Kaj Zakon 25 Quebeca dejansko zahteva

Zakon 25 spreminja obstoječi quebecški zakon o zasebnosti zasebnega sektorja (Act Respecting the Protection of Personal Information in the Private Sector) in ga približuje evropskemu GDPR, hkrati pa ohranja izrazito kanadske značilnosti. Temeljne zahteve, ki vplivajo na izdajatelje in digitalne operaterje, so:

• Izrecna, podrobna privolitev pred zbiranjem ali uporabo osebnih podatkov za kakršen koli namen, ki presega prvotno razkritega.
• Imenovan pooblaščenec za varstvo zasebnosti (privzeto najvišje uvrščeni izvršni direktor, razen če je formalno pooblaščen drugemu) katerega ime in kontakt morata biti objavljena na spletnem mestu.
• Obvezne ocene učinka na zasebnost (PIA) pred začetkom katerega koli projekta, ki vključuje osebne podatke, zlasti čezmejne prenose ali novo tehnologijo.
• Obvestilo o kršitvi Commission d'accès à l'information (CAI) in prizadetim posameznikom, ko kršitev predstavlja tveganje resne škode.
• Posameznikove pravice, vključno z dostopom, popravkom, izbrisom, prenosljivostjo in — edinstveno — pravico, da je obveščen o avtomatiziranem odločanju, in da zahteva človeški pregled.

Organ izvrševanja je Commission d'accès à l'information du Québec (CAI), ki je v letu 2025 izdal formalna obvestila o preiskavi več mednarodnim izdajateljem in platformam. V nasprotju z nekaterimi regulatorji je CAI pokazal pripravljenost za pregon nekandskih subjektov, ki zagotavljajo storitve prebivalcem Quebeca.

Posebnosti privolitve za piškotke: strožje od GDPR na ključnih področjih

Zakon 25 neposredno ne uporablja besede "piškotek", a njegova opredelitev tehnologije, ki identificira, locira ali profilira posameznika, zajema piškotke, slikovne pike, digitalne odtise prstov in mobilne identifikatorje, ki temeljijo na SDK. Oddelek 8.1 je ključna določba: kakršna koli takšna tehnologija, ki je privzeto aktivirana, mora biti privzeto onemogočena in zahtevati aktivno privolitev za vklop.

Brez vnaprej označenih polj, brez implicitne privolitve

To besedilo je strožje od okvira ePrivacy v GDPR na en specifičen način: ne samo da mora biti privolitev opt-in, temveč mora biti osnovna tehnologija tehnično onemogočena, dokler ni privolitev dana. Pasica s piškotki, ki naloži analitiko, preden uporabnik klikne sprejmi, krši Zakon 25, tudi če je pasica sama tehnično pravilna. Izdajatelji morajo implementirati resnično nalaganje skript s pogojno privolitev, podobno Google Consent Mode v2 v naprednem načinu — osnovni način je praviloma nezadosten.

Personalizacija na osnovi profila zahteva ločeno privolitev

Če piškotke uporabljate za gradnjo uporabniškega profila za personalizirano oglaševanje, Zakon 25 to obravnava kot ločen namen, ki zahteva lastno plast privolitve, poleg temeljne privolitve za namestitev piškotkov. En sam gumb „sprejmi vse", ki združuje shranjevanje, analitiko in personalizacijo, je tvegan — quebecški regulator je nakazal prednost za podrobna stikala po posameznih namenih.

Čezmejni prenosi: zahteva PIA

Quebec je edina kanadska pokrajina, ki zahteva formalno oceno učinka na zasebnost pred prenosom osebnih podatkov iz Quebeca — vključno v preostanek Kanade, v Združene države Amerike in v evropske podatkovne centre. PIA mora oceniti:

• Občutljivost zadevnih podatkov.
• Namen in nujnost prenosa.
• Pravni okvir ciljne jurisdikcije.
• Pogodbene in tehnične zaščitne ukrepe, ki so vzpostavljeni.

Za izdajatelje to najpogosteje vpliva na analitiko, upravljanje oznak, dnevnike CDN in podatke oglaševalskih strežnikov, ki tečejo v infrastrukturo ZDA. PIA ustreznosti za Quebec ne blokira teh prenosov, zahteva pa dokumentirano oceno in — ključno — pisno potrditev s strani sprejemnika, da bodo podatki zaščiteni v skladu z enakovrednimi načeli. Standardne pogodbe SaaS, gostovane v ZDA, redko privzeto vsebujejo to besedilo in jih je treba spremeniti.

