Prawo 25 Quebecu (Ustawa 64): Kompletny przewodnik po zgodzie na pliki cookie i prywatności dla wydawców w 2026 roku
Większość dyskusji na temat prywatności w Ameryce Północnej zaczyna się i kończy na Kalifornii. To podejście jest przestarzałe. Quebekie Prawo 25, wcześniej znane jako Ustawa 64, nakłada teraz kary, które przewyższają CCPA, CPRA i każde prawo stanowe USA — do CAD 25 milionów lub 4% światowych obrotów, w zależności od tego, która kwota jest wyższa. Ostatnia faza Prawa 25 weszła w życie 22 września 2024 roku, wprowadzając pełne prawo do przenoszenia danych, a egzekwowanie przepisów zaostrzyło się przez 2025 rok i wchodzi w rok 2026. Każdy wydawca, platforma SaaS lub dostawca adtech z ruchem z Quebecu stoi teraz przed obowiązkami na poziomie GDPR — często bardziej wymagającymi niż samo GDPR w konkretnych obszarach, takich jak transgraniczne przekazywanie danych i powiadomienia o zautomatyzowanym podejmowaniu decyzji.
Czego faktycznie wymaga Prawo 25 Quebecu
Prawo 25 zmienia istniejące quebeskie prawo o ochronie prywatności w sektorze prywatnym (Act Respecting the Protection of Personal Information in the Private Sector) i zbliża je do europejskiego GDPR, zachowując jednocześnie wyraźnie kanadyjskie cechy. Podstawowe wymagania wpływające na wydawców i operatorów cyfrowych to:
- Wyraźna, szczegółowa zgoda przed gromadzeniem lub wykorzystywaniem danych osobowych w jakimkolwiek celu wykraczającym poza pierwotnie ujawniony.
- Wyznaczony Inspektor Ochrony Danych (domyślnie najwyższy rangą menedżer, o ile nie zostanie formalnie oddelegowany) którego imię i nazwisko oraz dane kontaktowe muszą być opublikowane na stronie internetowej.
- Obowiązkowe Oceny Skutków dla Prywatności (PIA) przed uruchomieniem każdego projektu obejmującego dane osobowe, w szczególności transgraniczne przekazywanie danych lub nowe technologie.
- Powiadomienie o naruszeniu do Commission d'accès à l'information (CAI) i poszkodowanych osób, gdy naruszenie stwarza ryzyko poważnej szkody.
- Prawa indywidualne w tym dostęp, sprostowanie, usunięcie, przenoszalność i — wyjątkowo — prawo do bycia informowanym o zautomatyzowanym podejmowaniu decyzji oraz żądania weryfikacji przez człowieka.
Organem egzekwującym jest Commission d'accès à l'information du Québec (CAI), który w 2025 roku wydał formalne zawiadomienia o wszczęciu dochodzenia wobec wielu międzynarodowych wydawców i platform. W przeciwieństwie do niektórych regulatorów, CAI wykazał gotowość do ścigania podmiotów spoza Kanady obsługujących mieszkańców Quebecu.
Szczegóły zgody na pliki cookie: surowsze niż GDPR w kluczowych obszarach
Prawo 25 nie używa bezpośrednio słowa "cookie", ale jego definicja technologii identyfikującej, lokalizującej lub profilującej osobę obejmuje pliki cookie, piksele, fingerprinting i identyfikatory mobilne oparte na SDK. Sekcja 8.1 jest kluczowym przepisem: każda taka technologia, która jest domyślnie aktywowana, musi być domyślnie wyłączona i wymagać aktywnej zgody do włączenia.
Brak wstępnie zaznaczonych pól, brak domniemanej zgody
Ten język jest surowszy niż ramy ePrivacy GDPR w jednym konkretnym aspekcie: nie tylko zgoda musi być opt-in, ale sama technologia musi być technicznie wyłączona do momentu udzielenia zgody. Baner cookie, który ładuje analitykę przed kliknięciem przez użytkownika opcji akceptacji, narusza Prawo 25, nawet jeśli sam baner jest technicznie poprawny. Wydawcy muszą wdrożyć prawdziwe blokowanie skryptów oparte na zgodzie, podobne do Google Consent Mode v2 w trybie zaawansowanym — tryb podstawowy jest generalnie niewystarczający.
Personalizacja oparta na profilach wymaga osobnej zgody
Jeśli używasz plików cookie do budowania profilu użytkownika na potrzeby spersonalizowanej reklamy, Prawo 25 traktuje to jako oddzielny cel wymagający własnej warstwy zgody, ponad zgodą bazową na umieszczanie plików cookie. Jeden przycisk „akceptuj wszystko" łączący przechowywanie, analitykę i personalizację jest ryzykowny — quebecki regulator zasygnalizował preferencję dla szczegółowych przełączników per-cel.
Transgraniczne przekazywanie danych: wymóg PIA
Quebec jest jedyną kanadyjską prowincją wymagającą formalnej Oceny Skutków dla Prywatności przed przekazaniem danych osobowych poza Quebec — w tym do reszty Kanady, do Stanów Zjednoczonych i do europejskich centrów danych. PIA musi ocenić:
- Wrażliwość zaangażowanych danych.
- Cel i konieczność przekazywania.
- Ramy prawne jurysdykcji docelowej.
- Obowiązujące zabezpieczenia umowne i techniczne.
