Čo Zákon 25 Quebecu skutočne vyžaduje

Zákon 25 mení existujúci quebecký zákon o ochrane osobných údajov v súkromnom sektore (Act Respecting the Protection of Personal Information in the Private Sector) a približuje ho k európskemu GDPR, pričom si zachováva výrazne kanadské vlastnosti. Základné požiadavky, ktoré sa týkajú vydavateľov a digitálnych prevádzkovateľov, sú:

• Výslovný, granulárny súhlas pred zhromažďovaním alebo použitím osobných údajov na akýkoľvek účel presahujúci pôvodne zverejnený.
• Určený zodpovedný za ochranu osobných údajov (štandardne najvyššie postavený vedúci pracovník, pokiaľ nie je formálne delegovaný) ktorého meno a kontakt musia byť zverejnené na webovej stránke.
• Povinné posúdenia vplyvu na ochranu súkromia (PIA) pred spustením akéhokoľvek projektu zahŕňajúceho osobné údaje, najmä cezhraničné prenosy alebo novú technológiu.
• Oznámenie o porušení Komisii Commission d'accès à l'information (CAI) a dotknutým osobám, keď porušenie predstavuje riziko vážnej ujmy.
• Individuálne práva vrátane prístupu, opravy, vymazania, prenosnosti a — jedinečne — práva byť informovaný o automatizovanom rozhodovaní a požadovať ľudský preskúmanie.

Orgánom presadzovania je Commission d'accès à l'information du Québec (CAI), ktorý vydal formálne oznámenia o začatí vyšetrovania voči viacerým medzinárodným vydavateľom a platformám počas roka 2025. Na rozdiel od niektorých regulátorov, CAI prejavil ochotu sledovať nekanadské subjekty, ktoré obsluhujú obyvateľov Quebecu.

Špecifiká súhlasu so súbormi cookie: prísnejšie ako GDPR v kľúčových oblastiach

Zákon 25 priamo nepoužíva slovo "cookie", ale jeho definícia technológie, ktorá identifikuje, lokalizuje alebo profiluje jednotlivca, zahŕňa súbory cookie, pixely, snímanie odtlačkov prstov a mobilné identifikátory založené na SDK. Oddiel 8.1 je kritickým ustanovením: akákoľvek taká technológia, ktorá je štandardne aktivovaná, musí byť štandardne deaktivovaná a na zapnutie vyžadovať aktívny súhlas.

Žiadne vopred začiarknuté políčka, žiadny implicitný súhlas

Toto znenie je prísnejšie ako rámec ePrivacy GDPR v jednom konkrétnom ohľade: nielen že súhlas musí byť opt-in, ale základná technológia musí byť technicky deaktivovaná až do udelenia súhlasu. Banner súborov cookie, ktorý načítava analytiku predtým, ako používateľ klikne na prijatie, porušuje Zákon 25, aj keď samotný banner je technicky správny. Vydavatelia musia implementovať skutočné načítavanie skriptov podmienené súhlasom, podobné Google Consent Mode v2 v pokročilom režime — základný režim je vo všeobecnosti nedostatočný.

Personalizácia na základe profilov vyžaduje samostatný súhlas

Ak používate súbory cookie na vytvorenie profilu používateľa pre personalizovanú reklamu, Zákon 25 to považuje za odlišný účel vyžadujúci vlastnú vrstvu súhlasu, nad rámec základného súhlasu na ukladanie súborov cookie. Jedno tlačidlo „prijať všetko", ktoré spája ukladanie, analytiku a personalizáciu, je rizikové — quebecký regulátor signalizoval preferenciu pre granulárne prepínače per účel.

Cezhraničné prenosy: požiadavka PIA

Quebec je jedinou kanadskou provinciou, ktorá vyžaduje formálne posúdenie vplyvu na ochranu súkromia pred prenosom osobných údajov mimo Quebeku — vrátane zvyšku Kanady, Spojených štátov amerických a európskych dátových centier. PIA musí posúdiť:

• Citlivosť dotknutých údajov.
• Účel a nevyhnutnosť prenosu.
• Právny rámec cieľovej jurisdikcie.
• Zmluvné a technické záruky, ktoré sú zavedené.

Pre vydavateľov to najčastejšie ovplyvňuje analytiku, správu tagov, logy CDN a dáta reklamných serverov, ktoré prúdia do americkej infraštruktúry. PIA adekvátnosti Quebecu tieto prenosy neblokuje, ale vyžaduje zdokumentované posúdenie a — čo je kritické — písomné potvrdenie od prijímajúcej strany, že údaje budú chránené podľa rovnocenných zásad. Štandardné zmluvy SaaS hostované v USA zriedka obsahujú toto znenie štandardne a musia byť pozmenené.