Obvestila o avtomatiziranem odločanju

Oddelek 12.1 Zakona 25 je edinstven v severnoameriškem pravu: če podjetje uporablja osebne podatke za sprejemanje odločitve, ki temelji izključno na avtomatizirani obdelavi, mora:

• Obvestiti posameznika ob ali pred sprejemom odločitve.
• Na zahtevo pojasniti uporabljene osebne podatke, razloge in glavne dejavnike, ki so vodili do odločitve.
• Zagotoviti možnost predložitve pripomb človeškemu pregledovalcu.

Za adtech to zajema programatično odločanje o zahtevkih za ponudbe, dinamično določanje cen, ocenjevanje goljufij in kakršno koli razvrščanje vsebine s pomočjo AI. Izdajatelji teh algoritmov redko neposredno nadzorujejo — zanašajo se na SSP in DSP — a Zakon 25 obravnava izdajatelja kot skupno odgovorno stran, ko odločitev uporablja podatke, ki jih je izdajatelj zbral. Dodajanje kratke razkritosti o avtomatizirani odločitvi k vašemu obvestilu o zasebnosti je minimalno izvedljiv korak za skladnost.

Praktičen kontrolni seznam za skladnost v letu 2026

1. korak: Kartografirajte promet iz Quebeca in tokove podatkov

Uporabite geolokacijo IP v svoji analitiki za oceno obsega obiskovalcev iz Quebeca. Tudi če Quebec predstavlja manj kot 5 % vašega občinstva, kazen 4 % prometa naredi ignoriranje nesorazmerno tvegano. Kartografirajte vsak piškotek, slikovno piko in SDK, ki se aktivira za quebecške uporabnike, in kje pristanejo njihovi podatki.

2. korak: Uvedite CMP, pogojeno s privolitev

Vaš CMP mora podpirati resnično blokiranje na ravni skript, ne kozmetičnega zavrnitve pasic. FlexyConsent in drugi CMPji, certificirani pri Googlu, ponujajo geografska pravila, specifična za Quebec, ki združujejo logiko Zakona 25 s širšimi signali Consent Mode v2 in GPP US-national. Vnaprej konfiguriran quebecški način mora privzeto nastaviti vse nebistvene kategorije na izklopljeno.

3. korak: Imenujte in objavite pooblaščenca za varstvo zasebnosti

Če vaša organizacija nima kanadske prisotnosti, je vaš generalni direktor ali enakovredna oseba privzeto pooblaščenec za varstvo zasebnosti, razen če formalno pooblastite pisno. Objavite ime in e-poštni naslov v obvestilu o zasebnosti — CAI to preveri ob prvi inšpekciji.

4. korak: Dokončajte PIA pred novimi projekti

Vsak nov dobavitelj, vsak nov čezmejni prenos, vsaka nova tehnologija sledenja zahteva dokumentirano PIA. Vzorčne PIA od CAI so sprejemljive; za rutinsko analitiko ali pogodbe CDN ne potrebujete pravnega mnenja po meri.

5. korak: Posodobite obvestilo o zasebnosti

Quebec zahteva specifična razkritja: kontakt pooblaščenca za varstvo zasebnosti, kategorije zbranih osebnih podatkov, obdobja hrambe, tretje prejemnike, destinacije čezmejnih prenosov in prakse avtomatiziranega odločanja. Splošno obvestilo GDPR skoraj nikoli ne zadosti Zakonu 25 brez bistvenih dopolnitev.

Kako Zakon 25 Quebeca sodeuje z PIPEDA in prihodnost Zakona 25

PIPEDA, kanadski zvezni zakon o zasebnosti, se uporablja za komercialne dejavnosti po vsej Kanadi — a Zakon 25 Quebeca ima prednost v Quebecu, ker je bila pokrajina razglašena za bistveno podobno za namene zasebnosti zasebnega sektorja. V praksi to pomeni, da quebecke operacije privzeto spadajo pod Zakon 25, PIPEDA pa se uporablja le za dejavnosti, ki presegajo pokrajinske meje.

Kanada prav tako posodablja PIPEDA prek predlaganega Consumer Privacy Protection Act (CPPA). Če bo CPPA sprejet v trenutni obliki, bo preostali del Kanade aproximiral k quebeckemu modelu — izrecna privolitev, smiselne kazni, zvezni komisar za zasebnost z pooblastilom za izdajanje odlokov in preglednost avtomatiziranih odločitev. Izdajatelji, ki danes gradijo svojo infrastrukturo okoli Zakona 25 Quebeca, bodo dobro pripravljeni na zvezne spremembe jutri.

Kratka različica: Zakon 25 Quebeca ni pokrajinska posebnost. Je predloga za smer, v katero se razvija kanadska zasebnost, in najbolj agresiven režim zasebnosti v Amerikah. Izdajatelji, oglaševalci in ponudniki SaaS, ki zagotavljajo storitve kanadskemu prometu, bi morali skladnost z Zakonom 25 obravnavati kot prednostno nalogo za leto 2026, ne kot prihodnji projekt.