Šta Quebec Zakon 25 zapravo zahteva

Zakon 25 menja postojeći zakon o privatnosti u privatnom sektoru Kvebeka (Zakon o zaštiti ličnih informacija u privatnom sektoru) i približava ga evropskom GDPR-u, zadržavajući karakteristično kanadske odlike. Ključni zahtevi koji utiču na izdavače i digitalne operatere su:

• Eksplicitna, detaljna saglasnost pre prikupljanja ili korišćenja ličnih informacija za bilo koju svrhu van one prvobitno obelodanjene.
• Imenovan Službenik za privatnost (podrazumevano najviše rangirani izvršni direktor, osim ako nije formalno delegiran) čije ime i kontakt moraju biti objavljeni na veb sajtu.
• Obavezne Procene uticaja na privatnost (PIA) pre pokretanja bilo kog projekta koji uključuje lične informacije, posebno prekogranične prenose ili novu tehnologiju.
• Obaveštenje o povredi Commission d'accès à l'information (CAI) i pogođenim pojedincima kada povreda predstavlja rizik od ozbiljne povrede.
• Individualna prava uključujući pristup, ispravku, brisanje, prenosivost i — jedinstveno — pravo da budu obavešteni o automatizovanom odlučivanju i da zatraže ljudsku reviziju.

Organ za sprovođenje je Commission d'accès à l'information du Québec (CAI), koji je izdao formalna obaveštenja o istrazi brojnim međunarodnim izdavačima i platformama tokom 2025. Za razliku od nekih regulatora, CAI je pokazao spremnost da goni entitete koji nisu kanadski, a koji služe stanovnicima Kvebeka.

Specifičnosti pristanka na kolačiće: strožije od GDPR-a u ključnim oblastima

Zakon 25 direktno ne koristi reč "kolačić", ali njegova definicija tehnologije koja identifikuje, locira ili profilira pojedinca obuhvata kolačiće, piksele, fingerprinting i SDK-bazirane mobilne identifikatore. Odeljak 8.1 je kritična odredba: svaka takva tehnologija koja je aktivirana podrazumevano mora biti onemogućena podrazumevano i zahtevati aktivnu saglasnost za uključivanje.

Bez unapred označenih polja, bez podrazumevane saglasnosti

Ova formulacija je stroža od okvira ePrivacy GDPR-a na jedan specifičan način: ne samo da pristanak mora biti opt-in, već osnovna tehnologija mora biti tehnički onemogućena dok se ne da saglasnost. Baner kolačića koji učitava analitiku pre nego što korisnik klikne prihvati krši Zakon 25 čak i ako je sam baner tehnički ispravan. Izdavači moraju implementirati pravo učitavanje skripti uslovljeno pristankom, slično Google Consent Mode v2 u naprednom režimu — osnovni režim je generalno nedovoljan.

Personalizacija zasnovana na profilu zahteva zasebnu saglasnost

Ako koristite kolačiće za izgradnju korisničkog profila za personalizovano oglašavanje, Zakon 25 tretira to kao posebnu svrhu koja zahteva sopstveni sloj saglasnosti, povrh osnovne saglasnosti za postavljanje kolačića. Jedinstveno dugme "prihvati sve" koje objedinjuje čuvanje, analitiku i personalizaciju je u opasnosti — kvebeški regulator je signalizirao preferenciju za detaljna prebacivanja po svrsi.

Prekogranični prenosi: zahtev PIA

Kvebek je jedina kanadska provincija koja zahteva formalnu Procenu uticaja na privatnost pre prenosa ličnih informacija van Kvebeka — uključujući ostatak Kanade, Sjedinjene Države i evropske centre za podatke. PIA mora proceniti:

• Osetljivost uključenih podataka.
• Svrhu i neophodnost prenosa.
• Pravni okvir odredišne jurisdikcije.
• Ugovorne i tehničke zaštitne mere na snazi.

Za izdavače, ovo najčešće utiče na analitiku, upravljanje tagovima, CDN logove i podatke ad servera koji teku ka američkoj infrastrukturi. PIA usklađenosti sa Kvebecom ne blokira ove prenose, ali zahteva dokumentovanu procenu i — što je kritično — pisanu potvrdu od strane primaoca da će podaci biti zaštićeni pod ekvivalentnim principima. Standardni SaaS ugovori hostovani u SAD-u retko sadrže ovu formulaciju podrazumevano i moraju biti izmenjeni.