Oznámenia o automatizovanom rozhodovaní

Oddiel 12.1 Zákona 25 je jedinečný v severoamerickom práve: ak podnik používa osobné údaje na prijatie rozhodnutia založeného výhradne na automatizovanom spracovaní, musí:

• Informovať jednotlivca v čase alebo pred prijatím rozhodnutia.
• Na požiadanie vysvetliť použité osobné údaje, dôvody a hlavné faktory, ktoré viedli k rozhodnutiu.
• Poskytnúť možnosť predložiť pripomienky ľudskému preskúmateľovi.

Pre adtech to zahŕňa programatické rozhodovanie o požiadavkách na ponuku, dynamické oceňovanie, skórovanie podvodov a akékoľvek hodnotenie obsahu s pomocou AI. Vydavatelia zriedka kontrolujú tieto algoritmy priamo — spoliehajú sa na SSP a DSP — ale Zákon 25 považuje vydavateľa za spoločne zodpovednú stranu, keď rozhodnutie využíva údaje, ktoré vydavateľ zozbierala. Pridanie krátkého zverejnenia o automatizovanom rozhodovaní do vášho oznámenia o ochrane súkromia je minimálnym uskutočniteľným krokom súladu.

Praktický kontrolný zoznam súladu na rok 2026

Krok 1: Zmapujte quebecký prenos a toky údajov

Použite geolokáciu IP v analytike na odhadnutie objemu quebeckých návštevníkov. Aj keď Quebec predstavuje menej ako 5 % vášho publika, sankcia 4 % z obratu ho robí neprimeranie rizikovým ignorovať. Zmapujte každý súbor cookie, pixel a SDK, ktorý sa aktivuje pre quebeckých používateľov, a kde pristávajú ich údaje.

Krok 2: Nasaďte CMP podmienený súhlasom

Váš CMP musí podporovať skutočné blokovanie na úrovni skriptov, nie kozmetické odmietanie bannerov. FlexyConsent a ďalšie CMP certifikované spoločnosťou Google ponúkajú quebecky špecifické geografické pravidlá, ktoré kombinujú logiku Zákona 25 so širšími signálmi Consent Mode v2 a GPP US-national. Vopred nakonfigurovaný quebecký režim by mal štandardne nastaviť všetky nepodstatné kategórie na vypnuté.

Krok 3: Menujte a zverejnite zodpovedného za ochranu osobných údajov

Ak vaša organizácia nemá kanadskú prítomnosť, váš generálny riaditeľ alebo jeho ekvivalent je štandardne zodpovedný za ochranu osobných údajov, pokiaľ formálne nedelegujete písomne. Zverejnite meno a e-mail vo svojom oznámení o ochrane súkromia — CAI to kontroluje pri prvej inšpekcii.

Krok 4: Dokončite PIA pred novými projektmi

Každý nový dodávateľ, každý nový cezhraničný prenos, každá nová sledovacia technológia vyžaduje zdokumentované PIA. Šablónové PIA od CAI sú prijateľné; nepotrebujete vlastné právne stanovisko pre rutinnú analytiku alebo zmluvy CDN.

Krok 5: Aktualizujte svoje oznámenie o ochrane súkromia

Quebec vyžaduje konkrétne zverejnenia: kontakt zodpovedného za ochranu osobných údajov, kategórie zhromažďovaných osobných údajov, doby uchovávania, príjemcov tretích strán, cieľové miesta cezhraničných prenosov a postupy automatizovaného rozhodovania. Generické oznámenie GDPR takmer nikdy nespĺňa Zákon 25 bez materiálnych doplnkov.

Ako Zákon 25 Quebecu interaguje s PIPEDA a budúcnosťou Zákona 25

PIPEDA, kanadský federálny zákon o ochrane súkromia, sa vzťahuje na komerčnú činnosť naprieč Kanadou — ale Zákon 25 Quebecu má v Quebecu prednosť, pretože provincia bola vyhlásená za v podstatnej miere podobnú na účely ochrany súkromia v súkromnom sektore. V praxi to znamená, že quebecké operácie štandardne spadajú pod Zákon 25 a PIPEDA sa vzťahuje iba na aktivity, ktoré prekračujú provinčné hranice.

Kanada tiež modernizuje PIPEDA prostredníctvom navrhovaného Consumer Privacy Protection Act (CPPA). Ak CPPA prejde v súčasnej forme, priblíži zvyšok Kanady k quebeckému modelu — výslovný súhlas, zmysluplné sankcie, federálny komisár pre ochranu súkromia s právomocou vydávať príkazy a transparentnosť automatizovaných rozhodnutí. Vydavatelia, ktorí dnes budujú svoju infraštruktúru okolo Zákona 25 Quebecu, budú dobre pripravení na federálne zmeny zajtrajška.

Stručná verzia: Zákon 25 Quebecu nie je provinčnou kuriozitou. Je šablónou pre smer, ktorým sa kanadská ochrana súkromia uberá, a najagresívnejším režimom ochrany súkromia v Amerike. Vydavatelia, inzerenti a dodávatelia SaaS, ktorí obsluhujú kanadskú prevádzku, by mali považovať súlad so Zákonom 25 za prioritu roku 2026, nie za budúci projekt.