Dla wydawców najczęściej dotyczy to analityki, zarządzania tagami, logów CDN i danych serwerów reklamowych przepływających do infrastruktury w USA. PIA adekwatności quebeskiej nie blokuje tych przekazów, ale wymaga udokumentowanej oceny i — co kluczowe — pisemnego potwierdzenia od strony odbierającej, że dane będą chronione zgodnie z równoważnymi zasadami. Standardowe umowy SaaS hostowane w USA rzadko zawierają domyślnie ten język i muszą być zmienione.
Powiadomienia o zautomatyzowanym podejmowaniu decyzji
Sekcja 12.1 Prawa 25 jest wyjątkowa w prawie Ameryki Północnej: jeśli firma wykorzystuje dane osobowe do podejmowania decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, musi:
- Poinformować osobę w momencie podejmowania decyzji lub przed nim.
- Na żądanie wyjaśnić wykorzystane dane osobowe, powody i główne czynniki, które doprowadziły do decyzji.
- Zapewnić możliwość złożenia uwag do ludzkiego recenzenta.
W adtech obejmuje to programatyczne podejmowanie decyzji dotyczących żądań aukcji, dynamiczne ustalanie cen, ocenę ryzyka oszustwa i wszelkie rankingowanie treści wspomagane przez AI. Wydawcy rzadko kontrolują te algorytmy bezpośrednio — polegają na SSP i DSP — ale Prawo 25 traktuje wydawcę jako wspólnie odpowiedzialną stronę, gdy decyzja wykorzystuje dane zebrane przez wydawcę. Dodanie krótkiego ujawnienia dotyczącego zautomatyzowanych decyzji do informacji o prywatności jest minimalnym możliwym krokiem zapewnienia zgodności.
Praktyczna lista kontrolna zgodności na 2026 rok
Krok 1: Zmapuj ruch z Quebecu i przepływy danych
Użyj geolokalizacji IP w swojej analityce, aby oszacować wolumen odwiedzających z Quebecu. Nawet jeśli Quebec stanowi mniej niż 5% odbiorców, kara 4% obrotu sprawia, że ignorowanie go jest nieproporcjonalnie ryzykowne. Zmapuj każdy plik cookie, piksel i SDK uruchamiany dla użytkowników z Quebecu i dokąd trafiają ich dane.
Krok 2: Wdróż CMP z blokadą opartą na zgodzie
Twój CMP musi obsługiwać prawdziwe blokowanie na poziomie skryptów, a nie kosmetyczne odrzucanie banerów. FlexyConsent i inne CMP certyfikowane przez Google oferują reguły geolokalizacji specyficzne dla Quebecu, które łączą logikę Prawa 25 z szerszymi sygnałami Consent Mode v2 i GPP US-national. Wstępnie skonfigurowany tryb Quebec powinien domyślnie ustawiać wszystkie nieistotne kategorie na wyłączone.
Krok 3: Wyznacz i opublikuj Inspektora Ochrony Danych
Jeśli Twoja organizacja nie ma obecności w Kanadzie, Twój dyrektor generalny lub odpowiednik jest domyślnie Inspektorem Ochrony Danych, chyba że formalnie oddelegowałeś w formie pisemnej. Opublikuj imię, nazwisko i adres e-mail w informacji o prywatności — CAI sprawdza to podczas pierwszej inspekcji.
Krok 4: Przeprowadź PIA przed nowymi projektami
Każdy nowy dostawca, każde nowe transgraniczne przekazywanie danych, każda nowa technologia śledzenia wymaga udokumentowanego PIA. Szablony PIA od CAI są akceptowane; nie potrzebujesz niestandardowej opinii prawnej dla rutynowej analityki lub umów CDN.
Krok 5: Zaktualizuj swoją informację o prywatności
Quebec wymaga konkretnych ujawnień: danych kontaktowych Inspektora Ochrony Danych, kategorii gromadzonych danych osobowych, okresów przechowywania, odbiorców trzecich, miejsc docelowych transgranicznego przekazywania danych oraz praktyk zautomatyzowanego podejmowania decyzji. Ogólna informacja o prywatności zgodna z GDPR prawie nigdy nie spełnia wymagań Prawa 25 bez istotnych uzupełnień.
Jak Prawo 25 Quebecu wchodzi w interakcje z PIPEDA i przyszłością Prawa 25
PIPEDA, kanadyjskie federalne prawo ochrony prywatności, ma zastosowanie do działalności komercyjnej w całej Kanadzie — ale Prawo 25 Quebecu ma pierwszeństwo w Quebec, ponieważ prowincja została uznana za zasadniczo podobną do celów prywatności w sektorze prywatnym. W praktyce oznacza to, że operacje w Quebecu domyślnie podlegają Prawu 25, a PIPEDA ma zastosowanie tylko do działań przekraczających granice prowincji.
Kanada modernizuje również PIPEDA poprzez proponowaną Consumer Privacy Protection Act (CPPA). Jeśli CPPA zostanie uchwalona w obecnym kształcie, zbliży resztę Kanady do modelu Quebecu — wyraźna zgoda, znaczące kary, federalny Komisarz ds. Prywatności z uprawnieniami do wydawania nakazów i przejrzystość automatycznych decyzji. Wydawcy budujący swoje środowisko wokół Prawa 25 Quebecu dziś będą dobrze przygotowani na federalne zmiany jutro.
W skrócie: Prawo 25 Quebecu to nie prowincjonalna ciekawostka. To szablon kierunku, w którym zmierza kanadyjska ochrona prywatności, i najbardziej agresywny reżim prywatności w obu Amerykach. Wydawcy, reklamodawcy i dostawcy SaaS obsługujący ruch kanadyjski powinni traktować zgodność z Prawem 25 jako priorytet na 2026 rok, a nie przyszły projekt.