslēgtam.

3. solis: iecelt un publicēt privātuma virsnieku

Ja jūsu organizācijai nav Kanādas klātbūtnes, jūsu izpilddirektors vai ekvivalents pēc noklusējuma ir privātuma virsnieks, ja vien jūs formāli nedeleģējat rakstiski. Publicējiet vārdu un e-pastu savā privātuma paziņojumā — CAI to pārbauda pirmajā inspekcijā.

4. solis: pabeidziet PIA pirms jauniem projektiem

Katrs jauns piegādātājs, katra jauna pārrobežu pārsūtīšana, katra jauna izsekošanas tehnoloģija prasa dokumentētu PIA. CAI veidnes PIA tiek pieņemtas; jums nav nepieciešams pielāgots juridisks atzinums routīnas analītikas vai CDN līgumiem.

5. solis: atjauniniet savu privātuma paziņojumu

Kvebeka prasa konkrētus atklājumus: privātuma virsnieka kontakts, savāktās personas informācijas kategorijas, glabāšanas periodi, trešo pušu saņēmēji, pārrobežu pārsūtīšanas galamērķi un automatizētu lēmumu prakses. Vispārējs GDPR paziņojums gandrīz nekad neapmierina Likumu 25 bez būtiskiem papildinājumiem.

Kā Kvebekas Likums 25 mijiedarbojas ar PIPEDA un Likuma 25 nākotni

PIPEDA, Kanādas federālais privātuma likums, attiecas uz komerciālu darbību visā Kanādā — bet Kvebekas Likums 25 Kvebekas ietvaros ir prioritārs, jo provincei ir piešķirts būtiski līdzīgs statuss privātā sektora privātuma mērķiem. Praksē tas nozīmē, ka Kvebekas darbības pēc noklusējuma atbilst Likumam 25, un PIPEDA attiecas tikai uz darbībām, kas šķērso provinču robežas.

Kanāda arī modernizē PIPEDA, izmantojot ierosinātais Consumer Privacy Protection Act (CPPA). Ja CPPA tiks pieņemts tā pašreizējā formā, tas tuvinātu pārējo Kanādu Kvebekas modelim — nepārprotama piekrišana, nozīmīgi sodi, federāls privātuma komisārs ar rīkojumu izdošanas pilnvarām un automatizētu lēmumu pārredzamība. Izdevēji, kas šodien veido savu infrastruktūru ap Kvebekas Likumu 25, būs labi sagatavoti federālajām izmaiņām rīt.

Īsā versija: Kvebekas Likums 25 nav provinces kuriozitāte. Tas ir veidne tam, uz kurieni Kanādas privātums virzās, un agresīvākais privātuma regulējums Amerikās. Izdevējiem, reklāmdevējiem un SaaS pārdevējiem, kas apkalpo Kanādas trafiku, vajadzētu uzskatīt Likuma 25 atbilstību par 2026. gada prioritāti, nevis nākotnes projektu.