Obaveštenja o automatizovanom odlučivanju

Odeljak 12.1 Zakona 25 jedinstven je u severnoameričkom pravu: ako preduzeće koristi lične informacije za donošenje odluke zasnovane isključivo na automatizovanoj obradi, mora:

• Obavestiti pojedinca u trenutku ili pre donošenja odluke.
• Na zahtev, objasniti korišćene lične informacije, razloge i glavne faktore koji su doveli do odluke.
• Pružiti mogućnost podnošenja primedbi ljudskom recenzentu.

Za adtech, ovo obuhvata programatsko odlučivanje o zahtevima za licitiranje, dinamičko određivanje cena, bodovanje prevara i bilo koje AI-assistirano rangiranje sadržaja. Izdavači retko direktno kontrolišu ove algoritme — oslanjaju se na SSP-ove i DSP-ove — ali Zakon 25 tretira izdavača kao zajedničku odgovornu stranu kada odluka koristi podatke koje je izdavač prikupio. Dodavanje kratkog otkrivanja automatizovanog odlučivanja u vaše obaveštenje o privatnosti je minimalni izvodljivi korak usklađenosti.

Praktična kontrolna lista usklađenosti za 2026.

Korak 1: Mapirajte kvebeški saobraćaj i tokove podataka

Koristite IP geolokaciju u svojoj analitici da procenite obim posetilaca iz Kvebeka. Čak i ako je Kvebek manji od 5% vaše publike, kazna od 4% prometa čini je nesrazmerno rizičnom za ignorisanje. Mapirajte svaki kolačić, piksel i SDK koji se aktivira za korisnike iz Kvebeka i gde sletaju njegovi podaci.

Korak 2: Implementirajte CMP uslovljen pristankom

Vaš CMP mora podržavati pravo blokiranje na nivou skripte, a ne kozmetičko odbacivanje banera. FlexyConsent i drugi Google-sertifikovani CMP-ovi nude geo pravila specifična za Kvebek koja uparuju logiku Zakona 25 sa širim signalima Consent Mode v2 i GPP US-nacionalnih signala. Unapred konfigurisani kvebeški režim treba da podrazumevano postavi sve nebitne kategorije na isključeno.

Korak 3: Imenujte i objavite Službenika za privatnost

Ako vaša organizacija nema kanadsko prisustvo, vaš izvršni direktor ili ekvivalent je Službenik za privatnost podrazumevano, osim ako formalno ne delegirate pisanim putem. Objavite ime i email u svom obaveštenju o privatnosti — CAI to proverava pri prvoj inspekciji.

Korak 4: Završite PIA pre novih projekata

Svaki novi prodavac, svaki novi prekogranični prenos, svaka nova tehnologija praćenja zahteva dokumentovanu PIA. PIA šabloni od CAI-a su prihvatljivi; ne potrebujete prilagođeno pravno mišljenje za rutinsku analitiku ili CDN ugovore.

Korak 5: Ažurirajte svoje obaveštenje o privatnosti

Kvebek zahteva specifična otkrivanja: kontakt Službenika za privatnost, kategorije prikupljenih ličnih informacija, periode čuvanja, primaoce trećih strana, odredišta prekograničnog prenosa i prakse automatizovanog odlučivanja. Generičko GDPR obaveštenje gotovo nikada ne zadovoljava Zakon 25 bez materijalnih dopuna.

Kako Quebec Zakon 25 stupa u interakciju sa PIPEDA i budućnošću Zakona 25

PIPEDA, kanadski savezni zakon o privatnosti, primenjuje se na komercijalne aktivnosti širom Kanade — ali Kvebekov Zakon 25 ima prednost unutar Kvebeka jer je provincija proglašena suštinski sličnom za svrhe privatnosti u privatnom sektoru. U praksi to znači da kvebeške operacije podrazumevano koriste Zakon 25, a PIPEDA se primenjuje samo na aktivnosti koje prelaze provincijalne granice.

Kanada takođe modernizuje PIPEDA-u kroz predloženi Consumer Privacy Protection Act (CPPA). Ako CPPA prođe u svom trenutnom obliku, priblizit će ostatak Kanade kvebeком modelu — eksplicitna saglasnost, smislene kazne, savezni Komesar za privatnost sa ovlašćenjem za naređenja i transparentnost automatizovanog odlučivanja. Izdavači koji danas grade svoj stack oko Quebec Zakona 25 biće dobro pozicionirani za savezne promene sutra.

Kratka verzija: Quebec Zakon 25 nije provincijska znatiželja. To je predložak za smer kanadske privatnosti i najagresivniji režim privatnosti u Amerikama. Izdavači, oglašivači i SaaS prodavci koji opslužuju kanadski saobraćaj treba da tretiraju usklađenost sa Zakonom 25 kao prioritet 2026., a ne budući projekat.